Konfigurace poskytovatele identity Shibboleth k používání v rámci jednotného přihlašování Adobe

Přehled

Konzole Adobe Admin Console umožňuje správci systému konfigurovat domény používané k přihlášení pomocí Federated ID pro jednotné přihlašování. Po ověření domény bude adresář obsahující doménu nakonfigurován tak, aby umožňoval uživatelům přihlásit se ke službě Creative Cloud. Uživatelé se mohou prostřednictvím poskytovatele identity přihlásit pomocí e-mailové adresy z dané domény. Postup je vytvořen buď jako softwarová služba, která běží v rámci podnikové sítě a je dostupná z internetu, nebo jako cloudová služba hostovaná třetí stranou, která umožňuje ověření přihlašovacích údajů prostřednictvím zabezpečené komunikace skrze protokol SAML.

Jedním takovým poskytovatelem identity je Shibboleth. Než bude možné poskytovatele Shibboleth používat, je třeba zajistit pro sebe server, který je přístupný z internetu a má přístup k adresářovým službám v podnikové síti. Tento dokument popisuje postup konfigurace konzole Admin Console a serveru Shibboleth tak, aby umožňoval přihlášení k aplikacím Adobe Creative Cloud a souvisejícím webovým stránkám pro jednotné přihlašování.

Přístupu k poskytovateli identity se běžně dosahuje využitím samostatné sítě se zvláštními pravidly umožňujícími pouze určitý typ komunikace mezi servery a interní a externí sítí. Tomuto modelu se říká DMZ (demilitarizovaná zóna). Konfigurace operačního systému na tomto serveru a topologie takové sítě je mimo rozsah tohoto dokumentu.

Předpoklady

Než v doméně nakonfigurujete jednotné přihlašování pomocí poskytovatele identity Shibboleth, je třeba splnit následující požadavky:

  • Je nainstalována a nakonfigurovaná nejnovější verze služby Shibboleth.
  • Všechny účty Active Directory přiřazené k účtu ve službě Creative Cloud pro podniky mají e-mailovou adresu uvedenou v rámci služby Active Directory.
Poznámka:

Postup konfigurace poskytovatele identity Shibboleth tak, aby umožňoval používání jednotného přihlašování společnosti Adobe, popsaný v tomto dokumentu, byl testován ve verzi 3.

Konfigurace jednotného přihlašování pomocí Shibboleth

Při konfiguraci jednotného přihlašování pro svou doménu postupujte následovně:

  1. Přihlaste se ke konzoli Admin Console a začněte s vytvářením adresáře Federated ID, kde jako poskytovatele identity vyberte možnost Ostatní poskytovatelé SAML. Zkopírujte hodnoty pro adresu ACS URLID entity z obrazovky Přidat profil SAML.
  2. Nakonfigurujte Shibboleth, definujte adresu ACS URLID entity a stáhněte soubor s metadaty Shibboleth.
  3. Vraťte se do konzole Adobe Admin Console, nahrajte soubor metadat Shibboleth do okna Přidat profil SAML a klikněte na tlačítko Hotovo.

Konfigurace služby Shibboleth

Po stažení souboru SAML XML s metadaty z konzole Adobe Admin Console postupujte podle následujících kroků a aktualizujte soubory s konfigurací služby Shibboleth.

  1. Zkopírujte stažený soubor s metadaty do následujícího umístění a soubor přejmenujte na adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Aktualizujte soubor a zajistěte, aby byly společnosti Adobe poskytovány správné informace.

    V souboru upravte následující řádky:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Vložte:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Dále místo:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Vložte:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Upravte soubor metadata-providers.xml.

    Do souboru %{idp.home}/conf/metadata-providers.xml vložte umístění souboru s metadaty adobe-sp-metadata.xml (následující řádek 29), který jste vytvořili během předchozího kroku 1.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Vzorový soubor metadata-providers. Použijte tento příklad, pokud chcete metadata načíst z místního souboru. Toto lze použít například, pokud máte místní SP, které nejsou „federované“, ale chcete pro ně poskytovat službu. Pokud nepoužijete filtr SignatureValidation, nesete odpovědnost za zajištění důvěryhodnosti obsahu. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Řešení potíží s nastavením služby Shibboleth

Pokud se vám nepodaří úspěšně se přihlásit na adrese adobe.com, prohlédněte si konfigurační soubory Shibboleth, zda neobsahují možné chyby:

1. attribute-resolver.xml

Soubor s filtrem atributu, který jste odeslali během konfigurace služby Shibboleth, definuje atributy, které je třeba poskytnout poskytovateli služeb Adobe. Je však nezbytné tyto atributy namapovat k příslušným atributům tak, jak to vyžaduje služba LDAP / Active Directory pro vaši organizaci.

Upravte soubor attribute-resolver.xml v následujícím umístění:

%{idp.home}/conf/attribute-resolver.xml

Pro každý z následujících atributů zadejte ID atributu zdroje tak, jak to vyžaduje vaše organizace:

  • FirstName (následující řádek 1)
  • LastName (následující řádek 7)
  • Email (následující řádek 13)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Upravte soubor relying-party.xml v následujícím umístění tak, aby podporoval formát saml-nameid podle požadavků poskytovatele služeb Adobe:

%{idp.home}/conf/relying-party.xml

Upravte atribut p:nameIDFormatPrecedence (následující řádek 7) tak, aby zahrnoval parametr emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Zároveň v části DefaultRelyingParty vypněte šifrování prohlášení pro každý z typů SAML2:

Nahraďte:

encryptAssertions="conditional"

Vložte:

encryptAssertions=”never"

3. saml-nameid.xml

Upravte soubor samlnameid.xml v následujícím umístění:

%{idp.home}/conf/saml-nameid.xml

Upravte atribut p:attributeSourceIds (následující řádek 3) tak, aby obsahoval parametr "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Nahrání souboru s metadaty IdP do konzole Adobe Admin Console

Aktualizace souboru s metadaty Shibboleth:

  1. Vraťte se ke konzoli Adobe Admin Console.

  2. Nahrajte soubor s metadaty Shibboleth na obrazovce Přidání profilu SAML.

    Po konfiguraci Shibboleth bude soubor s metadaty (idp-metadata.xml) k dispozici na následujícím umístění na vašem serveru Shibboleth:

    <shibboleth>/metadata

  3. Klikněte na tlačítko Hotovo.

Další informace najdete v tématu Vytváření adresářů v konzoli Admin Console.

Zkouška jednotného přihlašování

Vyzkoušejte přístup uživatele, kterého jste definovali ve vlastním systému pro správu identity a v konzoli Adobe Admin Console. Přihlaste se na webu Adobe nebo v aplikaci Creative Cloud pro stolní počítače.

V případě jakýchkoli problémů konzultujte náš dokument obsahující řešení potíží.

Pokud potřebujete pomoc s konfigurací jednotného přihlašování, přejděte v konzoli Adobe Admin Console do nabídky Podpora a podejte žádost.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?