Konfigurieren von Shibboleth-IdP für die Verwendung mit Adobe SSO

Übersicht

Mit der Adobe Admin Console können Systemadministratoren Domänen mit Federated ID-Anmeldung für Single Sign-on (SSO) konfigurieren. Sobald das Eigentum an einer Domäne bestätigt wurde, wird das Verzeichnis mit der Domäne so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mithilfe ihrer E-Mail-Adresse in dieser Domäne über einen Identitätsanbieter (Identity Provider, IdP) anmelden. Dieser Prozess wird entweder als Softwaredienst, der innerhalb des Unternehmensnetzwerks ausgeführt wird und über das Internet zugänglich ist, oder als Cloud Service bereitgestellt, wobei ein Drittanbieter das Hosting übernimmt. In diesem Fall werden die Anmeldeinformationen des Benutzers über eine sichere Verbindung mithilfe des SAML-Protokolls bestätigt.

Shibboleth ist ein solcher IdP. Für die Verwendung von Shibboleth benötigen Sie einen Server, der über das Internet erreichbar ist und Zugriff auf die Verzeichnisdienste im Unternehmensnetzwerk hat. In diesem Dokument wird beschrieben, wie Sie die Adobe Admin Console und einen Shibboleth-Server so konfigurieren, dass eine Anmeldung bei Adobe Creative Cloud-Applikationen und zugeordneten Websites mit Single Sign-on möglich ist.

Der Zugriff auf den IdP erfolgt in der Regel über ein separates Netzwerk, das mit bestimmten Regeln konfiguriert ist, die nur ausgewählte Arten der Kommunikation zwischen Servern und den internen und externen Netzwerken zulassen. Dies wird als „Demilitarized Zone“ oder DMZ bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und die Topologie eines Netzwerks würden den Rahmen dieses Dokuments sprengen.

Voraussetzungen

Bevor Sie eine Domäne für Single Sign-on mit dem Shibboleth-IdP konfigurieren können, müssen die folgenden Anforderungen erfüllt sein:

  • Die neueste Version von Shibboleth ist installiert und konfiguriert.
  • Zu allen Active Directory-Konten, die einem Konto für Creative Cloud für Unternehmen zugeordnet werden sollen, ist in Active Directory eine E-Mail-Adresse verzeichnet.
Hinweis:

Die in diesem Dokument beschriebenen Schritte zum Konfigurieren des Shibboleth-IdP mit Adobe SSO wurden mit Version 3 getestet.

Single Sign-on mit Shibboleth konfigurieren

Führen Sie zum Konfigurieren von Single Sign-on für Ihre Domäne die folgenden Schritte aus:

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, wobei Sie Andere SAML-Anbieter als Identitätsanbieter auswählen. Kopieren Sie die Werte für ACS URL und Entity ID von der Seite SAML-Profil hinzufügen.
  2. Konfigurieren Sie Shibboleth, indem Sie die ACS URL und die Entity ID angeben und die Shibboleth-Metadatendatei herunterladen.
  3. Kehren Sie zur Adobe Admin Console zurück, um auf der Seite SAML-Profil hinzufügen die Shibboleth-Metadatendatei hochzuladen. Klicken Sie dann auf Fertig.

Shibboleth konfigurieren

Nachdem Sie die SAML-XML-Metadatendatei von der Adobe Admin Console heruntergeladen haben, führen Sie die folgenden Schritte aus, um die Shibboleth-Konfigurationsdateien zu aktualisieren.

  1. Kopieren Sie die heruntergeladene Metadatendatei an den folgenden Speicherort und benennen Sie die Datei in adobe-sp-metadata.xml um:

    %{idp.home}/metadata/

  2. Aktualisieren Sie die Datei, um sicherzustellen, dass die richtigen Informationen an Adobe zurückgegeben werden.

    Ersetzen Sie die folgenden Zeilen in der Datei:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    durch:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Ersetzen Sie außerdem:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    durch:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Bearbeiten Sie die Datei attribute-filter.xml.

    Der Adobe-Dienstanbieter benötigt in der SAML-Antwort den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers.

    Bearbeiten Sie die Datei %{idp.home}/conf/attribute-filter.xml, um die Attribute „FirstName“, „LastName“ und „Email“ einzuschließen, indem Sie den Knoten „AttributeFilterPolicy“ einfügen, wie unten dargestellt (Zeilen 17 bis 31):

    <?xml version="1.0" encoding="UTF-8"?> <!-- Diese Datei ist ein BEISPIEL für eine Richtliniendatei. Die in dieser Beispieldatei dargestellte Richtlinie veranschaulicht einige einfache Fälle, verwendet jedoch die Namen nicht vorhandener Beispiel-Services und die Beispielattribute, die in der Standarddatei „attribute-resolver.xml“ angegeben sind. Bereitsteller finden eine vollständige Liste der Komponenten und ihrer Optionen in der Dokumentation. --> <AttributeFilterPolicyGroup> <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" /> <AttributeRule attributeID="NameID"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="FirstName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="LastName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> <AttributeRule attributeID="Email"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy> </AttributeFilterPolicyGroup>
  4. Bearbeiten Sie die Datei metadata-providers.xml.

    Aktualisieren Sie die Datei %{idp.home}/conf/metadata-providers.xml mit dem Speicherort der Metadatendatei „adobe-sp-metadata.xml“ (Zeile 29 unten), die Sie weiter oben in Schritt 1 erstellt haben.

        <!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Beispieldatei für einen Metadatenanbieter. Verwenden Sie diese Option, wenn Sie Metadaten aus einer lokalen Datei laden möchten. Sie können diese z. B. verwenden, wenn Sie einige lokale SPs haben, die nicht zu einem „Verbund“ zusammengefasst sind, denen Sie jedoch einen Service anbieten möchten. Wenn Sie keinen SignatureValidation-Filter bereitstellen, müssen Sie sicherstellen, dass die Inhalte vertrauenswürdig sind. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Fehler bei der Shibboleth-Einrichtung beheben

Wenn Sie sich nicht erfolgreich bei „adobe.com“ anmelden können, überprüfen Sie die folgenden Shibboleth-Konfigurationsdateien auf mögliche Probleme:

1. attribute-resolver.xml

Die Attributfilterdatei, die Sie beim Konfigurieren von Shibboleth aktualisiert haben, definiert die Attribute, die Sie für den Adobe-Dienstanbieter bereitstellen müssen. Sie müssen diese Attribute jedoch den entsprechenden Attributen zuordnen, die in LDAP/Active Directory für Ihre Organisation definiert sind.

Bearbeiten Sie die Datei attribute-resolver.xml am folgenden Speicherort:

%{idp.home}/conf/attribute-resolver.xml

Geben Sie für jedes der folgenden Attribute die Quellattribut ID an, die für Ihre Organisation definiert ist:

  • FirstName (Zeile 1 unten)
  • LastName (Zeile 7 unten)
  • Email (Zeile 13 unten)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Aktualisieren Sie die Datei relying-party.xml am folgenden Speicherort, um das für den Adobe-Dienstanbieter erforderliche saml-nameid-Format zu unterstützen.

%{idp.home}/conf/relying-party.xml

Aktualisieren Sie das Attribut p:nameIDFormatPrecedence (Zeile 7 unten) so, dass emailAddress enthalten ist.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>

Zum Deaktivieren der Verschlüsselung der Zusicherungen gehen Sie im Abschnitt DefaultRelyingParty für jeden der SAML2-Typen wie folgt vor:

Ersetzen Sie:

encryptAssertions="conditional"

durch:

encryptAssertions=”never"

3. saml-nameid.xml

Aktualisieren Sie die Datei saml-nameid.xml am folgenden Speicherort:

%{idp.home}/conf/saml-nameid.xml

Aktualisieren Sie das Attribut p:attributeSourceIds (Zeile 3 unten) auf "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />

IdP-Metadatendatei in die Adobe Admin Console hochladen

So aktualisieren Sie die Shibboleth-Metadatendatei:

  1. Kehren Sie zur Adobe Admin Console zurück.

  2. Laden Sie die Shibboleth-Metadatendatei auf der Seite SAML-Profil hinzufügen hoch.

    Nach der Konfiguration von Shibboleth ist die Metadatendatei (idp-metadata.xml) an folgendem Ort auf Ihrem Shibboleth-Server verfügbar:

    <shibboleth>/metadata

  3. Klicken Sie auf Fertig.

Weitere Einzelheiten finden Sie unter Erstellen von Verzeichnissen in der Admin Console.

Single Sign-on testen

Überprüfen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsverwaltungssystem und in der Adobe Admin Console definiert haben, indem Sie sich bei der Adobe-Website oder beim Creative Cloud-Client anmelden.

Wenn Probleme auftreten, lesen Sie das Dokument zur Problembehandlung.

Wenn Sie bei der Konfiguration von Single Sign-on weitere Hilfe benötigen, navigieren Sie in der Adobe Admin Console zu Support und erstellen Sie ein Ticket.

Adobe-Logo

Bei Ihrem Konto anmelden