Kopier den nedlastede metadatafilen til følgende plassering og endre navn på filen til adobe-sp-metadata.xml:
%{idp.home}/metadata/
Sist oppdatert
14. jan. 2025
Gjelder enterprise
Oversikt
Adobe Admin Console gir systemadministratorer mulighet til å konfigurere domener som brukes for pålogging via Federated ID for enkel pålogging (SSO). Når domenet er bekreftet, vil katalogen som inneholder domenet, bli konfigurert slik at brukerne kan logge på Creative Cloud. Brukere kan logge på ved hjelp av e-postadresser i domenet via en Identity Provider (IdP). Prosessen er klargjort enten som en programtjeneste som kjører på bedriftens nettverk, og er tilgjengelig på Internett, eller som en nettskytjeneste driftet av en tredjepart som muliggjør verifisering av brukerens påloggingsdetaljer via sikker kommunikasjon ved hjelp av SAML-protokollen.
En slik IdP er Shibboleth. Hvis du vil bruke Shibboleth, trenger du en server som er tilgjengelig gjennom Internett og har tilgang til mappen for tjenestene i firmanettverket. Dette dokumentet beskriver prosessen for å konfigurere Admin Console og en Shibboleth-server for å kunne logge seg på Adobe Creative Cloud-programmer og tilknyttede nettsteder for enkel pålogging.
Tilgang til IdP oppnås vanligvis ved å bruke et eget nettverk konfigurert med spesifikke regler slik at bare bestemte typer kommunikasjon mellom servere og det interne og eksterne nettverket tillates. Dette refereres til som en DMZ (demilitarisert sone). Konfigureringen av operativsystemet på denne serveren og topologien for et slikt nettverk er utenfor omfanget av dette dokumentet.
Forutsetninger
Før du konfigurerer et domene for enkel pålogging med Shibboleth som IdP, må følgende krav oppfylles:
- Den nyeste versjonen av Shibboleth er installert og konfigurert.
- Alle Active Directory-kontoer som skal knyttes til en Creative Cloud for enterprise-konto har en e-postadresse som er oppført i Active Directory.
Merk:
Fremgangsmåten for å konfigurere Shibboleth-IDP med Adobe SSO beskrevet i dette dokumentet har blitt testet med versjon 3.
Konfigurere enkel pålogging med Shibboleth
Hvis du vil konfigurere enkel pålogging for domenet ditt, gjør du følgende:
- Logg på Admin Console og opprett en Federated ID-katalog. Velg Andre SAML-leverandører som identitetsleverandør. Kopier verdiene for ACS URL og Enhets-ID fra skjermbildet Legg til SAML-profil.
- Konfigurer Shibboleth ved å spesifisere ACS URL og Enhets-ID, og last ned Shibboleth-metadatafilen.
- Gå tilbake til Adobe Admin Console og last opp Shibboleth-metadatafilen i vinduet Legg til SAML-profil og klikk på Ferdig.
Konfigurere Shibboleth
Når du har lastet ned SAML XML-metadatafilen fra Adobe Admin Console, følger du trinnene nedenfor for å oppdatere konfigurasjonsfilene for Shibboleth.
-
-
Oppdater filen for å sikre at riktig informasjon blir sendt tilbake til Adobe.
Erstatt følgende linjer i filen:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Med:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Erstatt også:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Med:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
-
Rediger metadata-providers.xml-filen.
Oppdater %{idp.home}/conf/metadata-providers.xml med plasseringen adobe-sp-metadata.xml-metadatafilen (linje 29 nedenfor) som du opprettet på trinn 1 ovenfor.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Eksempelfil for metadataleverandør. Bruk denne for å laste inn metadata fra en lokal fil. Du kan bruke den hvis du har lokale SP-er som ikke er "fødererte", men som du ønsker å tilby en tjeneste til. Hvis du ikke leverer et SignatureValidation-filter, har du ansvaret for å sikre at innholdet er pålitelig. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Feilsøk problemer med konfigureringen av Shibboleth
Hvis du ikke kan logge på adobe.com, kontrollerer du følgende konfigurasjonsfiler for Shibboleth for alle eventuelle problemer:
1. attribute-resolver.xml
Filterfilen for attributter, som du oppdaterte da du konfigurerte Shibboleth, definerer attributtene som du må gi til Adobe-tjenesteleverandøren. Du må imidlertid tilordne disse attributtene til de riktige attributtene som er definert i LDAP / Aktiv mappe for organisasjonen.
Rediger attribute-resolver.xml-filen på følgende plassering:
%{idp.home}/conf/attribute-resolver.xml
For hver av de følgende attributtene, kan du angi kildeattributt-ID som er definert for organisasjonen:
- FirstName (linje 1 nedenfor)
- LastName (linje 7 nedenfor)
- Email (linje 13 nedenfor)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML2StringNameID"
xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
2. relying-party.xml
Oppdater relying-party.xml på følgende plassering for å støtte saml-navne-ID-formatet som kreves av Adobe-tjenesteleverandøren:
%{idp.home}/conf/relying-party.xml
Oppdater attributtet p:nameIDFormatPrecedence (linje 7 nedenfor), slik at det inneholder emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
For å deaktivere kryptering av deklarasjonen, gjør du følgende i delen DefaultRelyingParty for hver SAML2-type:
Erstatt:
encryptAssertions="conditional"
Med:
encryptAssertions=”never"
3. saml-nameid.xml
Oppdater saml-nameid.xml på følgende plassering:
%{idp.home}/conf/saml-nameid.xml
Oppdater attributtet p:attributeSourceIds (linje 3 nedenfor) til "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator"
p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
p:attributeSourceIds="#{ {'Email'} }" />
Laste opp IdP-metadatafilen til Adobe Admin Console
Slik oppdaterer du Shibboleth-metadatafilen:
-
Gå tilbake til Adobe Admin Console.
-
Last opp Shibboleth-metadatafilen til skjermbildet Legg til SAML-profil.
Etter at Shibboleth er konfigurert, er metadatafilen (idp-metadata.xml) tilgjengelig på følgende plassering på Shibboleth-serveren:
<shibboleth>/metadata
-
Klikk på Ferdig.
Hvis du vil ha mer informasjon, kan du se hvordan du oppretter kataloger i Admin Console.
Teste enkel pålogging
Kontroller brukertilgangen for en bruker som du har definert i ditt eget system for identitetsstyring og i Adobe Admin Console, ved å logge på Adobe-nettstedet eller Creative Cloud-skrivebordsprogrammet.
Hvis du støter på problemer, kan du se feilsøkingsdokumentet.
Hvis du fortsatt trenger hjelp med konfigurasjonen av Okta enkel pålogging, kan du gå til Støtte i Adobe Admin Console, og åpne en forespørsel om hjelp.
