Kopieer het gedownloade metagegevensbestand naar de volgende locatie en wijzig de naam van het bestand in adobe-sp-metadata.xml:
%{idp.home}/metadata/
Met de Adobe Admin Console kan een systeembeheerder domeinen die worden gebruikt voor aanmelding via Federated ID, configureren voor eenmalige aanmelding (SSO). Nadat het domein is geverifieerd, wordt de directory die het domein bevat zo geconfigureerd dat gebruikers zich kunnen aanmelden bij Creative Cloud. Gebruikers kunnen zich in dat domein aanmelden met hun e-mailadres via een IdP (identiteitsprovider). Het proces is ingericht als een softwareservice die binnen het bedrijfsnetwerk wordt uitgevoerd en toegankelijk is via internet of als een cloudservice die wordt gehost door derden, die verificatie van de aanmeldingsgegevens van gebruikers mogelijk maakt via beveiligde communicatie met het SAML-protocol.
Een van deze IdP's is Shibboleth. Als u Shibboleth wilt gebruiken, hebt u een server nodig die toegankelijk is via internet en toegang heeft tot de adreslijstservices in het bedrijfsnetwerk. In dit document wordt het proces beschreven om de Admin Console en een Shibboleth-server te configureren voor aanmelding bij Adobe Creative Cloud-applicaties en bijbehorende websites voor eenmalige aanmelding.
De toegang tot de IdP is doorgaans mogelijk via een afzonderlijk netwerk dat is geconfigureerd met specifieke regels om alleen specifieke typen van communicatie tussen servers en het interne en externe netwerk toe te staan, ook wel DMZ (gedemilitariseerde zone) genoemd. De configuratie van het besturingssysteem op deze server en de topologie van een dergelijke netwerk valt buiten het bestek van dit document.
Voordat u een domein voor eenmalige aanmelding met de IdP Shibboleth configureert, moet aan de volgende vereisten zijn voldaan:
De stappen voor de configuratie van de IdP Shibboleth met Adobe SSO die in dit document worden beschreven, zijn getest met versie 3.
Voer de volgende stappen uit om eenmalige aanmelding voor uw domein te configureren:
Nadat u het SAML XML-metagegevensbestand van de Adobe Admin Console hebt gedownload, volgt u de onderstaande stappen om de configuratiebestanden van Shibboleth bij te werken.
Kopieer het gedownloade metagegevensbestand naar de volgende locatie en wijzig de naam van het bestand in adobe-sp-metadata.xml:
%{idp.home}/metadata/
Werk het bestand bij om ervoor te zorgen dat de juiste gegevens worden teruggestuurd naar Adobe.
Vervang de volgende regels in het bestand:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Door:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Vervang ook:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Door:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Bewerk het bestand metadata-providers.xml.
Werk het bestand %{idp.home}/conf/metadata-providers.xml bij met de locatie van het metagegevensbestand adobe-sp-metadata.xml (regel 29 hieronder) dat u in stap 1 hierboven hebt gemaakt.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Voorbeeldbestand van metagegevensprovider. Gebruik dit bestand als u metagegevens uit een lokaal bestand wilt laden. U kunt dit gebruiken als u enkele lokale SP's hebt die niet 'federatief' zijn, maar die u een service wilt bieden. Als u het filter SignatureValidation niet opgeeft, is het uw verantwoordelijkheid ervoor te zorgen dat de inhoud betrouwbaar is. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Als u zich niet kunt aanmelden bij adobe.com, controleert u de volgende Shibboleth-configuratiebestanden op mogelijke problemen:
In het attribute filter-bestand dat u hebt bijgewerkt tijdens het configureren van Shibboleth, worden de kenmerken gedefinieerd die u aan de Adobe-serviceprovider moet opgeven. U moet deze kenmerken echter aan de juiste kenmerken toewijzen, zoals gedefinieerd in LDAP / Active Directory voor uw organisatie.
Bewerk het bestand attribute-resolver.xml op de volgende locatie:
%{idp.home}/conf/attribute-resolver.xml
Geef voor elk van de volgende kenmerken het bronkenmerk-id op, zoals gedefinieerd voor uw organisatie:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Werk het bestand relying-party.xml op de volgende locatie bij om de saml-nameid-indeling te ondersteunen, zoals is vereist door de Adobe-serviceprovider:
%{idp.home}/conf/relying-party.xml
Werk het kenmerk p:nameIDFormatPrecedence (regel 7 hieronder) bij met emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Als u de versleuteling van de bevestigingen wilt uitschakelen, doet u het volgende in de sectie DefaultRelyingParty voor elk van de SAML2-typen:
Vervang:
encryptAssertions="conditional"
Door:
encryptAssertions=”never"
Werk het bestand saml-nameid.xml bij op de volgende locatie:
%{idp.home}/conf/saml-nameid.xml
Werk het kenmerk p:attributeSourceIds (regel 3 hieronder bij met "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Het metagegevensbestand van Shibboleth bijwerken:
Ga terug naar de Adobe Admin Console.
Upload het Shibboleth-metagegevensbestand in het scherm SAML-profiel toevoegen.
Nadat Shibboleth is geconfigureerd, is het metagegevensbestand (idp-metadata.xml) beschikbaar op de volgende locatie op uw Shibboleth-server:
<shibboleth>/metadata
Klik op Gereed.
Lees Directory's maken in de Admin Console voor meer informatie.
Controleer de toegang voor een gebruiker die u in uw eigen systeem voor identiteitsbeheer en in de Adobe Admin Console hebt gedefinieerd door u aan te melden op de website van Adobe of bij de Creative Cloud desktop-app.
Raadpleeg ons document voor probleemoplossing als u problemen ondervindt.
Als u nog steeds hulp nodig met de configuratie van eenmalige aanmelding, gaat u naar Ondersteuning in de Adobe Admin Console en opent u een ticket.