Kopieren Sie die heruntergeladene Metadatendatei an den folgenden Speicherort und benennen Sie die Datei in adobe-sp-metadata.xml um:
%{idp.home}/metadata/
Mit der Adobe Admin Console können Systemadministratoren Domänen mit Federated ID-Anmeldung für Single Sign-on (SSO) konfigurieren. Sobald das Eigentum an einer Domäne bestätigt wurde, wird das Verzeichnis mit der Domäne so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mithilfe ihrer E-Mail-Adresse in dieser Domäne über einen Identitätsanbieter (Identity Provider, IdP) anmelden. Dieser Prozess wird entweder als Softwaredienst, der innerhalb des Unternehmensnetzwerks ausgeführt wird und über das Internet zugänglich ist, oder als Cloud Service bereitgestellt, wobei ein Drittanbieter das Hosting übernimmt. In diesem Fall werden die Anmeldeinformationen des Benutzers über eine sichere Verbindung mithilfe des SAML-Protokolls bestätigt.
Shibboleth ist ein solcher IdP. Für die Verwendung von Shibboleth benötigen Sie einen Server, der über das Internet erreichbar ist und Zugriff auf die Verzeichnisdienste im Unternehmensnetzwerk hat. In diesem Dokument wird beschrieben, wie Sie die Adobe Admin Console und einen Shibboleth-Server so konfigurieren, dass eine Anmeldung bei Adobe Creative Cloud-Anwendungen und zugeordneten Websites mit Single Sign-on möglich ist.
Der Zugriff auf den IdP erfolgt in der Regel über ein separates Netzwerk, das mit bestimmten Regeln konfiguriert ist, die nur ausgewählte Arten der Kommunikation zwischen Servern und den internen und externen Netzwerken zulassen. Dies wird als „Demilitarized Zone“ oder DMZ bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und die Topologie eines Netzwerks würden den Rahmen dieses Dokuments sprengen.
Bevor Sie eine Domäne für Single Sign-on mit dem Shibboleth-IdP konfigurieren können, müssen die folgenden Anforderungen erfüllt sein:
Die in diesem Dokument beschriebenen Schritte zum Konfigurieren des Shibboleth-IdP mit Adobe SSO wurden mit Version 3 getestet.
Führen Sie zum Konfigurieren von Single Sign-on für Ihre Domäne die folgenden Schritte aus:
Nachdem Sie die SAML-XML-Metadatendatei von der Adobe Admin Console heruntergeladen haben, führen Sie die folgenden Schritte aus, um die Shibboleth-Konfigurationsdateien zu aktualisieren.
Kopieren Sie die heruntergeladene Metadatendatei an den folgenden Speicherort und benennen Sie die Datei in adobe-sp-metadata.xml um:
%{idp.home}/metadata/
Aktualisieren Sie die Datei, um sicherzustellen, dass die richtigen Informationen an Adobe zurückgegeben werden.
Ersetzen Sie die folgenden Zeilen in der Datei:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
durch:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Ersetzen Sie außerdem:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
durch:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Bearbeiten Sie die Datei metadata-providers.xml.
Aktualisieren Sie die Datei %{idp.home}/conf/metadata-providers.xml mit dem Speicherort der Metadatendatei „adobe-sp-metadata.xml“ (Zeile 29 unten), die Sie weiter oben in Schritt 1 erstellt haben.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Beispieldatei für einen Metadatenanbieter. Verwenden Sie diese Option, wenn Sie Metadaten aus einer lokalen Datei laden möchten. Sie können diese z. B. verwenden, wenn Sie einige lokale SPs haben, die nicht zu einem „Verbund“ zusammengefasst sind, denen Sie jedoch einen Service anbieten möchten. Wenn Sie keinen SignatureValidation-Filter bereitstellen, müssen Sie sicherstellen, dass die Inhalte vertrauenswürdig sind. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Wenn Sie sich nicht erfolgreich bei „adobe.com“ anmelden können, überprüfen Sie die folgenden Shibboleth-Konfigurationsdateien auf mögliche Probleme:
Die Attributfilterdatei, die Sie beim Konfigurieren von Shibboleth aktualisiert haben, definiert die Attribute, die Sie für den Adobe-Dienstanbieter bereitstellen müssen. Sie müssen diese Attribute jedoch den entsprechenden Attributen zuordnen, die in LDAP/Active Directory für Ihre Organisation definiert sind.
Bearbeiten Sie die Datei attribute-resolver.xml am folgenden Speicherort:
%{idp.home}/conf/attribute-resolver.xml
Geben Sie für jedes der folgenden Attribute die Quellattribut ID an, die für Ihre Organisation definiert ist:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Aktualisieren Sie die Datei relying-party.xml am folgenden Speicherort, um das für den Adobe-Dienstanbieter erforderliche saml-nameid-Format zu unterstützen.
%{idp.home}/conf/relying-party.xml
Aktualisieren Sie das Attribut p:nameIDFormatPrecedence (Zeile 7 unten) so, dass emailAddress enthalten ist.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Zum Deaktivieren der Verschlüsselung der Zusicherungen gehen Sie im Abschnitt DefaultRelyingParty für jeden der SAML2-Typen wie folgt vor:
Ersetzen Sie:
encryptAssertions="conditional"
durch:
encryptAssertions="never"
Aktualisieren Sie die Datei saml-nameid.xml am folgenden Speicherort:
%{idp.home}/conf/saml-nameid.xml
Aktualisieren Sie das Attribut p:attributeSourceIds (Zeile 3 unten) auf "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
So aktualisieren Sie die Shibboleth-Metadatendatei:
Kehren Sie zur Adobe Admin Console zurück.
Laden Sie die Shibboleth-Metadatendatei auf der Seite SAML-Profil hinzufügen hoch.
Nach der Konfiguration von Shibboleth ist die Metadatendatei (idp-metadata.xml) an folgendem Ort auf Ihrem Shibboleth-Server verfügbar:
<shibboleth>/metadata
Klicken Sie auf Fertig.
Weitere Einzelheiten finden Sie unter Erstellen von Verzeichnissen in der Admin Console.
Überprüfen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsverwaltungssystem und in der Adobe Admin Console definiert haben, indem Sie sich bei der Adobe-Website oder beim Creative Cloud-Client anmelden.
Wenn Probleme auftreten, lesen Sie das Dokument zur Problembehandlung.
Wenn Sie bei der Konfiguration von Single Sign-on weitere Hilfe benötigen, navigieren Sie in der Adobe Admin Console zu Support und erstellen Sie ein Ticket.