Oppdatere SSO-sertifikat

Hvis du har satt opp SSO for identitetsleverandøren din (IdP) med Adobe Admin Console, og sluttbrukerne dine ikke kan logge på Adobe-applikasjonene og -tjenestene sine, kan SAML-sertifikatet ha utløpt.

Problem

Du står overfor noen av disse problemene:

  • Sluttbrukere logges av og kan ikke logge på Adobe Creative Cloud-applikasjoner for nett, mobil eller skrivebordet.
  • Sluttbrukerne får følgende type feilmeldinger når de forsøker å logge på:
    • Validering av SAML-sertifisering mislyktes.
    • Den digitale signaturen i SAML-svaret kunne ikke valideres med identitetsleverandørens sertifikat.
  • Administrator kan ikke legge til, fjerne eller administrere brukere eller produktprofiler.
  • Administratorer ønsker å fornye SAML-sertifikatet som er i ferd med å utløpe.

Årsak

De to involverte enhetene i en SAML-utveksling er:

  • Identitetsleverandøren (IdP)
    Kunden eier og administrerer IdP-sertifikatet i egen IdP (ADFS, OKTA, Shiboleth) og laster det opp til Admin Console.
  • Adobe, som fungerer som tjenesteleverandør (SP)
    Adobe-enheter administreres i Admin Console og lastes opp til kundens IdP.

Begge enheter har sine respektive sertifikater som det opprettes klarering med.
Hvis du har satt opp SSO for identitetsleverandøren din (IdP) med Adobe Admin Console, og sluttbrukerne dine ikke kan logge på Adobe-applikasjonene og -tjenestene sine, kan det være at SAML-sertifikatet er utløpt.

Admin Console-varsel

Hvis et Adobe-generert sertifikat er utløpt eller er i ferd med å utløpe, vil Adobe gjøre deg oppmerksom på dette gjennom et bannervarsel i Admin Console og en statusoppdatering per katalog. Du kan vise statusen til et SAML-sertifikat ved å åpne Innstillinger > Identitetsinnstillinger og sjekke Status-kolonnen på Kataloger-fanen.

Løsning

SAML-oppsett

Du kan oppdatere samleoppsettet direkte via Admin Console hvis sertifikatene dine har utløpt eller er i ferd med å utløpe. SAML-sertifikatene oppdateres sammen med SAML-oppsettet.

Merk:

Hvis IdP-en ikke kontrollerer at sertifikatet er gyldig, er ingen handlinger påkrevd fra din side.

Som systemadministrator har du mulighet til å oppdatere og administrere selvsignerte sertifikater direkte fra Admin Console ved å utføre trinnene under:

  1. Åpne Admin Console, gå til Innstillinger >Identitet > (Navn på katalog)> Godkjenning.

  2. Klikk på Rediger etterfulgt av Neste.

  3. Vis de tilgjengelige sertifikatene og hvilken status de har. Du kan velge å generere et nytt sertifikat eller sende en forespørsel om signering av nytt sertifikat.

    Merk:

    Selvsignert sertifikat er mer praktisk og er i tråd med beste sikkerhetspraksis. Selvsignert sertifikat anbefales med mindre organisasjonen har spesifikke krav som et slikt sertifikat ikke er i stand til å innfri.

  4. Klikk på Generer nytt sertifikat.

    Et nytt SAML-sertifikat genereres i den valgte samlede katalogen for en aktiv SAML-konfigurasjon.

  5. Opprett forespørsel om ny signering.

    Klikk på Opprett en forespørsel om signering av sertifikat.
    Legg inn følgende informasjon fra sertifikatmyndigheten i dialogvinduet som åpnes:

    1. Legg inn opplysningene fra gjeldende sertifikatmyndighet.
    2. Hvis du velger å opprette en forespørsel om ny signering, må du fullføre prosessen med sertifikatmyndigheten for at den skal tre i kraft med SAML-sertifikatet.
    3. Gå til Handlinger og klikk på Fullfør.
    4. Last opp sertifikatfilen fra den aktuelle sertifikatmyndigheten, og klikk deretter på Fullfør etterfulgt av Ferdig

Når sertifikatet er opprettet, vil flere handlinger være tilgjengelige, deriblant Angi som standard, Aktiver, Deaktiver, Last ned metadata, Last ned sertifikat og Slett.

Hvis du har en IdP som støtter flere sertifikater, kan du utføre disse trinnene uten å måtte logge av og på flere ganger.

  1. Last opp både det nye og det gamle sertifikatet til IdP-en.

  2. Angi det nye sertifikatet som standard i Adobe Admin Console.

  3. Test påloggingen.

  4. Fjern det gamle sertifikatet fra IdP-konfigurasjonen.

  5. Deaktiver eller slett det gamle sertifikatet.

Merk:

Deaktivering anbefales, da det ikke vil være mulig å angre sletting.

Hvis du har en IdP som IKKE støtter flere sertifikater, bør du angi en nedetid som fornyelsen skal utføres innenfor:

  1. Last opp det nye sertifikatet til IdP-en.

  2. Angi det nye sertifikatet som standard i Adobe Admin Console.

  3. Test påloggingen.

  4. Deaktiver det gamle sertifikatet.

  5. Hvis det ikke oppstår problemer, sletter du det gamle sertifikatet.

Merk:

Ettersom det ikke er mulig å gjøre om sletting av sertifikater, bør du vente litt med å slette det gamle sertifikatet.

Revisjonslogger

Utførte handlinger knyttet til oppretting og administrering av sertifikater vil være dokumentert i revisjonsloggene.

Du kan se loggene ved å åpne Admin Console og gå til Innsikt > Logger > Revisjonslogg.

 Adobe

Få hjelp raskere og enklere

Ny bruker?