ダウンロードされたメタデータファイルを次の場所にコピーし、ファイル名を adobe-sp-metadata.xml に変更します。
%{idp.home}/metadata/
システム管理者は、Adobe Admin Console で、Federated ID からのログインに使用されるドメインをシングルサインオン(SSO)用に構成できます。ドメインの検証が完了すると、ユーザーが Creative Cloud にログインできるように、そのドメインを含むディレクトリが構成されます。ユーザーは ID プロバイダー(IdP)を介し、そのドメイン内のメールアドレスを使用してログインできます。このプロセスは、企業ネットワーク内で実行されるソフトウェアサービスとしてプロビジョニングされるか、サードパーティによってホストされるクラウドサービスとしてプロビジョニングされます。前者の場合、プロセスにはインターネットからアクセスできます。後者の場合は、SAML プロトコルを使用したセキュアな通信を通じてユーザーログインの詳細を検証することができます。
これに使用できる IdP の 1 つが Shibboleth です。Shibboleth を使用するには、インターネットからアクセス可能で、企業ネットワーク内のディレクトリサービスにアクセスできるサーバーを構成する必要があります。このドキュメントでは、Adobe Creative Cloud アプリケーションおよび関連する web サイトにシングルサインオンでログインできるように Adobe Admin Console と Shibboleth サーバーを構成するプロセスについて説明します。
IdP へのアクセスを確立するには、通常、特定のルールで構成された専用のネットワークを使用して、特定の種類の通信だけがサーバーと内部/外部ネットワーク間で許可されるようにします。このようなネットワークは DMZ(非武装地帯)と呼ばれます。このサーバーでのオペレーティングシステムの構成や DMZ ネットワークのトポロジーについては、このドキュメントの対象範囲外です。
Shibboleth を IdP とするシングルサインオンのドメインを構成するには、次の前提条件を満たす必要があります。
このドキュメントで説明している手順(Adobe SSO 用に Shibboleth IDP を構成する手順)は、バージョン 3 を使用してテストされています。
ドメインにシングルサインオンを設定するには、次の操作を行います。
Adobe Admin Console から SAML XML メタデータファイルをダウンロードしたら、次の手順に従って、Shibboleth 構成ファイルを更新します。
ダウンロードされたメタデータファイルを次の場所にコピーし、ファイル名を adobe-sp-metadata.xml に変更します。
%{idp.home}/metadata/
正しい情報がアドビに送信されるようにファイルを更新します。
ファイル内の以下の行を置き換えます。
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
置換後の文字列:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
さらに、以下の行を置き換えます。
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
置換後の文字列:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
metadata-providers.xml ファイルを編集します。
上記の手順 1 で作成した adobe-sp-metadata.xml メタデータファイル(下の 29 行目)の場所で %{idp.home}/conf/metadata-providers.xml を更新します。
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Example file metadata provider. Use this if you want to load metadata from a local file. You might use this if you have some local SPs which are not "federated" but you wish to offer a service to. If you do not provide a SignatureValidation filter, then you have the responsibility to ensure that the contents are trustworthy. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
adobe. com に正常にログインできない場合は、次の Shibboleth 構成ファイルに問題がないか確認してください。
Shibboleth の構成時に更新した属性フィルターファイルは、アドビサービスプロバイダーに提供する必要がある属性を定義したものです。ただし、これらの属性は、組織の LDAP / Active Directory で定義された適切な属性にマッピングする必要があります。
次の場所にある attribute-resolver.xml ファイルを編集します。
%{idp.home}/conf/attribute-resolver.xml
次の各属性について、組織で定義されたにソース属性 ID を指定します。
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
次の場所にある relying-party.xml を更新して、アドビサービスプロバイダーが要求する saml-nameid 形式をサポートします。
%{idp.home}/conf/relying-party.xml
emailAddress を組み込むには、p:nameIDFormatPrecedence 属性(下の 7 行目)を更新します
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
また、アサーションの暗号化をオフにするには、DefaultRelyingParty セクションで SAML2 タイプを次のように置き換えます。
置き換える文字列:
encryptAssertions="conditional"
置換後の文字列:
encryptAssertions=”never"
次の場所にある saml-nameid.xml を更新します。
%{idp.home}/conf/saml-nameid.xml
p:attributeSourceIds 属性(下の 3 行目)を "#{ {'Email'} }" に更新します。
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Shibboleth メタデータファイルを更新するには:
Adobe Admin Console に戻ります。
SAML プロファイルを追加画面で Shibboleth メタデータファイルをアップロードします。
Shibboleth の設定後、メタデータファイル(idp-metadata.xml)が Shibboleth サーバーの次の場所に作成されます。
<shibboleth>/metadata
「終了」をクリックします。
詳しくは、Admin Console でディレクトリの作成方法を参照してください。
独自の ID 管理システムと Adobe Admin Console で定義したユーザーのアクセス権を Adobe web サイトまたは Creative Cloud Desktop アプリケーションにログインして確認します。
問題が発生する場合は、トラブルシューティングに関するドキュメントを参照してください。
シングルサインオンの設定に関してさらにサポートが必要な場合は、Adobe Admin Console の「サポート」に移動し、チケットを開いてください。