某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden. Sobald die Domäne verifiziert ist, wird das Verzeichnis, das die Domäne enthält, so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mit E-Mail-Adressen innerhalb dieser Domäne über einen Identity Provider (IdP) anmelden. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.
Ein solcher IdP ist Shibboleth. Um Shibboleth zu verwenden, benötigen Sie einen Server, der über das Internet zugänglich ist und Zugriff auf die Verzeichnisdienste innerhalb des Unternehmensnetzwerks hat. Dieses Dokument beschreibt den Vorgang zur Konfiguration von Admin Console und Shibboleth-Server, sodass Sie sich bei Adobe Creative Cloud-Applikationen und zugehörigen Websites für Single Sign-On anmelden können.
Der Zugriff auf den IdP erfolgt häufig über ein separates Netzwerk, für das spezifische Regeln konfiguriert werden, die nur bestimmte Typen der Kommunikation zwischen Servern und internen und externen Netzwerken zulassen. Dies wird im Allgemeinen als DMZ (Demilitarised Zone) bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und der Topologie eines derartigen Netzwerks werden nicht in diesem Dokuments erläutert.
Bevor Sie eine Domäne für die einmalige Anmeldung mithilfe des Shibboleth IDP konfigurieren, müssen die folgenden Bedingungen erfüllt sein:
- Die aktuelle Version von Shibboleth ist installiert und konfiguriert.
- Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, haben eine E-Mail-Adresse, die in Active Directory aufgeführt ist.
Hinweis:
Die Schritte zum Konfigurieren von Shibboleth IDP mit Adobe SSO, die in diesem Dokument beschrieben werden, wurden mit der Version 3 getestet.
Gehen Sie wie folgt vor, um Single Sign-On für Ihre Domäne zu konfigurieren:
- Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, indem Sie Andere SAML-Anbieter as Identitätsanbieter auswählen. Kopieren Sie die Werte für die ACS-URL und die Entitäts-ID aus dem Bildschirm SAML-Profil hinzufügen.
- Wechseln Sie auf Shibboleth, konfigurieren Sie Shibboleth, geben Sie die ACS-URL und Entitäts-ID ein und laden Sie die Shibboleth-Metadatendatei herunter.
- Kehren Sie zur Adobe Admin Console zurück, laden Sie die Shibboleth-Metadatendatei im Fenster SAML-Profil hinzufügen hoch und klicken Sie auf Fertig
Nachdem Sie die SAML XML-Metadatendatei von der Adobe Admin Console heruntergeladen haben, aktualisieren Sie wie folgt die Shibboleth-Konfigurationsdateien.
-
Aktualisieren Sie die Datei, um sicherzustellen, dass die korrekten Informationen an Adobe zurückgegeben werden.
Ersetzen Sie die folgenden Zeilen in der Datei:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Mit:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Ersetzen Sie außerdem:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Mit:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
-
Bearbeiten Sie die Datei „attribute-filter.xml“.
Der Adobe-Service-Anbieter benötigt den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers in der SAML-Antwort.
Bearbeiten Sie die Datei %{idp.home}/conf/attribute-filter.xml und nehmen Sie die Attribute „FirstName“, „LastName“ und „Email“ auf, indem Sie den Knoten „AttributeFilterPolicy“ einfügen wie unten gezeigt (Zeilen 17 bis 31):
<?xml version="1.0" encoding="UTF-8"?> <!-- This file is an EXAMPLE policy file. While the policy presented in this example file is illustrative of some simple cases, it relies on the names of non-existent example services and the example attributes demonstrated in the default attribute-resolver.xml file. Deployers should refer to the documentation for a complete list of components and their options. --> <AttributeFilterPolicyGroup> <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" /> <AttributeRule attributeID="NameID"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="FirstName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="LastName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="Email"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy> </AttributeFilterPolicyGroup> -
Bearbeiten Sie die metadata-providers.xml-Datei.
Aktualisieren Sie %{idp.home}/conf/metadata-providers.xml mit dem Speicherort der Metadatendatei „adobe-sp-metadata.xml“ (Zeile 29 unten), die Sie in Schritt 1 erstellt haben.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Example file metadata provider. Use this if you want to load metadata from a local file. You might use this if you have some local SPs which are not "federated" but you wish to offer a service to. If you do not provide a SignatureValidation filter, then you have the responsibility to ensure that the contents are trustworthy. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Wenn Sie sich nicht bei adobe.com anmelden können, überprüfen Sie folgende Shibboleth-Konfigurationsdateien auf mögliche Fehler:
Die Attribut-Filterdatei, die beim Konfigurieren von Shibboleth aktualisiert haben, definiert die Attribute, die dem Adobe-Service-Anbieter bereitgestellt werden müssen. Allerdings müssen Sie diese Attribute den entsprechenden Attributen zuordnen, die in LDAP/Active Directory für Ihr Unternehmen definiert sind.
Bearbeiten Sie die attribute-resolver.xml-Datei an folgendem Speicherort:
%{idp.home}/conf/attribute-resolver.xml
Geben Sie für jedes der folgenden Attribute die Quell-Attribut-ID ein,wie für Ihr Unternehmen definiert:
- FirstName (Zeile 1 unten)
- LastName (Zeile 7 unten)
- Email (Zeile 13 unten)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML2StringNameID"
xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Aktualisieren Sie die relying-party.xml-Datei an folgendem Speicherort, um das saml-nameid-Format, wie vom Adobe-Service-Anbieter erforderlich, zu unterstützen:
%{idp.home}/conf/relying-party.xml
Aktualisieren Sie das Attribut p:nameIDFormatPrecedence (Zeile 7 unten), wobei Sie emailAddress aufnehmen.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Um die Verschlüsselung der Zusicherungen zu deaktivieren, gehen Sie im Abschnitt DefaultRelyingParty für jeden SAML2-Typ wie folgt vor:
Ersetzen Sie:
encryptAssertions="conditional"
Mit:
encryptAssertions=”never"
Aktualisieren Sie die saml-nameid.xml am folgenden Speicherort:
%{idp.home}/conf/saml-nameid.xml
Aktualisieren Sie das Attribut p:attributeSourceIds (Zeile 3 unten) und ändern Sie es in "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
p:attributeSourceIds="#{ {'Email'} }" />
-
Kehren Sie zur Adobe Admin Console zurück.
Weitere Details, wie man Verzeichnisse erstellen auf der Admin Console.
Testen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsmanagementsystem und in der Adobe Admin Console definiert haben, indem Sie sich auf der Adobe-Website oder bei der Creative Cloud Desktop-Applikation anmelden.
Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung.
Wenn Sie Unterstützung bei der Konfiguration von Single Sign-On mit benötigen, navigieren Sie zu Support in der Adobe Admin Console und geben Sie ein Ticket ein.