Atualizar certificado de SSO

Se você configurou o SSO para seu provedor de identidade (IdP) com o Adobe Admin Console e os usuários finais não conseguem fazer logon em aplicativos e serviços da Adobe, o certificado SAML pode ter expirado.

Problema

Você enfrenta qualquer um dos seguintes problemas:

  • Os usuários finais são desconectados e não conseguem fazer logon nos aplicativos da Web, para dispositivos móveis ou de desktop da Adobe Creative Cloud.
  • Na tentativa de logon, os usuários finais veem mensagens de erro como estas:
    • Falha na validação da certificação SAML.
    • A assinatura digital na resposta SAML não foi validada com o certificado do provedor de identidade.
  • Os administradores não conseguem adicionar/remover/gerenciar usuários ou perfis de produtos.
  • Os administradores desejam renovar seu certificado SAML que está prestes a expirar.

Causa

Em uma troca de SAML, as duas entidades envolvidas são:

  • Provedor de identidade (IdP)
    O certificado IdP pertence e é gerenciado pelo cliente dentro de seu próprio IdP (ADFS, OKTA, Shiboleth) e é carregado no Admin Console.
  • Adobe, que atua como provedora de serviço (SP)
    As entidades da Adobe são gerenciadas no Admin Console e carregadas no IdP do cliente.

Ambas as entidades possuem seus respectivos certificados, que são utilizados para estabelecer confiança.
Se você configurou o SSO para seu provedor de identidade (IdP) com o Adobe Admin Console e os usuários finais não conseguem fazer logon em aplicativos e serviços da Adobe, o certificado SAML pode ter expirado.

Notificação do Admin Console

A Adobe informará você quando um certificado gerado pela Adobe estiver prestes a expirar ou tiver expirado com uma notificação de banner no Admin Console juntamente com uma atualização de status por diretório. Para exibir o status de um certificado SAML, navegue até Configurações > Configurações de identidade e revise a coluna Status da guia Diretórios.

Solução

Configuração de SAML

Você pode atualizar diretamente a configuração da federação por meio do Admin Console se os certificados tiverem expirado ou estiverem prestes a expirar. Os certificados SAML são atualizados junto com a configuração SAML.

Observação:

Se o seu IdP não verificar a validade do certificado, nenhuma ação será necessária.

Como administrador do sistema, você pode atualizar e gerenciar diretamente certificados autoassinados no Admin Console seguindo estas etapas:

  1. No Admin Console, navigate to Configurações > Identidade > (Nome do diretório)> Autenticação.

  2. Clique em Editar e depois clique em Próximo.

  3. Veja os certificados disponíveis e seu status. Você pode optar por gerar um novo certificado ou uma nova solicitação de assinatura de certificado.

    Observação:

    O certificado autoassinado é mais conveniente e está de acordo com as práticas recomendadas de segurança. Recomenda-se um certificado autoassinado, a menos que sua organização tenha requisitos específicos que um certificado autoassinado não possa atender.

  4. Clique em Gerar novo certificado.

    Um novo certificado SAML será gerado no diretório federado selecionado para uma configuração SAML ativa.

  5. Crie uma solicitação de assinatura.

    Clique em Criar uma solicitação de assinatura de certificado.
    Na caixa de diálogo exibida, insira os seguintes detalhes de informações da sua certificate authority (CA):

    1. Insira os detalhes da sua certificate authority.
    2. Ao optar por criar uma solicitação de assinatura, você deve concluir o processo com sua certificate authority (CA) para que entre em vigor com o certificado SAML.
    3. Acesse Ações e clique em Concluir.
    4. Faça upload do arquivo de certificado da certificate authority e clique em Concluir e depois clique em Concluído

Depois que um certificado for criado com sucesso, outras ações estarão disponíveis, incluindo definir como padrão, ativar, desativar, baixar metadados, baixar certificado e excluir.

Se o seu IdP permitir vários certificados, siga etapas a seguir sem interrupções de logon.

  1. Faça upload do novo certificado além do antigo em seu IdP.

  2. Defina o novo certificado como padrão no Adobe Admin Console.

  3. Teste o logon.

  4. Remova o certificado antigo da configuração do IdP.

  5. Desative ou exclua o certificado antigo.

Observação:

É recomendado desabilitar, pois a exclusão é irreversível.

Se o seu IdP NÃO permitir vários certificados, você deverá escolher um intervalo de inatividade para realizar a renovação:

  1. Faça upload do novo certificado em seu IdP.

  2. Defina o novo certificado como padrão no Adobe Admin Console.

  3. Teste o logon.

  4. Desative o certificado antigo.

  5. Se você não encontrar nenhum problema, exclua o certificado antigo.

Observação:

É recomendável esperar um pouco antes de excluir o certificado antigo, pois a exclusão de certificados é irreversível.

Registros de auditoria

As ações realizadas relacionadas à criação e gerenciamento de certificados podem ser encontradas nos logs de auditoria.

Para exibir os registros de auditoria, vá para o Admin Console e navegue até Insights > Logs > Log de auditoria.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online