Služba InCommon Federation poskytuje federované identity pro akademické obce. Jako správce identit pro vzdělávací instituci, která je členem InCommon Federation, můžete nakonfigurovat váš podnik tak, aby umožňoval přístup k aplikacím Adobe přihlášením za pomoci identifikátoru InCommon Federated ID.

Když se uživatel pokusí přihlásit pomocí Federated ID, společnost Adobe odešle požadavek vašemu poskytovateli identity za účelem ověření uživatele. Poskytovatel identity po ověření odešle uživateli zprávu s odpovědí, že se může přihlásit a že mu společnost Adobe udělila autorizaci pro použití jejích služeb.

Každý poskytovatel identity ukládá informace o identitě odlišně, což znamená, že musíte propojit konkrétní pole, která poskytovatel identity používá, s poli, která jsou nezbytná pro odpovídající Adobe ID. Mapování musí být možné oběma směry. Organizaci Adobe je třeba poskytnout kontaktní údaje a informace o mapování poskytovatele identity a poskytovateli identity je třeba poskytnout kontaktní údaje a informace o mapování vaší organizace Adobe.

Předpoklady

Úspěšné dokončení konfigurace vyžaduje, aby měl správce identity příslušná oprávnění pro přístup k účtu ve vaší organizaci Adobe i účtu v rámci poskytovatele identity. Je nutné následující:

  • Fungující poskytovatel identity splňující normu SAML 2.0. Členové služby InCommon Federation obvykle používají jako poskytovatele identity Shibboleth 2.x nebo 3.x, ale lze použít i jiný produkt.
  • Administrativní přístup ke konzoli Adobe Admin Console a nástroji InCommon Federation Manager.
  • Administrativní přístup k metadatům vašeho poskytovatele identity.
  • Schválená deklarace domény pro váš účet v organizaci Adobe.

Mapování mezi Adobe ID a InCommon Federated ID

Aby vaše organizace měla přístup s jednotným přihlášením k aplikacím Adobe prostřednictvím InCommon Federated ID, je nutné splnit dvě následující podmínky:

  • Pomocí konzole Adobe Admin Console doplňte konfiguraci vaší organizace o bezpečnostní údaje poskytovatele identity, které používáte k ověření vašeho InCommon Federation ID.
  • Za pomoci nástroje InCommon Federation Manager upravte konfiguraci položky Poskytovatel služby v rámci připojení Adobe.

Konfigurace informací o poskytovateli identity v konzoli Adobe Admin Console

Konfigurace jednotného přihlašování ve vaší doméně vyžaduje zadání požadovaných informací pomocí průvodce Nastavení domény v konzoli Adobe Admin Console.

Nastavení domény

Vyplnění těchto polí je nezbytné k umožnění společnosti Adobe připojit se k vašemu poskytovateli služeb a uživatelům přihlásit se za pomoci InCommon Federated ID.

  • Certifikát IDP: certifikát ve formátu PEM v metadatech poskytovatele identity. Soubor musí mít příponu .crt
  • Vazba poskytovatele identity: HTTP-POST nebo HTTP-REDIRECT.
  • Nastavení přihlášení uživatele: Zvolte, zda se uživatel bude přihlašovat pomocí e-mailové adresy nebo jednoduchého uživatelského jména.
  • Vydavatel poskytovatele identity: ID entity představující vašeho poskytovatele identity.
  • Přihlašovací adresa URL poskytovatele identity: koncový bod pro přihlášení SAML ve formě, v jaké je nutný pro zadanou vazbu.

Soubor s metadaty pro nového poskytovatele služeb získáte kliknutím na tlačítko Stáhnout metadata. Tento soubor použijte ke konfiguraci integrace SAML s poskytovatelem identity. Váš poskytovatel identity potřebuje tento soubor k povolení jednotného přihlašování.

Konfigurace položky s poskytovatelem služeb Adobe pro vašeho poskytovatele identity

Připojení k produktům Adobe vyžaduje použití vlastního poskytovatele služeb v nástroji InCommon Federation Manager. Položka s poskytovatelem služeb mapuje informace o identitě mezi formátem Adobe Federated ID a formátem InCommon Federated ID, který používá váš poskytovatel identity. Hodnoty Adobe naleznete v souboru s metadaty, který jste stáhli z konzole Admin Console.

Při vytváření položky s poskytovatelem služeb postupujte následovně.

  1. V rozhraní InCommon Federation Manager vyberte možnost Nový poskytovatel služeb.

  2. Zadejte ID entity podle pole entityID v rámci metadat Adobe.

    new
  3. V části Prvky uživatelského rozhraní a požadované atributy nastavte u položky Zobrazovaný název SP název, který snadno poznáte.

    v2_SP_display_name

    Pokud chcete vyplnit požadované atributy, musíte nejprve nakonfigurovat poskytovatele identity pro níže popsané vlastní atributy, které společnost Adobe bude vyžadovat. Tento krok prozatím vynechejte.

  4. V části Spotřebitelská služba – kontrolní výraz zadejte odpovídající hodnoty podle metadat Adobe. V části Adresa URL umístění zadejte hodnotu vazby pro SAML HTTP-POST.

    Assertion_Consumer_Service
  5. Služby pro jednotné odhlášení nejsou aktuálně podporovány. Toto pole ponechejte prázdné.

  6. Zadejte odpovídající údaje do pole Kontakty.

    contacts

Konfigurace poskytovatele identity

Poskytovatel služeb Adobe vyžaduje, aby poskytovatel identity zadal tři vlastní atributy v podobě následujících názvů (rozlišují se velká a malá písmena):

  • FirstName: Stejná funkce jako atribut „sn“ (příjmení) pro InCommon (urn:oid:2.5.4.4)
  • LastName: Stejná funkce jako atribut „givenname“ (jméno) pro InCommon (urn:oid:2.5.4.42)
  • Email: Stejná funkce jako atribut „mail“ (e-mail) pro InCommon (urn:oid:0.9.2342.19200300.100.1.3)

Vzhledem k tomu, že odpovídající atributy InCommon nepoužívají stejné názvy, musíte nakonfigurovat svého poskytovatele identity tak, aby mapoval hodnoty a odesílal je jako vlastní atributy. Pokud jako poskytovatele identity používáte produkt Shibboleth, přečtěte si dokumentaci zaměřenou na konfiguraci vlastních atributů:

Kromě těchto vlastních atributů je nutné u atributu Předmět nakonfigurovat pole NameId tak, aby obsahovalo hodnotu uživatelského jména nebo e-mailové adresy pro přihlášení uživatele (podle konfigurace v konzoli Adobe Admin Console). Pokud jako poskytovatele identity používáte produkt Shibboleth, přečtěte si dokumentaci zaměřenou na konfiguraci pole NameId:

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online