InCommon Federation fornisce le identità federate per comunità accademiche. Gli amministratori di identità degli istituti di istruzione che appartengono a InCommon Federation possono configurare l’azienda per accettare l’accesso alle applicazioni Adobe tramite un InCommon Federated ID.

Quando effettuate l’accesso con un Federated ID, il provider di identità (IdP) dell’utente autentica l’identità dell’utente e Adobe concede l’autorizzazione per i relativi servizi all’utente autenticato. Per fornire l’autorizzazione, Adobe crea un Adobe ID interno che corrisponde a InCommon Federated ID.

Ogni IdP memorizza le informazioni di identità in modo diverso. Questo significa che occorre creare una mappatura tra i campi specifici utilizzati da IdP e i campi che sono obbligatori per l’Adobe ID corrispondente. La mappatura deve essere bidirezionale. Devi configurare l’organizzazione Adobe con le informazioni di contatto e mappatura del tuo IdP e configurare l’IdP con le informazioni di contatto e mappatura per la tua organizzazione Adobe.

Prerequisiti

Per completare il processo di configurazione, devi essere un amministratore di identità con privilegi di accesso appropriati all’account dell’organizzazione Adobe e all’account IdP. Sono necessari gli elementi seguenti:

  • Un IdP compatibile con SAML 2.0 funzionante. Gli appartenenti a InCommon Federation utilizzano in genere Shibboleth 2.x o 3.x come IdP, ma questo non è obbligatorio.
  • Accesso amministrativo ad Adobe Admin Console e a InCommon Federation Manager.
  • Accesso amministrativo ai metadati IdP.
  • Una richiesta di dominio approvata per l’account dell’organizzazione Adobe.

Mappatura tra Adobe e InCommon Federated ID

Affinché l’organizzazione conceda a SSO l’accesso alle applicazioni Adobe tramite InCommon Federated ID, devi eseguire due operazioni:

  • Utilizza Adobe Admin Console per configurare l’organizzazione con i dettagli di protezione dell’IdP utilizzato per autenticare gli InCommon Federation ID.
  • Utilizza InCommon Federation Manager per configurare una voce del fornitore di servizi per le connessioni Adobe.

Configura le informazioni IdP in Adobe Admin Console

Per configurare Single Sign-On per il tuo dominio, inserisci le informazioni necessarie utilizzando la procedura guidata Configura dominio in Adobe Admin Console.

Configura dominio

Devi compilare questi campi per consentire ad Adobe di connettersi al fornitore di servizi e consentire agli utenti di accedere con i loro InCommon Federated ID.

  • Certificato IDP: il certificato in formato PEM nei metadati IdP. L’estensione del file deve essere .crt
  • Associazione IDP: HTTP-POST o HTTP-REDIRECT.
  • Impostazione accesso utente: seleziona se gli utenti accedono con un indirizzo e-mail o un semplice nome utente.
  • Emittente IDP: l’ID entità dell’IdP.
  • URL di accesso IDP: il punto finale di login SAML, come richiesto per l’associazione specificata.

Per accedere al file dei metadati per il nuovo provider di servizi, fai clic su Scarica metadati. Utilizza questo file per configurare l’integrazione SAML con il provider di identità. Il provider di identità richiede questo file per abilitare Single Sign-On.

Configurare una voce del fornitore di servizi Adobe per l’IdP

Una connessione ad Adobe richiede un provider di servizi personalizzato in InCommon Federation Manager. La voce del fornitore di servizi mappa le informazioni di identità tra il formato Adobe Federated ID e il formato InCommon Federated ID utilizzato dall’IdP. Puoi trovare i valori Adobe nel file di metadati del fornitore di servizi che hai scaricato da Admin Console.

Per creare una voce del provider di servizi, utilizza la seguente procedura.

  1. Nell’interfaccia utente di InCommon Federation Manager, seleziona New Service Provider.

  2. Compila l’ID entità dal campo entityID nei metadati Adobe.

    new
  3. In Elementi dell’interfaccia utente e attributi richiesti, imposta Nome visualizzazione SP su un nome semplice da riconoscere.

    v2_SP_display_name

    Per compilare gli attributi obbligatori, devi prima configurare l’IdP per gli attributi personalizzati richiesti da Adobe come descritto di seguito. Ignora il passaggio per il momento.

  4. In Assertion Consumer Service, compila i valori corrispondenti dai metadati Adobe. Per URL percorso, utilizza il valore di associazione HTTP-POST SAML.

    Assertion_Consumer_Service
  5. Servizi di disconnessione singoli non sono attualmente supportati. Lascia il campo vuoto.

  6. Inserisci le informazioni sui contatti appropriate.

    contacts

Configurazione IdP

Il fornitore di servizi Adobe richiede che l’IdP fornisca tre attributi personalizzati con questi nomi (con distinzione tra maiuscole/minuscole) specifici:

  • FirstName: equivalente all’attributo “sn” (“surname”) di InCommon (urn:oid:2.5.4.4)
  • LastName: equivalente all’attributo “givenname” di InCommon (urn:oid:2.5.4.42)
  • Email: equivalente all’attributo “mail” di InCommon (urn:oid:0.9.2342.19200300.100.1.3)

Dato che gli attributi corrispondenti di InCommon non utilizzano gli stessi nomi, dovrai configurare l’IdP per mappare i valori e inviarli come attributi personalizzati. Se utilizzi Shibboleth come IdP, consulta la documentazione relativa alla configurazione degli attributi personalizzati:

Oltre a questi attributi personalizzati, dovrai configurare il campo NameId dell’attributo Subject per contenere il valore del nome utente di accesso o dell’e-mail dell’utente (come configurato in Adobe Admin Console). Se utilizzi Shibboleth come IdP, consulta la documentazione relativa alla configurazione del campo NameId:

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online