Copie el archivo de metadatos transferido a la siguiente ubicación y cambie el nombre del archivo a adobe-sp-metadata.xml:
%{idp.home}/metadata/
En la Adobe Admin Console el administrador del sistema puede configurar los dominios que se utilizan para iniciar sesión mediante Federated ID para el inicio de sesión único (SSO). Una vez que se verifica el dominio, se configura el directorio que contiene el dominio para permitir que los usuarios inicien sesión en Creative Cloud. Los usuarios pueden iniciar sesión con direcciones de correo electrónico de ese dominio a través de un proveedor de identidades (IdP). El proceso se suministra, o bien como un servicio de software que se ejecuta dentro de la red de la empresa y es accesible desde Internet, o bien como un servicio en la nube alojado por terceros que permite la verificación de los detalles del inicio de sesión a través de la comunicación segura con el protocolo de SAML.
Uno de estos proveedores de identidades es Shibboleth. Para utilizar Shibboleth, necesita un servidor al que se pueda acceder desde Internet y que tenga acceso a los servicios de directorio desde la red de la empresa. Este documento describe el proceso necesario para configurar Admin Console y un servidor Shibboleth para poder iniciar sesión en las aplicaciones de Adobe Creative Cloud y en las páginas web asociadas para el inicio de sesión único.
El acceso al IdP se logra habitualmente a través de una red diferente configurada con reglas específicas para permitir solamente determinados tipos de comunicación entre los servidores y las redes interna y externa, normalmente designadas como DMZ (zona desmilitarizada). La configuración del sistema operativo en este servidor y la topología de esta red quedan fuera del alcance y el propósito de este documento.
Antes de configurar un dominio para el inicio de sesión único con Shibboleth IDP, deben cumplirse los siguientes requisitos:
Los pasos para configurar el Shibboleth IDP con Adobe SSO descritos en este documento se han probado con la versión 3.
Para configurar el inicio de sesión único para su dominio, haga lo siguiente:
Después de que haya transferido el archivo de metadatos XML de SAML de Adobe Admin Console, siga los pasos que se indican a continuación para actualizar los archivos de configuración de Shibboleth.
Copie el archivo de metadatos transferido a la siguiente ubicación y cambie el nombre del archivo a adobe-sp-metadata.xml:
%{idp.home}/metadata/
Actualice el archivo para asegurarse de que se devuelva la información correcta a Adobe.
Reemplace las siguientes líneas en el archivo:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Por:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Reemplace también:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Por:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Edite el archivo metadata-providers.xml.
Actualice el archivo %{idp.home}/conf/metadata-providers.xml con la ubicación del archivo de metadatos adobe-sp-metadata.xml (línea 29 a continuación) que creó en el paso 1 anterior.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Ejemplo de proveedor de metadatos de archivos. Utilícelo si desea cargar metadatos desde un archivo local. Puede usarlo si tiene algunos SP locales que no están “federados” pero desea ofrecerles un servicio. Si no proporciona un filtro SignatureValidation, tiene la responsabilidad de asegurarse de que el contenido sea de confianza. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Si no puede iniciar sesión correctamente en adobe.com, compruebe los siguientes archivos de configuración de Shibboleth para ver si hay algún posible problema:
El archivo de filtros de atributos que actualizó al configurar Shibboleth define los atributos que debe proporcionar al proveedor de servicios de Adobe. Sin embargo, debe asignar estos atributos a los atributos adecuados según lo definido en el LDAP/Directorio activo de la organización.
Edite el archivo attribute-resolver.xml en la siguiente ubicación:
%{idp.home}/conf/attribute-resolver.xml
Para cada uno de los siguientes atributos, indique el ID de atributo de origen según venga definido en la organización:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Actualice el archivo relying-party.xml en la siguiente ubicación para poder admitir el formato saml-nameid cuando lo requiera el proveedor de servicios de Adobe:
%{idp.home}/conf/relying-party.xml
Actualice el atributo p:nameIDFormatPrecedence (línea 7 a continuación) para incluir emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Además, para desactivar el cifrado de las aserciones, en la sección DefaultRelyingParty de cada uno de los tipos de SAML2:
Reemplace:
encryptAssertions="conditional"
Por:
encryptAssertions="never"
Actualice el archivo saml-nameid.xml en la siguiente ubicación:
%{idp.home}/conf/saml-nameid.xml
Actualice el atributo p:attributeSourceIds (línea 3 a continuación) a "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Para actualizar el archivo de metadatos de Shibboleth:
Vuelva a Adobe Admin Console.
Cargue el archivo de metadatos de Shibboleth en la pantalla Agregar perfil SAML.
Después de configurar Shibboleth, el archivo de metadatos (idp-metadata.xml) está disponible en la siguiente ubicación del servidor Shibboleth:
<shibboleth>/metadata
Haga clic en Hecho.
Para obtener más información, consulte cómo crear directorios en Admin Console.
Compruebe el acceso de los usuarios con un usuario que haya definido tanto en su propio sistema de administración de identidades como en Adobe Admin Console iniciando sesión en el sitio web de Adobe o en la aplicación de escritorio de Creative Cloud.
Si tiene problemas, consulte nuestro documento de solución de problemas.
Si sigue necesitando ayuda con la configuración del inicio de sesión único, vaya a Asistencia técnica en Adobe Admin Console y abra una incidencia.