サーバー上で AD FS 管理アプリケーションを開き、AD FS/サービス/エンドピントフォルダー内で、フェデレーションメタデータを選択します。
- アドビエンタープライズ版とグループ版:管理ガイド
- デプロイメントの計画
- 基本概念
- デプロイメントガイド
- Creative Cloud 教育機関向けのデプロイ
- 組織の設定
- ID タイプ | 概要
- ID の設定 | 概要
- Enterprise ID を使用した組織の設定
- Azure AD フェデレーションと同期の設定
- Google Federation と Google Sync の設定
- Microsoft ADFS を使用した組織の設定
- 組織の教育委員会ポータルと LMS の設定
- 他の ID プロバイダーを使用した組織の設定
- SSO に関するよくある質問とトラブルシューティング
- 組織の設定の管理
- ユーザーの管理
- 製品および使用権限の管理
- 製品および製品プロファイルの管理
- 共有デバイスライセンスの管理
- 製品および製品プロファイルの管理
- Global Admin Console の使用を開始
- ストレージとアセットの管理
- ストレージ
- アセットの移行
- ユーザーのアセットの再利用
- 学生アセットの移行 | 教育機関のみ
- Managed Services
- Adobe Stock
- カスタムフォント
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud エンタープライズ版 – 無料メンバーシップ
- アプリおよびアップデートのデプロイ
- 概要
- パッケージの作成
- パッケージのカスタマイズ
- パッケージのデプロイ
- アップデートの管理
- Adobe Update Server Setup Tool(AUSST)
- Adobe Remote Update Manager(RUM)
- トラブルシューティング
- グループ版アカウントの管理
- 更新
- 契約の管理
- レポートとログ
- ヘルプを表示
アドビ製品の Federated ID(SSO)に関連する一般的な認証エラーの解決、設定の確認、ログインの問題のトラブルシューティングを行います。SAML エラー、証明書の問題、およびその他の認証の問題を解決するためのヒントを得ます。
組織で Google フェデレーションまたは Microsoft Azure Sync を利用して SSO を設定している場合は、次の記事を参照してください。
概要
Adobe Admin Console 内で SSO を正常に構成した後、「アドビメタデータファイルのダウンロード」を選択して、SAML XML メタデータファイルをコンピューターに保存します。このファイルは、ID プロバイダーがシングルサインオンを有効にするために必要です。XML 設定の詳細を ID プロバイダー(IdP)に適切に読み込みます。このことは、SAML と IdP の統合に必要であり、データが正しく設定されていることが確認されます。
SAML XML メタデータファイルを使用して IdP を構成する方法は、IdP によって異なります。ご質問がある場合は、お使いの IdP に直接お問い合わせください。
基本的なトラブルシューティング
シングルサインオンの問題は、多くの場合、見落としがちな基本的なエラーが原因です。特に、以下を確認してください。
- ユーザーに、資格のある製品プロファイルが割り当てられている。
- SAML に送信されるユーザー名が、エンタープライズダッシュボードのユーザー名と一致する。
- Admin Console と ID プロバイダーで、すべてのエントリにスペルや構文のエラーがない。
- Creative Cloud デスクトップアプリが最新バージョンに更新されている。
- ユーザーは正しい場所にログインしている(Creative Cloud デスクトップアプリ、Creative Cloud アプリケーション、または Adobe.com)。
その他の一般的なエラーの解決策
エラー:「エラーが発生しました」および「再試行」ボタンが表示される
このエラーは通常、ユーザー認証が成功し、Okta が認証応答をアドビに正常に転送した後に発生します。
Adobe Admin Console で以下を確認します。
「ID」タブでの作業:
- 関連するドメインが有効であることを確認します。
「製品」タブの作業:
- ユーザーが正しい製品ニックネームに関連付けられ、Federated ID として設定されているとクレームするドメインに存在することを確認します。
- 製品のニックネームに正しい使用権限が割り当てられていることを確認します。
「ユーザー」タブでの作業:
- ユーザーのユーザー名が完全なメールアドレスの形式であることを確認します。
エラー:ログイン時に「アクセスが拒否されました」
このエラーの原因として以下が考えられます。
- SAML アサーションで送信されるユーザー名またはメールアドレスが、Admin Console に入力された情報と一致しない。
- ユーザーが正しい製品に関連付けられていない、または製品が適切な資格に関連付けられていない。
- SAML ユーザー名が、メールアドレス以外のものとして認識されている。すべてのユーザーは、セットアッププロセスの一部でクレームしたドメインに属している必要があります。
- SSO クライアントがログイン処理の一部で JavaScript を利用して、JavaScript をサポートしていないクライアントにログインしようとしている。
解決方法:
- Adobe Admin Console でユーザー名とメールを確認し、その値を SAML ログの NameID および Email 属性と照合します。
- ユーザーのダッシュボード構成(ユーザー情報と製品プロファイル)を確認します。
- SAML トレースを実行して、送信される情報がダッシュボードと一致することを確認し、不一致がある場合は修正します。
エラー:「別のユーザーが現在ログインしています」
「別のユーザーが現在ログインしています」というエラーは、SAML アサーションで送信された属性が、ログインプロセスの開始に使用されたメールアドレスと一致しない場合に発生します。
SAML トレースを実行して、ログインするユーザーのメールアドレスが以下と一致することを確認してください。
- Admin Console に表示されているユーザーのメールアドレス
- SAML アサーションの「NameID」フィールドに返されるユーザーのユーザー名
エラー:「SAML 応答の発行者が ID プロバイダー用に設定された発行者と一致しませんでした」
SAML アサーションの IDP 発行者が、受信 SAML で設定されている発行者と異なります。タイプミス(http と https など)がないか確認してください。IDP 発行者の文字列とお客様の SAML システムを照合する場合は、提供された文字列と完全一致で確認してください。この問題は、最後にスラッシュがないために発生することがあります。
このエラーについてサポートが必要な場合は、アドビダッシュボードに入力した SAML トレースと値を入力してください。
エラー:「SAML 応答のデジタル署名が ID プロバイダーの証明書で検証されませんでした」
この問題は、ディレクトリの証明書が有効期限切れである場合に発生します。証明書を更新するには、ID プロバイダーから証明書またはメタデータをダウンロードし、Adobe Admin Console にアップロードする必要があります。
例えば、IdP が Microsoft AD FS の場合は、次の手順に従います。
-
-
ブラウザーを使用して、フェデレーションメタデータに対して提供された URL に移動し、ファイルをダウンロードします。ファイルは例えば、https://<お使いの AD FS ホスト名>/FederationMetadata/2007-06/FederationMetadata.xml のような形式です。
注意:プロンプトが表示されたら、警告に同意します。
-
Admin Console の「設定」タブで、ID 設定/ディレクトリに移動します。更新するディレクトリを選択して、SAML プロバイダーカードの「設定」をクリックします。
次に、IdP メタデータファイルをアップロードし、「保存」を選択します。
エラー:「現在の時刻がアサーション条件で指定された時間範囲よりも前です」
Windows ベースの IdP サーバーの場合:
1. システムクロックが正確なタイムサーバーと同期していることを確認します。
このコマンドを使用して、タイムサーバーに対して精度システムクロックを確認します。「位相オフセット」の値は、一瞬である必要があります。
w32tm /query /status /verbose
次のコマンドを使用して、タイムサーバーとシステムクロックを即座に再同期させることができます。
w32tm /resync
システムクロックが正しく設定されていても上記のエラーが表示される場合は、タイムスキュー設定を調整して、サーバーとクライアント間のクロックの許容差を広げる必要がある場合があります。
2. サーバー間のシステムクロックの許容差を大きくします.
管理者権限を持つ Powershell ウィンドウで、許容されるスキュー値を 2 分に設定します。ログインできるかどうかを確認し、結果に応じて値を増減します。
関連する証明書利用者信頼の現在のタイムスキュー設定を取得するには、次のコマンドを使用します。
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
証明書利用者信頼は、その特定の設定に対して上記のコマンドを実行した場合に、出力の「Identifier」フィールドに表示される URL によって特定されます。この URL は、下のスクリーンショットに示すように、ADFS 管理ユーティリティの「ID」タブの「証明書利用者信頼」フィールドにある関連する証明書利用者信頼のプロパティウィンドウにも表示されます。
次のコマンドを使用してタイムスキューを 2 分に設定し、それに応じて ID アドレスを置き換えます。
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
UNIX ベースの IdP サーバー:
システムクロックが正しく設定されていることを確認するには、ntpd サービスを使用するか、root シェルから手動で ntpdate コマンドを使用するか、または以下のように sudo を使用します(時刻が 0.5 秒以上ずれている場合は、すぐには変更されませんが、徐々にシステムクロックが修正されます)。タイムゾーンが正しく設定されていることも確認してください。
# ntpdate -u pool.ntp.org
これは、Shibboleth. などの ID プロバイダーで機能します。
エラー:「401 不正な資格情報」
このエラーは、アプリケーションがフェデレーションログインをサポートしておらず、Adobe ID としてログインする必要がある場合に発生します。例えば、FrameMaker、RoboHelp、および Adobe Captivate などのアプリケーションではその必要があります。
エラー:「受信 SAML ログインが次のメッセージと共に失敗しました:SAML 応答にアサーションが含まれていませんでした」
ログインワークフローを確認してください。別のコンピューターまたはネットワークのログインページにアクセスできるが、内部にアクセスできない場合、ブロックエージェント文字列が問題である可能性があります。また、SAML トレースを実行し、SAML の Subject に First Name、Last Name、および適切な形式のメールアドレスが設定されたユーザー名が含まれていることを確認します。
以下を実行して、適切な SAML アサーションが送信されていることを確認します。
- Subject に NameID 要素が指定されてないことが考えられます。Subject 要素に NameId 要素が含まれていることを確認してください。これは、Email 属性(認証するユーザーのメールアドレス)と同じである必要があります。
- スペルエラー、特に簡単に見落とされやすい https の http などの間違いが原因であることが考えられます。
- 提供されている証明書が正しいことを確認してください。IDP は、非圧縮の SAML 要求/応答を使用するように設定する必要があります。
SAML Tracer Firefox 版などのユーティリティを使用すると、アサーションを展開し、表示して検査することができます。アドビカスタマーケアによるサポートが必要な場合は、このファイルを入力してください。詳しくは、「SAML Trace の実行方法」を参照してください。
次の作業例は、SAML アサーションを適切にフォーマットするのに役立つ場合があります。
ダウンロード
Microsoft ADFS:
- すべての Active Directory アカウントでは、正常にログインするために Active Directory にリストされているメールアドレスが必要です(イベントログ:SAML 応答のアサーションに NameId がありません)。最初にこのことを確認してください。
- ダッシュボードにアクセスします。
- 「ID」タブとドメインをクリックします。
- 「設定を編集」をクリックします。
- IDP バインディングを見つけます。「HTTP-POST」に切り替えて保存します。
- ログインエクスペリエンスを再テストします。
- 機能するが、以前の設定の方が望ましい場合は、「HTTP-REDIRECT」に切り替え、メタデータを ADFS に再度アップロードするだけで元に戻すことができます。
その他の IdP:
- エラー 400 が発生した場合は、ログインが IdP によって拒否されたことを意味します。
- エラーの原因については、IdP ログを確認してください。
- 問題を修正して、再試行してください。
エラー:「403 malfunctioned certificate」
エラー:「403 app_not_configured_for_user」
Google Console で Entity ID を更新します。次に、メタデータファイルを書き出し、Adobe Admin Console にアップロードします。
エラー:「現在アクセスできません」または「こちらからはアクセスできません」
このエラーは通常、組織が IdP で条件付きのアクセスポリシーを有効にしている場合に発生します。
マネージドパッケージを使用して製品をデプロイする場合は、ブラウザーベースの認証オプションを選択して、Adobe Admin Console からマネージドパッケージを作成します。次に、マネージドパッケージをユーザーのデバイスにデプロイします。
他の方法として、ユーザーは Creative Cloud デスクトップアプリケーションを開き、ヘルプメニューから「ブラウザーを使用してログイン」を選択できます。
エラー:「アプリが割り当てられていません」
この場合、管理者は IdP で作成された Adobe SAML アプリにユーザーを追加する必要があります。Google Admin Console または Microsoft Azure Portal で Adobe SAML アプリを作成する方法について説明します。
エラー:「このサービスに対するアクセス権がありません。アクセスするには、IT 管理者に問い合わせるか、Adobe ID でログインしてください。」
SAML アサーションで送信されるユーザー名またはメールアドレスが、Admin Console に入力された情報と一致しない場合は、SAML ログを確認します。