Organizacja InCommon Federation udostępnia obsługę federacyjną identyfikatorów dla członków społeczności akademickiej. Administrator zarządzający identyfikatorami w instytucji edukacyjnej, która należy do InCommon Federation, może skonfigurować logowanie do aplikacji Adobe za pomocą identyfikatora Federated ID z InCommon.

Gdy użytkownik loguje się za pomocą identyfikatora Federated ID, Adobe wysyła żądanie do usługi IdP zdefiniowanej dla tego użytkownika. Usługa podejmuje próbę uwierzytelnienia użytkownika. Jeśli uwierzytelnienie zakończy się powodzeniem, usługa IdP wyśle komunikat z odpowiedzią, umożliwiający zalogowanie użytkownika. Adobe udzieli wówczas temu użytkownikowi autoryzacji do korzystania z usług.

Każda usługa IdP w inny sposób składuje informacje o tożsamości, dlatego konieczne jest zdefiniowanie odwzorowań między polami używanymi przez Twoją usługę IdP a polami wymaganymi na potrzeby powiązanego identyfikatora Adobe ID. Takie odwzorowanie musi być dwukierunkowe. Należy utworzyć zarówno konfigurację swojej organizacji (firmy lub instytucji) w Adobe, podając dane kontaktowe i odwzorowania usługi IdP, jak i konfigurację tej organizacji w usłudze IdP, podając dane kontaktowe i odwzorowania zdefiniowane dla organizacji w Adobe.

Wymagania wstępne

Aby przeprowadzić proces konfiguracyjny, musisz być administratorem zarządzającym identyfikatorami i mieć odpowiednie uprawnienia dostępu zarówno do konta organizacji w Adobe, jak i do konta w usłudze IdP. Niezbędne są następujące składniki:

  • Uruchomiona usługa IdP zgodna z protokołem SAML 2.0. Członkowie InCommon Federation używają zazwyczaj produktu Shibboleth 2.x lub 3.x jako usługi IdP, nie jest to jednak produkt wymagany.
  • Dostęp administracyjny do serwisu Adobe Admin Console oraz do narzędzia InCommon Federation Manager.
  • Dostęp administracyjny do metadanych usługi IdP.
  • Zatwierdzony wniosek o przypisanie domeny dla konta organizacji w Adobe.

Tworzenie odwzorowań między identyfikatorami Federated ID w Adobe oraz w InCommon

Aby skonfigurować organizację umożliwiającą logowanie SSO do aplikacji Adobe za pomocą identyfikatorów Federated ID z InCommon, należy wykonać dwa zadania:

  • Skonfigurować organizację w serwisie Adobe Admin Console, podając szczegółowe dane zabezpieczeń usługi IdP używanej w celu uwierzytelniania identyfikatorów Federated ID z InCommon.
  • Za pomocą narzędzia InCommon Federation Manager skonfigurować wpis Service Provider (Dostawca usługi) dla połączeń Adobe.

Konfigurowanie informacji o usłudze IdP w serwisie Adobe Admin Console

Aby skonfigurować logowanie SSO w swojej domenie, wprowadź niezbędne informacje w kreatorze konfigurowania domeny w serwisie Adobe Admin Console.

Konfigurowanie domeny

Wypełnij następujące pola, aby umożliwić nawiązanie połączenia między Adobe a usługą IdP, co pozwoli użytkownikom logować się za pomocą identyfikatorów Federated ID z InCommon.

  • Certyfikat IDP: certyfikat w formacie PEM w metadanych usługi IdP. Plik musi mieć rozszerzenie .crt.
  • Powiązanie IDP: HTTP-POST lub HTTP-REDIRECT.
  • Ustawienie loginu użytkownika: określ, czy użytkownicy mają się logować za pomocą adresu e-mail, czy nazwy użytkownika.
  • Wystawca IDP: wprowadź identyfikator podmiotu (Entity ID) dla usługi IdP.
  • URL logowania IDP: punkt końcowy logowania usługi SAML, zgodnie z wymaganiami wynikającymi ze zdefiniowanego powiązania.

Kliknij łącze Pobierz metadane, aby uzyskać dostęp do pliku metadanych nowego dostawcy usług. Plik ten umożliwia skonfigurowanie integracji SAML z usługą IdP. Należy dostarczyć go do usługi IdP używanej przez przedsiębiorstwo, aby umożliwić włączenie logowania SSO.

Konfigurowanie wpisu Service Provider dla Adobe w usłudze IdP

Połączenie z systemami Adobe wymaga skonfigurowania niestandardowego dostawcy usług (Service Provider) w narzędziu InCommon Federation Manager. Wpis Service Provider służy do odwzorowania informacji między formatem Federated ID używanym w Adobe oraz formatem InCommon Federated ID, używanym przez usługę IdP. Wartości Adobe można znaleźć w pliku metadanych dostawcy usługi pobranym z serwisu Admin Console.

Aby utworzyć wpis Service Provider, wykonaj następujące kroki.

  1. W interfejsie narzędzia InCommon Federation Manager wybierz opcję New Service Provider (Nowy dostawca usługi).

  2. W polu Entity ID (Identyfikator podmiotu) wpisz dane z pola entityID w metadanych Adobe.

    new
  3. W sekcji Elementy interfejsu użytkownika i żądane atrybuty ustaw opcję Wyświetlana nazwa dostawcy usługi na nazwę, która będzie dla Ciebie zrozumiała.

    v2_SP_display_name

    Aby wypełnić sekcję Requested Attributes (Żądane atrybuty), należy najpierw skonfigurować usługę IdP w zakresie wymaganych przez Adobe atrybutów niestandardowych. Procedurę tę opisano poniżej. Na razie pomiń tę sekcję.

  4. W sekcji Assertion Consumer Service (Usługa przyjmująca potwierdzenie) wprowadź odpowiednie wartości z metadanych Adobe. W polu Location URL użyj wartości powiązania SAML HTTP-POST.

    Assertion_Consumer_Service
  5. Usługi jednokrotnego wylogowywania (Single Logout Services) nie są obecnie obsługiwane. Pozostaw te pola puste.

  6. W sekcji Contacts wprowadź odpowiednie informacje kontaktowe.

    contacts

Konfiguracja IdP

Funkcja dostawcy usługi (Service Provider) obsługiwana przez Adobe wymaga przekazywania przez usługę IdP trzech niestandardowych atrybutów, zapisanych z taką wielkością liter, jaką podano poniżej:

  • FirstName: odpowiednik atrybutu InCommon „sn” („surname”, urn:oid:2.5.4.4)
  • LastName: odpowiednik atrybutu InCommon „givenname” (urn:oid:2.5.4.42)
  • Email: odpowiednik atrybutu InCommon „mail” (urn:oid:0.9.2342.19200300.100.1.3)

Ponieważ odpowiednie atrybuty InCommon nie mają takich samych nazw, trzeba odpowiednio skonfigurować usługę IdP, definiując odwzorowania wartości i wysyłając je jako atrybuty niestandardowe. Jeśli jako usługi IdP używasz produktu Shibboleth, odszukaj w jego dokumentacji informacje na temat konfigurowania atrybutów niestandardowych:

Oprócz omówionych powyżej atrybutów niestandardowych należy dodatkowo ustawić w atrybucie Subject pole NameId zawierające nazwę konta użytkownika lub adres e-mail używany do logowania (zgodnie z wartością skonfigurowaną w serwisie Adobe Admin Console). Jeśli jako usługi IdP używasz produktu Shibboleth, odszukaj w jego dokumentacji informacje na temat konfigurowania pola NameId:

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online