Огляд

Під час спроби ввійти в продукти, служби чи мобільні додатки Adobe за допомогою об'єднаного ідентифікатора (SSO) з'являються наведені нижче повідомлення про помилку.

Після успішного налаштування SSO на консолі адміністратора Adobe переконайтеся, що ви натиснули кнопку Завантажити метадані та зберегли файл метаданих SAML XML на свій комп'ютер. Постачальнику ідентифікаційної інформації потрібен цей файл, щоб дозволити єдиний вхід. Належним чином імпортуйте відомості про конфігурацію XML у свій постачальник ідентифікаційної інформації. Це потрібно, щоб інтегрувати SAML із вашим постачальником ідентифікаційної інформації та переконатися, що дані налаштовано правильно.

Нижче наведено деякі поширені помилки конфігурації.

  • Сертифікат має формат, відмінний від PEM.
  • Сертифікат має інше розширення, крім .cer. .pem і .cer. не працюють.
  • Сертифікат зашифровано.
  • Сертифікат має формат одного рядка. Потрібен багаторядковий формат.
  • Увімкнено перевірку відкликання сертифіката (зараз не підтримується).
  • Постачальник ідентифікаційної інформації в відрізняється від того, який указаний на консолі адміністратора (наприклад, орфографічна помилка, відсутні символи, https і http).

Якщо у вас виникли запитання щодо того, як використовувати файл метаданих SAML XML, щоб налаштувати постачальника ідентифікаційної інформації, зверніться за відповідними вказівками безпосередньо до свого постачальника ідентифікаційної інформації.

Деякі приклади конкретних постачальників ідентифікаційної інформації (список невичерпний — підходять усі постачальники ідентифікаційної інформації, сумісні із SAML 2):

Okta: вручну візміть інформацію у файлі XML і розмістіть її у відповідні поля інтерфейсу користувача, щоб належним чином налаштувати дані.

Об'єднаний ідентифікатор Ping: завантажте файл XML або вставте дані в потрібні поля інтерфейсу користувача.

Microsoft ADFS: ваш сертифікат повинен бути у форматі PEM, але стандартним для ADFS є формат DER. Ви можете конвертувати сертифікат, використовуючи команду openssl, доступну в OS X, Windows або Linux, як показано:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Виконавши дію вище, перейменуйте сертифікат .cer.

Також переконайтеся, що використовується правильний сертифікат, якщо у вас їх декілька. Це має бути той самий сертифікат, який підписуватиме запити. (Наприклад, якщо сертифікат для підпису маркера підписує запити, це сертифікат, який потрібно використовувати.) Перевірка відкликання сертифіката має бути вимкнена.

Якщо ви налаштували постачальника ідентифікаційної інформації, наскільки ви це вміли, спробуйте одну чи декілька з наведених нижче дій, залежно від помилки, яка з'являється.

Завантажте посилання на метадані

Основні дії для вирішення проблем

Проблеми з єдиним входом часто спричинені основними помилками, які дуже легко не помітити. Зокрема, перевірте перелічене нижче.

  • Користувачеві присвоєно конфігурацію продукту з наданням прав.
  • Ім'я, прізвище та електронна адреса користувача надсилаються в SAML точно так, як вони відображаються на інформаційній панелі підприємства, і залишаються в SAML із правильними мітками.
  • Перевірте всі записи на консолі адміністратора та в постачальника ідентифікаційних даних на наявність орфографічних і синтаксичних помилок.
  • Настільний додаток Creative Cloud оновлено до останньої версії.
  • Користувач входить у правильному місці (у настільному додатку CC, додатку CC чи на сайті adobe.com)

Повідомлення «Сталася помилка» з кнопкою «Спробувати знову»

Сталася помилка. ПОВТОРІТЬ СПРОБУ

Ця помилка зазвичай виникає після автентифікації користувача, коли відповідь на автентифікацію успішно передано з Okta в Adobe.

На Консолі адміністратора Adobe перевірте перелічене нижче.

На вкладці «Ідентифікаційні дані»:

  • Переконайтеся, що пов'язаний домен активовано.

На вкладці «Продукти»:

  • Переконайтеся, що користувача пов'язано з правильною назвою продукту та в домені, який, за вашими словами, налаштовано як об'єднаний ідентифікатор.
  • Переконайтеся, що назві продукту присвоєно правильні права.

На вкладці «Користувачі»:

  • Переконайтеся, що ім'я користувача вказано у формі повної адреси електронної пошти.

Помилка під час входу «Відмовлено в доступі»

Помилка «Відмовлено в доступі»

Можливі причини цієї помилки:

  • Ім'я, прізвище чи адреса електронної пошти, що надсилаються в затвердження SAML, не збігаються з інформацією, введеною на консолі адміністратора.
  • Користувача не пов'язано з правильним продуктом або продукт не пов'язано з правильними правами.
  • Ім'я користувача SAML виявляється не таким, як адреса електронної пошти. Усі користувачі повинні бути в домені, який ви вказали під час процедури налаштування.
  • Ваш клієнт SSO використовує під час процедури входу Javascript, а ви намагаєтеся ввійти в клієнт, який не підтримує Javascript (як-от пакувальник Creative Cloud).

Як усунути цю проблему

  • Перевірте конфігурацію інформаційної панелі для користувача: конфігурація даних користувача та продукту.
  • Запустіть трасування SAML і перевірте, чи інформація, що надсилається, збігається з даними на інформаційній панелі, а потім виправте неточності.

Помилка «Зараз у систему ввійшов інший користувач»

Помилка «Зараз у систему ввійшов інший користувач» виникає, коли атрибути, що надсилаються в затвердження SAML, не збігаються з електронною адресою, яка використовується для запуску процедури входу.

Перевірте атрибути в затвердженні SAML і переконайтеся, що вони точно відповідають ідентифікатору, який намагається застосувати користувач, а також точно відповідають даним на Консолі адміністратора.

Помилка «Не вдалося здійснити виклик як правила системи» або «Не вдалося створити користувача»

Помилка «Не вдалося здійснити виклик як правила системи» (після якої з'являється випадковий код) або «Не вдалося створити користувача» вказує на проблему з атрибутами SAML.Переконайтеся, що в іменах атрибутів використовується правильний регістр (імена чутливі до регістру): FirstName, LastName, Email. Наприклад, використання атрибута email замість Email може призвести до виникнення помилок.

Ці помилки також можуть виникати, якщо затвердження SAML не містить електронної адреси користувача в розділі Subject > Елемент NameId (під час використання SAML Tracer формат має бути таким: emailAddress, а фактина адреса електронної пошти має використовуватись як текстове значення.  

Якщо вам потрібна допомога служби підтримки Adobe, включіть трасування SAML.

 

Помилка «Видавець у відповіді SAML не збігається з видавцем, налаштованим для постачальника ідентифікаційних даних»

Видавець ідентифікаційних даних у затвердженні SAML відріняється від видавця, указаного у вхідному SAML. Шукайте друкарські помилки (наприклад, http і https). Зіставляючи терміни видавця ідентифікаційної інформації із системою SAML клієнта, потрібно шукати ТОЧНИЙ збіг із наданим рядком. Ця проблема іноді виникає, якщо в кінці рядка відсутня коса риска.

Якщо вам потрібна допомога з усуненням цієї помилки, забезпечте трасування SAML і введені на інформаційній панелі Adobe значення.

Помилка «Цифровий підпис у відповіді SAML не відповідає сертифікату постачальника ідентифікаційних даних»

Швидше за все, файл сертифіката містить помилки, тому його потрібно завантажити повторно. Ця проблема зазвичай виникає після внесення змін, коли адміністратор посилається на неприпустимий файл сертифіката. Також перевірте тип формату (для ADFS потрібен формат PEM).

Помилка «Поточний час передує часовому діапазону, указаному в умовах затвердження»

Windows:

Виправте системний годинник або змініть значення часового зміщення.

Налаштування системного часу:

Перевірте системний годинник за допомогою цієї команди:

w32tm /query /status

Системний годинник можна виправити у Windows Server за допомогою такої команди:

w32tm /resync

Якщо системний годинник налаштовано правильно, можна створити допуск до різниці між постачальником ідентифікаційної інформації та системою — об'єктом автентифікації.

Часове зміщення

Спершу встановіть значення для припустимого часового зміщення, що відповідає 2 хвилинам. Перевірте, чи зможете під'єднатися, а потім збільште або зменште значення залежно від результату. Детальні відомості доступні в базі знань Microsoft.

Як наслідок, у Powershell можна виконати такі команди:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Просто, щоб переглянути вихідні значення
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2 #Установіть для зміщення значення рівне 2 хвилинам,

де urn:party:sso — це один з ідентифікаторів для сторони, яка перевіряє ідентифікаційні дані

Примітка. Щоб отримати всі довірені об'єкти сторони, яка перевіряє ідентифікаційні дані, можна використовувати команду Get-ADFSRelyingPartyTrust cmdlet без параметрів.

Системи на базі UNIX:

Переконайтеся, що системний годинник налаштовано правильно — наприклад, за допомогою такої команди:

ntpdate -u pool.ntp.org

Отримувач, указаний для параметра SubjectConfirmation, не відповідає нашому ідентифікатору постачальника ідентифікаційних даних

Перевірте атрибути, оскільки вони повинні точно відповідати такому формату: FirstName, LastName, Email. Це повідомлення про помилку може означати, що один з атрибутів указано в неправильному регістрі, наприклад email замість Email. Також перевірте значення отримувача — воно має посилатися на рядок ACS.

Рядок ACS

Помилка 401: неавторизовані облікові дані

Ця помилка виникає, якщо програма не підтримує процедуру об'єднаного входу, коли користувачеві потрібно ввійти в систему за допомогою ідентифікатора Adobe ID. Framemaker, RoboHelp и Captivate — приклади додатків із такими вимогами.

Помилка «Не вдалося ввійти у вхідний SAML із помилкою: відповідь SAML не містила затверджень»

Ознайомтеся з процедурою входу в систему. Якщо не вдається отримати доступ до сторінки входу на іншому пристрої чи в іншій мережі (не у внутрішній мережі), проблема може полягати в рядку блокування агента. Також запустіть трасування SAML і переконайтеся, що в темі SAML указано ім'я, прізвище та ім'я користувача у вигляді адреси електронної пошти в правильному форматі.

Помилка 400: неправильний запит / Помилка «Невдалий статус запиту SAML» / «Сертифікація SAML не вдалася»

Помилка 400: неправильний запит

Переконайтеся, що надсилається правильне затвердження SAML:

  • Переконайтеся, що постачальник ідентифікаційних даних надіслав вам такі атрибути (чутливі до регістру) у затвердженні SAML: FirstName, LastName, Email. Якщо ці атрибути не налаштовано в постачальнику ідентифікаційних даних для надсилання разом із конфігурацією SAML 2.0 Connector, автентифікація не вдасться.
  • Відсутність елемента NameID в темі. Перевірте, чи містить елемент «Тема» елемент NameId. Він має збігатися з атрибутом Email, який позначає адресу електронної пошти користувача, для якого проводиться автентифікація.
  • Орфографічні помилки, які легко не помітити, як-от https і http.
  • Переконайтеся, що надано правильний сертифікат. Постачальники ідентифікаційних даних повинні підтримувати використання нестиснутих запитів і відповідей SAML. Вхідний протокол Okta Inbound SAML Protocol працює лише з нестиснутими налаштуваннями (які не були стиснуті).

Така утиліта, як SAML Tracer для Firefox, може допомогти розпакувати затвердження та відобразити його для перевірки. Звернувшись у службу підтримки Adobe, ви отримаєте запит на відправку цього файлу.

Керуйтеся прикладом нижче, щоб правильно оформити затвердження SAML:

Завантажити

З Microsoft ADFS:

  1. Для успішного входу кожному обліковому запису Active Directory потрібно присвоїти адресу електронної пошти, указану в Active Directory (журнал подій: У затвердженні відповіді SAML відсутній парамтер NameId). Спочатку перегляньте розділ нижче.
  2. Відкрийте інформаційну панель.
  3. Перейдіть на вкладку «Ідентифікація» та виберіть домен.
  4. Натисніть кнопку «Змінити конфігурацію».
  5. Знайдіть зв'язування IDP. Переключіться на HTTP-POST, а потім збережіть зміни. 
  6. Повторіть спробу входу.
  7. Якщо вам удалося ввійти, але ви віддаєте перевагу попереднім параметрам, просто переключіться назад на HTTP-REDIRECT і повторно завантажте метадані в ADFS.

З іншими постачальниками ідентифікаційної інформації:

  1. Виникнення помилки 400 означає, що ваш постачальник ідентифікаційних даних відхилив вхід.
  2. Перевірте журнали постачальника ідентифікаційних даних і визначте джерело помилки.
  3. Усуньте проблему та повторіть спробу.

Налаштування Microsoft ADFS

Перегляньте покрокові інструкції щодо налаштування Microsoft ADFS.

Якщо в клієнта Mac є порожнє вікно в Creative Cloud, переконайтеся, що використовується надійний агент користувача Creative Cloud.

Налаштування Microsoft Azure

Перегляньте покрокові інструкції щодо налаштування Microsoft Azure.

Налаштування OneLogin

Перегляньте покрокові інструкції щодо налаштування OneLogin.

Налаштування Okta

Перегляньте покрокові інструкції щодо налаштування Okta.

Цей документ захищено ліцензією Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Публікації Twitter™ і Facebook не підпадають під умови ліцензії Creative Commons.

Юридична інформація   |   Політика мережевої конфіденційності