InCommon Federation fournit des identités fédérées pour les milieux universitaires. En tant qu’administrateur des identités pour un établissement d’enseignement membre d’InCommon Federation, vous pouvez configurer votre entreprise de manière à autoriser l’accès aux applications Adobe à l’aide d’un Federated ID fourni par InCommon.

Lors d’une tentative de connexion avec un Federated ID, le fournisseur d’identité (IdP) authentifie l’identité de l’utilisateur et Adobe octroie à l’utilisateur authentifié l’autorisation d’accès requise à ses services. Dans le but de fournir l’autorisation, Adobe crée un Adobe ID interne qui correspond au Federated ID fourni par InCommon.

Chaque IdP enregistre les informations d’identité différemment, ce qui signifie que vous devez créer un mappage entre les champs spécifiques utilisés par votre IdP, et ceux requis pour l’Adobe ID correspondant. Le mappage doit se faire dans les deux sens. Vous devez configurer votre organisation Adobe à l’aide des informations de mappage et de contact de votre IdP, et configurer votre IdP à l’aide des informations de mappage et de contact de votre organisation Adobe.

Conditions préalables

Pour procéder à la configuration, vous devez être un administrateur d’identités doté des droits d’accès requis pour votre compte d’entreprise Adobe et votre compte IdP. Vous devez disposer des éléments suivants :

  • Un IdP compatible SAML 2.0 fonctionnel. Les membres d’InCommon Federation utilisent généralement Shibboleth 2.x ou 3.x comme IdP, mais cela n’est pas obligatoire.
  • Un accès administrateur au portail Adobe Admin Console et à l’application InCommon Federation Manager.
  • Un accès administrateur aux métadonnées de votre IdP.
  • Une demande approuvée de domaine pour votre compte d’entreprise Adobe.

Mappage entre Adobe et les Federated ID InCommon

Pour que votre entreprise autorise un accès SSO à des applications Adobe via vos Federated ID InCommon, vous devez effectuer deux opérations :

  • Utiliser le portail Adobe Admin Console pour configurer votre entreprise à l’aide des détails de sécurité de l’IdP que vous utilisez pour authentifier vos InCommon Federation ID.
  • Utiliser l’application InCommon Federation Manager pour configurer une entrée du prestataire de services pour des connexions Adobe.

Configuration de vos informations IdP dans Adobe Admin Console

Pour configurer l’authentification unique pour votre domaine, entrez les informations requises à l’aide de l’assistant Configurer le domaine dans Adobe Admin Console.

Configurer le domaine

Vous devez renseigner ces champs pour permettre à Adobe de se connecter à votre prestataire de services et autoriser les utilisateurs à se connecter à l’aide de leurs Federated ID InCommon.

  • Certificat IDP : certificat au format PEM dans les métadonnées de votre IdP. Le fichier doit avoir l’extension .crt.
  • Liaison IDP : HTTP-POST ou HTTP-REDIRECT.
  • Paramètre de connexion utilisateur : indiquez si les utilisateurs ouvrent une session avec une adresse e-mail ou un nom d’utilisateur simple.
  • Émetteur IDP : l’ID d’entité de votre IdP.
  • URL de connexion de l’IDP : l’extrémité de connexion SAML, tel que requis pour la liaison que vous spécifiez.

Pour accéder au fichier de métadonnées du nouveau prestataire de services, cliquez sur Télécharger les métadonnées. Utilisez ce fichier pour configurer votre intégration SAML avec le fournisseur d’identité. Votre fournisseur d’identité a besoin de ce fichier pour activer l’authentification unique.

Configuration d’une entrée de prestataire de services Adobe pour votre IdP

Une connexion à Adobe nécessite un prestataire de services personnalisé dans l’application InCommon Federation Manager. L’entrée du prestataire de services assure le mappage des informations d’identité entre le format du Federated ID d’Adobe et le format du Federated ID d’InCommon utilisé par votre IdP. Les valeurs d’Adobe sont disponibles dans le fichier de métadonnées du prestataire de services que vous avez téléchargé à partir du portail Admin Console.

Pour créer une entrée du prestataire de services, procédez comme suit.

  1. Dans l’interface utilisateur InCommon Federation Manager, spécifiez le paramètre New Service Provider (Nouveau prestataire de services).

  2. Renseignez l’ID d’entité à l’aide du champ entityID dans vos métadonnées Adobe.

    new
  3. Sous User Interface Elements and Requested Attributes (Éléments de l’interface utilisateur et attributs nécessaires), définissez la valeur SP Display Name (Nom d’affichage SP) sur un nom facilement reconnaissable.

    v2_SP_display_name

    Pour renseigner les attributs nécessaires, vous devez d’abord configurer l’IdP pour les attributs personnalisés requis par Adobe comme décrit ci-dessous. Omettez cette section pour l’instant.

  4. Sous Assertion Consumer Service (Service consommateur d’assertions), renseignez les valeurs correspondantes à l’aide des métadonnées Adobe. Pour l’URL Location (Emplacement), utilisez la valeur de la liaison SAML HTTP-POST.

    Assertion_Consumer_Service
  5. Les services de déconnexion simples (Single Logout Services) ne sont pas actuellement pris en charge. Laissez ce champ vide.

  6. Entrez les informations de contact appropriées.

    contacts

Configuration de l’IdP

Le prestataire de services Adobe nécessite que l’IdP fournisse trois attributs personnalisés à l’aide de ces noms spécifiques respectant la casse :

  • FirstName : équivalent de l’attribut « sn » (« surname ») d’InCommon (urn:oid:2.5.4.4)
  • LastName : équivalent de l’attribut « givenname » d’InCommon (urn:oid:2.5.4.42)
  • Email : équivalent de l’attribut « mail » d’InCommon (urn:oid:0.9.2342.19200300.100.1.3)

Dans la mesure où les attributs InCommon correspondants n’utilisent pas les mêmes noms, vous devez configurer votre IdP pour mapper les valeurs et les envoyer en tant qu’attributs personnalisés. Si vous utilisez Shibboleth comme IdP, consultez la documentation relative à la configuration d’attributs personnalisés :

Outre ces attributs personnalisés, vous devez configurer le champ NameId de l’attribut Subject de manière à indiquer la valeur de l’identifiant de connexion ou de l’adresse e-mail de l’utilisateur (tel que configuré dans Adobe Admin Console). Si vous utilisez Shibboleth comme IdP, consultez la documentation relative à la configuration du champ NameId :

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne