De IdP Shibboleth configureren voor gebruik met SSO van Adobe

Overzicht

Met de Adobe Admin Console kan een systeembeheerder domeinen die worden gebruikt voor aanmelding via Federated ID, configureren voor eenmalige aanmelding (SSO). Nadat het domein is geverifieerd, wordt de directory die het domein bevat zo geconfigureerd dat gebruikers zich kunnen aanmelden bij Creative Cloud. Gebruikers kunnen zich in dat domein aanmelden met hun e-mailadres via een IdP (identiteitsprovider). Het proces is ingericht als een softwareservice die binnen het bedrijfsnetwerk wordt uitgevoerd en toegankelijk is via internet of als een cloudservice die wordt gehost door derden, die verificatie van de aanmeldingsgegevens van gebruikers mogelijk maakt via beveiligde communicatie met het SAML-protocol.

Een van deze IdP's is Shibboleth. Als u Shibboleth wilt gebruiken, hebt u een server nodig die toegankelijk is via internet en toegang heeft tot de adreslijstservices in het bedrijfsnetwerk. In dit document wordt het proces beschreven om de Admin Console en een Shibboleth-server te configureren voor aanmelding bij Adobe Creative Cloud-applicaties en bijbehorende websites voor eenmalige aanmelding.

De toegang tot de IdP is doorgaans mogelijk via een afzonderlijk netwerk dat is geconfigureerd met specifieke regels om alleen specifieke typen van communicatie tussen servers en het interne en externe netwerk toe te staan, ook wel DMZ (gedemilitariseerde zone) genoemd. De configuratie van het besturingssysteem op deze server en de topologie van een dergelijke netwerk valt buiten het bestek van dit document.

Algemene vereisten

Voordat u een domein voor eenmalige aanmelding met de IdP Shibboleth configureert, moet aan de volgende vereisten zijn voldaan:

  • De meest recente versie van Shibboleth is geïnstalleerd en geconfigureerd.
  • Alle Active Directory-accounts die met een account voor Creative Cloud voor ondernemingen moeten worden gekoppeld, hebben een e-mailadres dat in Active Directory wordt weergegeven.
Opmerking:

De stappen voor de configuratie van de IdP Shibboleth met Adobe SSO die in dit document worden beschreven, zijn getest met versie 3.

Eenmalige aanmelding configureren met Shibboleth

Voer de volgende stappen uit om eenmalige aanmelding voor uw domein te configureren:

  1. Meld u aan bij de Admin Console en maak een Federated ID-directory waarbij u Andere SAML-providers kiest als identiteitsprovider. Kopieer de waarden voor ACS-URL en Entiteits-ID in het scherm SAML-profiel toevoegen.
  2. Configureer Shibboleth waarbij u de ACS-URL en Entiteits-ID opgeeft en download het metagegevensbestand van Shibboleth.
  3. Keer terug naar de Adobe Admin Console, upload het Shibboleth-metagegevensbestand in het scherm SAML-profiel toevoegen en klik op Gereed.

Shibboleth configureren

Nadat u het SAML XML-metagegevensbestand van de Adobe Admin Console hebt gedownload, volgt u de onderstaande stappen om de configuratiebestanden van Shibboleth bij te werken.

  1. Kopieer het gedownloade metagegevensbestand naar de volgende locatie en wijzig de naam van het bestand in adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Werk het bestand bij om ervoor te zorgen dat de juiste gegevens worden teruggestuurd naar Adobe.

    Vervang de volgende regels in het bestand:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Door:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Vervang ook:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Door:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Bewerk het bestand attribute-filter.xml.

    Voor de Adobe-serviceprovider is de voornaam, achternaam, en het e-mailadres vereist in de SAML-respons.

    Bewerk het bestand %{idp.home}/conf/attribute-filter.xml om de kenmerken FirstName, LastName en Email op te nemen door het knooppunt AttributeFilterPolicy in te voegen, zoals hieronder wordt weergegeven (regels 17 tot en met 31):

    <?xml version="1.0" encoding="UTF-8"?> <!-- Dit bestand is een VOORBEELD van een beleidsbestand. Hoewel het beleid dat in dit voorbeeldbestand wordt weergegeven, illustratief is voor enkele eenvoudige gevallen, maakt het gebruik van de namen van niet-bestaande voorbeeldservices en de voorbeeldkenmerken in het standaardbestand attribuut-resolver.xml. Distributiebeheerders moeten de documentatie raadplegen voor een volledige lijst met componenten en hun opties. --> <AttributeFilterPolicyGroup> <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" /> <AttributeRule attributeID="NameID"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="FirstName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="LastName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="Email"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy> </AttributeFilterPolicyGroup>
  4. Bewerk het bestand metadata-providers.xml.

    Werk het bestand %{idp.home}/conf/metadata-providers.xml bij met de locatie van het metagegevensbestand adobe-sp-metadata.xml (regel 29 hieronder) dat u in stap 1 hierboven hebt gemaakt.

        <!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Voorbeeldbestand van metagegevensprovider. Gebruik dit bestand als u metagegevens uit een lokaal bestand wilt laden. U kunt dit gebruiken als u enkele lokale SP's hebt die niet 'federatief' zijn, maar die u een service wilt bieden. Als u het filter SignatureValidation niet opgeeft, is het uw verantwoordelijkheid ervoor te zorgen dat de inhoud betrouwbaar is. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Problemen met uw Shibboleth-configuratie oplossen

Als u zich niet kunt aanmelden bij adobe.com, controleert u de volgende Shibboleth-configuratiebestanden op mogelijke problemen:

1. attribute-resolver.xml

In het attribute filter-bestand dat u hebt bijgewerkt tijdens het configureren van Shibboleth, worden de kenmerken gedefinieerd die u aan de Adobe-serviceprovider moet opgeven. U moet deze kenmerken echter aan de juiste kenmerken toewijzen, zoals gedefinieerd in LDAP / Active Directory voor uw organisatie.

Bewerk het bestand attribute-resolver.xml op de volgende locatie:

%{idp.home}/conf/attribute-resolver.xml

Geef voor elk van de volgende kenmerken het bronkenmerk-id op, zoals gedefinieerd voor uw organisatie:

  • FirstName (regel 1 hieronder)
  • LastName (regel 7 hieronder)
  • Email (regel 13 hieronder)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Werk het bestand relying-party.xml op de volgende locatie bij om de saml-nameid-indeling te ondersteunen, zoals is vereist door de Adobe-serviceprovider:

%{idp.home}/conf/relying-party.xml

Werk het kenmerk p:nameIDFormatPrecedence (regel 7 hieronder) bij met emailAddress.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>

Als u de versleuteling van de bevestigingen wilt uitschakelen, doet u het volgende in de sectie DefaultRelyingParty voor elk van de SAML2-typen:

Vervang:

encryptAssertions="conditional"

Door:

encryptAssertions=”never"

3. saml-nameid.xml

Werk het bestand saml-nameid.xml bij op de volgende locatie:

%{idp.home}/conf/saml-nameid.xml

Werk het kenmerk p:attributeSourceIds (regel 3 hieronder bij met "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />

Het IdP-metagegevensbestand uploaden naar de Adobe Admin Console

Het metagegevensbestand van Shibboleth bijwerken:

  1. Ga terug naar de Adobe Admin Console.

  2. Upload het Shibboleth-metagegevensbestand in het scherm SAML-profiel toevoegen.

    Nadat Shibboleth is geconfigureerd, is het metagegevensbestand (idp-metadata.xml) beschikbaar op de volgende locatie op uw Shibboleth-server:

    <shibboleth>/metadata

  3. Klik op Gereed.

Lees Directory's maken in de Admin Console voor meer informatie.

Eenmalige aanmelding testen

Controleer de toegang voor een gebruiker die u in uw eigen systeem voor identiteitsbeheer en in de Adobe Admin Console hebt gedefinieerd door u aan te melden op de website van Adobe of bij de Creative Cloud desktop-app.

Raadpleeg ons document voor probleemoplossing als u problemen ondervindt.

Als u nog steeds hulp nodig met de configuratie van eenmalige aanmelding, gaat u naar Ondersteuning in de Adobe Admin Console en opent u een ticket.

Adobe-logo

Aanmelden bij je account