Présentation

La Adobe Admin Console permet à un administrateur système de configurer les domaines utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO). Une fois que le domaine a été vérifié, le répertoire contenant ce dernier est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud. Les utilisateurs peuvent se connecter à l’aide d’adresses électroniques au sein de ce domaine via un fournisseur d’identité (IdP). Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Shibboleth. Pour utiliser Shibboleth, vous devez utiliser un serveur accessible par Internet et ayant accès aux services d’annuaire du réseau de l’entreprise. Ce document décrit le processus de configuration de la Admin Console et un serveur Shibboleth pour pouvoir se connecter aux applications Adobe Creative Cloud et aux sites Web associés pour l’authentification unique.

L’accès au fournisseur d’identité est généralement effectué à l’aide d’un réseau indépendant pour lequel des règles spécifiques sont configurées, de manière à permettre uniquement certains types de communications entre les serveurs et le réseau interne et externe, appelé DMZ ou zone démilitarisée. La configuration du système d’exploitation sur ce serveur et la topologie d’un tel réseau ne sont pas traitées dans ce document.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique à l’aide du fournisseur d’identité Shibboleth, les conditions suivantes doivent être réunies :

  • La dernière version de Shibboleth est installée et configurée.
  • Tous les comptes d’Active Directory à associer à Creative Cloud pour le compte Enterprise possèdent une adresse électronique figurant dans Active Directory.

Remarque :

Les étapes de configuration du fournisseur d’identité Shibboleth avec Adobe SSO décrites dans ce document ont été testées avec la version 3.

Configuration de l’authentification unique à l’aide de Shibboleth

Pour configurer l’authentification unique pour votre domaine, procédez comme suit :

  1. Connectez-vous à Admin Console et commencez par créer un répertoire Federated ID, en sélectionnant Autres fournisseurs SAML comme fournisseur d’identité. Copiez les valeurs de l’URL ACS et de l’ID d’entité à partir de l’écran Ajouter un profil SAML.
  2. Configurez Shibboleth en spécifiant l’URL ACS et l’ID d’entité, puis téléchargez le fichier de métadonnées de Shibboleth.
  3. Retournez dans Adobe Admin Console et chargez le fichier de métadonnées de Shibboleth sur l’écran Ajouter un profil SAML, puis cliquez sur Terminé.

Configurer Shibboleth

Après avoir téléchargé le fichier de métadonnées XML SAML depuis la Adobe Admin Console, suivez les étapes ci-dessous pour mettre à jour les fichiers de configuration Shibboleth.

  1. Copiez le fichier de métadonnées téléchargé vers l’emplacement suivant, puis renommez-le adobe-sp-metadata.xml :

    %{idp.home}/metadata/

  2. Mettez le fichier à jour pour vous assurer que les informations correctes sont transmises à Adobe.

    Remplacez les lignes suivantes dans le fichier :

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Par :

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Remplacez également :

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Par :

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Modifiez le fichier attribute-filter.xml.

    Le prestataire de services Adobe nécessite le prénomle nom et l’adresse électronique de l’utilisateur dans la réponse SAML.

    Modifiez le fichier %{idp.home}/conf/attribute-filter.xml pour inclure les attributs FirstName, LastName et Email en insérant le nœud AttributeFilterPolicy comme indiqué ci-dessous (lignes 17 à 31) :

    <?xml version="1.0" encoding="UTF-8"?>
    <!--
        This file is an EXAMPLE policy file.  While the policy presented in this
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
         
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup>
    	<AttributeFilterPolicy>
    		<PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" />
    		<AttributeRule attributeID="NameID">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="FirstName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="LastName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="Email">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    	</AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
  4. Modifiez le fichier metadata-providers.xml.

    Mettez à jour le fichier %{idp.home}/conf/metadata-providers.xml avec l’emplacement du fichier de métadonnées adobe-sp-metadata.xml (ligne 29 ci-dessous) que vous avez créé à l’étape 1 ci-dessus.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Dépanner l’installation de Shibboleth

Si vous ne parvenez pas à vous connecter à adobe.com, recherchez les problèmes potentiels dans les fichiers de configuration Shibboleth suivants :

1. attribute-resolver.xml

Le fichier de filtre d’attributs que vous avez mis à jour lors de la configuration de Shibboleth définit les attributs qui doivent être fournis au fournisseur de services Adobe. Toutefois, vous devez associer ces attributs aux attributs appropriés, tels que définis dans LDAP / Active Directory pour votre entreprise.

Modifiez le fichier attribute-resolver.xml à l’emplacement suivant :

%{idp.home}/conf/attribute-resolver.xml

Pour chacun des attributs suivants, définissez l’ID de l’attribut source tel qu’il est défini pour votre entreprise :

  • FirstName (ligne 1 ci-dessous)
  • LastName (ligne 7 ci-dessous)
  • Email (ligne 13 ci-dessous)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
      <resolver:Dependency ref="myLDAP" />
      <resolver:AttributeEncoder xsi:type="SAML2StringNameID"
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
     </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Mettez à jour le fichier relying-party.xml à l’emplacement suivant pour prendre en charge le format de saml-nameid requis par le prestataire de services Adobe :

%{idp.home}/conf/relying-party.xml

Mettez à jour l’attribut p:nameIDFormatPrecedence (ligne 7 ci-dessous) pour inclure emailAddress.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId">
	<property name="profileConfigurations">
		<list>
			<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
			<ref bean="SAML1.AttributeQuery" />
			<ref bean="SAML1.ArtifactResolution" />
			<bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" />
			<ref bean="SAML2.ECP" />
			<ref bean="SAML2.Logout" />
			<ref bean="SAML2.AttributeQuery" />
			<ref bean="SAML2.ArtifactResolution" />
			<ref bean="Liberty.SSOS" />
		</list>
	</property>
</bean>

De plus, pour désactiver le chiffrement des certificats, effectuez les opérations suivantes dans la section DefaultRelyingParty pour chacun des types SAML2 :

Remplacez :

encryptAssertions="conditional"

Par :

encryptAssertions="never"

3. saml-nameid.xml

Mettez à jour saml-nameid.xml à l’emplacement suivant :

%{idp.home}/conf/saml-nameid.xml

Mettez à jour l’attribut p:attributeSourceIds (ligne 3 ci-dessous) sur "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Chargement du fichier de métadonnées du fournisseur d’identité dans Adobe Admin Console

Pour mettre à jour le fichier de métadonnées Shibboleth :

  1. Revenez à Adobe Admin Console.

  2. Chargez le fichier de métadonnées Shibboleth dans la fenêtre Ajouter un profil SAML.

    Après avoir configuré Shibboleth, le fichier de métadonnées (idp-metadata.xml) est disponible à l’emplacement suivant sur votre serveur Shibboleth :

    <shibboleth>/metadata

  3. Cliquez sur Terminé.

Pour plus de détails, consultez la section Comment créer des répertoires sur Admin Console.

Test d’authentification unique

Vérifiez l’accès d’un utilisateur que vous avez défini dans votre propre système de gestion des identités et dans Adobe Admin Console en vous connectant au site Web Adobe ou à l’application de bureau Creative Cloud.

Si vous rencontrez des problèmes, consultez notre document de dépannage.

Si vous avez toujours besoin d’aide avec la configuration de l’authentification unique, accédez à Support dans la Adobe Admin Console et ouvrez un ticket.