Configuration de l’IdP Shibboleth pour une utilisation avec Adobe SSO

Présentation

Adobe Admin Console permet aux administrateurs système de configurer des domaines utilisés pour se connecter au moyen d’un Federated ID à des fins d’authentification unique (SSO). Une fois le domaine vérifié, le répertoire contenant le domaine est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud avec leur adresse e-mail via un fournisseur d’identité (IdP). Le processus est réalisé soit avec un service logiciel exécuté sur le réseau de la société et accessible par Internet, soit avec un service de cloud hébergé par un tiers qui se charge de vérifier les identifiants de connexion des utilisateurs par le biais d’un système de communication sécurisé utilisant le protocole SAML.

Shibboleth est l’un de ces fournisseurs d’identité. Pour utiliser Shibboleth, vous avez besoin d’un serveur accessible par Internet et ayant accès aux services d’annuaire dans le réseau de l’entreprise. Ce document explique comment configurer Admin Console et un serveur Shibboleth, afin de pouvoir se connecter aux applications Adobe Creative Cloud et aux sites web associés dotés de la fonction d’authentification unique.

L’accès au fournisseur d’identité se fait généralement à travers un réseau distinct, pour lequel des règles spécifiques sont configurées de manière à n’autoriser que certains types de communications entre les serveurs et le réseau interne et externe (on parle alors souvent de DMZ ou zone démilitarisée). La configuration du système d’exploitation sur ce serveur et la topologie de ce genre de réseau ne sont pas traitées dans ce document.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique avec le fournisseur d’identité Shibboleth, les conditions suivantes doivent être réunies :

  • La dernière version de Shibboleth est installée et configurée.
  • Tous les comptes Active Directory à associer à un compte Creative Cloud abonnement Entreprise disposent d’une adresse e-mail répertoriée dans Active Directory.
Remarque :

Les étapes de configuration de l’IDP Shibboleth avec Adobe SSO décrites dans ce document ont été testées avec la Version 3.

Configuration de l’authentification unique à l’aide de Shibboleth

Pour configurer l’authentification unique pour votre domaine, procédez comme suit :

  1. Connectez-vous à Admin Console et commencez par créer un répertoire de Federated ID, en sélectionnant Autres fournisseurs SAML en tant que fournisseur d’identité. Copiez les valeurs pour l’URL ACS et pour l’ID d’entité à partir de l’écran Ajouter un profil SAML.
  2. Configurez Shibboleth en spécifiant l’URL ACS et l’ID d’entité et téléchargez le fichier de métadonnées Shibboleth.
  3. Retournez dans Adobe Admin Console et chargez le fichier de métadonnées Shibboleth dans l’écran Ajouter un profil SAML et cliquez sur Terminé.

Configuration de Shibboleth

Une fois que vous avez téléchargé le fichier de métadonnées XML SAML depuis Adobe Admin Console, effectuez les étapes ci-dessous pour mettre à jour les fichiers de configuration Shibboleth.

  1. Copiez le fichier de métadonnées téléchargé dans l’emplacement suivant et renommez-le adobe-sp-metadata.xml :

    %{idp.home}/metadata/

  2. Mettez à jour le fichier pour vous assurer que les informations correctes sont renvoyées à Adobe.

    Remplacez les lignes suivantes dans le fichier :

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Par :

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Remplacez également :

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Par :

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Éditez le fichier metadata-providers.xml.

    Mettez à jour le fichier %{idp.home}/conf/metadata-providers.xml en précisant l’emplacement du fichier de métadonnées adobe-sp-metadata.xml (ligne 29 ci-dessous) que vous avez créé à l’étape 1 ci-dessus.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!- Exemple de fournisseur de métadonnées de fichier. Utilisez cette option si vous souhaitez charger des métadonnées à partir d’un fichier local. Vous pouvez l’utiliser si vous avez des SP locaux qui ne sont pas « fédérés » mais auxquels vous souhaitez offrir un service. Si vous ne fournissez pas de filtre SignatureValidation, vous avez la responsabilité de vous assurer que le contenu est digne de confiance. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Résolution des problèmes de configuration Shibboleth

Si vous ne parvenez pas à vous connecter à adobe.com, vérifiez si les fichiers de configuration Shibboleth suivants présentent des erreurs :

1. attribute-resolver.xml

Le fichier de filtre d’attribut, que vous avez mis à jour lors de la configuration de Shibboleth, définit les attributs que vous devez fournir au prestataire de services Adobe. Toutefois, vous devez mapper ces attributs à ceux définis dans LDAP/Active Directory pour votre entreprise.

Éditez le fichier attribute-resolver.xml dans l’emplacement suivant :

%{idp.home}/conf/attribute-resolver.xml

Pour chacun des attributs suivants, indiquez l’ID d’attribut source défini pour votre entreprise :

  • FirstName (ligne 1 ci-dessous)
  • LastName (ligne 7 ci-dessous)
  • Email (ligne 13 ci-dessous)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Mettez à jour le fichier relying-party.xml dans l’emplacement suivant de manière à prendre en charge le format saml-nameid, conformément aux exigences du prestataire de services Adobe :

%{idp.home}/conf/relying-party.xml

Mettez à jour l’attribut p:nameIDFormatPrecedence (ligne 7 ci-dessous) pour inclure emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

De plus, pour désactiver le chiffrement des assertions, dans la section DefaultRelyingParty pour chacun des types SAML2 :

Remplacer :

encryptAssertions="conditional"

Par :

encryptAssertions=”never"

3. saml-nameid.xml

Mettez à jour le fichier saml-nameid.xml dans l’emplacement suivant :

%{idp.home}/conf/saml-nameid.xml

Mettez à jour l’attribut p:attributeSourceIds (ligne 3 ci-dessous) avec l’élément « #{ {’Email’} } ».

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {’Email’} }&quot; />

Chargement du fichier de métadonnées IdP sur Adobe Admin Console

Pour mettre à jour le fichier de métadonnées Shibboleth :

  1. Revenez à Adobe Admin Console.

  2. Chargez le fichier de métadonnées Shibboleth à partir de l’écran Ajouter un profil SAML.

    Après avoir configuré Shibboleth, le fichier de métadonnées (idp-metadata.xml) est disponible à l’emplacement suivant sur votre serveur Shibboleth :

    <shibboleth>/metadata

  3. Cliquez sur Terminé.

Pour plus d’informations, découvrez comment créer des répertoires sur le portail Admin Console.

Test de l’authentification unique

Vérifiez les paramètres d’accès avec un utilisateur défini à la fois dans votre propre système de gestion des identités et dans Adobe Admin Console en vous connectant sur le site web Adobe ou dans l’application pour postes de travail Creative Cloud.

En cas de problème, consultez notre document de dépannage.

Si vous avez toujours besoin d’aide concernant la configuration de l’authentification unique, rendez-vous dans la section Assistance d’Adobe Admin Console et ouvrez un ticket.

 Adobe

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?