Opdater SSO-certifikat

Hvis du har konfigureret SSO for din identitetsudbyder (IdP) med Adobe Admin Console, og dine slutbrugere ikke kan logge ind på deres Adobe-apps og -tjenester, kan SAML-certifikatet være udløbet.

Problem

Du støder på nogen af følgende problemer:

  • Slutbrugere er logget ud og kan ikke logge ind på Adobe Creative Cloud-web-, mobil- eller computerapps.
  • Når de forsøger at logge ind, får slutbrugere vist fejlmeddelelser som f.eks. følgende:
    • Valideringen af SAML-certificering mislykkedes.
    • Den digitale signatur i SAML-svaret blev ikke valideret med identitetsudbyderens certifikat.
  • Administrator kan ikke tilføje/fjerne/administrere brugere eller produktprofiler.
  • Administratorer ønsker at forny dit SAML-certifikat, som er ved at udløbe.

Årsag

I en SAML-udveksling er de to enheder, der er involveret:

  • Identitetsudbyder (IdP)
    IdP-certifikatet ejes og administreres af kunden i kundens egen IdP (ADFS, OKTA, Shiboleth) og uploades til Admin Console.
  • Adobe, der fungerer som Service Provider (SP)
    Adobe-enheder administreres i Admin Console og uploades til kundens IdP.

Begge enheder har deres respektive certifikater, der bruges til at etablere tillid.
Hvis du har konfigureret SSO for din identitetsudbyder (IdP) med Adobe Admin Console, og dine slutbrugere ikke kan logge ind på deres Adobe-apps og -tjenester, kan SAML-certifikatet være udløbet.

Admin Console-notifikation

Adobe giver dig besked, når et Adobe-genereret certifikat er ved at udløbe eller er udløbet, med en bannernotifikation i Admin Console sammen med en statusopdatering pr. katalog. Du kan se statussen for et SAML-certifikat ved at gå til Indstillinger > Identitetsindstillinger og gennemgå kolonnen Status i fanen Kataloger.

Løsning

SAML-konfiguration

Hvis dine certifikater er udløbet eller er ved at udløbe, kan du direkte opdatere føderationskonfigurationen via Admin Console. SAML-certifikaterne opdateres sammen med SAML-konfigurationen.

Bemærk:

Hvis din IdP ikke tjekker certifikatets gyldighed, kræves der ingen handling.

Som systemadministrator kan du opdatere og administrere selvsignerede certifikater direkte fra Admin Console ved at følge denne fremgangsmåde:

  1. I Admin Console skal du gå til Indstillinger > Identitet > (katalognavn) > Godkendelse.

  2. Klik på Rediger, og klik derefter på Næste.

  3. Se tilgængelige certifikater og status for certifikaterne. Du kan vælge at generere et nyt certifikat eller en ny anmodning om certifikatsignering.

    Bemærk:

    Det selvsignerede certifikat er mere praktisk og er i overensstemmelse med bedste praksis for sikkerhed. Det anbefales, at du vælger et selvsigneret certifikat, medmindre din organisation har specifikke krav, som ikke kan opfyldes med et selvsigneret certifikat.

  4. Klik på Generer nyt certifikat.

    Der genereres et nyt SAML-certifikat i det valgte fødererede katalog for en aktiv SAML-konfiguration.

  5. Opret ny anmodning om signering.

    Klik på Opret en anmodning om certifikatsignering.
    I dialogboksen, der vises, skal du angive følgende oplysninger fra din certificate authority (CA):

    1. Angiv oplysningerne fra din certificate authority.
    2. Når du opretter en ny anmodning om signering, skal du færdiggøre processen hos din certificate authority (CA), for at den træder i kraft med SAML-certifikatet.
    3. Gå til Handlinger, og klik på Udfør.
    4. Upload certifikatfilen fra certificate authority, og klik på Udfør, og klik derefter på Udført

Når et certifikat er blevet oprettet, vil yderligere handlinger være tilgængelige, herunder mulighederne for at indstille som standard, aktivere, deaktivere, downloade metadata, downloade certifikat og slette.

Hvis din IdP understøtter flere certifikater, skal du følge denne fremgangsmåde uden login-afbrydelser.

  1. Upload det nye certifikat i tillæg til det gamle til din IdP.

  2. Indstil det nye certifikat som standard i Adobe Admin Console.

  3. Test login.

  4. Fjern det gamle certifikat fra IdP-konfigurationen.

  5. Deaktiver/slet det gamle certifikat.

Bemærk:

Det anbefales, at du deaktiverer, da sletning ikke kan fortrydes.

Hvis din IdP IKKE understøtter flere certifikater, bør du vælge et nedetidsinterval for at udføre fornyelsen:

  1. Upload det nye certifikat til din IdP.

  2. Indstil det nye certifikat som standard i Adobe Admin Console.

  3. Test login.

  4. Deaktiver det gamle certifikat.

  5. Hvis du ikke oplever nogen problemer, skal du slette det gamle certifikat.

Bemærk:

Det anbefales, at du venter noget tid, før du sletter det gamle certifikat, da sletning af certifikater ikke kan fortrydes.

Revisionslogfiler

Handlinger i forbindelse med oprettelse og administration af certifikater kan findes i revisionslogfilerne.

Du kan se revisionslogfilerne ved at gå til Admin Console og gå til Indsigt > Logfiler > Revisionslogfil.

Få hjælp hurtigere og nemmere

Ny bruger?