Descripción general

La Adobe Admin Console permite que un administrador de sistemas configure los dominios que se utilizarán para el acceso a través de la identificación federada para inicio de sesión único (SSO). Una vez que se verifica el dominio, se configura el directorio que lo contiene para permitir que los usuarios inicien sesión en Creative Cloud. Los usuarios pueden iniciar sesión usando direcciones de correo electrónico dentro de ese dominio a través de un proveedor de identidad (IdP). El proceso se suministra como servicio de software que se ejecuta en la red de la empresa y se accede a él desde Internet o desde un servicio en la nube alojado por terceros que permite la verificación de los detalles de inicio de sesión del usuario a través de la comunicación segura usando el protocolo SAML.

Uno de estos IdP es shibboleth. Para utilizar shibboleth, necesita un servidor al que se pueda acceder desde Internet y que tenga acceso a los servicios de directorio desde la red de la empresa. Este documento describe el proceso necesario para configurar la Admin Console y un servidor shibboleth, para poder acceder a las aplicaciones de Creative Cloud de Adobe y a las páginas web asociadas para el inicio de sesión único.

El acceso a IdP se logra, habitualmente, usando una red diferente par ala cual se han configurado reglas específicas para permitir únicamente determinados tipos de comunicación entre servidores y la red interna y externa, conocida como DMZ (zona desmilitarizada). La configuración del sistema operativo en este servidor y la topología de esta red está fuera del alcance y el propósito de este documento.

Requisitos previos

Antes de configurar un dominio para utilizar el inicio de sesión único shibboleth IDP, se deben cumplir los siguientes requisitos:

  • La versión más reciente del shibboleth está instalada y configurada.
  • Todas las cuentas de Active Directory que se van a asociar con una cuenta de Creative Cloud para empresas deben tener una dirección de correo electrónico que se encuentre dentro de Active Directory.

Nota:

Los pasos para configurar el shibboleth IDP con Adobe SSO descritos en este documento se han probado con la versión 3.

Configurar el inicio de sesión único mediante Shibboleth

Para configurar el inicio de sesión único de su dominio, siga estos pasos:

  1. Inicie sesión en Admin Console y empiece por la creación de un directorio de Federated ID, seleccionando Otros proveedores SAML como proveedor de identidades. En la pantalla Añadir perfil SAML, copie los valores de URL de ACS e ID de entidad.
  2. Cambie a Shibboleth, configure Shibboleth especificando los valores de URL de ACS e ID de entidad, y descargue el archivo de metadatos de Shibboleth.
  3. Regrese a Adobe Admin Console y cargue el archivo de metadatos de Shibboleth en la ventana Añadir perfil SAML; a continuación, haga clic en Hecho.

Configurar el Shibboleth

Después de descargar el archivo de metadatos de SAML XML de la Adobe Admin console, siga estos pasos para actualizar los archivos de configuración de Shibboleth.

  1. Copie el archivo de metadatos descargado en la ubicación siguiente y cambie el nombre del archivo a adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Actualice el archivo para asegurarse de que la información correcta se transfiera a Adobe.

    Reemplace las siguientes líneas en el archivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Con:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Asimismo, sustituya:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Por:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Edite el archivo attribute-filter.xml.

    El proveedor de servicios de Adobe requiere el nombre, el apellido y el correo electrónico del usuario en la respuesta SAML.

    Edite el archivo %{idp.home}/conf/attribute-filter.xml para incluir los atributos de nombre, apellido y correo electrónico insertando el nodo AttributeFilterPolicy como se muestra a continuación (líneas de la 17 a la 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!--
        This file is an EXAMPLE policy file.  While the policy presented in this
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
         
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup>
    	<AttributeFilterPolicy>
    		<PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" />
    		<AttributeRule attributeID="NameID">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="FirstName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="LastName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="Email">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    	</AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
  4. Edite el archivo metadata-providers.xml.

    Actualice %{idp.home}/conf/metadata-providers.xml con la ubicación del archivo de metadatos adobe-sp-metadata.xml (línea 29 a continuación ) que creó en el paso 1 más arriba.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Solución de problemas para la configuración shibboleth

Si no consigue iniciar sesión correctamente en adobe.com, compruebe los siguientes archivos de configuración shibboleth para comprobar cualquier posible problema:

1. attribute-resolver.xml

El archivo de filtro de atributo actualizado al configurar Shibboleth define los atributos que debe recibir el proveedor de servicios de Adobe. Sin embargo, estos atributos deben asignarse a los atributos adecuados según lo definido en LDAP / Directorio Activo para su organización.

Edite el archivo attribute-resolver.xml en la siguiente ubicación:

%{idp.home}/conf/attribute-resolver.xml

Para cada uno de los siguientes atributos, especifique el id del atributo de origen definido para su organización:

  • FirstName (línea 1 a continuación)
  • LastName (línea 7 a continuación)
  • Email (línea 13 a continuación)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
      <resolver:Dependency ref="myLDAP" />
      <resolver:AttributeEncoder xsi:type="SAML2StringNameID"
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
     </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Actualice el archivo relying-party.xml en la siguiente ubicación para que admita el formato SAML-NameID requerido por el proveedor de servicios de Adobe:

%{idp.home}/conf/relying-party.xml

Actualice el atributo p:nameIDFormatPrecedence (línea 7 a continuación) para incluir emailAddress.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId">
	<property name="profileConfigurations">
		<list>
			<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
			<ref bean="SAML1.AttributeQuery" />
			<ref bean="SAML1.ArtifactResolution" />
			<bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" />
			<ref bean="SAML2.ECP" />
			<ref bean="SAML2.Logout" />
			<ref bean="SAML2.AttributeQuery" />
			<ref bean="SAML2.ArtifactResolution" />
			<ref bean="Liberty.SSOS" />
		</list>
	</property>
</bean>

Además, para desactivar el cifrado de las aserciones, en la sección DefaultRelyingParty de cada tipo SAML2:

Sustituya:

encryptAssertions="conditional"

Por:

encryptAssertions=”never"

3. saml-nameid.xml

Actualice saml-nameid.xml en la siguiente ubicación:

%{idp.home}/conf/saml-nameid.xml

Actualice el atributo p:attributeSourceIds (línea 3 a continuación) a "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Descargar el archivo de metadatos de IdP en Adobe Admin Console

Para actualizar el archivo de metadatos de Shibboleth:

  1. Cargue el archivo de metadatos de Shibboleth en la ventana Añadir perfil SAML.

    Después de configurar Shibboleth, el archivo de metadatos (idp-metadata.xml) está disponible en la ubicación siguiente del servidor de Shibboleth:

    <shibboleth>/metadata

  2. Haga clic en Listo.

Para obtener más información, consulte cómo crear directorios en Admin Console.

Probar el inicio de sesión único

Pruebe el acceso de un usuario que haya definido en su propio sistema de gestión de identidades y en Adobe Admin Console iniciando sesión en el sitio web de Adobe o la aplicación de escritorio de Creative Cloud.

Si tiene problemas, consulte nuestro documento de resolución de problemas.

Si tiene problemas con la configuración de inicio de sesión único, vaya a Asistencia en Adobe Admin Console y abra un ticket.