Copiez le fichier de métadonnées téléchargé dans l’emplacement suivant et renommez-le adobe-sp-metadata.xml :
%{idp.home}/metadata/
Adobe Admin Console permet aux administrateurs système de configurer des domaines utilisés pour se connecter au moyen d’un Federated ID à des fins d’authentification unique (SSO). Une fois le domaine vérifié, le répertoire contenant le domaine est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud avec leur adresse e-mail via un fournisseur d’identité (IdP). Le processus est réalisé soit avec un service logiciel exécuté sur le réseau de la société et accessible par Internet, soit avec un service de cloud hébergé par un tiers qui se charge de vérifier les identifiants de connexion des utilisateurs par le biais d’un système de communication sécurisé utilisant le protocole SAML.
Shibboleth est l’un de ces fournisseurs d’identité. Pour utiliser Shibboleth, vous avez besoin d’un serveur accessible par Internet et ayant accès aux services d’annuaire dans le réseau de l’entreprise. Ce document explique comment configurer Admin Console et un serveur Shibboleth, afin de pouvoir se connecter aux applications Adobe Creative Cloud et aux sites web associés dotés de la fonction d’authentification unique.
L’accès au fournisseur d’identité se fait généralement à travers un réseau distinct, pour lequel des règles spécifiques sont configurées de manière à n’autoriser que certains types de communications entre les serveurs et le réseau interne et externe (on parle alors souvent de DMZ ou zone démilitarisée). La configuration du système d’exploitation sur ce serveur et la topologie de ce genre de réseau ne sont pas traitées dans ce document.
Avant de configurer un domaine pour l’authentification unique avec le fournisseur d’identité Shibboleth, les conditions suivantes doivent être réunies :
Les étapes de configuration de l’IDP Shibboleth avec Adobe SSO décrites dans ce document ont été testées avec la Version 3.
Pour configurer l’authentification unique pour votre domaine, procédez comme suit :
Une fois que vous avez téléchargé le fichier de métadonnées XML SAML depuis Adobe Admin Console, effectuez les étapes ci-dessous pour mettre à jour les fichiers de configuration Shibboleth.
Copiez le fichier de métadonnées téléchargé dans l’emplacement suivant et renommez-le adobe-sp-metadata.xml :
%{idp.home}/metadata/
Mettez à jour le fichier pour vous assurer que les informations correctes sont renvoyées à Adobe.
Remplacez les lignes suivantes dans le fichier :
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Par :
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Remplacez également :
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Par :
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Éditez le fichier metadata-providers.xml.
Mettez à jour le fichier %{idp.home}/conf/metadata-providers.xml en précisant l’emplacement du fichier de métadonnées adobe-sp-metadata.xml (ligne 29 ci-dessous) que vous avez créé à l’étape 1 ci-dessus.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!- Exemple de fournisseur de métadonnées de fichier. Utilisez cette option si vous souhaitez charger des métadonnées à partir d’un fichier local. Vous pouvez l’utiliser si vous avez des SP locaux qui ne sont pas « fédérés » mais auxquels vous souhaitez offrir un service. Si vous ne fournissez pas de filtre SignatureValidation, vous avez la responsabilité de vous assurer que le contenu est digne de confiance. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Si vous ne parvenez pas à vous connecter à adobe.com, vérifiez si les fichiers de configuration Shibboleth suivants présentent des erreurs :
Le fichier de filtre d’attribut, que vous avez mis à jour lors de la configuration de Shibboleth, définit les attributs que vous devez fournir au prestataire de services Adobe. Toutefois, vous devez mapper ces attributs à ceux définis dans LDAP/Active Directory pour votre entreprise.
Éditez le fichier attribute-resolver.xml dans l’emplacement suivant :
%{idp.home}/conf/attribute-resolver.xml
Pour chacun des attributs suivants, indiquez l’ID d’attribut source défini pour votre entreprise :
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Mettez à jour le fichier relying-party.xml dans l’emplacement suivant de manière à prendre en charge le format saml-nameid, conformément aux exigences du prestataire de services Adobe :
%{idp.home}/conf/relying-party.xml
Mettez à jour l’attribut p:nameIDFormatPrecedence (ligne 7 ci-dessous) pour inclure emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
De plus, pour désactiver le chiffrement des assertions, dans la section DefaultRelyingParty pour chacun des types SAML2 :
Remplacer :
encryptAssertions="conditional"
Par :
encryptAssertions=”never"
Mettez à jour le fichier saml-nameid.xml dans l’emplacement suivant :
%{idp.home}/conf/saml-nameid.xml
Mettez à jour l’attribut p:attributeSourceIds (ligne 3 ci-dessous) avec l’élément « #{ {’Email’} } ».
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {’Email’} }" />
Pour mettre à jour le fichier de métadonnées Shibboleth :
Revenez à Adobe Admin Console.
Chargez le fichier de métadonnées Shibboleth à partir de l’écran Ajouter un profil SAML.
Après avoir configuré Shibboleth, le fichier de métadonnées (idp-metadata.xml) est disponible à l’emplacement suivant sur votre serveur Shibboleth :
<shibboleth>/metadata
Cliquez sur Terminé.
Pour plus d’informations, découvrez comment créer des répertoires sur le portail Admin Console.
Vérifiez les paramètres d’accès avec un utilisateur défini à la fois dans votre propre système de gestion des identités et dans Adobe Admin Console en vous connectant sur le site web Adobe ou dans l’application pour postes de travail Creative Cloud.
En cas de problème, consultez notre document de dépannage.
Si vous avez toujours besoin d’aide concernant la configuration de l’authentification unique, rendez-vous dans la section Assistance d’Adobe Admin Console et ouvrez un ticket.
Adobe
Nouvel utilisateur ?