Die Admin-Konsole ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden. Sobald die Eigentümerschaft einer Domäne durch ein DNS-Token nachgewiesen ist, kann die Domäne konfiguriert werden, um Benutzern die Möglichkeit zur Anmeldung bei Creative Cloud zu geben. Benutzer können sich mit E-Mail-Adressen innerhalb dieser Domäne über einen Identity Provider (IdP) anmelden. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.
Ein solcher IdP ist Shibboleth. Um Shibboleth zu verwenden, benötigen Sie einen Server, der über das Internet zugänglich ist und Zugriff auf die Verzeichnisdienste innerhalb des Unternehmensnetzwerks hat. Dieses Dokument beschreibt den Vorgang zur Konfiguration von Admin-Konsole und Shibboleth-Server, sodass Sie sich bei Adobe Creative Cloud-Applikationen und zugehörigen Websites für Single Sign-On anmelden können.
Der Zugriff auf den IdP erfolgt häufig über ein separates Netzwerk, für das spezifische Regeln konfiguriert werden, die nur bestimmte Typen der Kommunikation zwischen Servern und internen und externen Netzwerken zulassen. Dies wird im Allgemeinen als DMZ (Demilitarised Zone) bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und der Topologie eines derartigen Netzwerks werden nicht in diesem Dokuments erläutert.
Bevor Sie eine Domäne für die einmalige Anmeldung mithilfe des Shibboleth IDP konfigurieren, müssen die folgenden Bedingungen erfüllt sein:
- Eine genehmigte Domäne für Ihr Adobe-Organisationskonto. Der Status der Domäne in der Adobe Admin-Konsole muss „Konfiguration erforderlich“ lauten.
- Die aktuelle Version von Shibboleth ist installiert und konfiguriert.
- Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, haben eine E-Mail-Adresse, die in Active Directory aufgeführt ist.
Hinweis:
Die Schritte zum Konfigurieren von Shibboleth IDP mit Adobe SSO, die in diesem Dokument beschrieben werden, wurden mit der Version 3 getestet.
-
Navigieren Sie in der Admin-Konsole, zu Einstellungen > Identität.
Auf der Seite Identität werden die Domänen in Ihrer Organisation aufgelistet.
-
Die heruntergeladene Metadatendatei muss aktualisiert werden, um sicherzustellen, dass die richtigen Informationen an Adobe zurückgesendet werden.
Ersetzen Sie die folgenden Zeilen in der Datei:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Mit:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Nachdem Sie die SAML XML-Metadatendatei von der Adobe Admin-Konsole heruntergeladen haben, aktualisieren Sie wie folgt die Shibboleth-Konfigurationsdateien.
-
Bearbeiten Sie die Datei „attribute-filter.xml“.
Der Adobe-Service-Anbieter benötigt den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers in der SAML-Antwort.
Bearbeiten Sie die Datei %{idp.home}/conf/attribute-filter.xml und nehmen Sie die Attribute „FirstName“, „LastName“ und „Email“ auf, indem Sie den Knoten „AttributeFilterPolicy“ einfügen wie unten gezeigt (Zeilen 17 bis 31):
<?xml version="1.0" encoding="UTF-8"?> <!-- This file is an EXAMPLE policy file. While the policy presented in this example file is illustrative of some simple cases, it relies on the names of non-existent example services and the example attributes demonstrated in the default attribute-resolver.xml file. Deployers should refer to the documentation for a complete list of components and their options. --> <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy" xmlns="urn:mace:shibboleth:2.0:afp" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd"> <!-- Release some attributes to an SP. --> <AttributeFilterPolicy id="AdobeSP"> <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spi852ccrrph9JfWw0h7" /> <AttributeRule attributeID="FirstName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="LastName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="Email"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy> </AttributeFilterPolicyGroup>
-
Bearbeiten Sie die metadata-providers.xml-Datei.
Aktualisieren Sie %{idp.home}/conf/metadata-providers.xml mit dem Speicherort der Metadatendatei „adobe-sp-metadata.xml“ (Zeile 29 unten), die Sie in Schritt 1 erstellt haben.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Example file metadata provider. Use this if you want to load metadata from a local file. You might use this if you have some local SPs which are not "federated" but you wish to offer a service to. If you do not provide a SignatureValidation filter, then you have the responsibility to ensure that the contents are trustworthy. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Wenn Sie sich nicht bei adobe.com anmelden können, überprüfen Sie folgende Shibboleth-Konfigurationsdateien auf mögliche Fehler:
Die Attribut-Filterdatei, die beim Konfigurieren von Shibboleth aktualisiert haben, definiert die Attribute, die dem Adobe-Service-Anbieter bereitgestellt werden müssen. Allerdings müssen Sie diese Attribute den entsprechenden Attributen zuordnen, die in LDAP/Active Directory für Ihr Unternehmen definiert sind.
Bearbeiten Sie die attribute-resolver.xml-Datei an folgendem Speicherort:
%{idp.home}/conf/attribute-resolver.xml
Geben Sie für jedes der folgenden Attribute die Quell-Attribut-ID ein,wie für Ihr Unternehmen definiert:
- FirstName (Zeile 1 unten)
- LastName (Zeile 7 unten)
- Email (Zeile 13 unten)
<resolver:AttributeDefinition id="Email" xsi:type="ad:Simple" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="Email" encodeType="false" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition id="LastName" xsi:type="ad:Simple" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="LastName" encodeType="false" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition id="FirstName" xsi:type="ad:Simple" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="FirstName" encodeType="false" /> </resolver:AttributeDefinition>
Aktualisieren Sie die relying-party.xml-Datei an folgendem Speicherort, um das saml-nameid-Format, wie vom Adobe-Service-Anbieter erforderlich, zu unterstützen:
%{idp.home}/conf/relying-party.xml
Aktualisieren Sie das Attribut p:nameIDFormatPrecedence (Zeile 7 unten), wobei Sie emailAddress aufnehmen.
<bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Aktualisieren Sie die saml-nameid.xml am folgenden Speicherort:
%{idp.home}/conf/saml-nameid.xml
Aktualisieren Sie das Attribut p:attributeSourceIds (Zeile 3 unten) und ändern Sie es in "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Erstellen Sie einen Testbenutzer mit Active Directory. Erstellen Sie einen Eintrag in der Admin-Konsole für diesen Benutzer und weisen Sie ihm eine Lizenz zu. Testen Sie dann die Anmeldung bei Adobe.com, um sich zu vergewissern, dass die relevante Software für den Download aufgelistet ist.