Panoramica

La Console di amministrazione consente a un amministratore di sistema di configurare i domini utilizzati per l’accesso tramite Federated ID per Single Sign-On (SSO). Una volta che la proprietà di un dominio è stata dimostrata tramite l’utilizzo di un token DNS, il dominio può essere configurato per consentire agli utenti di accedere a Creative Cloud. Gli utenti possono accedere usando gli indirizzi e-mail all’interno del dominio tramite un provider di identità (IdP). Il processo viene fornito come servizio software che viene eseguito all’interno della rete aziendale ed è accessibile tramite Internet o un servizio cloud ospitato da terzi che consente la verifica dei dettagli di accesso utente tramite la comunicazione protetta mediante il protocollo SAML.

Tale IdP è Shibboleth. Per utilizzare Shibboleth, è necessario configurare un server accessibile da Internet e con accesso ai servizi directory all’interno della rete aziendale. Questo documento descrive il processo per configurare la console di amministrazione e un server Shibboleth per poter accedere alle applicazioni Adobe Creative Cloud e ai siti web associati per Single Sign-On.

L’accesso a IdP è solitamente ottenuto tramite una rete separata configurata con regole specifiche per consentire solo tipi specifici di comunicazione tra server e rete interna ed esterna, con riferimento come DMZ (rete perimetrale). La configurazione del sistema operativo su questo server e della topologia di tale rete non rientra nell'ambito di questo documento.

Prerequisiti

Prima della configurazione di un dominio per Single Sign-On tramite IDP Shibboleth, devono essere soddisfatti i seguenti requisiti:

  • Un dominio approvato per l’account dell’organizzazione Adobe. Lo stato del dominio nella console di amministrazione di Adobe deve essere Configurazione richiesta.
  • La versione più recente di Shibboleth è installata e configurata.
  • Tutti gli account Active Directory da associare all’account Creative Cloud for Enterprise devono avere un indirizzo e-mail indicato all’interno di Active Directory.

Nota:

I passaggi per configurare l’IDP Shibboleth con Adobe SSO descritti in questo documento sono stati testati con la versione 3.

Configurazione della console di amministrazione Adobe

Per configurare l’IdP Shibboleth sulla console di amministrazione, esegui le operazioni elencate di seguito:

  1. Nella console di amministrazione, accedi in Impostazioni > Identità.

    La pagina Identità elenca i domini dell’organizzazione.

  2. Fai clic sul nome del dominio che desideri configurare.

  3. Fai clic su Configura SSO.

    Si apre la procedura guidata di configurazione del dominio.

    Configurazione del dominio
  4. Per caricare il certificato IdP fai clic su Carica e accedi al file del certificato:

    %{idp.home}/credentials/idp-signing.crt

  5. Imposta Associazione IdP su Reindirizza.

  6. Per Impostazioni di accesso utente scegli Indirizzo e-mail.

  7. Immetti il seguente URL nel campo Emittente IDP:

    https://<claimed domain server name:port>/idp/shibboleth

  8. Immetti il seguente URL nel campo URL di accesso IDP:

    https://<claimed domain server name:port>/idp/profile/SAML2/Redirect/SSO

  9. Fai clic su Completa configurazione.

  10. Per scaricare il file di metadati SAML XML, fai clic su Scarica metadati.

    Dopo aver scaricato il file di metadati, occorre aggiornare il file per fare in modo che le informazioni corrette vengano ritrasmesse ad Adobe.

    Sostituisci le seguenti righe nel file:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Con:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Sostituisci anche:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Con:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  11. Fai clic su Attiva dominio.

    Il dominio è ora attivo.

Configurazione Shibboleth

Dopo aver scaricato il file di metadati SAML XML dalla console di amministrazione di Adobe, esegui le operazioni indicate di seguito per aggiornare i file di configurazione di Shibboleth.

  1. Copia il file di metadati scaricato nella seguente posizione e rinomina il file in adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Modifica il file attribute-filter.xml.

    Il fornitore di servizi Adobe richiede il nomecognome indirizzo e-mail dell’utente nella risposta SAML.

    Modifica il file %{idp.home}/conf/attribute-filter.xml in modo da includere gli attributi di nome, cognome e indirizzo e-mail inserendo il nodo AttributeFilterPolicy come visualizzato di seguito (righe da 17 a 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <afp:AttributeFilterPolicy>
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="ADD ADOBE METADATA URL (ENDS WITH A 7)" /> 
        <afp:AttributeRule attributeID="NameID">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="FirstName">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="LastName">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="Email">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>
  3. Modifica il file metadata-providers.xml.

    Aggiorna %{idp.home}/conf/metadata-providers.xml con la posizione del file di metadati adobe-sp-metadata.xml (riga 29 di seguito) creato nel passaggio 1 precedente.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Risoluzione dei problemi di configurazione di Shibboleth

Se non puoi accedere correttamente ad adobe.com, verifica la presenza di eventuali problemi nei seguenti file di configurazione Shibboleth:

1. attribute-resolver.xml

Il file del filtro dell’attributo aggiornato durante la configurazione di Shibboleth definisce gli attributi da fornire al provider di servizi Adobe. Tuttavia, tali attributi devono essere mappati agli attributi appropriati come definito in LDAP/Active Directory per l’organizzazione.

Modifica il file attribute-resolver.xml nella seguente posizione:

%{idp.home}/conf/attribute-resolver.xml

Per ciascuno dei seguenti attributi, specifica l’ID attributo di origine come definito per l’organizzazione:

  • Nome (riga 1 di seguito)
  • Cognome (riga 7 di seguito)
  • E-mail (riga 13 sotto)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
    <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="SAML2StringNameID"         
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
    </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"         
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
    </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" 
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
    </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" 
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Aggiorna relying-party.xml nella seguente posizione per supportare il formato saml-nameid come richiesto dal provider di servizi Adobe:

%{idp.home}/conf/relying-party.xml

Aggiorna l’attributo p:nameIDFormatPrecedence (riga 7 di seguito) per includere emailAddress.

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

Inoltre, per disattivare la crittografia delle asserzioni, nella sezione DefaultRelyingParty per ciascuno dei tipi SAML2:

Sostituisci:

encryptAssertions="conditional"

Con:

encryptAssertions="never"

3. saml-nameid.xml

Aggiorna saml-nameid.xml nella seguente posizione:

%{idp.home}/conf/saml-nameid.xml

Aggiorna l’attributo p:attributeSourceIds (riga 3 di seguito) su "#{ {’Email’} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Prova di Single Sign-on

Crea un utente di prova con Active Directory, crea una voce nella console di amministrazione per questo utente e assegnagli una licenza, quindi prova a eseguire l’accesso ad Adobe.com per confermare che il software relativo sia elencato per il download.

In caso di problemi, consulta il nostro documento di risoluzione dei problemi.

Se è necessaria ulteriore assistenza per la configurazione Single Sign-On, accedi a Supporto nella Console di amministrazione Adobe, quindi apri un ticket.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online