Konfigurere Shibboleth IdP for bruk med Adobe SSO

Oversikt

Adobe Admin Console gir systemadministratorer mulighet til å konfigurere domener som brukes for pålogging via Federated ID for enkel pålogging (SSO). Når domenet er bekreftet, vil katalogen som inneholder domenet, bli konfigurert slik at brukerne kan logge på Creative Cloud. Brukere kan logge på ved hjelp av e-postadresser i domenet via en Identity Provider (IdP). Prosessen er klargjort enten som en programtjeneste som kjører på bedriftens nettverk, og er tilgjengelig på Internett, eller som en nettskytjeneste driftet av en tredjepart som muliggjør verifisering av brukerens påloggingsdetaljer via sikker kommunikasjon ved hjelp av SAML-protokollen.

En slik IdP er Shibboleth. Hvis du vil bruke Shibboleth, trenger du en server som er tilgjengelig gjennom Internett og har tilgang til mappen for tjenestene i firmanettverket. Dette dokumentet beskriver prosessen for å konfigurere Admin Console og en Shibboleth-server for å kunne logge seg på Adobe Creative Cloud-programmer og tilknyttede nettsteder for enkel pålogging.

Tilgang til IdP oppnås vanligvis ved å bruke et eget nettverk konfigurert med spesifikke regler slik at bare bestemte typer kommunikasjon mellom servere og det interne og eksterne nettverket tillates. Dette refereres til som en DMZ (demilitarisert sone). Konfigureringen av operativsystemet på denne serveren og topologien for et slikt nettverk er utenfor omfanget av dette dokumentet.

Forutsetninger

Før du konfigurerer et domene for enkel pålogging med Shibboleth som IdP, må følgende krav oppfylles:

  • Den nyeste versjonen av Shibboleth er installert og konfigurert.
  • Alle Active Directory-kontoer som skal knyttes til en Creative Cloud for enterprise-konto har en e-postadresse som er oppført i Active Directory.
Merk:

Fremgangsmåten for å konfigurere Shibboleth-IDP med Adobe SSO beskrevet i dette dokumentet har blitt testet med versjon 3.

Konfigurere enkel pålogging med Shibboleth

Hvis du vil konfigurere enkel pålogging for domenet ditt, gjør du følgende:

  1. Logg på Admin Console og opprett en Federated ID-katalog. Velg Andre SAML-leverandører som identitetsleverandør. Kopier verdiene for ACS URL og Enhets-ID fra skjermbildet Legg til SAML-profil.
  2. Konfigurer Shibboleth ved å spesifisere ACS URL og Enhets-ID, og last ned Shibboleth-metadatafilen.
  3. Gå tilbake til Adobe Admin Console og last opp Shibboleth-metadatafilen i vinduet Legg til SAML-profil og klikk på Ferdig.

Konfigurere Shibboleth

Når du har lastet ned SAML XML-metadatafilen fra Adobe Admin Console, følger du trinnene nedenfor for å oppdatere konfigurasjonsfilene for Shibboleth.

  1. Kopier den nedlastede metadatafilen til følgende plassering og endre navn på filen til adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Oppdater filen for å sikre at riktig informasjon blir sendt tilbake til Adobe.

    Erstatt følgende linjer i filen:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Med:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Erstatt også:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Med:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Rediger metadata-providers.xml-filen.

    Oppdater %{idp.home}/conf/metadata-providers.xml med plasseringen adobe-sp-metadata.xml-metadatafilen (linje 29 nedenfor) som du opprettet på trinn 1 ovenfor.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Metadataleverandør for eksempelfil. Bruk denne for å laste inn metadata fra en lokal fil. Du kan bruke den hvis du har lokale SP-er som ikke er &quot;fødererte&quot;, men som du ønsker å tilby en tjeneste til. Hvis du ikke leverer et SignatureValidation-filter, har du ansvaret for å sikre at innholdet er pålitelig. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Feilsøk problemer med konfigureringen av Shibboleth

Hvis du ikke kan logge på adobe.com, kontrollerer du følgende konfigurasjonsfiler for Shibboleth for alle eventuelle problemer:

1. attribute-resolver.xml

Filterfilen for attributter, som du oppdaterte da du konfigurerte Shibboleth, definerer attributtene som du må gi til Adobe-tjenesteleverandøren. Du må imidlertid tilordne disse attributtene til de riktige attributtene som er definert i LDAP / Aktiv mappe for organisasjonen.

Rediger attribute-resolver.xml-filen på følgende plassering:

%{idp.home}/conf/attribute-resolver.xml

For hver av de følgende attributtene, kan du angi kildeattributt-ID som er definert for organisasjonen:

  • FirstName (linje 1 nedenfor)
  • LastName (linje 7 nedenfor)
  • Email (linje 13 nedenfor)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Oppdater relying-party.xml på følgende plassering for å støtte saml-navne-ID-formatet som kreves av Adobe-tjenesteleverandøren:

%{idp.home}/conf/relying-party.xml

Oppdater attributtet p:nameIDFormatPrecedence (linje 7 nedenfor), slik at det inneholder emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

For å deaktivere kryptering av deklarasjonen, gjør du følgende i delen DefaultRelyingParty for hver SAML2-type:

Erstatt:

encryptAssertions="conditional"

Med:

encryptAssertions=”never"

3. saml-nameid.xml

Oppdater saml-nameid.xml på følgende plassering:

%{idp.home}/conf/saml-nameid.xml

Oppdater attributtet p:attributeSourceIds (linje 3 nedenfor) til "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Laste opp IdP-metadatafilen til Adobe Admin Console

Slik oppdaterer du Shibboleth-metadatafilen:

  1. Gå tilbake til Adobe Admin Console.

  2. Last opp Shibboleth-metadatafilen til skjermbildet Legg til SAML-profil.

    Etter at Shibboleth er konfigurert, er metadatafilen (idp-metadata.xml) tilgjengelig på følgende plassering på Shibboleth-serveren:

    <shibboleth>/metadata

  3. Klikk på Ferdig.

Hvis du vil ha mer informasjon, kan du se hvordan du oppretter kataloger i Admin Console.

Teste enkel pålogging

Kontroller brukertilgangen for en bruker som du har definert i ditt eget system for identitetsstyring og i Adobe Admin Console, ved å logge på Adobe-nettstedet eller Creative Cloud-skrivebordsprogrammet.

Hvis du støter på problemer, kan du se feilsøkingsdokumentet.

Hvis du fortsatt trenger hjelp med konfigurasjonen av Okta enkel pålogging, kan du gå til Støtte i Adobe Admin Console, og åpne en forespørsel om hjelp.

Adobe-logoen

Logg på kontoen din