更新 SSO 证书

如果您已使用 Adobe Admin Console 为您的身份提供程序 (IdP) 设置了 SSO,并且您的最终用户无法登录其 Adobe 应用程序和服务,则 SAML 证书可能已过期。

问题

您遇到了以下某个问题:

  • 最终用户注销后无法登录到 Adobe Creative Cloud Web、移动或桌面应用程序。
  • 在最终用户尝试登录时,他们看到如下错误消息:
    • SAML 认证验证失败。
    • SAML 响应中的数字签名未使用身份提供商的证书进行验证。
  • 管理员无法添加/删除/管理用户或产品配置文件。
  • 管理员要续订您的 SAML 证书,因为它即将到期。

原因

在 SAML 交换中,涉及的两个实体是:

  • 身份提供商 (IdP)
    客户在其自身的 IdP(ADFS、OKTA、Shiboleth)内拥有和管理 IdP 证书,并将其上传到 Admin Console 中。
  • Adobe,充当服务提供商 (SP)
    在 Admin Console 中管理 Adobe 实体,并将其上传到客户的 IdP。

两个实体都有其各自的证书,这些证书用于建立信任。
如果您用 Adobe Admin Console 为您的身份提供商 (IdP) 设置 SSO 后您的最终用户无法登录到其 Adobe 应用程序和服务,则 SAML 证书可能已到期。

Admin Console 通知

将 Adobe 生成的证书设置为到期或其已到期时,Adobe 将通过 Admin Console 中的横幅通知以及每个目录的状态更新通知您。要查看 SAML 证书的状态,请导航至设置 > 身份设置,并查看“目录”选项卡的“状态”列。

解决方法

SAML 设置

如果您的证书已过期或即将过期,您可以通过 Admin Console 直接更新联合设置。SAML 证书与 SAML 设置一起更新。

注意:

如果您的 IdP 不检查证书的有效性,则无需执行任何操作。

系统管理员可遵照以下这些步骤,直接从 Admin Console 更新和管理自签名证书:

  1. Admin Console 上,导航至设置 > 身份 >(目录名称)> 身份验证

  2. 单击编辑,然后单击下一步

  3. 查看可用的证书及其状态。您可以选择生成新的证书或新的证书签名请求。

    注意:

    自签名证书更方便,并且符合安全最佳实践。建议选择自签名证书,除非自签名证书无法满足您组织的特定要求。

  4. 单击生成新证书

    随后将在所选的联合目录中为在用的 SAML 配置生成一个新的 SAML 证书。

  5. 创建新的签名请求。

    单击创建证书签名请求
    在随后显示的对话框中,输入从您的证书颁发机构 (CA) 获得的以下详细信息:

    1. 输入从您的证书颁发机构获得的详细信息。
    2. 在选择创建新的签名请求时,您必须用您的证书颁发机构 (CA) 完成该过程,以使其与 SAML 证书一起生效。
    3. 转到“操作”并单击完成
    4. 上传从证书颁发机构获得的证书文件并单击完成,然后单击完成

成功创建证书后,即可执行其他操作,包括设置为默认激活停用下载元数据下载证书删除

如果您的 IdP 支持多个证书,则遵循以下步骤即不会产生任何登录中断的情况。

  1. 除了旧证书之外,还将新证书上传到您的 IdP 中。

  2. 在 Adobe Admin Console 中将新证书设置为默认证书。

  3. 测试登录。

  4. 从 IdP 配置中删除旧证书。

  5. 禁用/删除旧证书。

注意:

建议禁用,因为删除是不可逆的操作。

如果您的 IdP 支持多个证书,则您应挑选一个停机时间间隔以执行续订:

  1. 将新证书上传到您的 IdP 中。

  2. 在 Adobe Admin Console 中将新证书设置为默认证书。

  3. 测试登录。

  4. 禁用旧证书。

  5. 如果您未遇到任何问题,请删除旧证书。

注意:

建议您先等待一段时间,然后再删除旧证书,因为删除证书是不可逆的操作。

审核日志

可在审核日志中找到关于创建和管理证书所执行的操作。

要查看审核日志,请转至 Admin Console,并导航至 Insights > 日志 > 审核日志

 Adobe

更快、更轻松地获得帮助

新用户?