Aktualizacja certyfikatu SSO

Jeśli w serwisie Adobe Admin Console skonfigurowano funkcję logowania jednokrotnego na potrzeby usługi IdP, ale użytkownicy końcowi nie mogą się zalogować do aplikacji i usług Adobe, certyfikat SAML mógł wygasnąć.

Problem

Występuje jeden z następujących problemów:

  • Użytkownicy końcowi zostali wylogowani i nie mogą się ponownie zalogować do aplikacji internetowych, mobilnych ani stacjonarnych Adobe Creative Cloud.
  • Podczas próby logowania użytkownicy końcowi widzą komunikaty o błędach podobne do następujących:
    • Niepowodzenie sprawdzania poprawności certyfikatu SAML.
    • Podpis cyfrowy w odpowiedzi SAML nie został zweryfikowany za pomocą certyfikatu usługi IdP.
  • Administrator nie może dodawać ani usuwać użytkowników lub profilów produktowych ani zarządzać nimi.
  • Administratorzy chcą odnowić certyfikat SAML, który wkrótce wygaśnie

Przyczyna

Transakcja SAML wiąże się z wymianą informacji przez następujące dwa podmioty:

  • Usługa IdP
    Certyfikat IdP należy do klienta i jest przechowywany w jego własnym narzędziu IdP (ADFS, OKTA, Shiboleth). Taki certyfikat jest przesyłany do serwisu Admin Console.
  • Firma Adobe w roli usługodawcy
    Podmioty Adobe podlegają zarządzaniu w systemie Admin Console i są przesyłane do usługi IdP klienta.

Obydwa te podmioty dysponują odpowiednimi certyfikatami, na podstawie których tworzy się relacja zaufania.
Jeśli w serwisie Adobe Admin Console skonfigurowano funkcję logowania jednokrotnego na potrzeby usługi IdP, ale użytkownicy końcowi nie mogą się zalogować do aplikacji i usług Adobe, certyfikat SAML mógł wygasnąć.

Powiadomienie w serwisie Admin Console

Firma Adobe informuje użytkownika o tym, że certyfikat wygenerowany przez Adobe wygasł lub wkrótce wygaśnie, wyświetlając powiadomienie na banerze w serwisie Admin Console. Podawane są także aktualne informacje o statusie dotyczące poszczególnych katalogów. Aby wyświetlić stan certyfikatu SAML, otwórz stronę Ustawienia > Ustawienia identyfikatorów, a następnie przejdź na kartę Katalogi i przejrzyj dane w kolumnie Status.

Rozwiązanie

Konfiguracja logowania SAML

Jeśli certyfikaty wygasły lub wkrótce wygasną, można zaktualizować konfigurację federacji bezpośrednio za pomocą serwisu Admin Console. Certyfikaty SAML zostaną zaktualizowane wraz z konfiguracją SAML.

Uwaga:

Jeśli używana przez przedsiębiorstwo usługa IdP nie sprawdza statusu ważności certyfikatu, nie trzeba podejmować żadnych działań.

Administrator systemu może bezpośrednio aktualizować certyfikaty z podpisem własnym i zarządzać nimi, wykonując następujące kroki w serwisie Admin Console:

  1. Na stronie Admin Console przejdź do ekranu Ustawienia > Identyfikatory > (nazwa katalogu)> Uwierzytelnianie.

  2. Kliknij opcję Edytuj , a następnie opcję Dalej.

  3. Przejrzyj dostępne certyfikaty i ich status. Na tym etapie administrator może wygenerować nowy certyfikat lub nowe żądanie podpisania certyfikatu.

    Uwaga:

    Certyfikat samopodpisany to opcja wygodniejsza i spójna ze sprawdzonymi praktykami w zakresie bezpieczeństwa. Zaleca się wybranie certyfikatu samopodpisanego, chyba że przedsiębiorstwo ma szczególne wymagania, których taki certyfikat nie spełnia.

  4. Kliknij opcję Wygeneruj nowy certyfikat.

    W wybranym katalogu federacyjnym zostanie wygenerowany nowy certyfikat SAML, zgodny z aktywną konfiguracją SAML.

  5. Utwórz nowe żądanie podpisania.

    Kliknij opcję Utwórz żądanie podpisania certyfikatu.
    Gdy zostanie wyświetlone nowe okno dialogowe, wprowadź następujące dane uzyskane ze źródła certyfikacji (CA):

    1. Wprowadź dane otrzymane od źródła certyfikacji.
    2. Jeśli administrator zdecyduje się utworzyć nowe żądanie podpisu, musi sfinalizować ten proces w systemach używanego przez przedsiębiorstwo źródła certyfikatu. Dopiero wtedy wejdzie w życie zmiana certyfikatu SAML.
    3. Otwórz sekcję Operacje i kliknij opcję Dokończ.
    4. Prześlij plik certyfikatu uzyskany od źródła certyfikacji. Wybierz opcję Zakończ, a następnie opcję Gotowe.

Po pomyślnym utworzeniu certyfikatu dostępne będą dodatkowe operacje: możliwość ustawienia go jako domyślnego, aktywacji, dezaktywacji, pobrania metadanych, pobrania, a także pobrania i usunięcia certyfikatu.

Jeśli usługa IdP używana przez przedsiębiorstwo obsługuje wiele certyfikatów, czynności te należy wykonać w jednej nieprzerwanej sesji logowania.

  1. Do usługi IdP prześlij nowy certyfikat jako uzupełnienie starego.

  2. Ustaw nowy certyfikat jako domyślny w serwisie Adobe Admin Console.

  3. Sprawdź, jak działa logowanie.

  4. Usuń stary certyfikat z konfiguracji usługi IdP.

  5. Dezaktywuj lub usuń stary certyfikat.

Uwaga:

Zaleca się wyłączenie certyfikatu, ponieważ jego usunięcia nie można cofnąć.

Jeśli usługa IdP nie obsługuje wielu certyfikatów, należy wykonać odnowienie certyfikatu w okresie przestoju:

  1. Prześlij nowy certyfikat do usługi IdP.

  2. Ustaw nowy certyfikat jako domyślny w serwisie Adobe Admin Console.

  3. Sprawdź, jak działa logowanie.

  4. Wyłącz stary certyfikat.

  5. Jeśli nie wystąpią żadne problemy, usuń stary certyfikat.

Uwaga:

Zaleca się odczekać pewien czas przed usunięciem starego certyfikatu, ponieważ jest to czynność nieodwracalna.

Dzienniki kontroli

Działania podjęte w związku z tworzeniem certyfikatów i zarządzaniem nimi są wykazywane w dziennikach kontroli.

Aby wyświetlić dzienniki kontroli, otwórz serwis Admin Console i wybierz opcje Informacje > Dzienniki > Dziennik kontroli.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?