使用手冊 取消

解決 Federated ID (SSO) 登入錯誤

解決常見身份驗證錯誤、驗證設定,並疑難排解 Adob​​e 產品中與 Federated ID (SSO) 相關的登入問題。取得修復 SAML 錯誤、憑證問題和其他驗證困難的提示。

註解:

如果您的組織已透過 Google Federation 或 Microsoft Azure Sync 設定 SSO,請參閱以下文章:

概觀

Adobe Admin Console 內成功設定 SSO 之後,請確定您已選取「下載 Adobe 中繼資料檔案」,並將 SAML XML 中繼資料檔案儲存到您的電腦上。 您的身分提供者需要這個檔案才能啟用單一登入。將 XML 設定詳細資料正確匯入到身分提供者 (IdP)。如此才能整合 SAML 與您的 IdP,而且此動作可確認資料設定正確。

如果您對於如何使用 SAML XML 中繼資料檔案來設定 IdP 有疑問,請直接與您的 IdP 聯繫以獲得指示,這會因 IdP 而異。

下載 Adobe 中繼資料檔案

基本疑難排解

單一登入問題通常是由容易忽略的基本錯誤所造成。特別要檢查以下項目:

  • 用戶已指派給具有權利的產品描述檔。
  • 發送到 SAML 的用戶名稱符合企業控制面板中的用戶名稱。
  • 請檢查 Admin Console 和您的身分提供者中的所有項目,看看是否有拼字或語法錯誤。
  • Creative Cloud 桌面應用程式已更新至最新版本。
  • 用戶已登入正確的地方 (Creative Cloud 桌面應用程式、Creative Cloud 應用程式或 Adobe.com)

其他常見錯誤的解決方案

錯誤:標示「再試一次」按鈕的「錯誤發生」

此錯誤通常發生在用戶驗證成功且 Okta 已成功將驗證回應轉寄給 Adobe 之後。

Adobe Admin Console 中,驗證以下項目:

在「身分」索引標籤上︰

  • 確定關聯的網域已啟用。

在「產品」索引標籤上︰

  • 確定用戶與正確的產品暱稱相關聯,並且位在您宣告要設定為 Federated ID 的網域中。
  • 確定產品暱稱有指派正確的權利。

在「用戶」索引標籤上︰

  • 確定用戶的用戶名稱採用完整電子郵件地址的格式。

錯誤:登入時「存取被拒絕」

此錯誤的可能原因:

  • 在 SAML 聲明中傳送的用戶名稱或電子郵件地址與在 Admin Console 中輸入的資訊不符。
  • 用戶未與正確的產品建立關聯,或是產品未與正確的權利建立關聯。
  • 採用的 SAML 用戶名稱不是電子郵件地址。所有用戶都必須位在您在設定程序中所宣告的網域中。
  • 您的 SSO 用戶端在登入過程中使用了 JavaScript,而且您正在嘗試登入不支援 JavaScript 的用戶端。

解決方法:

  • 檢查 Adob​​e Admin Console 中的使用者名稱和電子郵件,並比對該值與 SAML 記錄中的 NameID 和電子郵件屬性。
  • 驗證用戶的儀表板設定:用戶資訊和產品描述檔。
  • 執行 SAML 追蹤並驗證傳送的資訊是否與儀表板相符,然後更正所有不一致之處。

錯誤:「另一個用戶目前已登入」

「另一個用戶目前已登入」錯誤發生在 SAML 聲明中傳送的屬性不符合之前用來啟動登入程序的電子郵件地址時。

執行 SAML trace確定要登入的用戶的電子郵件地址與以下內容相符:

  • 列在 Admin Console 中的用戶電子郵件地址
  • 在 SAML 聲明的 NameID 欄位中傳回的用戶名稱

錯誤:「SAML 回應中的發行者不符合為身分提供者設定的發行者」

SAML 聲明中的 IDP 發行者不同於輸入 SAML 中的設定。尋找拼字錯誤 (例如 http 和 https)。在使用客戶 SAML 系統檢查 IDP 發行者字串時,您要尋找的是與他們提供的字串完全相符的字串。有時出現此問題是因為結尾遺漏斜線。

如果您需要此錯誤的協助,請提供您在 Adobe 儀表板中輸入的 SAML 追蹤和值。

錯誤:「SAML 回應中的數位簽名並未使用身分提供者的憑證進行驗證」

此問題發生在您目錄的憑證已過期時。若要更新憑證,您必須從身分提供者下載憑證或中繼資料,然後在 Adobe Admin Console 中上傳。

例如,如果您的 IdP 是 Microsoft AD FS,請依照以下步驟進行:

  1. 在您的伺服器上開啟 AD FS 管理應用程式,並在「AD FS > 服務 > 端點」資料夾中選取「同盟中繼資料」。

  2. 使用瀏覽器瀏覽至針對同盟中繼資料所提供的 URL,並下載檔案。例如,https://<您的 AD FS 主機名稱>/FederationMetadata/2007-06/FederationMetadata.xml。

    註解:

    如果有提示任何警告,請接受。

  3. 登入 Adobe Admin Console設定索引標籤,並瀏覽至「身分設定 > 目錄」。選取要更新的目錄,然後按一下「SAML 提供者」卡片上的「設定」。

    然後上傳 IdP 中繼資料檔案,並按一下「儲存」。

錯誤:「目前時間早於聲明條件中所指定的時間範圍」

Windows 型 IdP 伺服器:

1. 確定系統時鐘與準確的時間伺服器同步。

使用以下命令根據您的時間伺服器來檢查精準系統時鐘;「階段位移」值應為一秒鐘的一小部分:

w32tm /query /status /verbose

您可以使用以下命令立即重新同步系統時鐘與時間伺服器:

w32tm /resync

如果系統時鐘設定正確,但仍然出現上述錯誤,您可能必須調整時間誤差設定,以增加伺服器與用戶端的時鐘之間差異的容許度。

2. 增加伺服器之間允許的系統時鐘差異。

使用系統管理權限從 Powershell 視窗中,將允許的誤差值設定為 2 分鐘。查看您是否可以登入,然後根據結果增加或減少該值。

使用以下命令判斷相關信賴憑證者信任的目前時間誤差設定:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

上一個命令輸出的「Identifier」欄位中針對該特定設定所顯示的 URL 會識別信賴憑證者信任。針對「識別碼」索引標籤上「信賴憑證者信任」欄位中的相關信賴憑證者信任,此 URL 也會顯示在屬性視窗中的 ADFS 管理公用程式內,如底下螢幕擷圖所示。

使用以下命令將時間誤差設定為 2 分鐘,並相應地替換識別碼位址:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

UNIX 型 IdP 伺服器

確定系統時鐘已設定正確,這可以使用 ntpd 服務或是手動從 root shell 使用 ntpdate 命令或使用 sudo,如下所示 (請注意,如果時間偏移大於 0.5 秒,則變更不會立即發生,但會慢慢更正系統時鐘)。確定時區也設定正確。

# ntpdate -u pool.ntp.org

註解:

這適用於身分提供者,例如 Shibboleth。

錯誤:401 認證未經授權

此錯誤發生在應用程式不支援 Federated ID 登入,而必須使用 Adobe ID 登入時。FrameMaker、RoboHelp 和 Adobe Captivate 是具有此要求的應用程式範例。

錯誤:「傳入 SAML 登入失敗和訊息:SAML 回應未包含任何聲明」

檢查登入工作流程。如果您可以在其他電腦或網路上存取登入頁面,但無法在內部存取,就表示問題可能發生在封鎖代理字串。此外,請執行 SAML 追蹤,並確認 SAML 主旨中有使用名字、姓氏和使用者名稱正確格式化的電子郵件地址。

錯誤:「400 錯誤的要求」或「SAML 要求的狀態不成功」或「SAML 認證驗證失敗」

確認已傳送正確的 SAML 聲明:

  • 主旨中沒有 NameID 元素。確認 Subject 元素包含 NameId 元素。這必須等於 Email 屬性,該屬性應該是您要驗證用戶的電子郵件地址。
  • 拼字錯誤,特別是 https 和 http 之類的錯誤容易被忽略。
  • 確認是否提供了正確的憑證。IDP 必須設定為使用未壓縮的 SAML 要求/回應。

類似 Firefox 適用的 SAML Tracer 等公用程式可協助將聲明解壓縮,並將其顯示以供檢查。如果您需要 Adobe 客戶服務提供協助,您將必須提供此檔案。如需詳細資訊,請參閱「如何執行 SAML 追蹤」。

以下實用範例可能有助於正確格式化 SAML 聲明:

下載

搭配 Microsoft ADFS:

  1. 每個 Active Directory 帳戶都必須擁有列在 Active Directory 中的電子郵件地址,才能成功登入 (事件記錄:SAML 回應在聲明中沒有 NameId)。請先檢查此項目。
  2. 存取儀表板
  3. 按一下「身分」索引標籤和網域。
  4. 按一下「編輯設定」。
  5. 找出 IDP 繫結。切換到 HTTP-POST 然後儲存。 
  6. 重新測試登入體驗。
  7. 如果有效,但您希望使用先前的設定,只需切換回 HTTP-REDIRECT,然後將中繼資料重新上傳到 ADFS。

搭配其他 IdP:

  1. 遇到錯誤 400 表示您的 IdP 已拒絕成功登入。
  2. 請檢查您的 IdP 記錄,以找出錯誤來源。
  3. 更正問題,然後重試。

錯誤:「403 憑證故障」

錯誤:"403 app_not_configured_for_user”

錯誤:「您現在無法存取此內容」或「您無法從這裡到達那裡」

當組織在 IdP 中啟用條件 Access 原則時,通常會發生此錯誤。

如果您使用託管軟體套件來部署產品,請選取以瀏覽器為主的身份驗證選項,然後從 Adob​​e Admin Console 建立託管軟體套件。然後,將其部署到用戶的裝置上。

如果沒有,用戶可以開啟 Creative Cloud 桌面應用程式,然後從「說明」選單中選取「使用瀏覽器登入」。

錯誤:「應用程式未指派」

在這種情況下,管理員必須將使用者新增至在其 IdP 建立的 Adob​​e SAML 應用程式。了解如何在 Google Admin ConsoleMicrosoft Azure 入口網站上建立 Adob​​e SAML 應用程式。

錯誤:「如果您沒有此服務的存取權限。請聯絡您的 IT 管理員,以便取得存取權或使用 Adob​​e ID 登入」

由於在 SAML 聲明中傳送的用戶名稱或電子郵件地址與在 Admin Console 中輸入的資訊不符,請檢查 SAML 記錄

更快、更輕鬆地獲得協助

新的使用者?