Prehľad

Pokus o prihlásenie sa do produktov, služieb alebo mobilných aplikácií cez Federated ID (SSO) skončil jedným z nasledovných chybových hlásení.

Po úspešnom nakonfigurovaní SSO v Adobe Admin Console skontrolujte, že ste klikli na možnosť Prevziať metaúdaje a uložili ste si súbor metaúdajov SAML XML do svojho počítača. Poskytovateľ identity bude tento súbor potrebovať, aby mohol povoliť jediné prihlásenie. Podrobnosti konfigurácie vo formáte XML musíte správne importovať svojmu poskytovateľovi identity (IdP). Je to potrebné na to, aby mohla prebehnúť integrácia SAML s vaším IdP so správne nakonfigurovanými údajmi.

Nasleduje niekoľko častých chýb pri konfigurácii:

  • Certifikát nemá formát PEM.
  • Certifikát bez prípony .cer. .pem a .cert nefunguje.
  • Certifikát je šifrovaný.
  • Certifikát má jednoriadkový formát. Vyžaduje sa viacriadkový.
  • Je zapnuté odvolávanie certifikátov (momentálne nepodporované).
  • Vydavateľ IdP v SAML sa nezhoduje s tým, ktorý je zadaný v konzole správcu (napríklad preklep, chýbajúce znaky, https vs http).

Ak máte otázky o používaní súboru metaúdajov SAML XML na konfiguráciu svojho IdP, spojte sa priamo s IdP, ktorý vám poskytne príslušné pokyny.

Niektoré príklady konkrétnych IdP (nejde o úplný zoznam – fungujú aj všetci IdP, ktorí vyhovujú norme SAML 2):

Okta: Manuálne si prevezme požadované informácie uvedené v XML súbore a vloží ich do požadovaných polí používateľského rozhrania, čím sa údaje správne nakonfigurujú.

Ping Federate: Nahrá XML súbor alebo vloží údaje do príslušných polí používateľského rozhrania.

Microsoft ADFS: Váš certifikát musí byť vo formáte PEM. Predvoleným formátom ADFS je však formát DER. Certifikát môžete prekonvertovať pomocou príkazu openssl, ktorý je dostupný v systémoch OS X, Windows alebo Linuxnasledovne:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Po vykonaní vyššie uvedeného kroku premenujte certifikát .cer.

Ak máte viac certifikátov, skontrolujte, že používate ten správny. Musí byť rovnaký, pomocou ktorého sa budú podpisovať žiadosti. (Ak napríklad na podpisovanie žiadostí používate certifikát „token signing“, musíte ho použiť aj teraz.) Funkcia odvolávania certifikátov musí byť vypnutá.

Ak ste IdP nakonfigurovali podľa svojho najlepšieho vedomia, vyskúšajte v závislosti od prijatej chyby jeden alebo viacero z nasledujúcich krokov.

Odkaz na prevzatie metaúdajov

Riešenie základných problémov

Problémy s jediným prihlásením sú často spôsobené najzákladnejšími chybami, ktoré možno ľahko prehliadnuť. Skontrolujte hlavne nasledovné:

  • Používateľ je ku konfigurácii produktu priradený aj s poverením.
  • Meno, priezvisko a e-mailová adresa používateľa sú odoslané do SAML v úplne rovnakom tvare, ako sa zobrazujú na podnikovom paneli, a zároveň majú v SAML správne označenie.
  • V konzole správcu a u svojho poskytovateľa identity skontrolujte, či sa v zadaných údajoch nenachádzajú preklepy.
  • Desktopová aplikácia Creative Cloud bola aktualizovaná na najnovšiu verziu.
  • Používateľ sa prihlasuje na správnom miest (desktopová aplikácia CC, aplikácia CC alebo adobe.com).

Chyba „Vyskytla sa chyba“ s tlačidlo „Skúsiť znova“

Vyskytla sa chyba – SKÚSIŤ ZNOVA

Táto chyba sa obyčajne objaví po úspešnom overení používateľa a úspešnom preposlaní odpovede na overenie spoločnosti Adobe zo strany Okta.

V Adobe Admin Console skontrolujte:

Na karte Identita:

  • Skontrolujte, že bola aktivovaná priradená doména.

Na karte Produkty:

  • Skontrolujte, že používateľ bol priradený k správnej prezývke produktu a v doméne, ktorú ste uviedli ako nakonfigurovanú pre Federated ID.
  • Skontrolujte, že prezývka produktu obsahuje priradené správne poverenia.

Na karte Používatelia:

  • Skontrolujte, že používateľské meno tohto používateľa má podobu úplnej e-mailovej adresy.

Chyba pri prihlasovaní – „Prístup zamietnutý“

Chyba Prístup zamietnutý

Možné príčiny tohto problému:

  • Meno, priezvisko a e-mailová adresa odoslaná do SAML sa nezhoduje s informáciami zadanými v konzole správcu.
  • Používateľ nie je priradený k správnemu produktu, prípadne produkt nie je priradený k správnemu povereniu.
  • Používateľské meno SAML vyzerá inak, než e-mailová adresa. Všetci používatelia sa musia nachádzať v doméne, ktorú ste stanovili počas nastavovania.
  • Váš klient SSO využíva JavaScript ako súčasť prihlasovacieho procesu a vy sa pokúšate prihlásiť sa do klienta, ktorý nepodporuje JavaScript (napríklad Creative Cloud Packager).

Riešenie:

  • Skontrolujte konfiguráciu ovládacieho panelu používateľa: informácie o používateľovi a konfigurácia produktu.
  • Spustite sledovanie SAML a overte, že odoslané informácie sa zhodujú s ovládacím panelom a nevyskytujú sa tam žiadne nekonzistencie.

Chyba „Už je prihlásený iný používateľ“

Chyba „Už je prihlásený iný používateľ“ sa objavuje v prípadoch, ak sa atribúty odoslané do SAML nezhodujú s e-mailovou adresou, ktorú ste použili pri spustení procesu prihlásenia.

Skontrolujte atribúty v SAML a overte, že sa úplne zhodujú s ID používateľa, ktorého sa pokúšate použiť. Skontrolujte tiež úplnú zhodu s konzolou správcu.

Chyba „Nemožno vykonať hovor ako systémový princíp“ alebo „Zlyhanie vytvárania používateľa“

Chyba „Nemožno vykonať hovor ako systémový princíp“ (nasledovaná náhodným kódom) alebo „Zlyhanie vytvárania používateľa“ značia problém s atribútmi SAML. Skontrolujte, že veľkosť písmen názvov atribútov je správna (rozlišovanie veľkých a malých písmen): FirstName, LastName, Email. Tieto chyby môže spôsobiť, ak je atribút ukončený namiesto výrazu „Email“ výrazom „email“.

Tieto chyby sa môžu objaviť aj v prípade, ak SAML neobsahuje e-mail používateľa v položke Predmet > prvok NameId (pri použití sledovača SAML by mal mať formát emailAddress a skutočný e-mail uvedený ako textovú hodnotu).  

Ak potrebujete pomoc od podpory spoločnosti Adobe, udajte stopu SAML.

 

Chyba „Vydavateľ v odpovedi SAML nezodpovedá vydavateľovi nakonfigurovanému ako poskytovateľ identity“

IDP vydavateľ v SAML sa líši od toho, ktorý bol nakonfigurovaný v prichádzajúcom SAML. Vyhľadajte preklepy (napr. http vs https). Pri kontrole reťazca vydavateľa IDP cez systém SAML zákazníka vyhľadávajte ÚPLNE zhody zadaného reťazca. Táto chyba sa niekedy objaví vtedy, ak na konci chýba lomítko.

Ak potrebujete v súvislosti s touto chybou poradiť, uveďte stopu SAML a hodnoty, ktoré ste zadali na ovládacom paneli Adobe.

Chyba „Digitálny podpis v odpovedi SAML sa neoveril s certifikátom poskytovateľa identity“

Súbor certifikátu je pravdepodobne nesprávny a je ho potrebné znova nahrať. Táto chyba sa vo všeobecnosti objavuje po vykonaných zmenách a odkázaní správcu na nesprávny súbor cert. Skontrolujte tiež typ formátu (pre ADFS musí ísť o formát PEM).

Chyba „Hodnota aktuálneho času sa nachádza pred časovým rozsahom stanoveným v podmienkach uplatňovania“

Idp Server pod Windows:

1. Skontrolujte, či je čas vášho systému synchronizovaný so serverom s presným časom

Porovnajte presnosť času systému s časovým serverom prostredníctvom uvedeného príkazu, pričom hodnota fázového rozdielu by mala predstavovať malý zlomok sekundy:

w32tm /query /status /verbose

Čas systému je možné okamžite opätovne synchronizovať s časovým serverom pomocou nasledovného príkazu:

w32tm /resync

Ak je čas systému nastavený správne a napriek tomu sa naďalej zobrazuje uvedená chyba, pravdepodobne bude potrebné nastaviť odchýlku času a zvýšiť toleranciu rozdielu medzi časom servera a časom klienta.

2. Zvýšte povolený rozdiel času systému medzi servermi

V okne Powershell s oprávnením správcu nastavte prípustnú hodnotu odchýlky na 2 minúty. Skúste sa prihlásiť a na základe výsledku zvýšte alebo znížte hodnotu.

Nastavte aktuálnu hodnotu časovej odchýlky pre príslušnú dôveryhodnú priestupnú organizáciu pomocou nasledujúceho príkazu:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Dôveryhodná priestupná organizácia sa pre danú konfiguráciu identifikuje na základe adresy URL uvedenej v poli „Identifikátor“ po zadaní predchádzajúceho príkazu. Táto adresa URL sa takisto zobrazí v nástroji ADFS Management v okne Vlastnosti pri príslušnej dôveryhodnej priestupnej organizácii na karte „Identifikátory“ v poli „Dôveryhodné priestupné organizácie“, ako je znázornené na uvedenej snímke obrazovky.

Nastavte hodnotu časovej odchýlky na 2 minúty pomocou nasledujúceho príkazu, ktorý zodpovedajúcim spôsobom nahradí adresu identifikátora:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

relying_party_identifier

IdP server pre systém UNIX

Skontrolujte, že čas systému je nastavený správne, a to pomocou služby ntpd alebo manuálne pomocou príkazu ntpdate z koreňového prostredia, prípadne pomocou príkazu sudo, ako sa uvádza ďalej (upozorňujeme, že ak je čas posunutý viac ako o 0,5 sekundy, zmena sa nezobrazí okamžite, ale čas systému sa upraví postupne). Skontrolujte aj správne nastavenie časového pásma.

# ntpdate -u pool.ntp.org

Príjemca zadaný v poli SubjectConfirmation sa nezhoduje s ID entity nášho poskytovateľa služieb

Skontrolujte atribúty, pretože veľké písmená musia byť napísané nasledovne: FirstName, LastName, Email. Toto chybové hlásenie môže naznačovať, že niektorý z atribútov má nesprávne napísané veľké písmená. Napríklad „email“ namiesto „Email.“ Skontrolujte tiež hodnotu príjemcu. Mala by odkazovať na ACS reťazec.

ACS reťazec

Chyba 401, poverenia bez oprávnenia

Táto chyba sa objaví v prípade, ak aplikácia federatívne prihlásenie a je sa do nej potrebné prihlásiť pomocou účtu Adobe ID. Príkladom takýchto aplikácií sú Framemaker, RoboHelp a Captivate.

Chyba „Prichádzajúce prihlásenie SAML zlyhalo – hlásenie –: odpoveď SAML neobsahuje žiadne uplatnenie“

Skontrolujte pracovný postup prihlasovania.  Ak máte možnosť prejsť na stránku s prihlásením na inom zariadení alebo sieti, môže ísť o problém spôsobený blokovaním reťazca agenta.  Spustite tiež stopu SAML a skontrolujte, že meno, priezvisko a používateľské meno sú v podobe správne naformátovanej e-mailovej adrese uvedené v predmete SAML.

Chyba 404 zlá požiadavka/Chyba „Stav požiadavky SAML je neúspešný“/Overenie certifikácie SAML zlyhalo

Chyba 404 zlá požiadavka

Skontrolujte, že sa odosiela správne uplatňovanie SAML:

  • Skontrolujte, že poskytovateľ identity vyhovuje nasledovným atribútom (rozlišujú sa veľké a malé písmená) v uplatňovaní SAML:  FirstName, LastName, Email. Ak tieto atribúty nie sú nakonfigurované v IdP na odoslanie ako súčasť konfigurácie konektora SAML 2.0, overenie nebude fungovať.
  • V predmete chýba prvok NameID. Skontrolujte, že prvok predmetu obsahuje prvok NameId. Musí sa rovnať e-mailovému atribútu, ktorý by mal obsahovať e-mailovú adresu používateľa na overenie.
  • Preklepy, a to najmä tie, ktoré ľahko prehliadnete – https vs http.
  • Skontrolujte poskytnutie správneho certifikátu. IDP musia byť nakonfigurovaní tak, aby používali nekomprimované odpovede/požiadavky SAML. Prichádzajúci protokol SAML Okta funguje len pri nekomprimovaných nastaveniach (nekomprimované nastavenia).

Nástroj, akým je sledovač SAML pre FireFox dokáže pomôcť pri rozbaľovaní uplatňovania a jeho zobrazenia pre účely kontroly. Ak budete potrebovať pomoc od podpory Adobe, požiadame vás práve o tento súbor. 

Pri správnom formátovaní uplatňovania SAML vám možno pomôže nasledujúci príklad postupu:

Prevziať

Cez Microsoft ADFS:

  1. Na úspešné prihlásenie musí každý aktívny priečinok mať v Active Directory uloženú e-mailovú adresu (denník udalosti: Odpoveď SAML neobsahuje v uplatňovaní NameId). Vyskúšajte najskôr toto.
  2. Prejdite do ovládacieho panelu
  3. Skontrolujte kartu Identita a doménu.
  4. Kliknite na možnosť Upraviť konfiguráciu.
  5. Vyhľadajte väzbu IDP. Prepnite na možnosť HTTP-POST a uložte. 
  6. Znova sa skúste prihlásiť.
  7. Ak to funguje, no uprednostňujete predošlé nastavenie, stačí sa vrátiť k HTTP-REDIRECT a znova do ADFS nahrať metaúdaje.

Iní IdP:

  1. Ak sa vyskytne chyba 400, znamená to, že váš IdP odmietol úspešné prihlásenie.
  2. Zdroj chyby vyhľadajte v denníkoch IdP.
  3. Opravte chybu a skúste to znova.

Konfigurácia Microsoft ADFS

Pozrite si podrobný návod konfiguráciou Microsoft ADFS.

Ak sa klientovi na počítači Mac zobrazí v Creative Cloud prázdne okno, skontrolujte, že používateľ „Creative Cloud“ je dôveryhodný.

Konfigurácia Microsoft Azure

Pozrite si podrobný návod konfiguráciou Microsoft Azure.

Konfigurácia OneLogin

Pozrite si podrobný návod konfiguráciou OneLogin.

Konfigurácia Okta

Pozrite si podrobný návod konfiguráciou Okta.

Konfigurácia Centrify

Pozrite si podrobný návod na konfiguráciu Centrify.

Licencia na používanie tohto diela sa poskytuje v súlade s podmienkami licencie Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Na príspevky v sociálnych sieťach Twitter™ a Facebook sa nevzťahujú podmienky licencií Creative Commons.

Právne upozornenia   |   Zásady ochrany osobných údajov online