Mise à jour du certificat SSO

Si vous avez configuré l’authentification unique pour votre fournisseur d’identité avec Adobe Admin Console et que vos utilisateurs finaux ne peuvent pas se connecter à leurs applications et services Adobe, le certificat SAML a peut-être expiré.

Problème

Vous rencontrez l’un des problèmes suivants :

  • Les utilisateurs finaux sont déconnectés et ne peuvent pas se connecter à l’application web, mobile ou sur ordinateur d’Adobe Creative Cloud.
  • Quand ils tentent de se connecter, les utilisateurs finaux voient un message d’erreur semblable à ceux-ci :
    • Échec de la validation de la certification SAML.
    • La signature numérique dans la réponse SAML n’a pas été validée avec le certificat du fournisseur d’identité.
  • Les administrateurs ne peuvent pas ajouter/supprimer/gérer des utilisateurs ou des profils de produits.
  • Les administrateurs souhaitent renouveler votre certificat SAML qui est sur le point d’expirer.

Cause

Un échange SAML implique les deux entités suivantes :

  • Le fournisseur d’identité (IdP)
    Le client conserve et gère le certificat de l’IdP au sein de son propre IdP (ADFS, OKTA, Shibboleth, etc.), et le charge sur Admin Console.
  • Adobe, qui agit en tant que fournisseur de services (SP)
    Les entités Adobe se gèrent dans Admin Console et se chargent dans l’IdP du client.

Adobe et l’IdP disposent tous les deux d’un certificat permettant de prouver leur fiabilité.
Si vous avez configuré l’authentification unique pour votre fournisseur d’identité dans Adobe Admin Console et que vos utilisateurs finaux ne peuvent pas se connecter à leurs applications et services Adobe, il se peut que le certificat SAML ait expiré.

Notification dans Admin Console

Si vous avez un certificat généré par Adobe qui va expirer ou qui a déjà expiré, Adobe vous en informe par le biais d’une bannière dans Admin Console ainsi que d’une mise à jour de statut dans chaque répertoire. Pour consulter le statut d’un certificat SAML, ouvrez la section Paramètres > Paramètres d’identité et examinez la colonne Statut de l’onglet Répertoires.

Solution

Configuration SAML

Vous pouvez directement mettre à jour la configuration de la fédération via la console d’administration si vos certificats ont expiré ou sont sur le point d’expirer. Les certificats SAML sont mis à jour avec la configuration SAML.

Remarque :

Si votre IdP ne vérifie pas la validité des certificats, aucune action n’est nécessaire.

En tant qu’administrateur système, vous pouvez mettre à jour et gérer vos certificats auto-signés directement dans Admin Console en procédant comme suit :

  1. Dans Admin Console, sélectionnez Paramètres > Identité > [nom du répertoire] > Authentification.

  2. Cliquez sur Modifier, puis sur Suivant.

  3. Examinez les certificats disponibles et leur statut. Vous pouvez décider de générer un nouveau certificat ou une nouvelle demande de signature de certificat.

    Remarque :

    les certificats auto-signés sont plus pratiques et plus conformes aux bonnes pratiques de sécurité. C’est pourquoi nous vous recommandons de vous tourner vers ce type de certificat, sauf si votre organisation a des exigences spécifiques qu’un certificat auto-signé ne peut pas satisfaire.

  4. Cliquez sur Générer un certificat.

    Un certificat SAML sera généré dans le répertoire fédéré sélectionné pour l’une de vos configurations SAML actives.

  5. Créez une nouvelle demande de signature.

    Cliquez sur Créer une demande de signature de certificat.
    Dans la boîte de dialogue qui s’affiche, saisissez les informations suivantes provenant de votre autorité de certification (CA) :

    1. Saisissez les détails de votre autorité de certification.
    2. Si vous décidez de créer une demande de signature, vous devez clôturer le processus auprès de votre autorité de certification (CA) afin que la nouvelle signature entre en vigueur avec le certificat SAML.
    3. Pour cela, rendez-vous dans Actions et cliquez sur Terminer.
    4. Téléchargez le fichier du certificat fourni par l’autorité de certification et cliquez sur Terminer, puis sur Terminé.

Une fois le certificat créé, vous aurez accès à des actions supplémentaires, notamment définir par défaut, activer, désactiver, télécharger les métadonnées, télécharger le certificat ou encore supprimer.

Si votre IdP prend en charge plusieurs certificats en même temps, vous pouvez suivre les étapes ci-dessous sans aucune interruption de connexion.

  1. Chargez le nouveau certificat aux côtés de l’ancien dans votre IdP.

  2. Faites-en votre certificat par défaut dans Adobe Admin Console.

  3. Testez la connexion.

  4. Supprimez l’ancien certificat de la configuration de votre IdP.

  5. Désactivez/Supprimez l’ancien certificat.

Remarque :

une simple désactivation est recommandée, car la suppression est irréversible.

Si votre IdP N’ACCEPTE PAS plusieurs certificats en même temps, choisissez la durée du temps de pause nécessaire pour procéder au renouvellement :

  1. Chargez le nouveau certificat dans votre IdP.

  2. Faites-en votre certificat par défaut dans Adobe Admin Console.

  3. Testez la connexion.

  4. Désactivez l’ancien certificat.

  5. Si vous ne rencontrez aucun problème, supprimez l’ancien certificat.

Remarque :

nous vous recommandons d’attendre un peu avant de supprimer le certificat, car cette action est irréversible.

Journaux d’audit

Vous pouvez retrouver les opérations liées à la création et à la gestion des certificats dans les journaux d’audit.

Pour consulter ces journaux, ouvrez Admin Console et cliquez sur Insights > Journaux > Journaux d’audit.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?