Descripción general

La Consola de Administración permite que un administrador de sistemas configure los dominios que se utilizarán para el acceso a través de la identificación federada para inicio de sesión único (SSO). Una vez que se demuestra la propiedad de un dominio mediante un token de DNS, el dominio se puede configurar para permitir a los usuarios iniciar sesión en Creative Cloud. Los usuarios pueden iniciar sesión usando direcciones de correo electrónico dentro de ese dominio a través de un proveedor de identidad (IdP). El proceso se suministra como servicio de software que se ejecuta en la red de la empresa y se accede a él desde Internet o desde un servicio en la nube alojado por terceros que permite la verificación de los detalles de inicio de sesión del usuario a través de la comunicación segura usando el protocolo SAML.

Uno de estos IdP es shibboleth. Para utilizar shibboleth, necesita un servidor al que se pueda acceder desde Internet y que tenga acceso a los servicios de directorio desde la red de la empresa. Este documento describe el proceso necesario para configurar la Consola de Administración y un servidor shibboleth, para poder acceder a las aplicaciones de Creative Cloud de Adobe y a las páginas web asociadas para el inicio de sesión único.

El acceso a IdP se logra, habitualmente, usando una red diferente par ala cual se han configurado reglas específicas para permitir únicamente determinados tipos de comunicación entre servidores y la red interna y externa, conocida como DMZ (zona desmilitarizada). La configuración del sistema operativo en este servidor y la topología de esta red está fuera del alcance y el propósito de este documento.

Requisitos previos

Antes de configurar un dominio para utilizar el inicio de sesión único shibboleth IDP, se deben cumplir los siguientes requisitos:

  • Un dominio aprobado para su cuenta de empresa de Adobe. El estado del dominio en la Consola de administración de Adobe debe ser Se requiere configuración.
  • La versión más reciente del shibboleth está instalada y configurada.
  • Todas las cuentas de Active Directory que se van a asociar con una cuenta de Creative Cloud para empresas deben tener una dirección de correo electrónico que se encuentre dentro de Active Directory.

Nota:

Los pasos para configurar el shibboleth IDP con Adobe SSO descritos en este documento se han probado con la versión 3.

Configurar Consola de Administración de Adobe

Para configurar el IdP Shibboleth en la Consola de administración, siga estos pasos:

  1. En la Consola de administración, vaya a Configuración > Identidad.

    La página Identidad enumera los dominios de su organización.

  2. Haga clic en el nombre del dominio que desea configurar.

  3. Haga clic en Configurar SSO.

    Se abre el asistente Configurar el dominio.

    Configurar el dominio
  4. Para cargar el certificado IdP, haga clic en Cargar y vaya al archivo de certificado:

    %{idp.home}/credentials/idp-signing.crt

  5. Establezca el enlace IdP en Redirigir.

  6. Para Configuración de inicio de sesión de usuario, seleccione Dirección de correo electrónico.

  7. Introduzca la siguiente URL en el campo Emisor de IDP:

    https://<claimed domain server name:port>/idp/shibboleth

  8. Introduzca la siguiente URL en el campo URL de acceso IDP:

    https://<claimed domain server name:port>/idp/profile/SAML2/Redirect/SSO

  9. Haga clic en Completar configuración.

  10. Para guardar el archivo de metadatos SAML XML, haga clic en Descargar metadatos.

    Después de descargar el archivo de metadatos, debe actualizar el archivo para asegurarse de que la información correcta se transfiera a Adobe.

    Reemplace las siguientes líneas en el archivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Con:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

  11. Haga clic en Activar dominio.

    Su dominio ahora está activo.

Configurar el Shibboleth

Después de descargar el archivo de metadatos de SAML XML de la Consola de administración de Adobe, siga estos pasos para actualizar los archivos de configuración de Shibboleth.

  1. Copie el archivo de metadatos descargado en la ubicación siguiente y cambie el nombre del archivo a adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Edite el archivo attribute-filter.xml.

    El proveedor de servicios de Adobe requiere el nombre, el apellido y el correo electrónico del usuario en la respuesta SAML.

    Edite el archivo %{idp.home}/conf/attribute-filter.xml para incluir los atributos de nombre, apellido y correo electrónico insertando el nodo AttributeFilterPolicy como se muestra a continuación (líneas de la 17 a la 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
            xmlns="urn:mace:shibboleth:2.0:afp"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
    
        <!-- Release some attributes to an SP. -->
        <AttributeFilterPolicy id="AdobeSP">
            <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spi852ccrrph9JfWw0h7" />
    
            <AttributeRule attributeID="FirstName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="LastName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="Email">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
        </AttributeFilterPolicy>
       
    
    </AttributeFilterPolicyGroup>
  3. Edite el archivo metadata-providers.xml.

    Actualice %{idp.home}/conf/metadata-providers.xml con la ubicación del archivo de metadatos adobe-sp-metadata.xml (línea 29 a continuación ) que creó en el paso 1 más arriba.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Solución de problemas para la configuración shibboleth

Si no consigue iniciar sesión correctamente en adobe.com, compruebe los siguientes archivos de configuración shibboleth para comprobar cualquier posible problema:

1. attribute-resolver.xml

El archivo de filtro de atributo actualizado al configurar Shibboleth define los atributos que debe recibir el proveedor de servicios de Adobe. Sin embargo, estos atributos deben asignarse a los atributos adecuados según lo definido en LDAP / Directorio Activo para su organización.

Edite el archivo attribute-resolver.xml en la siguiente ubicación:

%{idp.home}/conf/attribute-resolver.xml

Para cada uno de los siguientes atributos, especifique el id del atributo de origen definido para su organización:

  • Nombre (línea 1 a continuación)
  • Apellido (línea 7 a continuación)
  • Correo electrónico (línea 13 a continuación)
    <resolver:AttributeDefinition id="Email" xsi:type="ad:Simple" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="Email" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="LastName" xsi:type="ad:Simple" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="LastName" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="FirstName" xsi:type="ad:Simple" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="FirstName" encodeType="false" />
    </resolver:AttributeDefinition>

2. relying-party.xml

Actualice el archivo relying-party.xml en la siguiente ubicación para que admita el formato SAML-NameID requerido por el proveedor de servicios de Adobe:

%{idp.home}/conf/relying-party.xml

Actualice el atributo p:nameIDFormatPrecedence (línea 7 a continuación) para incluir emailAddress.

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

3. saml-nameid.xml

Actualice saml-nameid.xml en la siguiente ubicación:

%{idp.home}/conf/saml-nameid.xml

Actualice el atributo p:attributeSourceIds (línea 3 a continuación) a "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Probar el inicio de sesión único

Cree un usuario de prueba con directorio activo. Cree una entrada en la Consola de administración para este usuario y asígnele una licencia; después, pruebe el inicio de sesión en Adobe.com/es para confirmar que el software correspondiente aparece enumerado para la descarga.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea