Pregled

Pri poskusu vpisa v izdelke, storitve ali mobilne aplikacije Adobe s Federated ID (SSO) se pojavi eno od naslednjih sporočil o napakah.

Po uspešni konfiguraciji SSO s Adobe Admin Console poskrbite, da boste kliknili Prenesi metapodatke in shranili datoteko metapodatkov SAML XML na svoj računalnik. Vaš ponudnik identitete potrebuje to datoteko, da bi omogočil enotno prijavo. Podatke o konfiguraciji XML morate pravilno uvoziti v svoj ponudnik identitete (IdP). To je potrebno za integracijo SAML z vašim IdP in zagotavlja, da bodo podatki konfigurirani pravilno.

V nadaljevanju je več običajnih konfiguracijskih težav:

  • Certifikat je v obliki, ki ni PEM.
  • Certifikat ima pripono, ki ni: .cer. .pem in .cert ne deluje.
  • Certifikat je šifriran.
  • Certifikat ima obliko enojne vrstice. Potreben je večvrstični zapis.
  • Preklic veljavnosti preverjanja certifikata je vklopljen (trenutno ni podprto).
  • Izdajatelj IdP v SAML ni enak kot tisti, ki je bil določen v skrbniški konzoli (na primer napaka pri črkovanju, manjkajoče znake, https v primerjavi s http).

Če imate vprašanja glede uporabe datoteke z metapodatki SAML XML za konfiguracijo svojega IdP, stopite v neposreden stik s svojim IdP za navodila, ki se spreminjajo glede na IdP.

Nekateri primeri specifičnih IdP-jev (seznam ni izčrpen – deluje vsak IdP, ki je združljiv s SAML 2):

Okta: podatke konfigurirajte pravilno z ročnim zajemanjem potrebnih informacij iz datoteke XML in njihovim vnašanjem v polja uporabniškega vmesnika.

Ping Federate: prenesite datoteko XML ali vnesite podatke v ustrezna polja uporabniškega vmesnika.

Microsoft ADFS: vaš certifikat mora biti v obliki PEM, vendar pa je za ADFS privzeta oblika DER. Certifikat lahko pretvorite s pomočjo ukaza openssl, ki je na voljo v sistemih OS X, Windows ali Linux, kot je opisano v nadaljevanju:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Po izvedbi zgornjega ukaza preimenujte certifikat .cer.

Poleg tega zagotovite, da je v uporabi ustrezen certifikat, če imate več kot enega; certifikat mora biti tisti, s katerim boste podpisovali zahteve. (Na primer, če »žeton certifikata s podpisom storitev« podpisuje zahteve, je to certifikat, ki ga morate uporabiti.) Preverjanje ukinjenih pooblastil mora biti izklopljeno.

Če ste svoj IdP konfigurirali tako, kot najbolje znate, morate glede na napako, ki se je prikazala, izvesti enega ali več od naslednjih postopkov.

Povezava za prenos metapodatkov

Osnovno odpravljanje težav

Težave z enotno prijavo pogosto povzročijo zelo osnovne napake, ki jih je enostavno spregledati. Še posebno morate preveriti naslednje:

  • Uporabnik je dodeljen konfiguraciji izdelka s koristmi.
  • Uporabnikovo ime, priimek in e-poštni naslov se pošljejo v SAML prav tako, kot se pojavijo na nadzorni plošči podjetja in so prisotni v SAML s pravilno oznako.
  • Pri vseh vnosih v skrbniško konzolo in ponudnika identitete preverite, ali ste naredili napake pri črkovanju oziroma sintaksi.
  • Namizni program Creative Cloud je bil posodobljen na zadnjo različico.
  • Uporabnik se prijavlja na pravo mesto (namizni program CC, program CC ali adobe.com)

Napaka »Prišlo je do napake« z gumbom »Poskusite znova«

Prišlo je do napake – POSKUSITE ZNOVA

Do te napake običajno pride po uspešnem preverjanju pristnosti uporabnika in po uspešnem posredovanju odziva preverjanja pristnosti od Okta do Adobe.

V Adobe Admin Console potrdite naslednje:

Na zavihku Identiteta:

  • Zagotovite, da je povezana domena aktivirana.

Na zavihku Izdelki:

  • Zagotovite, da je uporabnik povezan z ustreznim vzdevkom izdelka in v domeni, za katero trdite, da ste jo konfigurirali kot Federated ID.
  • Zagotovite, da ima vzdevek izdelka dodeljene pravilne koristi.

Na zavihku Uporabniki:

  • Zagotovite, da je uporabniško ime uporabnika v obliki popolnega e-poštnega naslova.

Napaka »Zavrnjen dostop« pri prijavljanju

Napaka zavrnjenega dostopa

Možni vzroki za to napako:

  • Ime, priimek ali e-poštni naslov, ki se pošilja v izjavi SAML, ne ustreza informacijam, ki so bile vnesene v skrbniški konzoli.
  • Uporabnik ni povezan s pravim izdelkom ali izdelek ni povezan z ustrezno koristjo.
  • Dohodno uporabniško ime SAML se zdi podobno nečemu drugemu kot e-poštnemu naslovu. Vsi uporabniki morajo biti v domeni, ki ste jo zahtevali kot del svojega postopka nastavitve.
  • Vaš odjemalec SSO uporablja Javascript kot del postopka prijave, vi pa se poskušate prijaviti v odjemalca, ki ne podpira Javascript (kot je Creative Cloud Packager).

Rešitev:

  • Preverite konfiguracijo nadzorne plošče za uporabnika: uporabniške informacije in konfiguracija izdelka.
  • Uporabite sledenje SAML in preverite, ali poslane informacije ustrezajo tistim na nadzorni plošči, nato pa popravite vse neskladnosti.

Napaka »Trenutno je prijavljen drug uporabnik«

Do napake »Trenutno je prijavljen drug uporabnik« pride, kadar poslani atributi v izjavi SAML ne ustrezajo e-poštnemu naslovu, ki je bil uporabljen za začetek postopka prijave.

Preverite atribute v izjavi SAML in poskrbite, da bodo popolnoma enaki ID uporabnika, ki jih poskuša uporabiti, in skrbniški konzoli.

Napaka »Klic kot sistemski princip ni uspel« ali »Ustvarjanje uporabnika ni uspelo«

Napaka »klic kot sistemski princip ni uspel« ali »Ustvarjanje uporabnika ni uspelo« (sledi ji naključna šifra) ali »ustvarjanje uporabnika ni uspelo« kaže na težavo z atributi SAML. Preverite, ali je velikost pisave imen atributov pravilna (občutljivost na velike ali male črke, imenovanje): FirstName, LastName, Email (ime, priimek, e-pošta). Če se atribut tako konča kot »email« namesto »Email«, se lahko pojavijo omenjene napake.

Do teh napak lahko pride tudi, če izjava SAML ne vsebuje e-pošte uporabnika v Predmet > Element NameId (če uporabljate sledilnik SAML, mora imeti obliko emailAddress in dejanski e-poštni naslov kot besedilno vrednost).  

Če potrebujete pomoč oddelka za podporo Adobe, priložite tudi sledilnik SAML.

 

Napaka »Izdajatelj v odzivu SAML ne ustreza izdajatelju, konfiguriranem za ponudnika identitete«

Izdajatelj IDP v isti izjavi SAML se razlikuje od tistega, kar je bilo konfigurirano v dohodnem SAML. Poiščite tipografske napake (kot http v primerjavi s https). Pri preverjanju niza izdajatelja IDP s strankinim sistemom SAML, je treba iskati NATANČNO enaki niz, kot je tisti, ki so ga priskrbeli. Do te težave včasih pride, ker na koncu manjka poševnica.

Če potrebujete pomoč pri tej napaki, zagotovite sled SAML in vrednosti, ki ste jih vnesli v nadzorno ploščo Adobe.

Napaka »Digitalni podpis v odzivu SAML nima preverjene veljavnosti s certifikatom ponudnika identitete«

Datoteka certifikata je verjetno nepravilna in jo je treba naložiti še enkrat. Do te težave pride običajno po spremembi in ko skrbnik kot sklic uporabi nepravilno datoteko certifikata. Preverite tudi vrsto oblike (ta mora biti za ADFS oblika PEM).

Napaka »Trenutni čas je pred časovnim razponom, določenim v pogojih izjave«

IdP strežnik na osnovi Windows:

1. Prepričajte se, da je sistemska ura sinhronizirana s točnim časovnim strežnikom

Primerjajte natančnost sistemske ure s svojim časovnim strežnikom z naslednjim ukazom; vrednost "Zamik faze" mora biti majhen delček sekunde:

w32tm /query /status /verbose

Z naslednjim ukazom lahko sprožite takojšnjo vnovično sinhronizacijo sistemske ure s časovnim strežnikom:

w32tm /resync

Če je sistemska ura pravilno nastavljena, zgornja napaka pa je še vedno prikazana, boste morali morda prilagoditi nastavitev časovnega odmika, da povečate toleranco za razliko med urama strežnika in odjemalca.

2. Povečaj dovoljeno razliko sistemske ure med strežniki

V oknu PowerShell s skrbniškimi pravicami nastavite vrednost dovoljenega odmika na 2 minuti. Preverite, ali se lahko prijavite, in nato povečajte ali zmanjšajte vrednost glede na rezultat.

Določite trenutno nastavitev časovnega odmika za relevantno Zaupanje zanesljivim strankam z naslednjim ukazom:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Zaupanje zanesljivim strankam je opredeljeno z URL-jem, prikazanim v polju "Identifikator" rezultata prejšnjega ukaza za to določeno konfiguracijo. Ta URL je prikazan tudi v pripomočku za upravljanje ADFS v oknu z lastnostmi za relevantno Zaupanje zanesljivim strankam na zavihku "Identifikatorji" v polju "Zaupanje zanesljivim strankam", kot je prikazano na spodnjem posnetku zaslona.

Z naslednjim ukazom nastavite časovni odmik na 2 minuti in ustrezno nadomestite naslov identifikatorja:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

relying_party_identifier

IdP strežnik na osnovi UNIX

Prepričajte se, da je sistemska ura pravilno nastavljena, tako da uporabite storitev ntpd ali ročno z ukazom ntpdate iz korenske lupine ali z ukazom sudo, kot je prikazano spodaj (upoštevajte, da če je čas zamaknjen za več kot 0,5 sekunde, sprememba ne bo uveljavljena takoj, temveč se bo sistemska ura počasi popravila). Prepričajte se, da je časovni pas pravilno nastavljen.

# ntpdate -u pool.ntp.org

Opomba:

To deluje s ponudniki identitete, kot je Shibboleth.

Prejemnik, ki je določen v SubjectConfirmation, ne ustreza naši ID entitete ponudnika storitev

Preverite atribute, ker morajo biti popolnoma enaki, kot v naslednjem primeru: FirstName, LastName, Email. To sporočilo o napaki lahko pomeni, da ima en atribut ali več napačne velike ali male črke, kot je »email« namesto »Email«.  Poleg tega preverite vrednost prejemnika – v sklicu mora biti naveden niz ACS.

Niz ACS

Napaka 401 nepooblaščene poverilnice

Do te napake pride, če program ne podpira prijave Federated in se je treba prijaviti z ID za Adobe. Framemaker, RoboHelp in Captivate so primeri programov s to zahtevo.

Napaka »Dohodna SAML prijava ni uspela s sporočilom: odziv SAML ni vseboval izjav«

Preverite potek dela prijave.  Če lahko dostopite do prijavne strani na drugi napravi ali omrežju, vendar ne interno, je težava lahko v nizu agenta za blokiranje.  Poleg tega izvedite sledenje SAML in potrdite, da so First Name, Last Name in Username in pravilno formatiran e-poštni naslov v zadevi SAML.

Napaka 400 slaba zahteva / Napaka »Stanje zahteve SAML ni bila uspešna« / Preverjanje veljavnosti certifikata SAML ni uspela

Napaka 400 slaba zahteva

Potrdite, da se pošilja pravo izjavo SAML:

  • Potrdite, da ponudnik identitete pošilja ustrezne atribute (občutljivo na male in velike črke) v izjavi SAML: FirstName, LastName, Email. Če ti atributi niso konfigurirani v IdP za pošiljanje kot del konfiguracije SAML 2.0 Connector, preverjanje pristnosti ne bo uspelo.
  • V zadevi ni elementa NameID. Preverite, da element Subject vsebuje element NameId. Enak mora biti atributu Email, ki mora biti e-poštni naslov uporabnika, katerega veljavnost želite potrditi.
  • Napake v črkovanju, še posebej tiste, ki se jih enostavno spregleda, kot https v primerjavi s http.
  • Potrdite, da je bil zagotovljen ustrezen certifikat. IDP-ji morajo biti konfigurirani za uporabo nekompresiranih zahtev/odzivov SAML. Protokol Okta Inbound SAML Protocol deluje samo z nastavitvami, ki niso stisnjeni (nestisnjene nastavitve).

Orodje, kot je SAML Tracer za Firefox lahko pomaga pri raztezanju izjave in prikaza za pregled. Če potrebujete pomoč oddelka za podporo Adobe, se vas bo vprašalo po tej datoteki.

Pri pravilnem formatiranju vaše izjave SAML vam lahko pomaga naslednji delovni primer:

Prenos

Z Microsoftovim ADFS:

  1. Vsak račun Active Directory mora imeti e-poštni naslov, ki je naveden v aktivnem imeniku, da bi se lahko izvedlo uspešno prijavo (dnevnik primerov: odziv SAML nima NameId v izjavi). Najprej poskusite s tem.
  2. Dostopite do nadzorne plošče.
  3. Kliknite zavihek Identiteta in domeno.
  4. Kliknite Uredi konfiguracijo.
  5. Poiščite Vezanje IDP. Preklopite na HTTP-POST in izvedite shranjevanje. 
  6. Še enkrat preverite, kako poteka prijava.
  7. Če deluje, vendar so vam bolj všeč prejšnje nastavitve, enostavno preklopite nazaj na HTTP-REDIRECT in ponovno naložite metapodatke v ADFS.

Delo z drugimi IdP-ji:

  1. Če naletite na napako 400, to pomeni, da je bila uspešna prijava zavrnjena s strani vašega IdP.
  2. V svojih dnevnikih IdP preverite, kje je vir napak.
  3. Odpravite težavo in poskusite znova.

Konfiguracija Microsoftovega ADFS

Oglejte si navodila v korakih za Konfiguracijo Microsoftovega ADFS.

Če ima odjemalec Mac prazno okno v Creative Cloud, poskrbite, da je uporabniški agent »Creative Cloud« zaupanja vreden.

Konfiguracija Microsoftovega Azure

Oglejte si navodila v korakih za Konfiguracijo Microsoftovega Azure.

Konfiguracija OneLogin

Oglejte si navodila v korakih za Konfiguracija OneLogin.

Konfiguracija Okta

Oglejte si navodila v korakih za Konfiguracija Okta.

Konfiguracija Centrify

Oglejte si navodila v korakih za Konfiguracija Centrify.

Za ta izdelek je bila izdana neprenosljiva licenca za priznanje avtorstva, nekomercialno uporabo in skupno rabo pod enakimi pogoji 3.0  Objav v storitvah Twitter™ in Facebook ne urejajo pogoji pogodbe Creative Commons.

Pravna obvestila   |   Pravilnik o zasebnosti v spletu