Руководство пользователя Отмена

Устранение ошибок входа с помощью Federated ID (SSO)

  1. Организации и группы клиентов Adobe: руководство администратора
  2. Планирование развертывания
    1. Основные понятия
      1. Лицензирование
      2. Удостоверение
      3. Управление пользователями
      4. Развертывание приложения
      5. Обзор Admin Console
      6. Административные роли
    2. Руководства по развертыванию
      1. Руководство по развертыванию именованной пользовательской лицензии
      2. Руководство по развертыванию SDL
      3. Развертывание Adobe Acrobat 
    3. Развертывание Creative Cloud для образовательных учреждений
      1. Домашняя страница развертывания
      2. Мастер по адаптации для среднего общего образования
      3. Простая настройка
      4. Синхронизация пользователей
      5. Roster Sync, среднее общее образование (США)
      6. Ключевые концепции лицензирования
      7. Варианты развертывания
      8. Краткие советы
      9. Одобрение приложений Adobe в Google Admin Console
      10. Открытие в Google Classroom доступа к Adobe Express
      11. Интеграция с Canvas LMS
      12. Интеграция с Blackboard Learn
      13. Настройка единого входа SSO для окружных порталов и LMS
      14. Добавление пользователей через Roster Sync
      15. Часто задаваемые вопросы о Kivuto
      16. Принципы определения соответствия учреждений начального и среднего образования требованиям к участию
  3. Настройка организации
    1. Типы удостоверений | Обзор
    2. Настройка удостоверений | Обзор
    3. Настройка организации с Enterprise ID
    4. Настройка федерации и синхронизации Azure AD
      1. Настройка SSO с помощью Microsoft через Azure OIDC
      2. Добавление Azure Sync к своему каталогу
      3. Синхронизация ролей для образовательных учреждений
      4. Часто задаваемые вопросы по Azure Connector
    5. Настройка Google Federation и синхронизация
      1. Настройка SSO с помощью Google Federation
      2. Добавление Google Sync в каталог
      3. Google Federation, часто задаваемые вопросы
    6. Настройка организации с помощью Microsoft ADFS
    7. Настройка организации для окружных порталов и LMS
    8. Настройка организации с другими поставщиками удостоверений
      1. Создание каталога
      2. Подтверждение владения доменом
      3. Добавление доменов в каталоги
    9. SSO: часто задаваемые вопросы и устранение неполадок
      1. Единый вход, часто задаваемые вопросы
      2. Единый вход, устранение неполадок
      3. Часто задаваемые вопросы об образовательных учреждениях
  4. Управление настройками организации
    1. Управление существующими доменами и каталогами
    2. Включение автоматического создания учетной записи
    3. Настройка организации через доверительные отношения для каталогов
    4. Переход к новому поставщику аутентификации 
    5. Настройки ресурсов
    6. Параметры проверки подлинности
    7. Контакты отделов безопасности и конфиденциальности
    8. Настройки консоли
    9. Управление шифрованием  
  5. Управление пользователями
    1. Обзор
    2. Административные роли
    3. Стратегии управления пользователями
      1. Управление пользователями по отдельности   
      2. Управление несколькими пользователями (массовая загрузка CSV)
      3. Инструмент синхронизации пользователей (UST)
      4. Microsoft Azure Sync
      5. Google Federation Sync
    4. Назначение лицензий пользователю рабочей группы
    5. Управление пользователями в приложении для рабочих групп
      1. Управление рабочей группой в Adobe Express
      2. Управление рабочей группой в Adobe Acrobat
    6. Добавление пользователей с совпадающими доменами электронной почты
    7. Изменение типов удостоверений пользователей
    8. Управление группами пользователей
    9. Управление пользователями каталога
    10. Управление разработчиками
    11. Перенос существующих пользователей в Adobe Admin Console
    12. Переход на управление пользователями через Adobe Admin Console
  6. Управление продуктами и разрешениями
    1. Управление продуктами и профилями продуктов
      1. Управление продуктами
      2. Покупка продуктов и лицензий
      3. Управление профилями продуктов для корпоративных пользователей
      4. Управление правилами автоматического назначения
      5. Предоставление пользователям возможности обучать настраиваемые модели Firefly
      6. Обзор запросов на предоставление доступа к продуктам
      7. Управление политиками самообслуживания
      8. Управление интеграцией приложений
      9. Управление разрешениями для продукта в Admin Console  
      10. Включение и отключение сервисов для профиля продукта
      11. Одно приложение | Creative Cloud для организаций
      12. Дополнительные сервисы
    2. Управление лицензиями на общие устройства
      1. Новые возможности
      2. Руководство по развертыванию
      3. Создание пакетов
      4. Восстановление лицензий
      5. Управление профилями
      6. Набор инструментов лицензирования
      7. Часто задаваемые вопросы по лицензированию общего устройства
  7. Начало работы с Global Admin Console
    1. Внедрение глобального администрирования
    2. Выбор своей организации
    3. Управление иерархией организации
    4. Управление профилями продуктов
    5. Управление администраторами
    6. Управление группами пользователей
    7. Обновление политик организации
    8. Управление шаблонами политик
    9. Выделение продуктов дочерним организациям
    10. Выполнение отложенных заданий
    11. Аналитические данные
    12. Экспорт и импорт организационной структуры
  8. Управление хранилищем и ресурсами
    1. Хранилище
      1. Управление корпоративным хранилищем
      2. Adobe Creative Cloud: обновление хранилища
      3. Управление хранилищем Adobe
    2. Перенос ресурсов
      1. Автоматический перенос ресурсов
      2. Часто задаваемые вопросы об автоматическом переносе ресурсов  
      3. Управление перенесенными ресурсами
    3. Восстановление ресурсов пользователя
    4. Перенос ученических ресурсов | только EDU
      1. Автоматический перенос ученических ресурсов
      2. Перенос ресурсов
  9. Управление сервисами
    1. Adobe Stock
      1. Пакеты кредитов Adobe Stock для рабочих групп
      2. Adobe Stock для организаций
      3. Использование Adobe Stock для организаций
      4. Одобрение лицензии Adobe Stock
    2. Пользовательские шрифты
    3. Adobe Asset Link
      1. Обзор
      2. Создание группы пользователей
      3. Настройка Adobe Experience Manager Assets
      4. Конфигурация и установка Adobe Asset Link
      5. Управление ресурсами
      6. Adobe Asset Link для XD
    4. Adobe Acrobat Sign
      1. Настройка Adobe Acrobat Sign для организаций или групп
      2. Adobe Acrobat Sign — администрирование компонентов групп
      3. Управление Adobe Acrobat Sign в Admin Console
    5. Creative Cloud для организаций — бесплатная подписка
      1. Обзор
  10. Развертывание приложений и обновлений
    1. Обзор
      1. Развертывание и предоставление приложений и обновлений
      2. План развертывания
      3. Подготовка к развертыванию
    2. Создание пакетов
      1. Создание пакета приложений в Admin Console
      2. Создание пакетов именованных пользовательских лицензий
      3. Управление готовыми пакетами
        1. Управление шаблонами Adobe
        2. Управление пакетами с одним приложением
      4. Управление пакетами
      5. Управление лицензиями на устройство
      6. Лицензирование по серийным номерам
    3. Настройка пакетов
      1. Настройка приложения Creative Cloud для настольных ПК
      2. Включение расширений в пакет
    4. Развертывание пакетов 
      1. Развертывание пакетов
      2. Развертывание пакетов Adobe с помощью Microsoft Intune
      3. Развертывание пакетов Adobe с помощью SCCM
      4. Развертывание пакетов Adobe с помощью ARD
      5. Установка продуктов в папку исключений
      6. Удаление продуктов Creative Cloud
      7. Использование Adobe Provisioning Toolkit для организаций
    5. Управление обновлениями
      1. Управление изменениями для организаций и групп клиентов Adobe
      2. Развертывание обновлений
    6. Adobe Update Server Setup Tool (AUSST)
      1. Обзор AUSST
      2. Настройка внутреннего сервера обновлений
      3. Поддержка внутреннего сервера обновлений
      4. Распространенные случаи использования AUSST   
      5. Устранение неполадок с внутренним сервером обновлений
    7. Adobe Remote Update Manager (RUM)
      1. Сведения о выпуске
      2. Использование Adobe Remote Update Manager
    8. Устранение проблем
      1. Устранение ошибок установки и удаления приложений Creative Cloud
      2. Отправка запросов на наличие определенного пакета на клиентских компьютерах
  11. Управление учетной записью для рабочих групп
    1. Обзор
    2. Обновление платежных данных
    3. Управление счетами
    4. Изменение владельца контракта
    5. Изменение плана
    6. Смена реселлера
    7. Отмена плана
    8. Запрос на соблюдение требований к покупке
  12. Продление
    1. Подписка для рабочих групп: продление
    2. Enterprise в программе VIP: продление и соответствие
  13. Управление договорами
    1. График автоматического истечения срока действия договоров ETLA
    2. Переключение типов договоров в существующей консоли Adobe Admin Console
    3. Программа Value Incentive Plan (VIP) для Китая
    4. Справка по VIP Select
  14. Отчеты и журналы
    1. Журнал аудита
    2. Отчеты о назначенных лицензиях
    3. Журналы содержимого
  15. Справка
    1. Обращение в службу поддержки клиентов Adobe
    2. Варианты поддержки учетных записей для рабочих групп
    3. Варианты поддержки для учетных записей организаций
    4. Варианты поддержки для Experience Cloud

Исправьте распространенные ошибки проверки подлинности, проверьте конфигурации и устраните проблемы со входом в систему, связанные с Federated ID (SSO) в продуктах Adobe. Получите рекомендации по устранению ошибок SAML, проблем с сертификатами и других трудностей с проверкой подлинности.

Примечание.

Если ваша организация настроила единый вход через Google Federation или Microsoft Azure Sync, см. следующие статьи:

Обзор

После успешной настройки SSO в Adobe Admin Console нажмите Загрузить файл метаданных Adobe и сохраните файл метаданных SAML XML на свой компьютер. Этот файл необходим поставщику удостоверений для включения сервиса единого входа. Импортируйте подробные сведения о конфигурации XML в свой поставщик удостоверений (IdP). Это необходимо для интеграции SAML с вашим IdP — убедитесь в правильности конфигурации данных.

При наличии вопросов о том, как использовать файл метаданных SAML XML для настройки вашего IdP, обращайтесь непосредственно к своему IdP за инструкциями, которые варьируются у каждого IdP.

Загрузить файл метаданных Adobe

Устранение базовых проблем

Проблемы с системой единого входа часто вызваны простыми ошибками, которые легко не заметить. В частности, проверьте описанное ниже.

  • Пользователю назначается профиль продукта с предоставлением прав.
  • Имя пользователя, отправленное в SAML, совпадает с именем пользователя на корпоративной информационной панели.
  • Проверьте все записи в Admin Console и у поставщика удостоверений на наличие орфографических или синтаксических ошибок.
  • Приложение Creative Cloud для настольных ПК следует обновить до актуальной версии.
  • Пользователь входит в правильный объект (приложение Creative Cloud для настольных ПК, приложение Creative Cloud или Adobe.com)

Решения для других распространенных ошибок

Ошибка: «Произошла ошибка» с кнопкой «Повторить попытку»

Эта ошибка обычно возникает после того, как аутентификация пользователя прошла успешно и Okta успешно отправила ответ при аутентификации в Adobe.

В Adobe Admin Console проверьте описанное ниже.

На вкладке «Удостоверение»:

  • убедитесь, что связанный домен был активирован.

На вкладке «Продукты»:

  • убедитесь, что пользователь связан с правильным псевдонимом продукта в домене, который, как заявлено, будет настроен как Federated ID;
  • убедитесь, что для псевдонима продукта назначены соответствующие права.

На вкладке «Пользователи»:

  • убедитесь, что имя пользователя имеет форму полного адреса электронной почты.

Ошибка: «Отказано в доступе» при входе в систему

Возможные причины ошибки:

  • Имя или адрес электронной почты пользователя, отправляемые в утверждении SAML, не соответствуют сведениям, введенным в Admin Console.
  • Пользователь не связан с нужным продуктом, или продукт не связан с соответствующим правом.
  • Имя пользователя SAML воспринимается как нечто иное, чем адрес электронной почты. Все пользователи должны находиться в домене, заявленном вами в процессе настройки.
  • Ваш клиент SSO использует JavaScript как часть процесса входа в систему, и вы пытаетесь войти в клиент, который не поддерживает JavaScript.

Решение проблемы:

  • Проверьте имя пользователя и адрес электронной почты в Adobe Admin Console и сопоставьте значение с атрибутами NameID и Email в журналах SAML.
  • Проверьте конфигурацию панели управления для пользователя: информацию о пользователе и профиль продукта.
  • Запустите трассировку SAML и убедитесь, что отправляемая информация соответствует данным информационной панели, а затем исправьте все несоответствия.

Ошибка: «Другой пользователь в настоящее время вошел в систему»

Ошибка «Другой пользователь в настоящее время вошел в систему» возникает, когда атрибуты, отправленные в утверждении SAML, не соответствуют адресу электронной почты, используемому для запуска процесса входа в систему.

Запустите трассировку SAML и убедитесь, что адрес электронной почты пользователя для входа соответствует следующему:

  • адрес электронной почты пользователя, указанный в Admin Console;
  • имя пользователя, переданное обратно в поле NameID утверждения SAML.

Ошибка: «Публикатор в ответе SAML не соответствует публикатору, настроенному для поставщика удостоверений»

Публикатор IDP в утверждении SAML отличается от настроенного в Inbound SAML. Проверьте наличие опечаток (например, http вместо https). При проверке строки «Публикатор IDP» с помощью системы клиента SAML вы ищите ТОЧНОЕ соответствие с предоставленной строкой. Эта проблема иногда возникает из-за отсутствия косой черты в конце.​​

Если требуется помощь в устранении этой ошибки, предоставьте трассировку SAML и значения, которые вы ввели на панели управления Adobe.

Ошибка: «Цифровая подпись в ответе SAML не подтверждена сертификатом поставщика удостоверений»

Эта проблема возникает, когда срок действия сертификата вашего каталога истек. Чтобы обновить сертификат, необходимо загрузить сертификат или метаданные у поставщика удостоверений и загрузить их в Adobe Admin Console.

Например, если вашим IdP является Microsoft AD FS, выполните действия, описанные ниже.

  1. Откройте приложение управления службами федерации AD FS на своем сервере и в папке AD FS> Сервис > Конечные точки выберите Метаданные федерации.

  2. С помощью браузера перейдите по URL-адресу, указанному для метаданных федерации, и загрузите файл. Например, https://<your AD FS hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Примечание.

    При появлении примите любые предупреждения.

  3. На вкладке Настройки в Admin Console выберите Настройки удостоверенияКаталоги. Выберите каталог для обновления и нажмите Настроить на карте Провайдер SAML.

    Затем загрузите файл метаданных IdP и нажмите Сохранить.

Ошибка: «Текущее время предшествует диапазону времени, указанному в условиях утверждения»

Сервер IdP на базе Windows:

1. Убедитесь, что системные часы синхронизированы с сервером точного времени.

С помощью этой команды проверьте точность системных часов относительно времени вашего сервера; значение «Сдвиг фазы» должно составлять небольшую долю секунды:

w32tm /query /status /verbose

Можно выполнить немедленную повторную синхронизацию системных часов с сервером времени с помощью следующей команды:

w32tm /resync

Если системные часы установлены правильно и указанная выше ошибка по-прежнему отображается, может потребоваться отрегулировать настройку временного сдвига, чтобы увеличить допустимую разницу между часами сервера и клиента.

2. Увеличьте допустимую разницу в системных часах между серверами.

В окне Powershell с правами администратора установите допустимое значение сдвига равным 2 минутам. Проверьте, можете ли вы войти в систему, а затем увеличьте или уменьшите значение в зависимости от результата.

Определите текущую настройку временного сдвига для соответствующего отношения доверия с проверяющей стороной с помощью следующей команды:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Отношение доверия с проверяющей стороной определяется URL-адресом, представленном в поле «Идентификатор» выходных данных предыдущей команды для данной конкретной конфигурации. Этот URL-адрес также отображается в служебной программе управления ADFS в окне свойств для соответствующего отношения доверия с проверяющей стороной на вкладке «Идентификаторы» в поле «Отношение доверия с проверяющей стороной», как показано на снимке экрана ниже.

Установите временной сдвиг равным 2 минутам с помощью следующей команды, подставив соответствующий адрес идентификатора:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Сервер IdP на базе UNIX

Убедитесь, что системные часы установлены правильно с помощью службы ntpd, вручную с помощью команды ntpdate из корневой оболочки или с помощью команды sudo, как показано ниже (обратите внимание, что если время смещено более чем на 0,5 с, то изменение в системные часы будет внесено не сразу, а постепенно). Убедитесь, что временная зона также настроена правильно.

# ntpdate -u pool.ntp.org

Примечание.

Это работает с поставщиками удостоверений, такими как Shibboleth.

Ошибка 401: «Неправомочные учетные данные»

Эта ошибка возникает, когда приложение не поддерживает федеративный вход и следует входить в систему под Adobe ID. FrameMaker, RoboHelp и Adobe Captivate — примеры приложений с таким требованием.

Ошибка: «Сбой входа в Inbound SAML с сообщением: ответ SAML не содержит утверждений»

​Проверьте последовательность действий при входе в систему.  Если вы можете получить доступ к странице входа на другом компьютере или сети, но не внутри системы, возможно, имеется блокирующая строка агента.  Кроме того, запустите трассировку SAML и убедитесь, что имя, фамилия и имя пользователя присутствуют в теме SAML в качестве правильно отформатированного адреса электронной почты.

Ошибка 400: «Неверный запрос», «Состояние запроса SAML не было успешным» или «Сбой проверки сертификата SAML»

Убедитесь, что отправляется соответствующее утверждение SAML.

  • Отсутствие элемента NameID в теме. Проверьте, чтобы элемент Subject содержал элемент NameID. Он должен быть равен атрибуту Email, который должен содержать адрес электронной почты пользователя, который хочет пройти проверку подлинности.
  • Опечатки, особенно часто допускаемые ошибки вроде https вместо http.
  • Проверьте, правильно ли указан сертификат. Поставщики удостоверений должны быть настроены для использования несжатых запросов и ответов SAML.

Такие программы, как SAML Tracer для Firefox, могут помочь в распаковке утверждений и их отображении для проверки. В случае обращения в службу поддержки клиентов Adobe вам понадобится этот файл. Дополнительные сведения см. в разделе Как выполнить трассировку SAML.

Демонстрационный пример, описанный ниже, может помочь правильно отформатировать утверждение SAML.

Загрузить

С Microsoft ADFS

  1. Каждая учетная запись Active Directory должна иметь адрес электронной почты, указанный в Active Directory для успешного входа в систему (журнал событий: ответ SAML не содержит NameId в утверждении). Сначала проверьте это.
  2. Доступ к панели инструментов
  3. Перейдите на вкладку «Удостоверение» и выберите домен.
  4. Нажмите «Изменить конфигурацию».
  5. Найдите привязку поставщика удостоверений. Установите «HTTP-POST» и сохраните. 
  6. Протестируйте вход в систему.
  7. Если это работает, но вы предпочитаете предыдущую настройку, просто установите обратно «HTTP-REDIRECT» и повторно загрузите метаданные в ADFS.

С другими поставщиками удостоверений

  1. Появление ошибки 400 означает, что ваш поставщик удостоверений отклонил успешный вход в систему.
  2. Найдите в журналах IdP причину ошибки.
  3. Устраните проблему и повторите попытку.

Ошибка 403: «Ошибка сертификата»

Ошибка 403: «Приложение не настроено для пользователя»

Обновите идентификатор объекта в консоли Google. Затем экспортируйте файл метаданных и загрузите его в Adobe Admin Console.

Ошибка: «Не удается получить доступ прямо сейчас» или «Не удается перейти отсюда туда».

Эта ошибка обычно возникает, когда организация включила политику условного доступа в IdP.

Если вы используете управляемые пакеты для развертывания продуктов, создайте управляемый пакет в Adobe Admin Console, выбрав вариант проверки подлинности через браузер. Затем разверните его на устройстве пользователя.

В противном случае пользователи могут открыть приложение Creative Cloud для настольных ПК и выбрать Войти в систему с помощью браузера в меню Справка.

Ошибка: «Приложение не назначено»

В этом случае администратор должен добавить пользователей в приложение Adobe SAML, созданное в их IdP. Узнайте, как создать приложение Adobe SAML в Google Admin Console или Microsoft Azure Portal.

Ошибка: «У вас нет доступа к данной службе. Обратитесь к своему ИТ-администратору, чтобы получить доступ или войти в систему с помощью Adobe ID»

Проверьте журналы SAML, поскольку имя пользователя или адрес электронной почты, отправляемые в утверждении SAML, не соответствуют сведениям, введенным в Admin Console.

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?