A Federação InCommon fornece identidades federadas para comunidades acadêmicas. Como administrador de identidade para uma instituição educacional que faz parte da Federação InCommon, você pode configurar sua empresa para aceitar o logon para acesso a aplicativos da Adobe usando uma Federated ID da InCommon.

Ao fazer logon com uma Federated ID, o provedor de identidade (IdP) do usuário autentica a identidade do usuário, e a Adobe concede autorização para seus serviços ao usuário autenticado. Para fornecer a autorização, a Adobe cria uma Adobe ID interna que corresponde à Federated ID da InCommon.

Cada IdP armazena informações de identidade de modo diferente, o que significa que você deve criar um mapeamento entre os campos específicos usados por seu IdP e os campos necessários à Adobe ID correspondente. O mapeamento deve ser feito por ambas as partes. Você deve configurar sua organização da Adobe com suas informações de contato e mapeamento de IdP, além de configurar o IdP com informações de contato e de mapeamento para a sua organização da Adobe.

Pré-requisitos

Para concluir o processo de configuração, é necessário ser um administrador de identidade com privilégios de acesso apropriados para sua conta de organização da Adobe e sua conta IdP. É necessário ter o seguinte:

  • Um IdP ativo e em conformidade com a SAML 2.0. Os membros da Federação InCommon normalmente usam Shibboleth 2.x ou 3.x como seu IdP, porém sua utilização não é necessária.
  • Acesso administrativo ao Adobe Admin Console e ao InCommon Federation Manager.
  • Acesso administrativo a seus metadados de IdP.
  • Uma solicitação de domínio aprovada para sua conta de organização da Adobe.

Mapeamento entre a Adobe e as Federated IDs da InCommon

Para que sua organização permita o acesso aos aplicativos da Adobe pelo SSO por meio das Federated IDs da InCommon, duas coisas são necessárias:

  • Use o Adobe Admin Console para configurar sua organização com os detalhes de segurança do IdP que você usa para autenticar suas IDs da Federation InCommon.
  • Use o InCommon Federation Manager para configurar um registro de provedor de serviços para conexões da Adobe.

Configurar suas informações de IdP no Adobe Admin Console

Para Configurar o Single Sign-On para o seu domínio, insira as informações necessárias usando o assistente de configuração de domínio no Adobe Admin Console.

Configurar domínio

Você precisa preencher esses campos para permitir que a Adobe se conecte ao seu provedor de serviços e para permitir que os usuários façam logon com suas Federated IDs da InCommon.

  • Certificado IDP: o certificado em formato PEM nos metadados de seu IdP. O arquivo deve ter a extensão .crt.
  • Vínculo de IDP: HTTP-POST ou HTTP-REDIRECT.
  • Configuração de logon do usuário: escolha se os usuários devem fazer logon com um endereço de email ou um nome de usuário simples.
  • Emissor de IDP: a ID de entidade do IdP.
  • URL de logon do IDP: o ponto de extremidade de logon no SAML, conforme necessário para o vínculo especificado.

Para acessar o arquivo de metadados para o novo provedor de serviços, clique em Baixar metadados. Use este arquivo para configurar a integração de SAML com o provedor de identidade. Seu provedor de identidade requer este arquivo para habilitar Single Sign-On.

Configurar um provedor de serviço da Adobe para o seu IdP

Uma conexão à Adobe requer um provedor de serviços definido no InCommon Federation Manager. O registro do provedor de serviços mapeia as informações de identidade entre o formato Federated ID da Adobe e o formato Federated ID da InCommon usado por seu IdP. Você localiza os valores da Adobe no arquivo de metadados do provedor de serviços baixado do Admin Console.

Para criar um registro de provedor de serviços, siga estas etapas:

  1. Na interface de usuário do InCommon Federation Manager, selecione Novo provedor de serviços.

  2. Preencha a ID da entidade do campo entityID em seus metadados da Adobe.

    new
  3. Em Elementos da interface de usuário e atributos solicitados, defina o Nome de exibição de SP como um nome que reconhecerá facilmente.

    v2_SP_display_name

    Para preencher os atributos solicitados, primeiro é necessário configurar o IdP para os atributos personalizados exigidos pela Adobe conforme descrito abaixo. Pule esta etapa por enquanto.

  4. Em Assertion Consumer Service, preencha os valores correspondentes dos metadados da Adobe. Para o URL Local, use o mesmo valor de vínculo de SAML HTTP-POST.

    Assertion_Consumer_Service
  5. Serviços individuais de logout não são suportados atualmente. Deixe em branco.

  6. Insira as informações de Contatos apropriadas.

    contacts

Configuração de IdP

O provedor de serviços da Adobe requer que o IdP forneça três atributos personalizados com os nomes a seguir (com diferenciação de maiúsculas e minúsculas):

  • FirstName: equivalente do atributo InCommon `sn` (`surname`) (urn:oid:2.5.4.4)
  • LastName: equivalente ao atributo InCommon `givenname` (urn:oid:2.5.4.42)
  • Email: equivalente ao atributo InCommon `mail` (urn:oid:0.9.2342.19200300.100.1.3)

Como os atributos InCommon correspondentes não usam os mesmos nomes, você deve configurar o IdP para mapear os valores e enviá-los como atributos personalizados. Se você usar Shibboleth como seu IdP, consulte sua documentação para configurar atributos personalizados:

Além desses atributos personalizados, você deve configurar o campo NameId do atributo Subject de modo que ele contenha o valor do nome do usuário de logon ou email do usuário (conforme configurado no Adobe Admin Console). Se você usar Shibboleth como seu IdP, consulte sua documentação para configurar o campo NameId:

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online