Présentation

La console d’administration Adobe permet à un administrateur système de configurer les domaines et répertoires utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO).

Une fois que la propriété d’un domaine est démontrée à l’aide d’un jeton DNS et qu’elle a été associée à un répertoire Federated ID, les utilisateurs ayant des adresses électroniques dans le domaine revendiqué peuvent se connecter à Creative Cloud via un système Identity Provider (IdP), une fois les comptes correspondants créés sur la console d’administration Adobe appropriée. 

Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un exemple d’IdP est WSO2-Ellucian Ethos, un service basé sur le cloud qui facilite la gestion des identités sécurisées.

Le document a pour but de décrire le processus nécessaire pour configurer la console d’administration Adobe et un serveur WSO2 Identity pour pouvoir ouvrir une session d’applications Adobe Creative Cloud et de sites web associés pour l’authentification unique.

L’IdP n’a pas à être accessible depuis l’extérieur du réseau d’entreprise, mais s’il ne l’est pas, seules les stations de travail du réseau (ou connectées via un VPN) pourront effectuer l’authentification pour activer une licence ou se connecter après la désactivation de la session.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique à l’aide du serveur WSO2 Identity, vérifiez que les conditions suivantes sont réunies :

  • Répertoire approuvé sur votre console d’administration Adobe défini pour Federated ID qui attend d’être configuré ou qui a déjà été configuré pour un autre IdP
  • Le domaine pertinent a été revendiqué dans votre répertoire fédéré
  • Un serveur WSO2 est installé.
  • Le serveur est accessible depuis les postes de travail des utilisateurs (par exemple via HTTPS)
  • Certificat de sécurité obtenu à partir de Keystores
  • Tous les comptes Active Directory à associer à Creative Cloud pour le compte Enterprise possèdent une adresse électronique figurant dans Active Directory.

Configuration de votre répertoire sur la console d’administration Adobe

  1. Accédez à la console de gestion des identités WSO2.

  2. Enregistrez le certificat de signature de l’IdP (X.509) depuis la liste des Keystores.

    Certificat de signature de l’IDP

    Pour configurer l’authentification unique pour votre répertoire, entrez les informations requises dans votre console d’administration Adobe.

  3. Téléchargez le certificat IdP que vous avez enregistré.

  4. Sélectionnez HTTP - Redirect dans la liste Liaison IDP.

  5. Dans la liste Paramètres de connexion utilisateur, sélectionnez Adresse de messagerie.

  6. Entrez ethos comme émetteur d’IdP.

    Par exemple, ethos.xyz.edu, ethos.xyz.org ou ethos.xyz.com 

  7. Dans URL de connexion IdP, entrez https://ethos/<nom_domaine>/samlsso.

    Par exemple, https://ethos.xyz.org/samlsso

    Répertoire de configuration
  8. Cliquez sur Enregistrer.

  9. Pour enregistrer le fichier de métadonnées XML SAML sur votre ordinateur, cliquez sur Télécharger les métadonnées

  10. Cochez la case Je comprends que je dois terminer la configuration avec mon fournisseur d’identité.

  11. Cliquez sur TERMINER pour terminer la configuration de votre répertoire.

Enregistrement d’un nouveau fournisseur de services

Pour enregistrer un fournisseur de services, procédez comme suit :

  1. Accédez à la console de gestion du serveur WSO2 Identity.

  2. Sur le serveur WSO2, accédez à Identité > Fournisseurs de services > Ajouter.

  3. Dans la zone Nom du fournisseur de services, saisissez le nom requis.

  4. Dans la zone Description, entrez la description du fournisseur de services.

  5. Cliquez sur Enregistrer.

    Serveur WSO2 Identity
  6. Sous Configuration de demande, procédez comme suit :

    Barre Configuration de demande
    1. Sélectionnez l’option Définir la langue de configuration de demande.
    2. Ajoutez trois attributs URI de demande.
      1. Ajoutez les valeurs Demandes de fournisseurs de service suivantes.
        • Adresse électronique
        • Prénom.
        • Nom.
      2. Ajoutez les valeurs Demande locale.
        • http://wso2.org/claims/emailaddress
        • http://wso2.org/claims/givenname 
        • http://wso2.org/claims/lastname
    3. Dans la liste URI de demande d’objet, sélectionnez Adresse de messagerie.
    4. Pour enregistrer les modifications, cliquez sur Mettre à jour.
    Configuration de demande
  7. Ouvrez les métadonnées Adobe enregistrées à partir de la console d’administration.

    Métadonnées Adobe
    1. Copier la valeur du champ entityID  et conservez-la en toute sécurité pour une utilisation ultérieure.
    2. Copiez la valeur du champ Emplacement et conservez-la en toute sécurité pour une utilisation ultérieure.
  8. Sur l’écran Enregistrer un nouveau fournisseur de services, accédez à Configuration de l’authentification entrante > Configuration SSO Web SAML2.

  9. Pour modifier le fournisseur de services, dans la colonne Actions, cliquez sur le lien Modifier correspondant.

    Configuration SSO Web SAML2
  10. Procédez comme suit :

    1. Dans le champ Émetteur, saisissez la valeur de champentityIDcopiée à partir des métadonnées Adobe.

    2. Dans la zone URL consommateur de déclaration, entrez la valeur du champ d’emplacement copiée à partir des métadonnées Adobe, puis cliquez sur Ajouter.

    3. Dans le champ Format NameID, saisissez urn:oasis:names:tc: SAML: 1.1:nameid-format:emailAddress.

    4. Dans l’algorithme de signature de réponse et dans les listes de l’algorithme de signature de réponse, assurez-vous que la valeur sélectionnée se termine par sha1.

    5. Cochez les cases Activer le profil d’attribut et Toujours inclure des attributs dans la réponse. Cliquez sur Mettre à jour.

     

    register_new_serviceprovider1

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne