Übersicht

Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden.  Sobald die Domäne verifiziert ist, wird das Verzeichnis, das die Domäne enthält, so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mit E-Mail-Adressen innerhalb dieser Domäne über einen Identity Provider (IdP) anmelden. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Ein solcher IdP ist Shibboleth. Um Shibboleth zu verwenden, benötigen Sie einen Server, der über das Internet zugänglich ist und Zugriff auf die Verzeichnisdienste innerhalb des Unternehmensnetzwerks hat. Dieses Dokument beschreibt den Vorgang zur Konfiguration von Admin-Konsole und Shibboleth-Server, sodass Sie sich bei Adobe Creative Cloud-Applikationen und zugehörigen Websites für Single Sign-On anmelden können.

Der Zugriff auf den IdP erfolgt häufig über ein separates Netzwerk, für das spezifische Regeln konfiguriert werden, die nur bestimmte Typen der Kommunikation zwischen Servern und internen und externen Netzwerken zulassen. Dies wird im Allgemeinen als DMZ (Demilitarised Zone) bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und der Topologie eines derartigen Netzwerks werden nicht in diesem Dokuments erläutert.

Voraussetzungen

Bevor Sie eine Domäne für die einmalige Anmeldung mithilfe des Shibboleth IDP konfigurieren, müssen die folgenden Bedingungen erfüllt sein:

  • Die aktuelle Version von Shibboleth ist installiert und konfiguriert.
  • Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, haben eine E-Mail-Adresse, die in Active Directory aufgeführt ist.

Hinweis:

Die Schritte zum Konfigurieren von Shibboleth IDP mit Adobe SSO, die in diesem Dokument beschrieben werden, wurden mit der Version 3 getestet.

Konfigurieren Sie die einmalige Anmeldung mit Shibboleth

Gehen Sie wie folgt vor, um Single Sign-On für Ihre Domäne zu konfigurieren:

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, indem Sie Andere SAML-Anbieter as Identitätsanbieter auswählen. Kopieren Sie die Werte für die ACS-URL und die Entitäts-ID aus dem Bildschirm SAML-Profil hinzufügen.
  2. Wechseln Sie auf Shibboleth, konfigurieren Sie Shibboleth, geben Sie die ACS-URL und Entitäts-ID ein und laden Sie die Shibboleth-Metadatendatei herunter.
  3. Kehren Sie zur Adobe Admin Console zurück, laden Sie die Shibboleth-Metadatendatei im Fenster SAML-Profil hinzufügen hoch und klicken Sie auf Fertig

Konfigurieren von Shibboleth

Nachdem Sie die SAML XML-Metadatendatei von der Adobe Admin-Konsole heruntergeladen haben, aktualisieren Sie wie folgt die Shibboleth-Konfigurationsdateien.

  1. Kopieren Sie die heruntergeladene Datei in den folgenden Speicherort und benennen Sie die Datei in  adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Aktualisieren Sie die Datei, um sicherzustellen, dass die korrekten Informationen an Adobe zurückgegeben werden.

    Ersetzen Sie die folgenden Zeilen in der Datei:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Mit:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Ersetzen Sie außerdem:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Mit:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Bearbeiten Sie die Datei „attribute-filter.xml“.

    Der Adobe-Service-Anbieter benötigt den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers in der SAML-Antwort.

    Bearbeiten Sie die Datei %{idp.home}/conf/attribute-filter.xml und nehmen Sie die Attribute „FirstName“, „LastName“ und „Email“ auf, indem Sie den Knoten „AttributeFilterPolicy“ einfügen wie unten gezeigt (Zeilen 17 bis 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!--
        This file is an EXAMPLE policy file.  While the policy presented in this
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
         
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup>
    	<AttributeFilterPolicy>
    		<PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" />
    		<AttributeRule attributeID="NameID">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="FirstName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="LastName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="Email">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    	</AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
  4. Bearbeiten Sie die metadata-providers.xml-Datei.

    Aktualisieren Sie %{idp.home}/conf/metadata-providers.xml mit dem Speicherort der Metadatendatei „adobe-sp-metadata.xml“ (Zeile 29 unten), die Sie in Schritt 1 erstellt haben.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Fehlerbehebung für die Shibboleth-Einrichtung

Wenn Sie sich nicht bei adobe.com anmelden können, überprüfen Sie folgende Shibboleth-Konfigurationsdateien auf mögliche Fehler:

1. attribute-resolver.xml

Die Attribut-Filterdatei, die beim Konfigurieren von Shibboleth aktualisiert haben, definiert die Attribute, die dem Adobe-Service-Anbieter bereitgestellt werden müssen. Allerdings müssen Sie diese Attribute den entsprechenden Attributen zuordnen, die in LDAP/Active Directory für Ihr Unternehmen definiert sind.

Bearbeiten Sie die attribute-resolver.xml-Datei an folgendem Speicherort:

%{idp.home}/conf/attribute-resolver.xml

Geben Sie für jedes der folgenden Attribute die Quell-Attribut-ID ein,wie für Ihr Unternehmen definiert:

  • FirstName (Zeile 1 unten)
  • LastName (Zeile 7 unten)
  • Email (Zeile 13 unten)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
      <resolver:Dependency ref="myLDAP" />
      <resolver:AttributeEncoder xsi:type="SAML2StringNameID"
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
     </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Aktualisieren Sie die relying-party.xml-Datei an folgendem Speicherort, um das saml-nameid-Format, wie vom Adobe-Service-Anbieter erforderlich, zu unterstützen:

%{idp.home}/conf/relying-party.xml

Aktualisieren Sie das Attribut p:nameIDFormatPrecedence (Zeile 7 unten), wobei Sie emailAddress aufnehmen.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId">
	<property name="profileConfigurations">
		<list>
			<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
			<ref bean="SAML1.AttributeQuery" />
			<ref bean="SAML1.ArtifactResolution" />
			<bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" />
			<ref bean="SAML2.ECP" />
			<ref bean="SAML2.Logout" />
			<ref bean="SAML2.AttributeQuery" />
			<ref bean="SAML2.ArtifactResolution" />
			<ref bean="Liberty.SSOS" />
		</list>
	</property>
</bean>

Um die Verschlüsselung der Zusicherungen zu deaktivieren, gehen Sie im Abschnitt DefaultRelyingParty für jeden SAML2-Typ wie folgt vor:

Ersetzen Sie:

encryptAssertions="conditional"

Mit:

encryptAssertions=”never"

3. saml-nameid.xml

Aktualisieren Sie die saml-nameid.xml am folgenden Speicherort:

%{idp.home}/conf/saml-nameid.xml

Aktualisieren Sie das Attribut p:attributeSourceIds (Zeile 3 unten) und ändern Sie es in "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Laden Sie die IdP-Metadatendatei in die Adobe Admin Console hoch

So aktualisieren Sie die Shibboleth-Metadatendatei:

  1. Laden Sie die Shibboleth-Metadatendatei in den Bildschirm SAML-Profil hinzufügen hoch.

    Nach der Konfiguration von Shibboleth ist die Metadatendatei (idp-metadata.xml) auf Ihrem Shibboleth-Server an folgendem Speicherort verfügbar:

    <shibboleth>/metadaten

  2. Klicken Sie auf Fertig.

Weitere Details, wie man Verzeichnisse erstellen auf der Admin Console.

Single Sign-on-Test

Testen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsmanagementsystem und in der Adobe Admin Console definiert haben, indem Sie sich auf der Adobe-Website oder bei der Creative Cloud Desktop-Applikation anmelden.

Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung.

Wenn Sie Unterstützung bei der Konfiguration von Single Sign-On mit benötigen, navigieren Sie zu Support in der Adobe Admin-Konsole und geben Sie ein Ticket ein.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie