Configuración de Shibboleth IdP para su uso con Adobe SSO

Información general

En la Adobe Admin Console el administrador del sistema puede configurar los dominios que se utilizan para iniciar sesión mediante Federated ID para el inicio de sesión único (SSO). Una vez que se verifica el dominio, se configura el directorio que contiene el dominio para permitir que los usuarios inicien sesión en Creative Cloud. Los usuarios pueden iniciar sesión con direcciones de correo electrónico de ese dominio a través de un proveedor de identidades (IdP). El proceso se suministra, o bien como un servicio de software que se ejecuta dentro de la red de la empresa y es accesible desde Internet, o bien como un servicio en la nube alojado por terceros que permite la verificación de los detalles del inicio de sesión a través de la comunicación segura con el protocolo de SAML.

Uno de estos proveedores de identidades es Shibboleth. Para utilizar Shibboleth, necesita un servidor al que se pueda acceder desde Internet y que tenga acceso a los servicios de directorio desde la red de la empresa. Este documento describe el proceso necesario para configurar Admin Console y un servidor Shibboleth para poder iniciar sesión en las aplicaciones de Adobe Creative Cloud y en las páginas web asociadas para el inicio de sesión único.

El acceso al IdP se logra habitualmente a través de una red diferente configurada con reglas específicas para permitir solamente determinados tipos de comunicación entre los servidores y las redes interna y externa, normalmente designadas como DMZ (zona desmilitarizada). La configuración del sistema operativo en este servidor y la topología de esta red quedan fuera del alcance y el propósito de este documento.

Requisitos previos

Antes de configurar un dominio para el inicio de sesión único con Shibboleth IDP, deben cumplirse los siguientes requisitos:

  • La versión más reciente de Shibboleth está instalada y configurada.
  • Todas las cuentas de Active Directory que se vayan a asociar con una cuenta de Creative Cloud para empresas tienen una dirección de correo electrónico incluida en Active Directory.
Nota:

Los pasos para configurar el Shibboleth IDP con Adobe SSO descritos en este documento se han probado con la versión 3.

Configurar el inicio de sesión único con Shibboleth

Para configurar el inicio de sesión único para su dominio, haga lo siguiente:

  1. Inicie sesión en Admin Console y empiece por crear un directorio Federated ID, seleccionando Otros proveedores de SAML como proveedor de identidades. Copie los valores de URL de ACS y el ID de entidad de la pantalla Agregar perfil SAML.
  2. Configure Shibboleth especificando la URL de ACS y el ID de entidad y descargue el archivo de metadatos de Shibboleth.
  3. Regrese a Adobe Admin Console y cargue el archivo de metadatos de Shibboleth en la pantalla Agregar perfil SAML y haga clic en Hecho.

Configuración de Shibboleth

Después de que haya transferido el archivo de metadatos XML de SAML de Adobe Admin Console, siga los pasos que se indican a continuación para actualizar los archivos de configuración de Shibboleth.

  1. Copie el archivo de metadatos transferido a la siguiente ubicación y cambie el nombre del archivo a adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Actualice el archivo para asegurarse de que se devuelva la información correcta a Adobe.

    Reemplace las siguientes líneas en el archivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Por:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Reemplace también:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Por:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Edite el archivo metadata-providers.xml.

    Actualice el archivo %{idp.home}/conf/metadata-providers.xml con la ubicación del archivo de metadatos adobe-sp-metadata.xml (línea 29 a continuación) que creó en el paso 1 anterior.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Ejemplo de proveedor de metadatos de archivos. Utilícelo si desea cargar metadatos desde un archivo local. Puede usarlo si tiene algunos SP locales que no están “federados” pero desea ofrecerles un servicio. Si no proporciona un filtro SignatureValidation, tiene la responsabilidad de asegurarse de que el contenido sea de confianza. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Solución de problemas de la configuración de Shibboleth

Si no puede iniciar sesión correctamente en adobe.com, compruebe los siguientes archivos de configuración de Shibboleth para ver si hay algún posible problema:

1. attribute-resolver.xml

El archivo de filtros de atributos que actualizó al configurar Shibboleth define los atributos que debe proporcionar al proveedor de servicios de Adobe. Sin embargo, debe asignar estos atributos a los atributos adecuados según lo definido en el LDAP/Directorio activo de la organización.

Edite el archivo attribute-resolver.xml en la siguiente ubicación:

%{idp.home}/conf/attribute-resolver.xml

Para cada uno de los siguientes atributos, indique el ID de atributo de origen según venga definido en la organización:

  • FirstName (línea 1 a continuación)
  • LastName (línea 7 a continuación)
  • Email (línea 13 a continuación)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Actualice el archivo relying-party.xml en la siguiente ubicación para poder admitir el formato saml-nameid cuando lo requiera el proveedor de servicios de Adobe:

%{idp.home}/conf/relying-party.xml

Actualice el atributo p:nameIDFormatPrecedence (línea 7 a continuación) para incluir emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Además, para desactivar el cifrado de las aserciones, en la sección DefaultRelyingParty de cada uno de los tipos de SAML2:

Reemplace:

encryptAssertions="conditional"

Por:

encryptAssertions="never"

3. saml-nameid.xml

Actualice el archivo saml-nameid.xml en la siguiente ubicación:

%{idp.home}/conf/saml-nameid.xml

Actualice el atributo p:attributeSourceIds (línea 3 a continuación) a "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Cargue el archivo de metadatos IdP en Adobe Admin Console

Para actualizar el archivo de metadatos de Shibboleth:

  1. Vuelva a Adobe Admin Console.

  2. Cargue el archivo de metadatos de Shibboleth en la pantalla Agregar perfil SAML.

    Después de configurar Shibboleth, el archivo de metadatos (idp-metadata.xml) está disponible en la siguiente ubicación del servidor Shibboleth:

    <shibboleth>/metadata

  3. Haga clic en Hecho.

Para obtener más información, consulte cómo crear directorios en Admin Console.

Prueba del inicio de sesión único

Compruebe el acceso de los usuarios con un usuario que haya definido tanto en su propio sistema de administración de identidades como en Adobe Admin Console iniciando sesión en el sitio web de Adobe o en la aplicación de escritorio de Creative Cloud.

Si tiene problemas, consulte nuestro documento de solución de problemas.

Si sigue necesitando ayuda con la configuración del inicio de sesión único, vaya a Asistencia técnica en Adobe Admin Console y abra una incidencia.

Logotipo de Adobe

Inicia sesión en tu cuenta