Actualizar el certificado de SSO

Si ha creado y configurado un SSO para su proveedor de identidad (IdP) a través de la Adobe Admin Console y los usuarios finales no pueden iniciar sesión en las aplicaciones y servicios de Adobe, es posible que el certificado SAML haya caducado.

Problema

Tiene alguno de los problemas siguientes:

  • Los usuarios finales cierran sesión y no pueden iniciar sesión en las aplicaciones web, móviles o de escritorio de Adobe Creative Cloud.
  • Al intentar iniciar sesión, los usuarios finales reciben mensajes de error similares a los siguientes:
    • Error de validación en la certificación SAML.
    • La firma digital en la respuesta de SAML no se validó con el certificado del proveedor de identidad.
  • El administrador no puede añadir, eliminar ni administrar usuarios en perfiles de productos.
  • Los administradores quieren renovar un certificado SAML que está a punto de caducar.

Motivo

En un intercambio SAML, las dos entidades implicadas son:

  • Proveedor de identidades (IdP)
    El certificado de IdP es propiedad del cliente, que lo administra dentro de su propio IdP (ADFS, OKTA, Shiboleth) y se carga en la Admin Console.
  • Adobe, que actúa como proveedor de servicio (SP)
    Las entidades de Adobe se administran en la Admin Console y se cargan en el IdP del cliente.

Las dos entidades tienen sus respectivos certificados, que se utilizan para establecer confianza.
Si ha creado y configurado un SSO para su proveedor de identidad (IdP) a través de la Adobe Admin Console y los usuarios finales no pueden iniciar sesión en las aplicaciones y servicios de Adobe, es posible que el certificado SAML haya caducado.

Notificación de la Admin Console

Adobe le informará cuando un certificado generado por Adobe se haya configurado para vencer o haya vencido con un banner de notificación en la Admin Console junto con una actualización de estado por directorio. Para ver el estado de un certificado SAML, vaya a Configuración > Configuración de identidad y revise la columna Estado de la pestaña Directorios.

Solución

Configuración de SAML

Puede modificar directamente la configuración de la federación a través de la Admin Console si sus certificados han caducado o están a punto de caducar. Los certificados SAML se actualizan junto con la configuración de SAML.

Nota:

Si el IdP no verifica la validez del certificado, no es necesario realizar ninguna acción.

Como administrador del sistema, puede actualizar y administrar directamente los certificados autofirmados desde la Admin Console siguiendo estos pasos:

  1. En la Admin Console, vaya a Configuración > Identidad > (Nombre de directorio) > Autenticación.

  2. Haga clic en Editar y en Siguiente.

  3. Mire los certificados disponibles y su estado. Puede elegir generar un nuevo certificado o una nueva solicitud de firma de certificado.

    Nota:

    El certificado autofirmado es más cómodo y cumple con las prácticas recomendadas de seguridad. Se recomienda elegir un certificado autofirmado a menos que la organización tenga requisitos específicos con los que un certificado autofirmado no pueda cumplir.

  4. Haga clic en Generar nuevo certificado.

    Se generará un nuevo certificado SAML dentro del directorio federado seleccionado para una configuración SAML activa.

  5. Cree una nueva solicitud de firma.

    Haga clic en Crear una solicitud de firma de certificado.
    En el cuadro de diálogo que aparece, introduzca los siguientes datos de la autoridad certificadora (CA):

    1. Introduzca los datos de su autoridad certificadora.
    2. Al elegir crear una nueva solicitud de firma, debe completar el proceso con la autoridad certificadora (CA) para que se aplique junto con el certificado SAML.
    3. Vaya a Acciones y haga clic en Completar.
    4. Cargue el archivo de certificado de la autoridad certificadora, haga clic en Completar y luego en Listo

Cuando se crea correctamente un certificado, se podrán realizar acciones adicionales, como establecer como predeterminado, activar, desactivar, descargar metadatos, descargar certificado y eliminar.

Si el IdP admite varios certificados, siga estos pasos sin interrumpir el inicio de sesión.

  1. Cargue el nuevo certificado además del antiguo en el IdP.

  2. Configure el nuevo certificado como predeterminado en la Adobe Admin Console.

  3. Inicio de sesión de prueba.

  4. Elimine el certificado antiguo de la configuración del IdP.

  5. Deshabilite/elimine el certificado antiguo.

Nota:

Se recomienda deshabilitarlo ya que la eliminación es irreversible.

Si el IdP NO admite varios certificados, debe elegir un intervalo de tiempo de inactividad para realizar la renovación:

  1. Cargue el nuevo certificado en el IdP.

  2. Configure el nuevo certificado como predeterminado en la Adobe Admin Console.

  3. Inicio de sesión de prueba.

  4. Deshabilite el certificado antiguo.

  5. Si no tiene ningún problema, elimine el certificado anterior.

Nota:

Se recomienda esperar un tiempo antes de eliminar el certificado anterior, ya que la eliminación de certificados es irreversible.

Registros de auditoría

Las acciones tomadas relacionadas con la creación y gestión de certificados se pueden encontrar en los registros de auditoría.

Para ver los registros de auditoría, vaya a la Admin Console y vaya a Insights > Registros > Registro de auditoría.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea