在 Admin Console,瀏覽至「設定 > 身分 > (目錄名稱) > 驗證」。
上次更新時間
2024年8月19日
如果您已使用 Adobe Admin Console 為您的身分提供者 (IdP) 設定 SSO,且您的一般使用者無法登入其 Adobe 應用程式和服務,則 SAML 憑證可能已過期。
問題
遇到以下任何問題:
- 一般使用者已登出,無法登入 Adobe Creative Cloud 網頁版、行動版或電腦版應用程式。
- 當一般使用者嘗試登入時,他們會看到以下錯誤訊息:
- SAML 憑證驗證失敗。
- SAML 回應中的數位簽名並未使用身分提供者的憑證進行驗證。
- 管理員無法新增/移除/管理使用者或產品設定檔。
- 管理員想續約您即將到期的 SAML 憑證。
原因
在 SAML 交換中,涉及的兩個實體包含:
- 身分提供者 (IdP)
IdP 憑證由客戶持有,並在自己的 IdP (ADFS、OKTA、Shiboleth) 中管理,其會上傳到 Admin Console。 - Adobe,當作服務提供者 (SP)
Adobe 實體可在 Admin Console 中管理並上傳到客戶的 IdP。
兩個實體都有各自的憑證,用於建立信任。
如果您已使用 Adobe Admin Console 為您的身分提供者 (IdP) 設定 SSO,且您的一般使用者無法登入其 Adobe 應用程式和服務,則 SAML 憑證可能已過期。
Admin Console 通知
當 Adobe 產生的憑證設定為過期或已過期時,Adobe 會透過 Admin Console 中的橫幅通知以及各目錄的狀態更新來告知您。若要查看 SAML 憑證的狀態,請瀏覽至「設定 > 身分設定」,然後查看「目錄」索引標籤的「狀態」欄。
解決方法
SAML 設定
如果您的憑證已過期或即將過期,可以透過 Admin Console 直接更新聯盟設定。SAML 憑證會與 SAML 設定一起更新。
註解:
如果您的 IdP 不檢查憑證的有效性,則無需執行任何動作。
身為系統管理員,您可以按照以下步驟直接從 Admin Console 更新和管理自簽署憑證:
-
-
點選「編輯」,然後點選「下一步」。
-
查看可用的憑證及其狀態。您可以選擇產生新憑證或新憑證申請檔。
註解:自簽署憑證更加方便,並且符合安全性最佳實務。建議選擇自簽署憑證,除非您的組織有自簽署憑證無法滿足的特定要求。
-
點選「產生新憑證」。
將在作用中 SAML 設定所選擇的聯合目錄中產生新的 SAML 憑證。
-
建立新的申請檔。
點選「建立憑證申請檔」。
在顯示的對話框中,輸入以下來自憑證授權單位 (CA) 的詳細資訊:- 輸入您憑證授權單位提供的詳細資料。
- 選擇建立新的申請檔時,您必須透過憑證授權單位 (CA) 完成流程,以便其與 SAML 憑證一起生效。
- 前往「動作」並點選「完成」。
- 上傳憑證授權單位的憑證檔案,點選「完成」,然後點選「完成」。
成功建立憑證後將可執行其他動作,包括設定為預設、啟用、停用、下載中繼資料、下載憑證和刪除。
如果您的 IdP 支援多個憑證,依照下列步驟操作便不會造成任何登入中斷。
-
除了舊憑證之外,請將新憑證上傳到您的 IdP。
-
在 Adobe Admin Console 中將新憑證設定為預設憑證。
-
測試登入。
-
從 IdP 設定中移除舊憑證。
-
停用/刪除舊憑證。
註解:
建議停用,因為刪除憑證後便無法復原。
如果您的 IdP 不支援多個憑證,則請選擇一個停機時段來執行續約:
-
將新憑證上傳到您的 IdP。
-
在 Adobe Admin Console 中將新憑證設定為預設憑證。
-
測試登入。
-
停用舊憑證。
-
如果沒有發生任何問題,請刪除舊憑證。
註解:
建議您等待一段時間再刪除舊憑證,因為刪除憑證後便無法復原。
稽核記錄
與建立和管理憑證相關的動作可以在稽核記錄中找到。
若要查看稽核記錄,請前往 Admin Console,然後瀏覽至「深入解析 > 記錄 > 稽核記錄」。
