V konzoli Admin Console přejděte do nabídky Nastavení > Identita > (název adresáře) > Ověření.
Jestliže jste pro svého poskytovatele identity (IdP) nastavili pomocí konzole Adobe Admin Console jednotné přihlašování (SSO) a koncoví uživatelé se nemohou přihlásit ke svým aplikacím a službám Adobe, zřejmě skončila platnost certifikátu SAML.
Problém
Došlo u vás k některému z následujících problémů:
- Koncoví uživatelé jsou odhlášeni a nemohou se přihlásit k webovým, mobilním nebo počítačovým verzím aplikací Adobe Creative Cloud.
- Při pokusu o přihlášení se koncovým uživatelům zobrazují chybové zprávy, jako například tyto:
- Certifikace SAML se nezdařila.
- Digitální podpis v rámci odpovědi SAML nebyl ověřen za použití certifikátu poskytovatele identity.
- Správce nemůže přidat/odebrat/spravovat uživatele nebo profily produktů.
- Správci chtějí prodloužit váš certifikát SAML, jehož platnost brzy skončí.
Příčina
Při výměně dat SAML se jedná o dvě entity:
- Poskytovatel identity (IdP)
Certifikát IdP je vlastněn a spravován zákazníkem v rámci jeho vlastního poskytovatele identity (ADFS, OKTA, Shiboleth) a je nahrán do konzole Admin Console. - Společnost Adobe jednající jako poskytovatel služeb (SP)
Entity Adobe jsou spravovány v konzoli Admin Console a nahrávány u poskytovatele identity zákazníka.
Obě entity mají příslušné certifikáty, které se používají k vytvoření důvěryhodnosti.
Jestliže jste pro svého poskytovatele identity (IdP) nastavili pomocí konzole Adobe Admin Console jednotné přihlašování (SSO) a koncoví uživatelé se nemohou přihlásit ke svým aplikacím a službám Adobe, zřejmě skončila platnost certifikátu SAML.
Oznámení v konzoli Admin Console
Společnost Adobe vás bude informovat, když platnost certifikátu vygenerovaného společností Adobe brzy skončí nebo skončila. Bude to provádět prostřednictvím bannerového oznámení v konzoli Admin Console a provede také aktualizaci stavu pro jednotlivé adresáře. Chcete-li zjistit stav certifikátu SAML, přejděte do nabídky Nastavení > Nastavení identity a zkontrolujte sloupec Stav na kartě Adresáře.
Řešení
Nastavení SAML
Jestliže platnost vašich certifikátů skončila nebo brzy skončí, můžete provést přímou aktualizaci nastavení federace pomocí Admin Console. Certifikáty SAML se aktualizují spolu s nastavením SAML.
Pokud váš poskytovatel identity nekontroluje platnost certifikátu, není vyžadována žádná akce.
Jako správce systému můžete podle následujících pokynů přímo aktualizovat a spravovat certifikáty s vlastním podpisem v konzoli Admin Console:
-
-
Klikněte na možnost Upravit a poté na tlačítko Další.
-
Zobrazte dostupné certifikáty a jejich stav. Můžete se rozhodnout vygenerovat nový certifikát nebo novou žádost o podpis certifikátu.
Poznámka:Certifikát s vlastním podpisem je praktičtější a je v souladu s osvědčenými bezpečnostními postupy. Doporučujeme zvolit certifikát s vlastním podpisem, ledaže by daná organizace měla specifické požadavky, které certifikát s vlastním podpisem nesplní.
-
Klikněte na možnost Vygenerovat nový certifikát.
Ve vybraném federovaném adresáři bude pro aktivní konfiguraci SAML vygenerován nový certifikát SAML.
-
Vytvořte novou žádost o podpis.
Klikněte na možnost Vytvořte žádost o podepsání certifikátu.
V zobrazeném dialogovém okně zadejte následující údaje získané od příslušné certifikační autority (CA):- Zadejte údaje získané od své certifikační autority.
- Když se rozhodnete vytvořit novou žádost o podpis, musíte proces dokončit u své certifikační autority (CA), jinak by pro certifikát SAML neplatil.
- Přejděte do části Akce a klikněte na možnost Dokončit.
- Nahrajte soubor certifikátu získaný od certifikační autority a postupně klikněte na možnosti Dokončit a Hotovo.
Po úspěšném vytvoření certifikátu budou k dispozici další akce, včetně nastavení výchozího certifikátu, aktivace, deaktivace, stažení metadat, stažení certifikátu a odstranění.
Pokud váš poskytovatel identity podporuje více certifikátů, postupujte podle těchto pokynů, přičemž nebude potřeba se opakovaně přihlašovat.
-
Nahrajte na server poskytovatele identity kromě starého certifikátu také nový certifikát.
-
Nastavte v konzoli Adobe Admin Console nový certifikát jako výchozí.
-
Otestujte přihlašování.
-
Odstraňte ze své konfigurace IdP starý certifikát.
-
Zakažte/odstraňte starý certifikát.
Doporučujeme jej zakázat, protože odstranění je nevratné.
Pokud váš poskytovatel identity NEPODPORUJE více certifikátů, pro proces prodloužení zvolte interval odstávky:
-
Nahrajte na server poskytovatele identity nový certifikát.
-
Nastavte v konzoli Adobe Admin Console nový certifikát jako výchozí.
-
Otestujte přihlašování.
-
Zakažte starý certifikát.
-
Pokud se nesetkáte s žádným problémem, starý certifikát odstraňte.
Před odstraněním starého certifikátu doporučujeme nějakou dobu počkat, protože odstranění certifikátů je nevratné.
Protokoly auditu
Provedené akce související s vytvářením a správou certifikátů najdete v protokolech auditu.
Chcete-li protokoly auditu zobrazit, přejděte do konzole Admin Console a pak do nabídky Insights > Protokoly > Protokol auditu.