Aktualizacja certyfikatu SSO

Szukaj
Enterprise

Enterprise

Admin Console

Dotyczy przedsiębiorstw.

Jeśli w serwisie Adobe Admin Console skonfigurowano funkcję logowania jednokrotnego na potrzeby usługi IdP, ale użytkownicy końcowi nie mogą się zalogować do aplikacji i usług Adobe, certyfikat SAML mógł wygasnąć.

Problem

Występuje jeden z następujących problemów:

  • Użytkownicy końcowi zostali wylogowani i nie mogą się ponownie zalogować do aplikacji internetowych, mobilnych ani stacjonarnych Adobe Creative Cloud.
  • Podczas próby logowania użytkownicy końcowi widzą komunikaty o błędach podobne do następujących:
    • Niepowodzenie sprawdzania poprawności certyfikatu SAML.
    • Podpis cyfrowy w odpowiedzi SAML nie został zweryfikowany za pomocą certyfikatu usługi IdP.
  • Administrator nie może dodawać ani usuwać użytkowników lub profilów produktowych ani zarządzać nimi.
  • Administratorzy chcą odnowić certyfikat SAML, który wkrótce wygaśnie.

Przyczyna

Transakcja SAML wiąże się z wymianą informacji przez następujące dwa podmioty:

  • Usługa IdP
    Certyfikat IdP należy do klienta i jest przechowywany w jego własnym narzędziu IdP (ADFS, OKTA, Shiboleth). Taki certyfikat jest przesyłany do serwisu Admin Console.
  • Firma Adobe w roli usługodawcy
    Podmioty Adobe podlegają zarządzaniu w systemie Admin Console i są przesyłane do usługi IdP klienta.

Obydwa te podmioty dysponują odpowiednimi certyfikatami, na podstawie których tworzy się relacja zaufania.
Jeśli w serwisie Adobe Admin Console skonfigurowano funkcję logowania jednokrotnego na potrzeby usługi IdP, ale użytkownicy końcowi nie mogą się zalogować do aplikacji i usług Adobe, certyfikat SAML mógł wygasnąć.

Powiadomienie w serwisie Admin Console

Firma Adobe informuje użytkownika o tym, że certyfikat wygenerowany przez Adobe wygasł lub wkrótce wygaśnie, wyświetlając powiadomienie na banerze w serwisie Admin Console. Podawane są także aktualne informacje o statusie dotyczące poszczególnych katalogów. Aby wyświetlić stan certyfikatu SAML, otwórz stronę Ustawienia > Ustawienia identyfikatorów, a następnie przejdź na kartę Katalogi i przejrzyj dane w kolumnie Status.

Rozwiązanie

Konfiguracja logowania SAML

Jeśli certyfikaty wygasły lub wkrótce wygasną, można zaktualizować konfigurację federacji bezpośrednio za pomocą serwisu Admin Console. Certyfikaty SAML zostaną zaktualizowane wraz z konfiguracją SAML.

Spostrzeżenie

Jeśli używana przez przedsiębiorstwo usługa IdP nie sprawdza statusu ważności certyfikatu, nie trzeba podejmować żadnych działań.

Administrator systemu może bezpośrednio aktualizować certyfikaty z podpisem własnym i zarządzać nimi, wykonując następujące kroki w serwisie Admin Console:

  1. Na stronie Admin Console przejdź do ekranu Ustawienia > Identyfikatory > (nazwa katalogu)> Uwierzytelnianie.

  2. Kliknij opcję Edytuj , a następnie opcję Dalej.

  3. Przejrzyj dostępne certyfikaty i ich status. Na tym etapie administrator może wygenerować nowy certyfikat lub nowe żądanie podpisania certyfikatu.

    Spostrzeżenie

    Certyfikat samopodpisany to opcja wygodniejsza i spójna ze sprawdzonymi praktykami w zakresie bezpieczeństwa. Zaleca się wybranie certyfikatu samopodpisanego, chyba że przedsiębiorstwo ma szczególne wymagania, których taki certyfikat nie spełnia.

  4. Kliknij opcję Wygeneruj nowy certyfikat.

    W wybranym katalogu federacyjnym zostanie wygenerowany nowy certyfikat SAML, zgodny z aktywną konfiguracją SAML.

  5. Utwórz nowe żądanie podpisania.

    Kliknij opcję Utwórz żądanie podpisania certyfikatu.
    Gdy zostanie wyświetlone nowe okno dialogowe, wprowadź następujące dane uzyskane ze źródła certyfikacji (CA):

    1. Wprowadź dane otrzymane od źródła certyfikacji.
    2. Jeśli administrator zdecyduje się utworzyć nowe żądanie podpisu, musi sfinalizować ten proces w systemach używanego przez przedsiębiorstwo źródła certyfikatu. Dopiero wtedy wejdzie w życie zmiana certyfikatu SAML.
    3. Otwórz sekcję Operacje i kliknij opcję Dokończ.
    4. Prześlij plik certyfikatu uzyskany od źródła certyfikacji. Wybierz opcję Zakończ, a następnie opcję Gotowe

Po pomyślnym utworzeniu certyfikatu dostępne będą dodatkowe operacje: możliwość ustawienia go jako domyślnego, aktywacji, dezaktywacji, pobrania metadanych, pobrania, a także pobrania i usunięcia certyfikatu.

Jeśli usługa IdP używana przez przedsiębiorstwo obsługuje wiele certyfikatów, czynności te należy wykonać w jednej nieprzerwanej sesji logowania.

  1. Do usługi IdP prześlij nowy certyfikat jako uzupełnienie starego.

  2. Ustaw nowy certyfikat jako domyślny w serwisie Adobe Admin Console.

  3. Sprawdź, jak działa logowanie.

  4. Usuń stary certyfikat z konfiguracji usługi IdP.

  5. Dezaktywuj lub usuń stary certyfikat.

Spostrzeżenie

Zaleca się wyłączenie certyfikatu, ponieważ jego usunięcia nie można cofnąć.

Jeśli usługa IdP nie obsługuje wielu certyfikatów, należy wykonać odnowienie certyfikatu w okresie przestoju:

  1. Prześlij nowy certyfikat do usługi IdP.

  2. Ustaw nowy certyfikat jako domyślny w serwisie Adobe Admin Console.

  3. Sprawdź, jak działa logowanie.

  4. Wyłącz stary certyfikat.

  5. Jeśli nie wystąpią żadne problemy, usuń stary certyfikat.

Spostrzeżenie

Zaleca się odczekać pewien czas przed usunięciem starego certyfikatu, ponieważ jest to czynność nieodwracalna.

Dzienniki kontroli

Działania podjęte w związku z tworzeniem certyfikatów i zarządzaniem nimi są wykazywane w dziennikach kontroli.

Aby wyświetlić dzienniki kontroli, otwórz serwis Admin Console i wybierz opcje Informacje > Dzienniki > Dziennik kontroli.

Więcej podobnych

Adobe, Inc.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Podręczne łącza

Wyświetl swoje plany Zarządzaj planami
Wyświetl podręczne łącza
Ukryj podręczne łącza

Informacje prawne    |    Zasady ochrony prywatności online