SSO-certificaat bijwerken

Als u SSO voor uw identiteitsprovider (IdP) hebt ingesteld met de Adobe Admin Console en uw eindgebruikers zich niet kunnen aanmelden bij hun Adobe-apps en -services, is het SAML-certificaat mogelijk verlopen.

Probleem

U ondervindt een van de volgende problemen:

  • Eindgebruikers worden afgemeld en kunnen zich niet aanmelden bij Adobe Creative Cloud-apps voor web, mobiel of desktop.
  • Wanneer ze proberen zich aan te melden, zien ze een foutbericht zoals het volgende:
    • Validatie van SAML-certificaat mislukt.
    • De digitale handtekening in de SAML-reactie is niet gevalideerd met het certificaat van de identiteitsprovider.
  • De beheerder kan geen gebruikers of productprofielen toevoegen/verwijderen/beheren.
  • Beheerders willen uw SAML-certificaat vernieuwen omdat dit bijna is verlopen.

Oorzaak

Bij een SAML-uitwisseling zijn de twee betrokken partijen:

  • Identiteitsprovider (IdP)
    Het IdP-certificaat is eigendom van en wordt beheerd door de klant binnen diens eigen IdP (ADFS, OKTA, Shiboleth) en wordt geüpload naar de Admin Console.
  • Adobe, die optreedt als serviceprovider (SP)
    Adobe-entiteiten worden beheerd in de Admin Console en geüpload naar de IdP van de klant.

Beide partijen hebben hun eigen certificaten, die worden gebruikt om een vertrouwensrelatie tot stand te brengen.
Als u SSO voor uw identiteitsprovider (IdP) hebt ingesteld in de Adobe Admin Console en uw eindgebruikers zich niet kunnen aanmelden bij hun Adobe-apps en -services, is het SAML-certificaat mogelijk verlopen.

Melding in de Admin Console

Adobe informeert u wanneer een door Adobe gegenereerd certificaat binnenkort verloopt of is verlopen met een bannermelding in de Admin Console, samen met een statusupdate per directory. Als u de status van een SAML-certificaat wilt bekijken, navigeert u naar Instellingen> Identiteitsinstellingen en bekijkt u de kolom Status op het tabblad Directory's.

Oplossing

SAML-configuratie

U kunt de federatieconfiguratie rechtstreeks bijwerken via de Admin Console als uw certificaten zijn verlopen of binnenkort verlopen. De SAML-certificaten worden samen met de SAML-configuratie bijgewerkt.

Opmerking:

Als uw IdP de geldigheid van het certificaat niet controleert, hoeft u geen actie te ondernemen.

Als systeembeheerder kunt u zelfondertekende certificaten rechtstreeks bijwerken en beheren vanuit de Admin Console door deze stappen te volgen:

  1. Ga in de Admin Console naar Instellingen > Identiteit > (Directorynaam) > Verificatie.

  2. Klik op Bewerken en klik daarna op Volgende.

  3. Bekijk de beschikbare certificaten en hun status. U kunt ervoor kiezen een nieuw certificaat of een nieuw Certificate Signing Request te genereren.

    Opmerking:

    Een zelfondertekend certificaat is handiger en is in overeenstemming met best practices op het gebied van beveiliging. Het wordt aanbevolen te kiezen voor een zelfondertekend certificaat, tenzij uw organisatie specifieke eisen stelt waaraan een zelfondertekend certificaat niet kan voldoen.

  4. Klik op Nieuw certificaat genereren.

    Er wordt een nieuw SAML-certificaat gegenereerd binnen de geselecteerde federatieve directory voor een actieve SAML-configuratie.

  5. Maak een nieuw ondertekeningsverzoek.

    Klik op Een Certificate Signing Request maken.
    In het dialoogvenster dat wordt weergegeven, voert u de volgende gegevens van uw certificeringsinstantie (CA) in:

    1. Voer de gegevens van uw certificeringsinstantie in.
    2. Wanneer u ervoor kiest een nieuw ondertekeningsverzoek te maken, moet u het proces voltooien bij uw certificeringsinstantie (CA) voordat dit van kracht wordt voor het SAML-certificaat.
    3. Ga naar Acties en klik op Voltooien.
    4. Upload het certificaatbestand van de certificeringsinstantie, klik op Voltooien en klik daarna op Gereed.

Nadat een certificaat is gemaakt, zijn er aanvullende stappen beschikbaar, zoals instellen als standaard, activeren, deactiveren, metadata downloaden, certificaat downloaden en verwijderen.

Als uw IdP meerdere certificaten ondersteunt, kunt u deze stappen volgen zonder dat dit leidt tot onderbrekingen tijdens het aanmelden.

  1. Upload het nieuwe certificaat naast het oude in uw IdP.

  2. Stel het nieuwe certificaat in als standaard in de Adobe Admin Console.

  3. Test het aanmelden.

  4. Verwijder het oude certificaat uit uw IdP-configuratie.

  5. Schakel het oude certificaat uit of verwijder het.

Opmerking:

Het wordt aanbevolen het certificaat uit te schakelen, omdat verwijderen onomkeerbaar is.

Als uw IdP NIET meerdere certificaten ondersteunt, moet u een downtime-interval kiezen om het certificaat te vernieuwen:

  1. Upload het nieuwe certificaat naar uw IdP.

  2. Stel het nieuwe certificaat in als standaard in de Adobe Admin Console.

  3. Test het aanmelden.

  4. Schakel het oude certificaat uit.

  5. Als u geen problemen ondervindt, verwijdert u het oude certificaat.

Opmerking:

Het wordt aanbevolen enige tijd te wachten voordat u het oude certificaat verwijdert, omdat het verwijderen van certificaten onomkeerbaar is.

Controlelogbestanden

De stappen die u hebt genomen met betrekking tot het maken en beheren van certificaten, vindt u terug in de controlelogbestanden.

Als u de controlelogbestanden wilt bekijken, gaat u naar de Admin Console en navigeert u naar Inzichten > Logbestanden > Controlelogbestand.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX 2024

Adobe MAX
De creativiteitsconferentie

14–16 oktober Miami Beach en online

Adobe MAX

De creativiteitsconferentie

14–16 oktober Miami Beach en online