Configurare l’IdP Shibboleth per l’utilizzo con Adobe SSO

Panoramica

Adobe Admin Console consente all’amministratore di sistema di configurare i domini utilizzati per accedere con l'accesso unico (SSO) e Federated ID. Una volta verificato il dominio, la directory contenente il dominio viene configurata per consentire agli utenti di accedere a Creative Cloud. Gli utenti possono accedere con indirizzi e-mail compresi in tale dominio tramite un provider di identità (IdP). Il processo è fornito come servizio software eseguito all’interno della rete aziendale e accessibile sia da Internet che da un servizio cloud ospitato da terzi; tale processo consente di verificare i dettagli di accesso degli utenti tramite comunicazione protetta dal protocollo SAML.

Uno di questi IdP è Shibboleth. Per utilizzare Shibboleth, è richiesto un server che sia accessibile da Internet e abbia accesso ai servizi di directory all’interno della rete aziendale. Questo documento illustra il processo di configurazione di Admin Console e del server Shibboleth al fine di consentire l'accesso unico alle applicazioni Adobe Creative Cloud e ai siti Web correlati.

Per accedere normalmente al provider d’identità (IdP) si utilizza una rete diversa configurata con regole specifiche per consentire solo un determinato tipo di comunicazione tra i server e la rete interna ed esterna, denominata DMZ (zona demilitarizzata). La configurazione del sistema operativo di questo server e della topologia di tale rete esula dallo scopo del presente documento.

Prerequisiti

Prima di configurare il dominio per l'accesso unico utilizzando l’IdP Shibboleth, i seguenti requisiti devono essere soddisfatti:

  • La versione più recente di Shibboleth deve essere installata e configurata.
  • A tutti gli account Active Directory da associare all’account Creative Cloud for enterprise è associato un indirizzo e-mail all’interno di Active Directory.
Nota:

I passaggi per configurare l’IdP Shibboleth con Adobe SSO descritti in questo documento sono stati verificati con la versione 3.

Configurazione dell'accesso unico con Shibboleth

Per configurare l'accesso unico per il tuo dominio, procedi come segue:

  1. Accedi ad Admin Console e inizia con la creazione di una directory di Federated ID, selezionando Altri fornitori SAML come provider di identità. Copia i valori per ACS URL e per Entity ID dalla schermata Aggiungi profilo SAML.
  2. Configura Shibboleth specificando ACS URL e Entity ID e scarica il file di metadati Shibboleth.
  3. Torna ad Adobe Admin Console e carica il file di metadati di Shibboleth nella schermata Aggiungi profilo SAML e fai clic su Fine.

Configurare Shibboleth

Dopo aver scaricato il file XML dei metadati SAML da Adobe Admin Console, effettua i passaggi riportati di seguito per aggiornare i file di configurazione di Shibboleth.

  1. Copia il file dei metadati scaricato nella seguente posizione e rinominalo adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Aggiorna il file per assicurarti che le informazioni corrette vengano restituite ad Adobe.

    Sostituisci nel file le seguenti righe:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Con:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Inoltre, sostituisci:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Con:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Modifica il file metadata-providers.xml.

    Aggiorna %{idp.home}/conf/metadata-providers.xml con la posizione del file di metadati adobe-sp-metadata.xml (riga 29 di seguito) creato nel passaggio 1 precedente.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- File di esempio di provider di metadati. Utilizzarlo se desideri caricare i metadati da un file locale. Potresti utilizzarlo se hai alcuni SP locali che non sono &quot;federati&quot; ma a cui desideri offrire un servizio. Se non fornisci un filtro SignatureValidation, hai la responsabilità di assicurarti che i contenuti siano affidabili. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Risoluzione dei problemi della configurazione di Shibboleth

Se l’accesso ad adobe.com non riesce, verifica la presenza di possibili problemi nei seguenti file di configurazione di Shibboleth:

1. attribute-resolver.xml

Il file di filtro degli attributi, che hai aggiornato durante la configurazione di Shibboleth, definisce gli attributi che devono essere passati al provider di servizi Adobe. Devi tuttavia mappare questi attributi con quelli appropriati come definito per la tua organizzazione in LDAP / Active Directory.

Modifica il file attribute-resolver.xml nella posizione seguente:

%{idp.home}/conf/attribute-resolver.xml

Per ciascuno degli attributi seguenti, specifica l'ID dell'attributo di origine come definito per la tua organizzazione:

  • FirstName (riga 1 di seguito)
  • LastName (riga 7 di seguito)
  • E-mail (riga 13 di seguito)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Aggiorna il file relying-party.xml nella posizione seguente per supportare il formato saml-nameid come richiesto dal provider di servizi Adobe:

%{idp.home}/conf/relying-party.xml

Aggiorna l'attributo p:nameIDFormatPrecedence (riga 7 di seguito) per includere emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Inoltre, per disattivare la crittografia delle asserzioni, nella sezione DefaultRelyingParty per ciascuno dei tipi SAML2:

Sostituisci:

encryptAssertions="conditional"

Con:

encryptAssertions=”never"

3. saml-nameid.xml

Aggiorna il file saml-nameid.xml nella posizione seguente:

%{idp.home}/conf/saml-nameid.xml

Aggiorna l'attributo p:attributeSourceIds (riga 3 di seguito) a "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Caricare i file dei metadati IdP in Adobe Admin Console

Per aggiornare il file di metadati di Shibboleth:

  1. Carica il file dei metadati di Shibboleth nella schermata Aggiungi profilo SAML.

    Dopo aver configurato Shibboleth, il file di metadati (idp-metadata.xml) è disponibile nella seguente posizione sul server Shibboleth:

    <shibboleth>/metadata

  2. Fai clic su Fine.

Per ulteriori dettagli, consulta come creare directory in Admin Console.

Verificare l'accesso unico

Controlla l’accesso utente con un utente definito sia nel tuo sistema di gestione delle identità che in Adobe Admin Console, accedendo al sito Web di Adobe o all'applicazione desktop Creative Cloud.

In caso di problemi, consulta il nostro documento per la risoluzione dei problemi.

Se richiedi ulteriore assistenza con la configurazione dell'accesso unico, seleziona Supporto in Adobe Admin Console e apri un ticket.

 Adobe

Ottieni supporto in modo più facile e veloce

Nuovo utente?