Shibboleth IdP:n määritys käytettäväksi yhdessä Adobe SSO:n kanssa

Hae

Päivitetty viimeksi 14. tammikuuta 2025

Koskee yrityksiä.

Yleiskatsaus

Adobe Admin Consolen avulla järjestelmänvalvoja voi määrittää toimialueet, joita käytetään Federated ID:llä Single Sign-On (SSO) ‑kirjautumiseen. Kun toimialue on vahvistettu, toimialueen sisältävä hakemisto määritetään sallimaan, että käyttäjät kirjautuvat Creative Cloudiin. Käyttäjät voivat kirjautua sisään kyseisellä toimialueella olevilla sähköpostiosoitteillaan tunnistetietojen toimittajan (IdP) kautta. Prosessi voi olla ohjelmistopalvelu, joka toimii yrityksen verkossa ja on käytettävissä Internetissä, kuten myös kolmannen osapuolen ylläpitämä pilvipalvelu, joka mahdollistaa käyttäjätietojen vahvistamisen SAML-protokollaan perustuvan suojatun tietoliikenteen välityksellä.

Yksi tällainen IdP on Shibboleth. Tarvitset Shibbolethin käyttöön palvelimen, joka on käytettävissä Internetissä ja joka pystyy käyttämään yritysverkon hakemistopalveluita. Tässä dokumentissa on kuvattu prosessi, jolla Admin Console ja Shibboleth-palvelin voidaan määrittää niin, että voit kirjautua kertakirjautumista tukeviin Adobe Creative Cloud ‑sovelluksiin ja niihin liittyviin sivustoihin.

IdP:n käyttö toteutetaan yleensä erillisellä verkolla, jonka erityiset säännöt sallivat vain tietyn tyyppisen tietoliikenteen palvelimien sekä sisäisen ja ulkoisen verkon välillä. Tätä kutsutaan demilitarisoiduksi alueeksi (DMZ). Palvelimen käyttöjärjestelmän määritys ja tällaisen verkon topologia eivät kuulu tämän dokumentin piiriin.

Edellytykset

Ennen kuin toimialue määritetään Shibboleth IdP:hen perustuvaa kertakirjautumista varten, seuraavien vaatimusten on täytyttävä:

Shibbolethin uusimman version on oltava asennettuna ja määritettynä.
Kaikilla Creative Cloud for Enterprise ‑tiliin liitettävillä Active Directory ‑tileillä on oltava Active Directoryssa sähköpostiosoite.

Huomautus:

Shibboleth IdP:n ja Adoben kertakirjautumisen tässä dokumentissa kuvatut vaiheet on testattu versiolla 3.

Kertakirjautumisen määrittäminen Shibbolethilla

Voit määrittää kertakirjautumisen toimialueellesi seuraavasti:

Kirjaudu Admin Consoleen ja luo ensin Federated ID ‑hakemisto, valitsemalla sen tunnistetietojen toimittajaksi Muut SAML-palveluntarjoajat. Kopioi ACS:n URL-osoitteen ja entiteettitunnuksen arvot Lisää SAML-profiili ‑näytöstä.
Määritä Shibboleth antamalla ACS:n URL-osoite ja entiteettitunnus ja lataa Shibboleth-metatietotiedosto.
Palaa Adobe Admin Consoleen, lähetä Shibboleth-metatietotiedosto Lisää SAML-profiili ‑näytössä ja valitse Valmis.

Shibbolethin määritys

Kun olet ladannut SAML XML ‑metatietotiedoston Adobe Admin Consolesta, päivitä Shibboleth-määritystiedostot toimimalla seuraavien ohjeiden mukaan.

Kopioi ladattu metatietotiedosto seuraavaan sijaintiin ja anna tiedoston uudeksi nimeksi adobe-sp-metadata.xml:

%{idp.home}/metadata/
Päivitä tiedosto, jotta Adobelle palautetaan varmasti oikeat tiedot.

Korvaa tiedostossa seuraavat rivit:

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

Seuraavalla:

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

Korvaa myös tämä:

<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Seuraavalla:

<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Muokkaa metadata-providers.xml-tiedostoa.

Päivitä %{idp.home}/conf/metadata-providers.xml edellä vaiheessa 1 luomasi adobe-sp-metadata.xml-metatietotiedoston sijainnilla (rivi 29 alla).

    <!--
    <MetadataProvider id=&quot;HTTPMetadata&quot;
                      xsi:type=&quot;FileBackedHTTPMetadataProvider&quot;
                      backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot;
                      metadataURL=&quot;http://WHATEVER&quot;> 
        
        <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;>
            <PublicKey>
                MIIBI.....
            </PublicKey>
        </MetadataFilter>
        <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/>
        <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;>
            <RetainedRole>md:SPSSODescriptor</RetainedRole>
        </MetadataFilter>
    </MetadataProvider>
    -->   

    <!--
    Metatietojen toimittajan esimerkkitiedosto.  Käytä tätä, jos haluat ladata metatietoja paikallisesta tiedostosta.  Voit käyttää tätä, jos sinulla on joitakin paikallisia SP:itä, jotka eivät ole ”yhdistettyjä”, mutta joille haluat tarjota palvelua.
    
    Jos et anna SignatureValidation-suodatinta, tehtävänäsi on varmistaa, että sisältö on luotettava.
    -->
    
    
    <MetadataProvider id=&quot;LocalMetadata&quot;  xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Shibboleth-kokoonpanon vianmääritys

Jos et pysty kirjautumaan sisään osoitteessa adobe.com, tarkista seuraavat Shibboleth-kokoonpanotiedostot mahdollisten ongelmien varalta:

1. attribute-resolver.xml

Määritteiden suodatintiedosto, jonka päivitit Shibbolethia määritettäessä, määrittää Adoben palveluntarjoajalle annettavat määritteet. Sinun on kuitenkin yhdistettävä nämä määritteet organisaatiosi LDAP:ssä / Active Directoryssa määritettyihin määritteisiin.

Muokkaa attribute-resolver.xml-tiedostoa seuraavassa sijainnissa:

%{idp.home}/conf/attribute-resolver.xml

Määritä seuraavien määritteiden tapauksessa lähdemääritteen tunnus organisaatiollesi määritetyllä tavalla:

FirstName (rivi 1 alla)
LastName (rivi 7 alla)
Email (rivi 13 alla)

<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> 
      <resolver:Dependency ref=&quot;myLDAP&quot; /> 
      <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; 
       xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; 
        nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> 
      </resolver:AttributeDefinition> 
      <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; 
        sourceAttributeID=&quot;mail&quot;> 
        <resolver:Dependency ref=&quot;myLDAP&quot; /> 
        <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> 
      </resolver:AttributeDefinition> 
      <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; 
        sourceAttributeID=&quot;givenName&quot;> 
        <resolver:Dependency ref=&quot;myLDAP&quot; /> 
        <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> 
     </resolver:AttributeDefinition> 
     <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; 
        sourceAttributeID=&quot;sn&quot;> 
     <resolver:Dependency ref=&quot;myLDAP&quot; /> 
    <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Päivitä relying-party.xml-tiedosto seuraavassa sijainnissa, jotta se tukee Adoben palveluntarjoajan vaatimaa saml-nameid-muotoa:

%{idp.home}/conf/relying-party.xml

Päivitä p:nameIDFormatPrecedence-määrite (rivi 7 alla), jotta se sisältää emailAddress-parametrin.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> 
 <property name=&quot;profileConfigurations&quot;> 
  <list> 
   <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> 
   <ref bean=&quot;SAML1.AttributeQuery&quot; /> 
   <ref bean=&quot;SAML1.ArtifactResolution&quot; /> 
   <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> 
   <ref bean=&quot;SAML2.ECP&quot; /> 
   <ref bean=&quot;SAML2.Logout&quot; /> 
   <ref bean=&quot;SAML2.AttributeQuery&quot; /> 
   <ref bean=&quot;SAML2.ArtifactResolution&quot; /> 
   <ref bean=&quot;Liberty.SSOS&quot; /> 
  </list> 
 </property> 
</bean>

Voit myös poistaa vahvistusten salauksen käytöstä kunkin SAML2-tyypin DefaultRelyingParty-osiossa:

Korvaa:

encryptAssertions="conditional"

Seuraavalla:

encryptAssertions=”never"

3. saml-nameid.xml

Päivitä saml-nameid.xml-tiedosto seuraavassa sijainnissa:

%{idp.home}/conf/saml-nameid.xml

Päivitä p:attributeSourceIds-määritteeksi (rivillä 3 alla) "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot;
            p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot;
            p:attributeSourceIds=&quot;#{ {'Email'} }&quot; />

IdP-metatietotiedoston lähettäminen Adobe Admin Consoleen

Päivitä Shibboleth-metatietotiedosto seuraavasti:

Palaa Adobe Admin Consoleen.
Lähetä Shibboleth-metatietotiedosto Lisää SAML-profiili ‑näyttöön.

Kun olet määrittänyt Shibbolethin, metatietotiedosto (idp-metadata.xml) on käytettävissä Shibboleth-palvelimella seuraavassa sijainnissa:

<shibboleth>/metadata
Valitse Done (Valmis).

Saat lisätietoja perehtymällä hakemistojen luontiin Admin Consolessa.

Kertakirjautumisen testaaminen

Tarkista määrittämäsi käyttäjän käyttöoikeudet sekä omassa tunnistetietojen hallintajärjestelmässäsi että Adobe Admin Consolessa kirjautumalla Adoben sivustoon tai Creative Cloud ‑tietokonesovellukseen.

Jos kohtaat ongelmia, perehdy vianmääritysdokumenttiimme.

Jos tarvitset edelleen apua kertakirjautumisen määritykseen, siirry Adobe Admin Consolen Tuki-välilehteen ja avaa tukipyyntö.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?