InCommon Federation 为学术团体提供了联合身份。作为属于 InCommon Federation 成员的教育机构的身份管理员,您可将您的企业配置为接受旨在使用 InCommon Federated ID 访问 Adobe 应用程序的登录操作。

当用户尝试使用 Federated ID 登录时,Adobe 会向您的 IdP 发送请求,由 IdP 尝试对用户进行身份验证。身份验证之后,IdP 会发送一条响应消息让用户登录,接着,Adobe 对用户进行服务授权。

每个 IdP 将以不同的方式存储身份信息,这意味着您必须在您的 IdP 使用的特定字段和对应的 Adobe ID 需要的字段之间创建映射。该映射必须是双向的。您必须使用您的 IdP 联系和映射信息配置您的 Adobe 组织,并且您必须使用您的 Adobe 组织的联系和映射信息配置您的 IdP。

先决条件

若要完成配置过程,您必须是对您的 Adobe 组织帐户和您的 IdP 帐户具有相应访问权限的身份管理员。您必须具有以下内容:

  • 符合 SAML 2.0 的有效 IdP。InCommon Federation 成员通常使用 Shibboleth 2.x 或 3.x 作为其 IdP,但这并非必要条件。
  • 针对 Adobe Admin Console 和 InCommon Federation Manager 的管理访问权限。
  • 对您的 IdP 元数据的管理访问权限。
  • 针对 Adobe 组织帐户的已批准的域申请。

Adobe 和 InCommon Federated ID 之间的映射

为了让您的组织允许通过您的 InCommon Federated ID 对 Adobe 应用程序进行 SSO 访问,您必须执行以下两项操作:

  • 借助 Adobe Admin Console,使用您用于对您的 InCommon Federation ID 进行身份验证的 IdP 的安全详细信息来配置您的组织。
  • 使用 InCommon Federation Manager 为 Adobe 连接配置服务提供者条目。

在 Adobe Admin Console 中配置您的 IdP 信息

如需为您的域配置单点登录,请使用 Adobe Admin Console 中的“设置域”向导,输入所需信息。

设置域

您必须填写以下字段,以便让 Adobe 连接到服务提供者并允许用户使用其 InCommon Federated ID 进行登录。

  • IDP 证书:IdP 元数据中的 PEM 格式的证书。该文件必须具有扩展名 .crt
  • IDP 绑定:HTTP-POST 或 HTTP-REDIRECT。
  • 用户登录设置:选择用户使用电子邮件地址还是简单用户名进行登录。
  • IDP 颁发者:您的 IdP 的实体 ID。
  • IDP 登录 URL:您指定的绑定需要使用的 SAML 登录端点。

如需访问新服务提供者的元数据文件,请单击“下载元数据”。使用此文件可配置您与身份提供者之间的 SAML 集成。您的身份提供者需要此文件才能启用单点登录。

为您的 IdP 配置 Adobe 服务提供者条目

连接到 Adobe 需要 InCommon Federation Manager 中有一个自定义服务提供者。服务提供者条目将在您的 IdP 使用的 Adobe Federated ID 格式和 InCommon Federated ID 格式之间映射身份信息。您可在从 Admin Console 下载的服务提供者元数据文件中查找 Adobe 值。

如需创建服务提供者条目,请执行以下步骤。

  1. 在 InCommon Federation Manager UI 中,选择“新建服务提供者”

  2. 在 Adobe 元数据的“entityID”字段中填写实体 ID。

    new
  3. “用户界面元素和请求的属性”下,将“SP 显示名称”设置为可轻松识别的名称。

    v2_SP_display_name

    要填写请求的属性,您必须先为 Adobe 需要使用的自定义属性配置 IdP(详见下文)。现在先跳过这一步骤。

  4. “断言使用者服务”下,填写 Adobe 元数据中的对应值。对于“位置 URL”,请使用 SAML HTTP-POST 绑定值。

    Assertion_Consumer_Service
  5. 当前不支持单点注销服务。请保留为空。

  6. 输入相应的“联系人”信息。

    contacts

IdP 配置

Adobe 服务提供者要求 IdP 提供三个自定义属性,且这些属性应使用以下特定名称(区分大小写):

  • FirstName:等效于 `sn` (`surname`) InCommon 属性 (urn:oid:2.5.4.4)
  • LastName:等效于 `givenname` InCommon 属性 (urn:oid:2.5.4.42)
  • Email:等效于 `mail` InCommon 属性 (urn:oid:0.9.2342.19200300.100.1.3)

由于对应的 InCommon 属性不使用相同的名称,您必须配置您的 IdP 才能映射值并将值作为自定义属性发送。如果您使用 Shibboleth 作为您的 IdP,请参阅其文档中有关配置自定义属性的部分:

除了这些自定义属性,您还必须配置 Subject 属性的 NameId 字段,以便包含用户的登录用户名或电子邮件的值(如在 Adobe Admin Console 中所配置)。如果您使用 Shibboleth 作为您的 IdP,请参阅其文档中有关配置 NameId 字段的部分:

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略