概觀

嘗試以 Federated ID (SSO) 登入 Adobe 產品、服務或行動應用程式,結果收到下列其中一項錯誤訊息。

成功在 Adobe Admin Console中設定 SSO 後,請確認您已點選「下載中繼資料」,並已將 SAML XML 中繼資料檔案儲存到您的電腦。您的身分提供者要求此檔案來啟用單一登入。您必須將 XML 設定的詳細資料匯入您的身分提供者 (IdP)。如此才能整合 SAML 與您的 IdP,而且此動作可確認資料設定正確。

以下為部分常見的設定問題:

  • 憑證並非 PEM 格式。
  • 憑證具有 .cer、.pem 和 .cert 以外的附檔名而無法作用。
  • 憑證有加密。
  • 此憑證處於單一登入格式的狀態。需要多行。
  • 開啟了憑證撤銷確認 (目前並不支援)。
  • SAML 中的 IdP 發行者與 Admin Console 中指定的不同 (例如: 錯字、漏字、混淆 https 或 http)。

如果您有關於如何使用 SAML XML 中繼資料檔案設定 IdP 的問題,請直接聯繫您的 IdP 取得指示,指示會依每個 IdP 而有所不同。

部分特定 IdP 的範例 (並非完整清單,任何與 SAML 2.0 相容的 IdP 皆可作用):

Okta: 在 XML 檔案中手動取用所需資訊,並將其輸入適當的 UI 欄位以正確設定資料。

Ping Federate:  上傳 XML 檔案或將資料輸入適當的 UI 欄位。

Microsoft ADFS: 您的憑證必須為 PEM 格式,但 ADFS 的預設格式為·DER。您可以使用 openssl 指令轉換憑證格式,可在 OS X、Windows 或 Linux 上轉換,如下所示:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

執行以上步驟後,重新命名憑證 .cer。

如果您擁有超過一張憑證,請同時確定您使用正確的憑證,因為用於簽署請求的憑證必須是同一張。(舉例來說,如果以「token signing」憑證簽署請求,則必須使用此張憑證。)必須關閉「憑證撤銷確認」。

如果您已盡您所知地設定 IdP,請根據接收到的錯誤嘗試下列一或多個方式:

下載中繼資料連結

基本疑難排解

容易忽略的基本錯誤常常導致單一登入的問題。請特別檢查下列內容:

  • 系統指派給使用者的是具有授權的產品設定。
  • 透過 SAML 送出的使用者名字、姓氏及電子郵件地址與在企業儀表板上顯示的完全相同,並在 SAML 中以正確標記呈現。
  • 檢查 Admin Console 中的所有條目,以及您的身分提供者是否有錯字或句法錯誤。
  • Creative Cloud 桌面應用程式已更新至最新版本。
  • 使用者登入到正確的地方 (CC 桌面應用程式、CC 應用程式或 adobe.com)

錯誤訊息:「發生錯誤」同時具有標示「再試一次」的按鈕

發生錯誤─再試一次

此錯誤通常發生在使用者驗證成功及 Okta 成功將驗證回應發送給 Adobe 後。

請在 Adobe Admin Console 中驗證以下內容:

在「身分」標籤上:

  • 請確認已啟用相關網域。

在「產品」標籤上:

  • 請確認使用者與正確的產品名稱相關聯,並且存在於您為設定成 Federated ID 所申請的網域中。
  • 請確認產品名稱的指派授權正確無誤。

在「使用者」標籤上:

  • 請確認使用者名稱是以完整的電子郵件地址格式表示。

登入時的錯誤訊息:「拒絕存取」

「拒絕存取」錯誤

此錯誤的可能原因:

  • 在 SAML 聲明中發送的名字、姓氏或電子郵件地址與在 Admin Console 中輸入的資訊不相符。
  • 使用者沒有與正確的產品相關聯,或者該產品沒有與正確的授權相關聯。
  • SAML 使用者名稱並非以電子郵件地址表示。所有使用者都必須在設定過程中您所申請的網域裡。
  • 您的 SSO 用戶端在登入過程中使用 Javascript,並且您試圖登入不支援 Javascript (例如 Creative Cloud Packager) 的用戶端。

解決方式:

  • 驗證使用者的儀表板設定: 使用者資訊及產品設定。
  • 執行 SAML 追蹤並確認發送的資訊與儀表板相符,然後修正任何不一致的內容。

錯誤訊息:「目前已有其他使用者登入」

當在 SAML 聲明中發送的屬性與用來開啟登入程序的電子郵件地址不相符時,會發生「目前已有其他使用者登入」的錯誤。

檢查 SAML 聲明中的屬性並確認其與使用者嘗試使用的 ID 完全相符,也與 Admin Console 上的 ID 完全相符。

錯誤訊息:「無法依系統原則發出呼叫」或「使用者建立失敗」

「無法依系統原則發出呼叫」(其後有隨機驗證碼) 或「使用者建立失敗」的錯誤代表 SAML 的屬性有問題。請確認屬性名稱的大小寫正確 (區分大小寫、命名): FirstName、LastName、Email。舉例來說,如果屬性的結尾為「email」而非「Email」便可能導致這些錯誤。

如果 SAML 聲明沒有將使用者的電子郵件納入「Subject > NameId」元素中 (當使用 SAML Tracer 時,其中應具備 emailAddress 格式及具有文字和數值的實際電子郵件),也會出現這些錯誤。 

如果您需要 Adobe 支援的協助,請附上 SAML 追蹤記錄。

 

錯誤訊息:「SAML 回應中的發行者與身分提供者設定的發行者不相符」

SAML 聲明中的 IDP 發行者與在 Inbound SAML 中設定的發行者有所不同。尋找打字錯誤 (例如 http 和 https)。使用客戶 SAML 系統檢查 IDP 發行者字串時,您要尋找與他們提供的字串完全相符的字串。此問題有時候會出現是因為字串結尾少了一個斜線。

如果您需要關於此問題的協助,請提供 SAML 追蹤記錄與您在 Adobe 儀表板中的輸入值。

錯誤訊息:「SAML 回應中的數位簽名並未通過身分提供者的憑證驗證」

憑證檔很可能不正確並需要重新上傳。此問題通常發生在變更完成且管理員參考到不正確的憑證檔時。請同時檢查格式類型 (須為 ADFS 的 PEM 格式)。

錯誤訊息:「目前的時間早於聲明條件中指定的時間範圍」

Windows:

更正系統時鐘或者調整時間偏斜值。

設定系統時間:

使用此指令檢查系統時鐘:

w32tm /query /status

您可以使用以下指令在 Windows Server 上更正系統時鐘:

w32tm /resync

如果系統時鐘設定正確,您可能需要建立 IdP 與驗證系統之間的差異容許度。

時鐘偏斜

首先設定許可的偏斜值為 2 分鐘。檢查您是否可以連線,然後根據結果增加或減少偏斜值。在 Microsoft 知識庫中尋找完整的詳細內容。

結論是,您可以透過 Powershell 執行以下指令:

Get-ADFSRelyingPartyTrust –identifier "urn:party:sso"  #只是看看原本的數值為何
Set-ADFSRelyingPartyTrust –TargetIdentifier "urn:party:sso" –NotBeforeSkew 2  #將偏斜值設為 2 分鐘

此處「urn:party:sso」為您的信賴憑證者識別碼的其中一個識別碼

注意:您可以在沒有參數下使用 Get-ADFSRelyingPartyTrust cmdlet 來取得所有信賴憑證者的信任物件。

UNIX 型系統:

請確認系統時鐘設定正確,例如使用以下指令:

ntpdate -u pool.ntp.org

SubjectConfirmation 中指定的接收者與我們的服務提供者實體 ID 不相符。

檢查屬性是否正確,因為其大小寫必須與下列完全相符: FirstName、LastName、Email。此錯誤訊息可能代表其中某個參數的大小寫不正確,例如其為「email」而非「Email」。同時檢查接收者的值是否正確—應參考 ACS 字串。

ACS 字串

錯誤 401 未授權的認證

當應用程式不支援 Federated 登入且必須以 Adobe ID 登入時會發生此錯誤。Framemaker、RoboHelp 和 Captivate 皆為此項要求的應用程式範例。

錯誤訊息:「Inbound SAML 登入失敗,出現訊息: SAML 回應未包含聲明」

檢查登入工作流程。如果您可以在其他機器或網路上進入登入頁面,但無法進入系統內部,有可能是封鎖代理字串的問題。另外,執行 SAML 追蹤並確認 First Name、Last Name 和 Username 做為格式適當的電子郵件地址有包含在 SAML 主旨中。

錯誤 400 無效請求/錯誤訊息:「SAML 請求的狀態未成功」/SAML 認證驗證失敗

錯誤 400 無效請求

請確認送出適當的 SAML 聲明:

  • 請確認身分提供者在 SAML 聲明中傳遞下列屬性 (區分大小寫): FirstName、LastName、Email。如果這些屬性未在 IdP 中設定為 SAML 2.0 連接器設定的一部分並送出,則驗證不會生效。
  • 主旨中沒有 NameID 元素。請確認 Subject 元素包含一個 NameId 元素。其必須與 Email 屬性相等,且應為您要驗證的使用者電子郵件地址。
  • 錯字,例如 https 和 http 這類特別容易忽略的錯誤。
  • 請確認提供正確的認證。必須設定 IDP 以使用未經壓縮的 SAML 請求/聲明。Okta Inbound SAML 通訊協定僅適用於未壓縮的設定 (非壓縮的設定)。

公用程式 (例如 Firefox 的 SAML Tracer) 可以協助您解壓縮聲明並將其顯示出來以進行查驗。如果您需要 Adobe 支援的協助,您必須提出此檔案。

下列工作範例可以協助您將 SAML 聲明適當地格式化:

下載

透過 Microsoft ADFS:

  1. 若要成功登入,每個 Active Directory 帳戶必須具有一個列在 Active Directory 中的電子郵件地址 (事件記錄: 在聲明中,SAML 回應沒有 NameId)。請先檢查此項。
  2. 存取儀表板
  3. 按一下「身分」標籤及網域。
  4. 按一下「編輯設定」。
  5. 找出 IDP 繫結。切換至 HTTP-POST,然後儲存。 
  6. 重新測試登入體驗。
  7. 如果成功後您還是偏好之前的設定,只要再切換成 HTTP-REDIRECT 並將中繼資料重新上傳至 ADFS,即可恢復。

透過其他 IdP

  1. 遇到錯誤 400 代表您的 IdP 拒絕成功登入。
  2. 針對錯誤來源檢查您的 IdP 記錄。
  3. 修正問題並再試一次。

設定 Microsoft ADFS

請參閱設定 Microsoft ADFS 的逐步說明指南。

如果 Mac 用戶的 Creative Cloud 上出現空白視窗,請確認該「Creative Cloud」的使用者代理是否可信。

設定 Microsoft Azure

請參閱設定 Microsoft Azure 的逐步說明指南。

設定 OneLogin

請參閱設定 OneLogin 的逐步說明指南。

設定 Okta

請參閱設定 Okta·的逐步說明指南。

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策