Откройте приложение управления службами федерации AD FS на своем сервере и в папке AD FS> Сервис > Конечные точки выберите Метаданные федерации.
- Организации и группы клиентов Adobe: руководство администратора
- Планирование развертывания
- Основные понятия
- Руководства по развертыванию
- Развертывание Creative Cloud для образовательных учреждений
- Домашняя страница развертывания
- Мастер по адаптации для среднего общего образования
- Простая настройка
- Синхронизация пользователей
- Roster Sync, среднее общее образование (США)
- Ключевые концепции лицензирования
- Варианты развертывания
- Краткие советы
- Одобрение приложений Adobe в Google Admin Console
- Открытие в Google Classroom доступа к Adobe Express
- Интеграция с Canvas LMS
- Интеграция с Blackboard Learn
- Настройка единого входа SSO для окружных порталов и LMS
- Добавление пользователей через Roster Sync
- Часто задаваемые вопросы о Kivuto
- Принципы определения соответствия учреждений начального и среднего образования требованиям к участию
- Настройка организации
- Типы удостоверений | Обзор
- Настройка удостоверений | Обзор
- Настройка организации с Enterprise ID
- Настройка федерации и синхронизации Azure AD
- Настройка Google Federation и синхронизация
- Настройка организации с помощью Microsoft ADFS
- Настройка организации для окружных порталов и LMS
- Настройка организации с другими поставщиками удостоверений
- SSO: часто задаваемые вопросы и устранение неполадок
- Управление настройками организации
- Управление существующими доменами и каталогами
- Включение автоматического создания учетной записи
- Настройка организации через доверительные отношения для каталогов
- Переход к новому поставщику аутентификации
- Настройки ресурсов
- Параметры проверки подлинности
- Контакты отделов безопасности и конфиденциальности
- Настройки консоли
- Управление шифрованием
- Управление существующими доменами и каталогами
- Управление пользователями
- Обзор
- Административные роли
- Стратегии управления пользователями
- Назначение лицензий пользователю рабочей группы
- Управление пользователями в приложении для рабочих групп
- Добавление пользователей с совпадающими доменами электронной почты
- Изменение типов удостоверений пользователей
- Управление группами пользователей
- Управление пользователями каталога
- Управление разработчиками
- Перенос существующих пользователей в Adobe Admin Console
- Переход на управление пользователями через Adobe Admin Console
- Обзор
- Управление продуктами и разрешениями
- Управление продуктами и профилями продуктов
- Управление продуктами
- Покупка продуктов и лицензий
- Управление профилями продуктов для корпоративных пользователей
- Управление правилами автоматического назначения
- Предоставление пользователям возможности обучать настраиваемые модели Firefly
- Обзор запросов на предоставление доступа к продуктам
- Управление политиками самообслуживания
- Управление интеграцией приложений
- Управление разрешениями для продукта в Admin Console
- Включение и отключение сервисов для профиля продукта
- Одно приложение | Creative Cloud для организаций
- Дополнительные сервисы
- Управление лицензиями на общие устройства
- Управление продуктами и профилями продуктов
- Начало работы с Global Admin Console
- Внедрение глобального администрирования
- Выбор своей организации
- Управление иерархией организации
- Управление профилями продуктов
- Управление администраторами
- Управление группами пользователей
- Обновление политик организации
- Управление шаблонами политик
- Выделение продуктов дочерним организациям
- Выполнение отложенных заданий
- Аналитические данные
- Экспорт и импорт организационной структуры
- Управление хранилищем и ресурсами
- Хранилище
- Перенос ресурсов
- Восстановление ресурсов пользователя
- Перенос ученических ресурсов | только EDU
- Управление сервисами
- Adobe Stock
- Пользовательские шрифты
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud для организаций — бесплатная подписка
- Развертывание приложений и обновлений
- Обзор
- Создание пакетов
- Настройка пакетов
- Развертывание пакетов
- Управление обновлениями
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Устранение проблем
- Управление учетной записью для рабочих групп
- Продление
- Управление договорами
- Отчеты и журналы
- Справка
Исправьте распространенные ошибки проверки подлинности, проверьте конфигурации и устраните проблемы со входом в систему, связанные с Federated ID (SSO) в продуктах Adobe. Получите рекомендации по устранению ошибок SAML, проблем с сертификатами и других трудностей с проверкой подлинности.
Если ваша организация настроила единый вход через Google Federation или Microsoft Azure Sync, см. следующие статьи:
Обзор
После успешной настройки SSO в Adobe Admin Console нажмите Загрузить файл метаданных Adobe и сохраните файл метаданных SAML XML на свой компьютер. Этот файл необходим поставщику удостоверений для включения сервиса единого входа. Импортируйте подробные сведения о конфигурации XML в свой поставщик удостоверений (IdP). Это необходимо для интеграции SAML с вашим IdP — убедитесь в правильности конфигурации данных.
При наличии вопросов о том, как использовать файл метаданных SAML XML для настройки вашего IdP, обращайтесь непосредственно к своему IdP за инструкциями, которые варьируются у каждого IdP.
Устранение базовых проблем
Проблемы с системой единого входа часто вызваны простыми ошибками, которые легко не заметить. В частности, проверьте описанное ниже.
- Пользователю назначается профиль продукта с предоставлением прав.
- Имя пользователя, отправленное в SAML, совпадает с именем пользователя на корпоративной информационной панели.
- Проверьте все записи в Admin Console и у поставщика удостоверений на наличие орфографических или синтаксических ошибок.
- Приложение Creative Cloud для настольных ПК следует обновить до актуальной версии.
- Пользователь входит в правильный объект (приложение Creative Cloud для настольных ПК, приложение Creative Cloud или Adobe.com)
Решения для других распространенных ошибок
Ошибка: «Произошла ошибка» с кнопкой «Повторить попытку»
Эта ошибка обычно возникает после того, как аутентификация пользователя прошла успешно и Okta успешно отправила ответ при аутентификации в Adobe.
В Adobe Admin Console проверьте описанное ниже.
На вкладке «Удостоверение»:
- убедитесь, что связанный домен был активирован.
На вкладке «Продукты»:
- убедитесь, что пользователь связан с правильным псевдонимом продукта в домене, который, как заявлено, будет настроен как Federated ID;
- убедитесь, что для псевдонима продукта назначены соответствующие права.
На вкладке «Пользователи»:
- убедитесь, что имя пользователя имеет форму полного адреса электронной почты.
Ошибка: «Отказано в доступе» при входе в систему
Возможные причины ошибки:
- Имя или адрес электронной почты пользователя, отправляемые в утверждении SAML, не соответствуют сведениям, введенным в Admin Console.
- Пользователь не связан с нужным продуктом, или продукт не связан с соответствующим правом.
- Имя пользователя SAML воспринимается как нечто иное, чем адрес электронной почты. Все пользователи должны находиться в домене, заявленном вами в процессе настройки.
- Ваш клиент SSO использует JavaScript как часть процесса входа в систему, и вы пытаетесь войти в клиент, который не поддерживает JavaScript.
Решение проблемы:
- Проверьте имя пользователя и адрес электронной почты в Adobe Admin Console и сопоставьте значение с атрибутами NameID и Email в журналах SAML.
- Проверьте конфигурацию панели управления для пользователя: информацию о пользователе и профиль продукта.
- Запустите трассировку SAML и убедитесь, что отправляемая информация соответствует данным информационной панели, а затем исправьте все несоответствия.
Ошибка: «Другой пользователь в настоящее время вошел в систему»
Ошибка «Другой пользователь в настоящее время вошел в систему» возникает, когда атрибуты, отправленные в утверждении SAML, не соответствуют адресу электронной почты, используемому для запуска процесса входа в систему.
Запустите трассировку SAML и убедитесь, что адрес электронной почты пользователя для входа соответствует следующему:
- адрес электронной почты пользователя, указанный в Admin Console;
- имя пользователя, переданное обратно в поле NameID утверждения SAML.
Ошибка: «Публикатор в ответе SAML не соответствует публикатору, настроенному для поставщика удостоверений»
Публикатор IDP в утверждении SAML отличается от настроенного в Inbound SAML. Проверьте наличие опечаток (например, http вместо https). При проверке строки «Публикатор IDP» с помощью системы клиента SAML вы ищите ТОЧНОЕ соответствие с предоставленной строкой. Эта проблема иногда возникает из-за отсутствия косой черты в конце.
Если требуется помощь в устранении этой ошибки, предоставьте трассировку SAML и значения, которые вы ввели на панели управления Adobe.
Ошибка: «Цифровая подпись в ответе SAML не подтверждена сертификатом поставщика удостоверений»
Эта проблема возникает, когда срок действия сертификата вашего каталога истек. Чтобы обновить сертификат, необходимо загрузить сертификат или метаданные у поставщика удостоверений и загрузить их в Adobe Admin Console.
Например, если вашим IdP является Microsoft AD FS, выполните действия, описанные ниже.
-
-
С помощью браузера перейдите по URL-адресу, указанному для метаданных федерации, и загрузите файл. Например, https://<your AD FS hostname>/FederationMetadata/2007-06/FederationMetadata.xml.
Примечание.При появлении примите любые предупреждения.
-
На вкладке Настройки в Admin Console выберите Настройки удостоверения > Каталоги. Выберите каталог для обновления и нажмите Настроить на карте Провайдер SAML.
Затем загрузите файл метаданных IdP и нажмите Сохранить.
Ошибка: «Текущее время предшествует диапазону времени, указанному в условиях утверждения»
Сервер IdP на базе Windows:
1. Убедитесь, что системные часы синхронизированы с сервером точного времени.
С помощью этой команды проверьте точность системных часов относительно времени вашего сервера; значение «Сдвиг фазы» должно составлять небольшую долю секунды:
w32tm /query /status /verbose
Можно выполнить немедленную повторную синхронизацию системных часов с сервером времени с помощью следующей команды:
w32tm /resync
Если системные часы установлены правильно и указанная выше ошибка по-прежнему отображается, может потребоваться отрегулировать настройку временного сдвига, чтобы увеличить допустимую разницу между часами сервера и клиента.
2. Увеличьте допустимую разницу в системных часах между серверами.
В окне Powershell с правами администратора установите допустимое значение сдвига равным 2 минутам. Проверьте, можете ли вы войти в систему, а затем увеличьте или уменьшите значение в зависимости от результата.
Определите текущую настройку временного сдвига для соответствующего отношения доверия с проверяющей стороной с помощью следующей команды:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
Отношение доверия с проверяющей стороной определяется URL-адресом, представленном в поле «Идентификатор» выходных данных предыдущей команды для данной конкретной конфигурации. Этот URL-адрес также отображается в служебной программе управления ADFS в окне свойств для соответствующего отношения доверия с проверяющей стороной на вкладке «Идентификаторы» в поле «Отношение доверия с проверяющей стороной», как показано на снимке экрана ниже.
Установите временной сдвиг равным 2 минутам с помощью следующей команды, подставив соответствующий адрес идентификатора:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
Сервер IdP на базе UNIX
Убедитесь, что системные часы установлены правильно с помощью службы ntpd, вручную с помощью команды ntpdate из корневой оболочки или с помощью команды sudo, как показано ниже (обратите внимание, что если время смещено более чем на 0,5 с, то изменение в системные часы будет внесено не сразу, а постепенно). Убедитесь, что временная зона также настроена правильно.
# ntpdate -u pool.ntp.org
Это работает с поставщиками удостоверений, такими как Shibboleth.
Ошибка 401: «Неправомочные учетные данные»
Эта ошибка возникает, когда приложение не поддерживает федеративный вход и следует входить в систему под Adobe ID. FrameMaker, RoboHelp и Adobe Captivate — примеры приложений с таким требованием.
Ошибка: «Сбой входа в Inbound SAML с сообщением: ответ SAML не содержит утверждений»
Проверьте последовательность действий при входе в систему. Если вы можете получить доступ к странице входа на другом компьютере или сети, но не внутри системы, возможно, имеется блокирующая строка агента. Кроме того, запустите трассировку SAML и убедитесь, что имя, фамилия и имя пользователя присутствуют в теме SAML в качестве правильно отформатированного адреса электронной почты.
Убедитесь, что отправляется соответствующее утверждение SAML.
- Отсутствие элемента NameID в теме. Проверьте, чтобы элемент Subject содержал элемент NameID. Он должен быть равен атрибуту Email, который должен содержать адрес электронной почты пользователя, который хочет пройти проверку подлинности.
- Опечатки, особенно часто допускаемые ошибки вроде https вместо http.
- Проверьте, правильно ли указан сертификат. Поставщики удостоверений должны быть настроены для использования несжатых запросов и ответов SAML.
Такие программы, как SAML Tracer для Firefox, могут помочь в распаковке утверждений и их отображении для проверки. В случае обращения в службу поддержки клиентов Adobe вам понадобится этот файл. Дополнительные сведения см. в разделе Как выполнить трассировку SAML.
Демонстрационный пример, описанный ниже, может помочь правильно отформатировать утверждение SAML.
Загрузить
С Microsoft ADFS
- Каждая учетная запись Active Directory должна иметь адрес электронной почты, указанный в Active Directory для успешного входа в систему (журнал событий: ответ SAML не содержит NameId в утверждении). Сначала проверьте это.
- Доступ к панели инструментов.
- Перейдите на вкладку «Удостоверение» и выберите домен.
- Нажмите «Изменить конфигурацию».
- Найдите привязку поставщика удостоверений. Установите «HTTP-POST» и сохраните.
- Протестируйте вход в систему.
- Если это работает, но вы предпочитаете предыдущую настройку, просто установите обратно «HTTP-REDIRECT» и повторно загрузите метаданные в ADFS.
С другими поставщиками удостоверений
- Появление ошибки 400 означает, что ваш поставщик удостоверений отклонил успешный вход в систему.
- Найдите в журналах IdP причину ошибки.
- Устраните проблему и повторите попытку.
Ошибка 403: «Ошибка сертификата»
Обновите сертификат в Google Console в приложении Adobe SAML и повторно загрузите файлы метаданных в Adobe Admin Console.
Ошибка 403: «Приложение не настроено для пользователя»
Обновите идентификатор объекта в консоли Google. Затем экспортируйте файл метаданных и загрузите его в Adobe Admin Console.
Ошибка: «Не удается получить доступ прямо сейчас» или «Не удается перейти отсюда туда».
Эта ошибка обычно возникает, когда организация включила политику условного доступа в IdP.
Если вы используете управляемые пакеты для развертывания продуктов, создайте управляемый пакет в Adobe Admin Console, выбрав вариант проверки подлинности через браузер. Затем разверните его на устройстве пользователя.
В противном случае пользователи могут открыть приложение Creative Cloud для настольных ПК и выбрать Войти в систему с помощью браузера в меню Справка.
Ошибка: «Приложение не назначено»
В этом случае администратор должен добавить пользователей в приложение Adobe SAML, созданное в их IdP. Узнайте, как создать приложение Adobe SAML в Google Admin Console или Microsoft Azure Portal.
Ошибка: «У вас нет доступа к данной службе. Обратитесь к своему ИТ-администратору, чтобы получить доступ или войти в систему с помощью Adobe ID»
Проверьте журналы SAML, поскольку имя пользователя или адрес электронной почты, отправляемые в утверждении SAML, не соответствуют сведениям, введенным в Admin Console.