Aktualisieren des SSO-Zertifikats

Wenn Sie SSO für Ihren Identitätsanbieter (IdP) mit der Adobe Admin Console eingerichtet haben und Ihre Endanwender sich nicht bei ihren Adobe-Programmen und -Diensten anmelden können, ist das SAML-Zertifikat möglicherweise abgelaufen.

Problem

Es ist eines der folgenden Probleme aufgetreten:

  • Endanwender sind abgemeldet und können sich nicht bei den Web-, Mobil- oder Desktop-Applikationen von Adobe Creative Cloud anmelden.
  • Beim Anmeldeversuch sehen Endanwender Fehlermeldungen ähnlich der folgenden:
    • Überprüfung der SAML-Zertifizierung fehlgeschlagen.
    • Die digitale Signatur in der SAML-Antwort wurde nicht mit dem Zertifikat des Identitätsanbieters überprüft.
  • Admin kann keine Benutzer bzw. Produktprofile hinzufügen, entfernen oder verwalten.
  • Admins möchten dein SAML-Zertifikat erneuern, das demnächst abläuft.

Ursache

Bei einem SAML-Austausch sind die beiden folgenden Entitäten beteiligt:

  • Identitätsanbieter (IdP)
    IdP-Zertifikate sind Eigentum der jeweiligen Kunden. Sie werden von diesen innerhalb ihres eigenen IdP (ADFS, OKTA, Shiboleth) verwaltet und in die Admin Console hochgeladen.
  • Adobe als Dienstleister (SP, Service Provider)
    Adobe-Entitäten werden in der Admin Console verwaltet und in den IdP der jeweiligen Kunden hochgeladen.

Beide Entitäten haben ihre eigenen Zertifikate, die der Vertrauensbildung dienen.
Wenn du SSO für deinen Identitätsanbieter (IdP) über die Adobe Admin Console eingerichtet hast und deine Endanwender sich nicht bei ihren Adobe-Applikationen und -Diensten anmelden können, ist das SAML-Zertifikat möglicherweise abgelaufen.

Benachrichtigung in der Admin Console

Wenn ein von Adobe generiertes Zertifikat in Kürze abläuft oder bereits abgelaufen ist, informiert dich Adobe mit einer Banner-Benachrichtigung in der Admin Console sowie mit einem Status-Update pro Verzeichnis. Um den Status eines SAML-Zertifikats anzuzeigen, navigiere zu Einstellungen > Identitätseinstellungen und überprüfe auf der Registerkarte „Verzeichnisse“ die Spalte „Status“.

Lösung

SAML-Einrichtung

Sie können die Verbund-Einrichtung direkt über die Admin Console aktualisieren, wenn Ihre Zertifikate abgelaufen sind oder demnächst ablaufen. Die SAML-Zertifikate werden zusammen mit der SAML-Einrichtung aktualisiert.

Hinweis:

Wenn dein IdP die Gültigkeit des Zertifikats nicht überprüft, sind keine Maßnahmen erforderlich.

Als Systemadministrierender kannst du selbstsignierte Zertifikate direkt von der Admin Console aus aktualisieren und verwalten, indem du die folgenden Schritte ausführst:

  1. Navigiere in der Admin Console zu Einstellungen > Identität > (Verzeichnisname) > Authentifizierung.

  2. Klicke auf Bearbeiten und dann auf Weiter.

  3. Sieh dir die verfügbaren Zertifikate und deren Status an. Du kannst auswählen, ob du ein neues Zertifikat oder einen neuen Certificate Signing Request (CSR) generieren möchtest.

    Hinweis:

    Selbstsignierte Zertifikate sind komfortabler und entsprechen den Best Practices für Sicherheit. Sofern das Unternehmen keine besonderen Anforderungen hat, die ein selbstsigniertes Zertifikat nicht erfüllen kann, wird die Verwendung eines selbstsignierten Zertifikats empfohlen.

  4. Klicke auf Neues Zertifikat generieren.

    Ein neues SAML-Zertifikat wird innerhalb des ausgewählten Verbundverzeichnisses für eine aktive SAML-Konfiguration erstellt.

  5. Erstelle einen neuen Signing Request.

    Klicke auf Certificate Signing Request erstellen.
    Gib im angezeigten Dialogfeld die folgenden Informationen von deiner Zertifizierungsstelle (CA) ein:

    1. Gib die Details deiner Zertifizierungsstelle ein.
    2. Wenn du einen neuen Signing Request erstellen möchtest, musst du den Prozess mit deiner Zertifizierungsstelle (CA) abschließen, damit er mit dem SAML-Zertifikat wirksam wird.
    3. Gehe zu „Aktionen“ und klicke auf Fertigstellen.
    4. Lade die Zertifikatsdatei von der Zertifizierungsstelle hoch, klicke auf Fertigstellen und dann auf Fertig

Sobald ein Zertifikat erfolgreich erstellt wurde, stehen weitere Aktionen zur Verfügung, darunter als Standard festlegen, aktivieren, deaktivieren, Metadaten herunterladen, Zertifikat herunterladen und löschen.

Wenn dein IdP mehrere Zertifikate unterstützt, kannst du diese Schritte ohne Anmeldeunterbrechung durchführen.

  1. Lade das neue Zertifikat zusätzlich zu deinem alten Zertifikat zu deinem IdP hoch.

  2. Lege das neue Zertifikat in der Adobe Admin Console als Standard fest.

  3. Teste die Anmeldung.

  4. Entferne das alte Zertifikat aus deiner IdP-Konfiguration.

  5. Deaktiviere oder lösche das alte Zertifikat.

Hinweis:

Es empfiehlt sich, das Zertifikat zu deaktivieren, da das Löschen nicht rückgängig gemacht werden kann.

Falls dein IdP NICHT mehrere Zertifikate unterstützt, führe die Zertifikatserneuerung während einer betrieblichen Auszeit durch:

  1. Lade das neue Zertifikat in deinen IdP hoch.

  2. Lege das neue Zertifikat in der Adobe Admin Console als Standard fest.

  3. Teste die Anmeldung.

  4. Deaktiviere das alte Zertifikat.

  5. Falls keine Probleme nach der Erneuerung auftreten, lösche das alte Zertifikat.

Hinweis:

Es empfiehlt sich, das alte Zertifikat erst nach einer gewissen Zeit zu löschen, da dieser Vorgang nicht rückgängig gemacht werden kann.

Administratorprotokolle

Maßnahmen, die im Kontext der Erstellung und Verwaltung von Zertifikaten ergriffen wurden, sind in den Administratorprotokollen zu finden.

Um die Administratorprotokolle einzusehen, rufe die Admin Console auf und navigiere zu Insights > Protokolle > Administratorprotokoll.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?