Panoramica

La console di amministrazione Adobe consente a un amministratore di sistema di configurare domini e directory utilizzati per l’accesso tramite Federated ID per Single Sign-On (SSO).

Una volta che la proprietà di un dominio viene dimostrata tramite un token DNS ed è stata collegata a una directory Federated ID, gli utenti che dispongono di indirizzi e-mail nel dominio attestato possono accedere a Creative Cloud tramite un sistema di provider di identità (IdP) dopo che gli account corrispondenti sono stati creati nella console di amministrazione Adobe appropriata. 

Il processo viene fornito come servizio software eseguito all’interno della rete aziendale ed è accessibile tramite Internet o un servizio cloud ospitato da terzi che consente la verifica dei dettagli di accesso utente tramite la comunicazione protetta mediante il protocollo SAML.

Un IdP di questo tipo è WSO2 di Ethos-Ellucian, un servizio basato sul cloud che facilita la gestione sicura dell’identità.

Il documento mira a descrivere il processo necessario per configurare la console di amministrazione di Adobe e un WSO2 Identity Server per accedere alle applicazioni Adobe Creative Cloud e ai siti web associati per Single Sign-On.

L'IdP non deve essere accessibile dall’esterno della rete aziendale, ma se non lo è, solo le workstation all’interno della rete (o connesse tramite una VPN) saranno in grado di eseguire l’autenticazione per attivare la licenza o eseguire l’accesso dopo la disattivazione della sessione.

Prerequisiti

Prima d configurare un dominio per Single Sign-On tramite WSO2 Identity Server, assicurati che siano soddisfatti i seguenti requisiti:

  • Una directory approvata sul set della console di amministrazione di Adobe per il Federated ID in attesa di configurazione o precedentemente configurato per un altro IdP
  • Il dominio pertinente è stato richiesto nella directory federata
  • È stato installato un server WSO2.
  • Il server è accessibile dalle workstation degli utenti (ad esempio, tramite HTTPS)
  • Certificato di sicurezza ottenuto dagli archivi di chiavi
  • Tutti gli account Active Directory da associare all’account Creative Cloud for Enterprise devono avere un indirizzo e-mail indicato all’interno di Active Directory.

Configurazione della directory nella console di amministrazione di Adobe

  1. Accedi alla WSO2 Identity Management Console (Console di gestione identità WSO2).

  2. Salva il certificato di firma idP (X.509) dall'elenco di archivi di chiavi.

    Certificato di firma IDP

    Per configurare Single Sign-On per la tua directory, immetti le informazioni richieste nella console di amministrazione di Adobe.

  3. Carica il certificato IdP salvato.

  4. Nell'elenco Binding IdP, seleziona HTTP - Redirect.

  5. Nell'elenco Impostazioni accesso utente, seleziona E-mail.

  6. Immetti ethos come Emittente IdP.

    Ad esempio, ethos.xyz.edu o ethos.xyz.orgo ethos.xyz.com

  7. In URL di accesso IdP, immetti https://ethos/<nome_dominio>/samlsso.

    Ad esempio, https://ethos.xyz.org/samlsso

    Configura la directory
  8. Fai clic su Salva.

  9. Per salvare il file di metadati XML SAML sul computer, fai clic su Scarica metadati

  10. Seleziona la casella di controllo per mostrare checomprendi la necessità di completare la configurazione con il tuo provider di identità.

  11. Per terminare la configurazione della directory, fai clic su COMPLETA.

Registra un nuovo provider di servizi

Per registrare un nuovo provider di servizi, procedi come segue:

  1. Vai alla console di gestione di WSO2 Identity Server.

  2. Sul server WSO2, accedi a Identity (Identità) > Service Providers (Provider di servizi) > Add (Aggiungi).

  3. Nella casella Service Provider Name (Nome provider di servizi), immetti il nome richiesto.

  4. Nella casella Description (Descrizione), immetti la descrizione del provider di servizi.

  5. Fai clic su Register (Registra).

    WSO2 Identity Server
  6. Sotto Claim Configuration (Configurazione attestazione), procedi come segue:

    Claim Configuration Bar (Barra configurazione attestazione)
    1. Seleziona l'opzione Define Custom Claim Dialect (Definisci dialetto attestazione personalizzato).
    2. Aggiungi tre attributi Claim URIs (URI attestazione).
      1. Aggiungi i seguenti valori Service Provider Claims (Attestazioni provider di servizi).
        • E-mail
        • Nome
        • Cognome
      2. Aggiungi i seguenti valori Local Claim (Attestazione locale).
        • http://wso2.org/claims/emailaddress
        • http://wso2.org/claims/givenname 
        • http://wso2.org/claims/lastname
    3. Nell'elenco Subject Claim URI (Oggetto URI attestazione), seleziona Email (E-mail).
    4. Per salvare le modifiche, fai clic su Update (Aggiorna).
    Configurazione attestazione
  7. Apri i metadati Adobe salvati dalla console di amministrazione.

    Metadati Adobe
    1. Copia il valore del campo  entityID  e conservalo per ulteriori utilizzi.
    2. Copia il valore del campo  Location e conservalo per ulteriori utilizzi.
  8. Nella schermata Registra un nuovo provider di servizi , accedi a Configurazione autenticazione in entrata > Configurazione di SSO Web SAML2.

  9. Per modificare il provider di servizi, nella colonna Azioni, fai clic sul link Modifica corrispondente.

    SAML2 Web SSO Configuration (Configurazione di SSO Web SAM 2)
  10. Procedi come segue:

    1. Nella casella Issuer (Emittente), immetti il valore del campoentityIDcopiato dai metadati Adobe.

    2. Nella casella Assertion Consumer URLs (URL consumer di asserzione), immetti il valore del campo Location copiato dai metadati Adobe, quindi fai clic su Add (Aggiungi).

    3. Nella casella NameID format (formato NameID), immetti urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.

    4. Negli elenchi Response Signing Algorithm (Algoritmo di firma della risposta) e Response Signing Algorithm (Algoritmo di firma della risposta), assicurati che il valore selezionato termini con sha1.

    5. Seleziona le caselle di controllo Enable Attribute Profile (Attiva profilo attributi) e Include Attributes in the Response Always (Includi sempre attributi nella risposta). Fai clic su Aggiorna.

     

    register_new_serviceprovider1

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online