Panoramica

La Adobe Admin Console consente a un amministratore di sistema di configurare i domini utilizzati per l’accesso tramite Federated ID per Single Sign-On (SSO). Una volta verificato il dominio, la directory contenente il dominio è configurata per consentire agli utenti di accedere a Creative Cloud. Gli utenti possono accedere usando gli indirizzi e-mail all’interno del dominio tramite un provider di identità (IdP). Il processo viene fornito come servizio software che viene eseguito all’interno della rete aziendale ed è accessibile tramite Internet o un servizio cloud ospitato da terzi che consente la verifica dei dettagli di accesso utente tramite la comunicazione protetta mediante il protocollo SAML.

Tale IdP è Shibboleth. Per utilizzare Shibboleth, è necessario configurare un server accessibile da Internet e con accesso ai servizi directory all’interno della rete aziendale. Questo documento descrive il processo per configurare la Admin Console e un server Shibboleth per poter accedere alle applicazioni Adobe Creative Cloud e ai siti web associati per Single Sign-On.

L’accesso a IdP è solitamente ottenuto tramite una rete separata configurata con regole specifiche per consentire solo tipi specifici di comunicazione tra server e rete interna ed esterna, con riferimento come DMZ (rete perimetrale). La configurazione del sistema operativo su questo server e della topologia di tale rete non rientra nell'ambito di questo documento.

Prerequisiti

Prima della configurazione di un dominio per Single Sign-On tramite IDP Shibboleth, devono essere soddisfatti i seguenti requisiti:

  • La versione più recente di Shibboleth è installata e configurata.
  • Tutti gli account Active Directory da associare all’account Creative Cloud for Enterprise devono avere un indirizzo e-mail indicato all’interno di Active Directory.

Nota:

I passaggi per configurare l’IDP Shibboleth con Adobe SSO descritti in questo documento sono stati testati con la versione 3.

Configurazione di Single Sign-On tramite Shibboleth

Per configurare Single Sign-On per il tuo dominio, procedi come segue:

  1. Accedi ad Admin Console e inizia con la creazione di una directory Federated ID, selezionando Altri provider SAML come provider di identità. Copia i valori per ACS URL e ID entità dalla schermata Aggiungi profilo SAML.
  2. Configura Shibboleth specificando URL ACS e ID entità e scarica il file di metadati di Shibboleth.
  3. Torna ad Adobe Admin Console, carica il file di metadati Shibboleth nella schermata Aggiungi profilo SAML e fai clic su Fine.

Configurazione Shibboleth

Dopo aver scaricato il file di metadati SAML XML dalla Adobe Admin console, esegui le operazioni indicate di seguito per aggiornare i file di configurazione di Shibboleth.

  1. Copia il file di metadati scaricato nella seguente posizione e rinomina il file in adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Aggiorna il file per fare in modo che le informazioni corrette vengano ritrasmesse ad Adobe.

    Sostituisci le seguenti righe nel file:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Con:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Sostituisci anche:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Con:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Modifica il file attribute-filter.xml.

    Il fornitore di servizi Adobe richiede il nomecognome indirizzo e-mail dell’utente nella risposta SAML.

    Modifica il file %{idp.home}/conf/attribute-filter.xml in modo da includere gli attributi di nome, cognome e indirizzo e-mail inserendo il nodo AttributeFilterPolicy come visualizzato di seguito (righe da 17 a 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!--
        This file is an EXAMPLE policy file.  While the policy presented in this
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
         
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup>
    	<AttributeFilterPolicy>
    		<PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" />
    		<AttributeRule attributeID="NameID">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="FirstName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="LastName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="Email">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    	</AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
  4. Modifica il file metadata-providers.xml.

    Aggiorna %{idp.home}/conf/metadata-providers.xml con la posizione del file di metadati adobe-sp-metadata.xml (riga 29 di seguito) creato nel passaggio 1 precedente.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Risoluzione dei problemi di configurazione di Shibboleth

Se non puoi accedere correttamente ad adobe.com, verifica la presenza di eventuali problemi nei seguenti file di configurazione Shibboleth:

1. attribute-resolver.xml

Il file del filtro dell’attributo aggiornato durante la configurazione di Shibboleth definisce gli attributi da fornire al provider di servizi Adobe. Tuttavia, tali attributi devono essere mappati agli attributi appropriati come definito in LDAP/Active Directory per l’organizzazione.

Modifica il file attribute-resolver.xml nella seguente posizione:

%{idp.home}/conf/attribute-resolver.xml

Per ciascuno dei seguenti attributi, specifica l’ID attributo di origine come definito per l’organizzazione:

  • FirstName (riga 1 di seguito)
  • LastName (riga 7 di seguito)
  • Email (riga 13 sotto)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
      <resolver:Dependency ref="myLDAP" />
      <resolver:AttributeEncoder xsi:type="SAML2StringNameID"
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
     </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Aggiorna relying-party.xml nella seguente posizione per supportare il formato saml-nameid come richiesto dal provider di servizi Adobe:

%{idp.home}/conf/relying-party.xml

Aggiorna l’attributo p:nameIDFormatPrecedence (riga 7 di seguito) per includere emailAddress.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId">
	<property name="profileConfigurations">
		<list>
			<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
			<ref bean="SAML1.AttributeQuery" />
			<ref bean="SAML1.ArtifactResolution" />
			<bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" />
			<ref bean="SAML2.ECP" />
			<ref bean="SAML2.Logout" />
			<ref bean="SAML2.AttributeQuery" />
			<ref bean="SAML2.ArtifactResolution" />
			<ref bean="Liberty.SSOS" />
		</list>
	</property>
</bean>

Inoltre, per disattivare la crittografia delle asserzioni, nella sezione DefaultRelyingParty per ciascuno dei tipi SAML2:

Sostituisci:

encryptAssertions="conditional"

Con:

encryptAssertions="never"

3. saml-nameid.xml

Aggiorna saml-nameid.xml nella seguente posizione:

%{idp.home}/conf/saml-nameid.xml

Aggiorna l’attributo p:attributeSourceIds (riga 3 di seguito) su "#{ {’Email’} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Carica il file di metadati IdP su Adobe Admin Console

Per aggiornare il file di metadati Shibboleth:

  1. Carica il file di metadati Shibboleth nella schermata Aggiungi profilo SAML.

    Dopo la configurazione di Shibboleth, il file di metadati (idp-metadata.xml) è disponibile nel seguente percorso sul server Shibboleth:

    <shibboleth>/metadata

  2. Fai clic su Fine.

Per ulteriori dettagli, scopri come creare directory su Admin Console.

Prova di Single Sign-on

Verifica l’accesso dell’utente per un utente definito nel sistema di gestione delle identità e in Adobe Admin Console, accedendo al sito web di Adobe o all’app desktop Creative Cloud.

In caso di problemi, consulta il nostro documento di risoluzione dei problemi.

Se è necessaria ulteriore assistenza per la configurazione Single Sign-On, accedi a Supporto nella Adobe Admin console, quindi apri un ticket.