Copia il file dei metadati scaricato nella seguente posizione e rinominalo adobe-sp-metadata.xml:
%{idp.home}/metadata/
Adobe Admin Console consente all’amministratore di sistema di configurare i domini utilizzati per accedere con l'accesso unico (SSO) e Federated ID. Una volta verificato il dominio, la directory contenente il dominio viene configurata per consentire agli utenti di accedere a Creative Cloud. Gli utenti possono accedere con indirizzi e-mail compresi in tale dominio tramite un provider di identità (IdP). Il processo è fornito come servizio software eseguito all’interno della rete aziendale e accessibile sia da Internet che da un servizio cloud ospitato da terzi; tale processo consente di verificare i dettagli di accesso degli utenti tramite comunicazione protetta dal protocollo SAML.
Uno di questi IdP è Shibboleth. Per utilizzare Shibboleth, è richiesto un server che sia accessibile da Internet e abbia accesso ai servizi di directory all’interno della rete aziendale. Questo documento illustra il processo di configurazione di Admin Console e del server Shibboleth al fine di consentire l'accesso unico alle applicazioni Adobe Creative Cloud e ai siti Web correlati.
Per accedere normalmente al provider d’identità (IdP) si utilizza una rete diversa configurata con regole specifiche per consentire solo un determinato tipo di comunicazione tra i server e la rete interna ed esterna, denominata DMZ (zona demilitarizzata). La configurazione del sistema operativo di questo server e della topologia di tale rete esula dallo scopo del presente documento.
Prima di configurare il dominio per l'accesso unico utilizzando l’IdP Shibboleth, i seguenti requisiti devono essere soddisfatti:
I passaggi per configurare l’IdP Shibboleth con Adobe SSO descritti in questo documento sono stati verificati con la versione 3.
Per configurare l'accesso unico per il tuo dominio, procedi come segue:
Dopo aver scaricato il file XML dei metadati SAML da Adobe Admin Console, effettua i passaggi riportati di seguito per aggiornare i file di configurazione di Shibboleth.
Copia il file dei metadati scaricato nella seguente posizione e rinominalo adobe-sp-metadata.xml:
%{idp.home}/metadata/
Aggiorna il file per assicurarti che le informazioni corrette vengano restituite ad Adobe.
Sostituisci nel file le seguenti righe:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Con:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Inoltre, sostituisci:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Con:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Modifica il file metadata-providers.xml.
Aggiorna %{idp.home}/conf/metadata-providers.xml con la posizione del file di metadati adobe-sp-metadata.xml (riga 29 di seguito) creato nel passaggio 1 precedente.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- File di esempio di provider di metadati. Utilizzarlo se desideri caricare i metadati da un file locale. Potresti utilizzarlo se hai alcuni SP locali che non sono "federati" ma a cui desideri offrire un servizio. Se non fornisci un filtro SignatureValidation, hai la responsabilità di assicurarti che i contenuti siano affidabili. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Se l’accesso ad adobe.com non riesce, verifica la presenza di possibili problemi nei seguenti file di configurazione di Shibboleth:
Il file di filtro degli attributi, che hai aggiornato durante la configurazione di Shibboleth, definisce gli attributi che devono essere passati al provider di servizi Adobe. Devi tuttavia mappare questi attributi con quelli appropriati come definito per la tua organizzazione in LDAP / Active Directory.
Modifica il file attribute-resolver.xml nella posizione seguente:
%{idp.home}/conf/attribute-resolver.xml
Per ciascuno degli attributi seguenti, specifica l'ID dell'attributo di origine come definito per la tua organizzazione:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Aggiorna il file relying-party.xml nella posizione seguente per supportare il formato saml-nameid come richiesto dal provider di servizi Adobe:
%{idp.home}/conf/relying-party.xml
Aggiorna l'attributo p:nameIDFormatPrecedence (riga 7 di seguito) per includere emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Inoltre, per disattivare la crittografia delle asserzioni, nella sezione DefaultRelyingParty per ciascuno dei tipi SAML2:
Sostituisci:
encryptAssertions="conditional"
Con:
encryptAssertions=”never"
Aggiorna il file saml-nameid.xml nella posizione seguente:
%{idp.home}/conf/saml-nameid.xml
Aggiorna l'attributo p:attributeSourceIds (riga 3 di seguito) a "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Per aggiornare il file di metadati di Shibboleth:
Torna ad Adobe Admin Console.
Carica il file dei metadati di Shibboleth nella schermata Aggiungi profilo SAML.
Dopo aver configurato Shibboleth, il file di metadati (idp-metadata.xml) è disponibile nella seguente posizione sul server Shibboleth:
<shibboleth>/metadata
Fai clic su Fine.
Per ulteriori dettagli, consulta come creare directory in Admin Console.
Controlla l’accesso utente con un utente definito sia nel tuo sistema di gestione delle identità che in Adobe Admin Console, accedendo al sito Web di Adobe o all'applicazione desktop Creative Cloud.
In caso di problemi, consulta il nostro documento per la risoluzione dei problemi.
Se richiedi ulteriore assistenza con la configurazione dell'accesso unico, seleziona Supporto in Adobe Admin Console e apri un ticket.