InCommon Federation stellt die Verbundidentitäten für akademische Communities zur Verfügung. Wenn Sie Identitätsadministrator für Bildungseinrichtungen und Mitglied der InCommon Federation sind, können Sie Ihr Unternehmen so konfigurieren, dass die Anmeldung für den Zugriff auf die Adobe-Applikationen über eine InCommon Federated ID erfolgt.

Beim Anmelden mit einer Federated ID authentifiziert der Identitätsanbieter (IdP) des Benutzers dessen Identität und Adobe gewährt diesem authentifizierten Benutzer den Zugang zu seinen Diensten. Um die Autorisierung zu gewährleisten, erstellt Adobe eine interne Adobe ID, die mit der InCommon Federated ID übereinstimmt.

Jeder IdP speichert Identitätsinformationen auf unterschiedliche Weise, sodass Sie eine Zuordnung zwischen den spezifischen Feldern, die Ihr IdP verwendet, herstellen müssen. Sie müssen zudem festlegen, welche Felder für die entsprechende Adobe ID erforderlich sind. Die Zuordnung muss in beide Richtungen funktionieren. Sie müssen Ihre Adobe-Organisation anhand der IdP-Kontakt- und Zuordnungsinformationen konfigurieren und umgekehrt Ihren IdP anhand der Kontakt- und Zuordnungsinformationen der Adobe-Organisation.

Voraussetzungen

Sie können den Konfigurationsvorgang nur ausführen, wenn Sie Identitätsadministrator sind und entsprechende Zugriffsrechte sowohl für das Konto Ihrer Adobe-Organisation als auch für das IdP-Konto haben. Folgende Voraussetzungen müssen erfüllt sein:

  • Ein funktionierender SAML 2.0-konformer IdP. InCommon Federation-Mitglieder verwenden in der Regel Shibboleth 2.x oder 3.x als IdP, dies ist aber nicht zwingend erforderlich
  • Administratorrechte sowohl für die Adobe Admin Console als auch für den InCommon Federation Manager
  • Administratorrechte für Ihre IdP-Metadaten
  • Eine genehmigte Domänenbeanspruchung für das Konto Ihrer Adobe-Organisation

Zuordnung zwischen Adobe IDs und InCommon Federated IDs

Damit Ihre Organisation über Ihre InCommon Federated IDs SSO-Zugang zu Adobe-Applikationen gewährt, müssen Sie folgende Aufgaben erledigt haben:

  • Konfigurieren Ihrer Organisation in der Adobe Admin Console anhand der IdP-Informationen zur Authentifizierung Ihrer InCommon Federation IDs
  • Konfigurieren eines Dienstanbieters für Adobe-Verbindungen mithilfe des InCommon Federation Manager

Konfigurieren der IdP-Informationen in der Adobe Admin Console

Zum Konfigurieren von Single Sign-on für Ihre Domäne geben Sie über den Assistenten Domäne einrichten in der Adobe Admin Console die erforderlichen Informationen ein.

Domäne einrichten

Sie müssen diese Felder ausfüllen, damit Adobe eine Verbindung mit Ihrem Dienstanbieter herstellen und den Benutzern die Anmeldung mit deren InCommon Federated IDs erlauben kann.

  • IDP-Zertifikat: Ein Zertifikat im PEM-Format in Ihren IdP-Metadaten. Die Datei muss die Erweiterung .crt besitzen
  • IDP-Bindung: „HTTP-Post“ oder „HTTP-Redirect“
  • Einstellung für die Benutzeranmeldung: Hier legen Sie fest, ob sich die Benutzer per E-Mail-Adresse oder Benutzernamen anmelden sollen.
  • IDP-Herausgeber: Die Entitäts-ID Ihres IdP
  • URL für die IDP-Anmeldung: Der für die angegebene Bindung erforderliche SAML-Anmeldungsendpunkt

Um auf die Metadatendatei für den neuen Dienstanbieter zuzugreifen, klicken Sie auf Metadaten herunterladen. Verwenden Sie diese Datei, um die SAML-Integration mit dem Identitätsanbieter zu konfigurieren. Der Identitätsanbieter benötigt diese Datei, um Single Sign-on zu aktivieren.

Konfigurieren eines Adobe-Dienstanbieters für Ihren IdP

Für eine Verbindung mit Adobe muss der Dienstanbieter im InCommon Federation Manager konfiguriert werden. Der Eintrag für den Dienstanbieter ordnet die Identitätsinformationen im Format der Adobe Federated ID dem von Ihrem IdP verwendeten Format der InCommon Federated ID zu. Die Adobe-Werte finden Sie in der Metadatendatei des Dienstanbieters, die Sie über die Admin Console heruntergeladen haben.

Um einen Dienstanbietereintrag zu erstellen, führen Sie die folgenden Schritte aus:

  1. Wählen Sie im InCommon Federation Manager New Service Provider (Neuer Dienstanbieter).

  2. Tragen Sie die Entitäts-ID aus dem Adobe-Metadaten-Feld entityID ein.

    new
  3. Tragen Sie unter User Interface Elements and Requested Attributes (UI-Elemente und angeforderte Attribute) für SP Display Name (Angezeigter Name für den Dienstanbieter) einen Namen ein, den Sie später leicht wiedererkennen.

    v2_SP_display_name

    Um die angeforderten Attribute auszufüllen, müssen Sie zuerst den IdP so konfigurieren, dass er die für Adobe erforderlichen, unten angeführten benutzerdefinierten Attribute umfasst. Überspringen Sie diesen Abschnitt erst einmal.

  4. Tragen Sie unter Assertion Consumer Service die entsprechenden Werte aus den Adobe-Metadaten ein. Geben Sie als Location URL den SAML-Wert für „HTTP-Post“ an.

    Assertion_Consumer_Service
  5. Single Logout Services (Einzelabmeldungsdienste) werden momentan nicht unterstützt. Lassen Sie dieses Feld leer.

  6. Geben Sie entsprechende Kontaktinformationen ein.

    contacts

IdP-Konfiguration

Für den Adobe-Dienstanbieter muss der IdP drei benutzerdefinierte Attribute mit den folgenden Namen (unter Beachtung der Groß-/Kleinschreibung) anbieten:

  • FirstName: Entsprechung des InCommon-Attributs „sn“ („surname“) (urn:oid:2.5.4.4)
  • LastName: Entsprechung des InCommon-Attributs „givenname“ (urn:oid:2.5.4.42)
  • Email: Entsprechung des InCommon-Attributs „mail“ (urn:oid:0.9.2342.19200300.100.1.3)

Da die entsprechenden InCommon-Attribute nicht dieselben Attributnamen verwenden, müssen Sie Ihren IdP so konfigurieren, dass diese Werte einander zugeordnet werden, und sie als benutzerdefinierte Attribute senden. Wenn Sie Shibboleth als IdP verwenden, lesen Sie in der zugehörigen Dokumentation den Abschnitt über das Konfigurieren von benutzerdefinierten Attributen:

Zusätzlich zu diesen benutzerdefinierten Attributen müssen Sie für das Attribut Subject das Feld NameId so konfigurieren, dass es den (in der Adobe Admin Console festgelegten) Wert für den Anmeldenamen oder die E-Mail-Adresse des Benutzers enthält. Wenn Sie Shibboleth als IdP verwenden, lesen Sie in der zugehörigen Dokumentation den Abschnitt über das Konfigurieren des Felds NameId:

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie