Konfigurer Shibboleth IdP til brug sammen med Adobe SSO

Søg

Sidst opdateret den 14. jan. 2025

Gælder for enterprise

Oversigt

I Adobe Admin Console kan en systemadministrator konfigurere domæner, som bruges til at logge ind via Federated ID for enkeltlogon (SSO). Når domænet er bekræftet, er den mappe, der indeholder domænet, konfigureret til at give brugerne mulighed for at logge på Creative Cloud. Brugere kan logge ind med e-mailadresser i dette domæne via en identitetsudbyder (IdP). Processen er enten en software-tjeneste, der kører inden for virksomhedens netværk og er tilgængelig fra internettet, eller en cloud-tjeneste, der hostes af en tredjepart, som giver mulighed for bekræftelse af brugerloginoplysninger via sikker kommunikation ved hjælp af SAML-protokollen.

En sådan IdP er Shibboleth. For at bruge Shibboleth skal du have en server, der er tilgængelige fra internettet og har adgang til mappen Tjenester inden for virksomhedens netværk. Dette dokument beskriver processen for konfiguration af Admin Console og en Shibboleth-server, så der kan logges på Adobe Creative Cloud-programmer og relaterede websteder for enkeltlogon.

Der er normalt adgang til IdP ved hjælp af et separat netværk, der er konfigureret med specifikke regler, så kun er bestemte typer kommunikation mellem servere og det interne og eksterne netværk, kaldet DMZ (perimeternetværk). Konfigurationen af operativsystemet på denne server og topologien for et sådant netværk ligger uden for rammerne af dette dokument.

Forudsætninger

Før du konfigurerer et domæne til enkeltlogon ved hjælp af Shibboleth IDP, skal følgende forudsætninger være opfyldt:

Den nyeste version af Shibboleth er udrullet og konfigureret.
Alle Active Directory-konti, som skal knyttes til en Creative Cloud for enterprise-konto, har en e-mailadresse, der er angivet i Active Directory.

Bemærk:

Trinnene til konfiguration af Shibboleth IDP med Adobe SSO, der er beskrevet i dette dokument, er blevet testet med version 3.

Konfigurer enkeltlogon ved hjælp af Shibboleth

For at kunne konfigurere enkeltlogon for dit domæne skal du gøre følgende:

Log på Admin Console, og start med at oprette et Federated ID-katalog, hvor du vælger Andre SAML-udbydere som identitetsudbyder. Kopiér værdierne for ACS-webadressen og enheds-id'et via skærmbilledet Tilføj SAML-profil.
Konfigurer Shibboleth, hvor du angiver ACS-webadressen og enheds-id'et, og download Shibboleth-metadatafilen.
Gå tilbage til Adobe Admin Console, og upload Shibboleth-metadatafilen på skærmbilledet Tilføj SAML-profil, og klik på Udført.

Konfiguration af Shibboleth

Når du har downloadet SAML XML-metadatafilen fra Adobe Admin Console, skal du følge nedenstående trin for at opdatere Shibboleth-konfigurationsfilerne.

Kopier den downloadede metadatafil til følgende placering, og omdøb filen til adobe-sp-metadata.xml:

%{idp.home}/metadata/
Opdater filen for at sikre, at de korrekte oplysninger videregives til Adobe.

Erstat følgende linjer i XML-filen:

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

Med:

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

Erstat også følgende:

<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Med:

<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Rediger filen metadata-providers.xml.

Opdater %{idp.home}/conf/metadata-providers.xml med placeringen af den adobe-sp-metadata.xml-metadatafil (linje 29 nedenfor), som du har oprettet i trin 1 ovenfor.

    <!--
    <MetadataProvider id=&quot;HTTPMetadata&quot;
                      xsi:type=&quot;FileBackedHTTPMetadataProvider&quot;
                      backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot;
                      metadataURL=&quot;http://WHATEVER&quot;> 
        
        <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;>
            <PublicKey>
                MIIBI.....
            </PublicKey>
        </MetadataFilter>
        <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/>
        <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;>
            <RetainedRole>md:SPSSODescriptor</RetainedRole>
        </MetadataFilter>
    </MetadataProvider>
    -->   

    <!--
    Metadataudbyder for eksempelfil.  Brug denne, hvis du vil indlæse metadata
    fra en lokal fil.  Du kan bruge den, hvis du har nogle lokale SP'er,
    der ikke er &quot;fødererede&quot;, men som du ønsker at tilbyde en tjeneste til.
    
    Hvis du ikke leverer et SignatureValidation-filter, har du ansvaret for at
    sikre, at indholdet er troværdigt.
    -->
    
    
    <MetadataProvider id=&quot;LocalMetadata&quot;  xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Foretage fejlfinding af din Shibboleth-konfiguration

Hvis du ikke kan logge på adobe.com, skal du kontrollere følgende Shibboleth-konfigurationsfiler for alle mulige problemer:

1. attribute-resolver.xml

Den attributfilterfil, som du opdaterede under konfiguration af Shibboleth, definerer de attributter, der skal gives til Adobe-serviceudbyderen. Du skal imidlertid knytte disse attributter til de relevante attributter, som defineret i LDAP/Active Directory for din organisation.

Redigere attribut-resolver.xml -filen på følgende placering:

%{idp.home}/conf/attribute-resolver.xml

For hvert af de følgende attributter skal du angive kildeattribut-ID som defineret for din organisation:

FirstName (linje 1 nedenfor)
LastName (linje 7 nedenfor)
Email (linje 13 nedenfor)

<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> 
      <resolver:Dependency ref=&quot;myLDAP&quot; /> 
      <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; 
       xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; 
        nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> 
      </resolver:AttributeDefinition> 
      <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; 
        sourceAttributeID=&quot;mail&quot;> 
        <resolver:Dependency ref=&quot;myLDAP&quot; /> 
        <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> 
      </resolver:AttributeDefinition> 
      <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; 
        sourceAttributeID=&quot;givenName&quot;> 
        <resolver:Dependency ref=&quot;myLDAP&quot; /> 
        <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> 
     </resolver:AttributeDefinition> 
     <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; 
        sourceAttributeID=&quot;sn&quot;> 
     <resolver:Dependency ref=&quot;myLDAP&quot; /> 
    <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Opdater relying-party.xml på følgende placering, der understøtter formatet saml-nameid, som Adobe-tjenesteudbyderen kræver:

%{idp.home}/conf/relying-party.xml

Opdater attributten p:nameIDFormatPrecedence (linje 7 nedenfor), så den indeholder emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> 
 <property name=&quot;profileConfigurations&quot;> 
  <list> 
   <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> 
   <ref bean=&quot;SAML1.AttributeQuery&quot; /> 
   <ref bean=&quot;SAML1.ArtifactResolution&quot; /> 
   <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> 
   <ref bean=&quot;SAML2.ECP&quot; /> 
   <ref bean=&quot;SAML2.Logout&quot; /> 
   <ref bean=&quot;SAML2.AttributeQuery&quot; /> 
   <ref bean=&quot;SAML2.ArtifactResolution&quot; /> 
   <ref bean=&quot;Liberty.SSOS&quot; /> 
  </list> 
 </property> 
</bean>

For at deaktivere kryptering for påstandene skal du desuden gøre følgende i afsnittet DefaultRelyingParty for hver af SAML2-typerne:

Erstat:

encryptAssertions="conditional"

Med:

encryptAssertions=”never"

3. saml-nameid.xml

Opdater saml-nameid.xml på følgende placering:

%{idp.home}/conf/saml-nameid.xml

Opdater attributten p:attributeSourceIds (linje 3 nedenfor) til "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot;
            p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot;
            p:attributeSourceIds=&quot;#{ {'Email'} }&quot; />

Upload IdP-metadatafil til Adobe Admin Console

Sådan opdateres Shibboleth-metadatafilen:

Vend tilbage til Adobe Admin Console.
Upload Shibboleth-metadatafilen til skærmbilledet Tilføj SAML-profil.

Efter konfiguration af Shibboleth er metadatafilen (idp-metadata.xml) tilgængelig på følgende placering på din Shibboleth-server:

<shibboleth>/metadata
Klik på Udført.

Du kan få flere oplysninger om at oprette kataloger på Admin Console.

Test enkeltlogon

Kontrollér brugeradgangen for en bruger, som du har defineret i dit eget system til identitetsstyring og i Adobe Admin Console, ved at logge på Adobe-webstedet eller på Creative Cloud-computerappen.

Hvis du støder på problemer, kan du se vores fejlfindingsdokument.

Gå til Support i Adobe Admin Consoleog åbn en sagsanmodning, hvis du har brug for hjælp til konfiguration af dit enkeltlogon.

Få hjælp hurtigere og nemmere

Ny bruger?