Genel Bakış

Federated ID (SSO) kullanarak Adobe ürünleri, hizmetleri veya mobil uygulamalarına giriş yapmaya çalıştığınızda aşağıdaki hata mesajlarından biri oluşur.

Adobe Yönetim Konsolu'nda SSO'yu başarılı bir şekilde yapılandırdıktan sonra Meta Verileri İndir düğmesine tıkladığınızdan ve SAML XML Metadata dosyasını bilgisayarınıza kaydettiğinizden emin olun.Kimlik sağlayıcınız, tek oturum açmayı etkinleştirmek için bu dosyaya ihtiyaç duyar. XML yapılandırma ayrıntılarını doğru bir şekilde kimlik sağlayıcınıza (IdP) içe aktarmalısınız. Bu, SAML'in IdP'niz ile entegrasyonu için gereklidir ve verilerinizin doğru yapılandırılmasını sağlayacaktır.

Aşağıda bazı yaygın yapılandırma sorunları verilmiştir:

  • Sertifika, PEM'in yanındaki bir formatta.
  • Sertifikanın .cer, .pem ve .cert dışında bir uzantısı var ve çalışmıyor.
  • Sertifika şifrelenmiş.
  • Sertifika tek satır formatında. Çoklu satır gerekiyor.
  • Sertifika İptal Doğrulaması açık (şu anda desteklenmiyor).
  • SAML'deki IdP düzenleyici, Yönetici Konsolunda belirtilenle aynı değil (örneğin yazım hatası, eksik karakter, https yerine http).

IdP'nizi yapılandırmak için SAML XML Metadata dosyasının nasıl kullanılacağıyla ilgili sorularınız varsa, IdP'ye göre değişken talimatlar için doğrudan IdP'nize ulaşın.

Belirli IdP'ler için bazı örnekler (liste kapsamlı değildir; tüm SAML 2 uyumlu IdP'ler işe yarar):

Okta: XML dosyasındaki gereken bilgileri elle alın ve verileri doğru yapılandırmak için doğru kullanıcı arayüzü alanlarına girin.

Ping Federate: XML dosyasını karşıya yükleyin veya verileri doğru kullanıcı arayüzü alanlarına girin.

Microsoft ADFS: Sertifikanız PEM formatında olmalıdır ancak ADFS için varsayılan DER formatıdır. Sertifikayı OS X, Windows veya Linux'taki openssl komutunu kullaanrak aşağıdaki şekilde dönüştürebilirsiniz:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Yukarıdaki adımı gerçekleştirdikten sonra .cer sertifikasını yeniden adlandırın.

Ayrıca birden fazla sertifikanız varsa doğru sertifikanın kullanıldığından emin olun; istekleri imzalayan sertifika ile aynı olmalıdır. (Örneğin istekleri imzalayan sertifika "belirteç imza" sertifikası ise, kullanılması gereken sertifika budur.) Sertifika İptali Doğrulama kapalı olmalıdır.

IdP'yi bildiğiniz en iyi şekilde yapılandırdıysanız, alınan hataya bağlı olarak aşağıdakilerden birini veya daha fazlasını deneyin.

Meta Veri İndirme Bağlantısı

Temel sorun giderme

Tek oturum açma sorunları genellikle kolayca gözden kaçan çok temel hatalardan kaynaklanır. Özellikleri aşağıdakileri kontrol edin:

  • Kullanıcı, hak ile bir ürün yapılandırmasına atanmıştır.
  • SAML'de gönderilen kullanıcının adı, soyadı ve e-posta adresi tam olarak yönetim panelinde görüldüğü gibidir ve doğru etiketle SAML'de mevcuttur.
  • Yönetim Konsolundaki tüm girişlerin ve kimlik sağlayıcınızın yazımını veya sözdizimi hatalarını kontrol edin.
  • Creative Cloud Desktop uygulaması en son sürümüne güncellendi.
  • Kullanıcı doğru yerde oturum açıyor olmalıdır (CC Desktop uygulaması, CC uygulaması veya adobe.com)

"Yeniden Deneyin" etiketli düğmenin bulunduğu "Bir hata oluştu" hatası

Bir hata oluştu - YENİDEN DENEYİN

Bu hata genellikle kullanıcı kimlik doğrulaması başarılı olduktan ve Okta kimlik doğrulaması yanıtını Adobe'ye başarılı bir şekilde gönderdikten sonra oluşur.

Adobe Yönetim Konsolu'nda aşağıdakileri doğrulayın:

Kimlik sekmesinde:

  • İlişkili etki alanının etkinleştirildiğinden emin olun:

Ürünler sekmesinde:

  • Kullanıcının doğru ürün takma adıyla ilişkilendirildiğinden ve Federated ID olarak yapılandırılmış olduğunu iddia ettiğiniz etki alanında olduğundan emin olun.
  • Ürün takma adına doğru hakların atandığından emin olun.

Kullanıcılar sekmesinde:

  • Kullanıcının kullanıcı adının tam e-posta adresi şeklinde olduğundan emin olun.

Oturum açarken "Erişim Engellendi" hatası

Erişim Engellendi hatası

Bu hatanın olası nedenleri:

  • SAML önermesiyle gönderilen ad, soyadı veya e-posta adresinin Yönetim Konsoluna girilen bilgilerle eşleşmediğinden emin olun.
  • Kullanıcı doğru ürünle ilişkili değildir veya ürün yanlış hakla ilişkilidir.
  • SAML kullanıcı adı, e-posta adresi dışındaki bir biçimdedir. Tüm kullanıcılar, kurulum işleminin bir parçası olarak talep ettiğiniz etki alanında olmalıdır.
  • SSO istemciniz oturum açma işleminin bir parçası olarak (Creative Cloud Packager gibi) Javascript'i desteklemeyen bir istemciye oturum açmaya çalışıyorsunuz.

Nasıl çözülür:

  • Kullanıcının pano yapılandırmasını doğrulayın: kullanıcı bilgileri ve ürün yapılandırması.
  • SAML izi çalıştırın ve gönderilen bilgilerin panoya uygun olduğunu doğrulayın ve ardından tutarsızlıkları düzeltin.

"Başka bir kullanıcının oturumu açık" hatası

"Başka bir kullanıcının oturumu açık" hatası, SAML önermesinde gönderilen öznitellikler oturum açma işlemini başlatmak için kullanılan e-posta adresi ile eşleşmediğinde görülür.

SAML önermesindeki öznitelikleri kontrol edin ve bunların kullanıcının kullanmaya çalıştığı ID ve Yönetim Konsolu ile tam eşleştiğinden emin olun.

"Sistem prensibi olarak çağrı yapılamadı" veya "Kullanıcı oluşturma başarısız" hatası

"Sistem prensibi olarak çağrı yapılamadı" (arkasından rastgele bir kod gelir) veya "Kullanıcı oluşturma başarısız" hatası, SAML özniteliklerinde bir sorun olduğunu belirtir.Öznitelik adlarının büyük-küçük harflerinin doğru olduğundan emin olun: Ad, Soyadı, E-posta. Örneğin "E-posta" yerine "e-posta" olarak biten öznitelik bu hatalara neden olabilir.

Bu hatalar, SAML önermesi Konu > AdID'si öğesinde kullanıcının e-posta adresini içermiyorsa da görülebilir (SAML Tracer kullanırken, e-postaAdresi formatı ve değer olarak e-posta adresi olmalıdır).  

Adobe destek biriminden yardıma ihtiyaç duyarsanız lütfen SAML izini ekleyin.

 

"SAML yanıtındaki Düzenleyici, kimlik sağlayıcı için yapılandırılan düzenleyici ile eşleşmedi" hatası

SAML Önermesindeki IDP düzenleyici, Gelen SAML'de yapılandırılandan farklı. Yazım hatalarını kontrol edin (http ve https gibi). Kullanıcı SAML sisteminde IDP düzenleyici dizesini kontrol ederken, sağlanan dize ile TAM eşleşme ararsınız. Bu sorun bazen sonda bir eğik çizgi eksik olmasından kaynaklanır.

Bu hatayla ilgili yardıma ihtiyacınız varsa, Adobe panosuna girdiğiniz şekilde bir SAML izi ve değerleri sağlayın.

"SAML yanıtındaki dijital imza, kimlik sağlayıcı sertifikasıyla doğrulanmadı" hatası

Sertifika dosyası muhtemelen hatalıdır ve yeniden yüklenmesi gerekir. Bu sorun genellikle yapılan bir değişikliğin ardından ve yönetici yanlış cert dosyasına referansta bulunduğunda görülür. Ayrıca format türünü de kontrol edin (ADFS için PEM formatında olmalıdır).

"Geçerli saat, önerme koşullarında belirtilen zaman aralığından önce"

Windows:

Ya sistem saatini düzeltin ya da saat sapması değerini ayarlayın.

Sistem saatini belirleme:

Şu komutla sistem saatini kontrol edin:

w32tm /query /status

Windows Server'daki sistem saatini aşağıdaki komutla düzeltebilirsiniz:

w32tm /resync

Sistem saati doğru ayarlanmışsa IdP ile kimlik doğrulaması yapılan sistem arasındaki fark için tolerans oluşturmanız gerekebilir.

Saat sapması

İzin verilen sapma değerini 2 dakikaya ayarlayarak başlayın. Bağlanıp bağlanamadığınızı kontrol edin ve ardından sonuca bağlı olarak değeri artırın veya azaltın. Microsoft bilgi bankasından ayrıntıların tamamına ulaşabilirsiniz. 

Özetle Powershell'den aşağıdaki komutları gerçekleştirebilirsiniz:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Orijinal değerlerin ne olduğunu görmek için
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Sapmaya 2 dakikaya ayarlayın

burada "urn:party:sso" güvenen tarafın tanımlayıcılarından biridir.

Not: Tüm güvenen taraf güven nesnelerini almak için Get-ADFSRelyingPartyTrust cmdlet komutunu parametresiz olarak kullanabilirsiniz.

UNIX tabanlı sistemler:

Sistem saatinin doğru ayarlandığını, örneğin aşağıdaki komutla kontrol edin:

ntpdate -u pool.ntp.org

KonuOnayı'nda belirtilen alıcı, hizmet sağlayıcı id'si ile eşleşmiyor

Öznitelikleri kontrol edin çünkü tam olarak şu büyük-küçük harf düzenine uyması gerekir: Ad, Soyadı, E-posta. Bu hata mesajı, özniteliklerden birinin büyük-küçük harf yanlışı olduğunu gösterebilir; örneğin "E-posta" yerine "e-posta". Alıcı değerini kontrol edin; ACS dizesine referansta bulunmalıdır.

ACS Dizesi

Hata 401 yetkilendirilmemiş kimlik doğrulama bilgileri

Bu hata, uygulama Federated oturum açmayı desteklemediğinde görülür ve Adobe ID olarak oturum açılmalıdır. Framemaker, RoboHelp ve Captivate bu gereksinime sahip uygulama örnekleridir.

"Gelen SAML oturum açması şu hata mesajı ile başarısız oldu: SAML yanıtı önerme içermiyordu"

Oturum açma iş akışını kontrol edin. Başka bir makinede veya ağda oturum açabiliyor ancak dahili olarak açamıyorsanız, sorun temsilci engelleme dizesi olabilir. Ayrıca bir SAML izi yürütün ve Ad, Soyadı ve Kullanıcı Adının SAML konusunda doğru biçimlendirilmiş e-posta adresleri olduğunu doğrulayın.

Hata 400 kötü istek / "SAML isteği durumu başarılı değildi" / SAML sertifika doğrulaması başarısız

Hata 400 kötü istek

Doğru SAML önermesinin gönderildiğini doğrulayın:

  • SAML önermesinde kimlik sağlayıcının aşağıdaki özniteliklerden (büyük-küçük harf duyarlı) geçtiğini doğrulayın: Ad, Soyadı, E-posta. Bu öznitelikler, SAML 2.0 Connector yapılandırmasının bir parçası olarak gönderilmek üzere IdP'de yapılandırılmazsa, kimlik doğrulaması çalışmaz.
  • Konuda AdID'si öğesi bulunmaması. Konu öğesinin AdID'si öğesi içerdiğini doğrulayın. Kimlik doğrulaması yapmak istediğiniz kullanıcının e-posta adresi olması gereken E-posta özniteliğine eşit olmalıdır.
  • Özellikle https ve http gibi kolay gözden kaçırılan yazım hataları.
  • Doğru sertifikanın sağlandığını doğrulayın. IDP'ler sıkıştırılmamış SAML isteği/yanıtlarını kullanacak şekilde yapılandırılmalıdır. Okta Gelen SAML Protokolü sadece Sıkıştırılmamış ayarlarla çalışır (Sıkıştırılmış ayarlarla değil).

Firefox için SAML Tracer gibi bir program, önermeyi açmaya ve inceleme için görüntülemeye yardımcı olabilir. Adobe destek biriminden yardıma ihtiyaç duyarsanız bu dosya istenir.

Aşağıdaki çalışma örneği, SAML önermesini doğru şekilde biçimlendirmenize yardımcı olabilir.

İndir

Microsoft ADFS ile:

  1. Başarılı bir şekilde oturum açmak için her bir Active Directory hesabının, Active Directory'de belirtilen bir e-posta adresine sahip olması gerekir (olay günlüğü: SAML yanıtının önermesinde NameId bulunmuyor). Öncelikle bunu kontrol edin.
  2. Panoya erişin. 
  3. Kimlik sekmesine ve etki alanına tıklayın.
  4. Yapılandırmayı Düzenle düğmesine tıklayın.
  5. IDP Bağı'nı bulun. HTTP-POST'a geçin ve ardından kaydedin. 
  6. Oturum açma deneyimini yeniden test edin.
  7. Çalışıyorsa ama önceki ayarı tercih ediyorsanız, HTTP-REDIRECT'e geri dönün ve meta verileri ADFS'ye yeniden yükleyin.

Diğer IdP'lerle:

  1. Hata 400 ile karşılaşılması, başarılı oturum açmanın IdP'niz tarafından reddedildiği anlamına gelir.
  2. IdP günlüklerinde hatanın kaynağını kontrol edin.
  3. Sorunu düzeltin ve yeniden deneyin.

Microsoft ADFS'yi yapılandırma

Microsoft ADFS'yi yapılandırma adım adım kılavuzuna bakınız.

Bir Mac istemcisinde Creative Cloud'da boş bir pencere varsa, "Creative Cloud" kullanıcı temsilcisine güvenildiğinden emin olun.

Microsoft Azure'u yapılandırma

Microsoft Azure'u yapılandırma adım adım kılavuzuna bakınız.

OneLogin'i yapılandırma

OneLogin'i yapılandırma adım adım kılavuzuna bakınız.

Okta'yı yapılandırma

Okta'yı yapılandırma adım adım kılavuzuna bakınız.

Bu çalışma Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License kapsamında lisanslanmıştır  Creative Commons şartları, Twitter™ ve Facebook sitelerinde paylaşılanları kapsamaz.

Yasal Uyarılar   |   Çevrimiçi Gizlilik İlkesi