Übersicht

Die Admin-Konsole ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden. Sobald die Eigentümerschaft einer Domäne durch ein DNS-Token nachgewiesen ist, kann die Domäne konfiguriert werden, um Benutzern die Möglichkeit zur Anmeldung bei Creative Cloud zu geben. Benutzer können sich mit E-Mail-Adressen innerhalb dieser Domäne über einen Identity Provider (IdP) anmelden. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Ein solcher IdP ist Shibboleth. Um Shibboleth zu verwenden, benötigen Sie einen Server, der über das Internet zugänglich ist und Zugriff auf die Verzeichnisdienste innerhalb des Unternehmensnetzwerks hat. Dieses Dokument beschreibt den Vorgang zur Konfiguration von Admin-Konsole und Shibboleth-Server, sodass Sie sich bei Adobe Creative Cloud-Applikationen und zugehörigen Websites für Single Sign-On anmelden können.

Der Zugriff auf den IdP erfolgt häufig über ein separates Netzwerk, für das spezifische Regeln konfiguriert werden, die nur bestimmte Typen der Kommunikation zwischen Servern und internen und externen Netzwerken zulassen. Dies wird im Allgemeinen als DMZ (Demilitarised Zone) bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und der Topologie eines derartigen Netzwerks werden nicht in diesem Dokuments erläutert.

Voraussetzungen

Bevor Sie eine Domäne für die einmalige Anmeldung mithilfe des Shibboleth IDP konfigurieren, müssen die folgenden Bedingungen erfüllt sein:

  • Eine genehmigte Domäne für Ihr Adobe-Organisationskonto. Der Status der Domäne in der Adobe Admin-Konsole muss „Konfiguration erforderlich“ lauten.
  • Die aktuelle Version von Shibboleth ist installiert und konfiguriert.
  • Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, haben eine E-Mail-Adresse, die in Active Directory aufgeführt ist.

Hinweis:

Die Schritte zum Konfigurieren von Shibboleth IDP mit Adobe SSO, die in diesem Dokument beschrieben werden, wurden mit der Version 3 getestet.

Konfigurieren der Adobe Admin-Konsole

Führen Sie die folgenden Schritte aus, um den Shibboleth-IdP in der Admin-Konsole zu konfigurieren:

  1. Navigieren Sie in der Admin-Konsole, zu Einstellungen > Identität.

    Auf der Seite Identität werden die Domänen in Ihrer Organisation aufgelistet.

  2. Klicken Sie auf den Namen der Domäne, die Sie einrichten möchten.

  3. Klicken Sie auf SSO konfigurieren.

    Der Assistent Domäne einrichten wird geöffnet.

    Domäne einrichten
  4. Um das IDP-Zertifikat hochzuladen, klicken Sie auf Hochladen und navigieren Sie zur Zertifikatsdatei:

    %{idp.home}/credentials/idp-signing.crt

  5. Legen Sie als IDP-Bindung „Weiterleitung“ fest.

  6. Wählen Sie für Benutzeranmeldeeinstellung die Option „E-Mail-Adresse“.

  7. Geben Sie folgende URL in das Feld IDP Issuer ein:

    https://<belgeter Domäneservername:Port>/idp/shibboleth

  8. Geben Sie folgende URL in das Feld IDP Anmelde-URL ein:

    https://<belgeter Domäneservername:Port>/idp/profile/SAML2/Redirect/SSO

  9. Klicken Sie auf Konfiguration abschließen.

  10. Um die SAML-XML-Metadatendatei herunterzuladen, klicken Sie auf Metadaten herunterladen.

    Die heruntergeladene Metadatendatei muss aktualisiert werden, um sicherzustellen, dass die richtigen Informationen an Adobe zurückgesendet werden.

    Ersetzen Sie die folgenden Zeilen in der Datei:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Mit:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

  11. Klicken Sie auf Domäne aktivieren.

    Ihre Domäne ist jetzt aktiv.

Konfigurieren von Shibboleth

Nachdem Sie die SAML XML-Metadatendatei von der Adobe Admin-Konsole heruntergeladen haben, aktualisieren Sie wie folgt die Shibboleth-Konfigurationsdateien.

  1. Kopieren Sie die heruntergeladene Datei in den folgenden Speicherort und benennen Sie die Datei in  adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Bearbeiten Sie die Datei „attribute-filter.xml“.

    Der Adobe-Service-Anbieter benötigt den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers in der SAML-Antwort.

    Bearbeiten Sie die Datei %{idp.home}/conf/attribute-filter.xml und nehmen Sie die Attribute „FirstName“, „LastName“ und „Email“ auf, indem Sie den Knoten „AttributeFilterPolicy“ einfügen wie unten gezeigt (Zeilen 17 bis 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
            xmlns="urn:mace:shibboleth:2.0:afp"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
    
        <!-- Release some attributes to an SP. -->
        <AttributeFilterPolicy id="AdobeSP">
            <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spi852ccrrph9JfWw0h7" />
    
            <AttributeRule attributeID="FirstName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="LastName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="Email">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
        </AttributeFilterPolicy>
       
    
    </AttributeFilterPolicyGroup>
  3. Bearbeiten Sie die metadata-providers.xml-Datei.

    Aktualisieren Sie %{idp.home}/conf/metadata-providers.xml mit dem Speicherort der Metadatendatei „adobe-sp-metadata.xml“ (Zeile 29 unten), die Sie in Schritt 1 erstellt haben.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Fehlerbehebung für die Shibboleth-Einrichtung

Wenn Sie sich nicht bei adobe.com anmelden können, überprüfen Sie folgende Shibboleth-Konfigurationsdateien auf mögliche Fehler:

1. attribute-resolver.xml

Die Attribut-Filterdatei, die beim Konfigurieren von Shibboleth aktualisiert haben, definiert die Attribute, die dem Adobe-Service-Anbieter bereitgestellt werden müssen. Allerdings müssen Sie diese Attribute den entsprechenden Attributen zuordnen, die in LDAP/Active Directory für Ihr Unternehmen definiert sind.

Bearbeiten Sie die attribute-resolver.xml-Datei an folgendem Speicherort:

%{idp.home}/conf/attribute-resolver.xml

Geben Sie für jedes der folgenden Attribute die Quell-Attribut-ID ein,wie für Ihr Unternehmen definiert:

  • FirstName (Zeile 1 unten)
  • LastName (Zeile 7 unten)
  • Email (Zeile 13 unten)
    <resolver:AttributeDefinition id="Email" xsi:type="ad:Simple" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="Email" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="LastName" xsi:type="ad:Simple" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="LastName" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="FirstName" xsi:type="ad:Simple" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="FirstName" encodeType="false" />
    </resolver:AttributeDefinition>

2. relying-party.xml

Aktualisieren Sie die relying-party.xml-Datei an folgendem Speicherort, um das saml-nameid-Format, wie vom Adobe-Service-Anbieter erforderlich, zu unterstützen:

%{idp.home}/conf/relying-party.xml

Aktualisieren Sie das Attribut p:nameIDFormatPrecedence (Zeile 7 unten), wobei Sie emailAddress aufnehmen.

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

3. saml-nameid.xml

Aktualisieren Sie die saml-nameid.xml am folgenden Speicherort:

%{idp.home}/conf/saml-nameid.xml

Aktualisieren Sie das Attribut p:attributeSourceIds (Zeile 3 unten) und ändern Sie es in "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Single Sign-on-Test

Erstellen Sie einen Testbenutzer mit Active Directory. Erstellen Sie einen Eintrag in der Admin-Konsole für diesen Benutzer und weisen Sie ihm eine Lizenz zu. Testen Sie dann die Anmeldung bei Adobe.com, um sich zu vergewissern, dass die relevante Software für den Download aufgelistet ist.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie