Organizacja InCommon Federation udostępnia obsługę federacyjną identyfikatorów dla członków społeczności akademickiej. Administrator zarządzający identyfikatorami w instytucji edukacyjnej, która należy do InCommon Federation, może skonfigurować logowanie do aplikacji Adobe za pomocą identyfikatora Federated ID z InCommon.

Gdy użytkownik loguje się za pomocą identyfikatora Federated ID, usługa IdP (dostawca tożsamości) stosowana przez tego użytkownika weryfikuje jego tożsamość, a Adobe na tej podstawie udziela uwierzytelnionemu użytkownikowi dostępu do usług. Aby zapewnić taką autoryzację, Adobe tworzy wewnętrzny identyfikator Adobe ID, stanowiący odpowiednik identyfikatora Federated ID z InCommon.

Każda usługa IdP w inny sposób składuje informacje o tożsamości, dlatego konieczne jest zdefiniowanie odwzorowań między polami używanymi przez Twoją usługę IdP a polami wymaganymi na potrzeby powiązanego identyfikatora Adobe ID. Takie odwzorowanie musi być dwukierunkowe. Należy utworzyć zarówno konfigurację swojej organizacji (firmy lub instytucji) w Adobe, podając dane kontaktowe i odwzorowania usługi IdP, jak i konfigurację tej organizacji w usłudze IdP, podając dane kontaktowe i odwzorowania zdefiniowane dla organizacji w Adobe.

Wymagania wstępne

Aby przeprowadzić proces konfiguracyjny, musisz być administratorem zarządzającym identyfikatorami i mieć odpowiednie uprawnienia dostępu zarówno do konta organizacji w Adobe, jak i do konta w usłudze IdP. Niezbędne są następujące składniki:

  • Uruchomiona usługa IdP zgodna z protokołem SAML 2.0. Członkowie InCommon Federation używają zazwyczaj produktu Shibboleth 2.x lub 3.x jako usługi IdP, nie jest to jednak produkt wymagany.
  • Dostęp administracyjny do serwisu Adobe Admin Console oraz do narzędzia InCommon Federation Manager.
  • Dostęp administracyjny do metadanych usługi IdP.
  • Zatwierdzony wniosek o przypisanie domeny dla konta organizacji w Adobe.

Tworzenie odwzorowań między identyfikatorami Federated ID w Adobe oraz w InCommon

Aby skonfigurować organizację umożliwiającą logowanie SSO do aplikacji Adobe za pomocą identyfikatorów Federated ID z InCommon, należy wykonać dwa zadania:

  • Skonfigurować organizację w serwisie Adobe Admin Console, podając szczegółowe dane zabezpieczeń usługi IdP używanej w celu uwierzytelniania identyfikatorów Federated ID z InCommon.
  • Za pomocą narzędzia InCommon Federation Manager skonfigurować wpis Service Provider (Dostawca usługi) dla połączeń Adobe.

Konfigurowanie informacji o usłudze IdP w serwisie Adobe Admin Console

Aby skonfigurować logowanie SSO w swojej domenie, wprowadź niezbędne informacje w kreatorze konfigurowania domeny w serwisie Adobe Admin Console.

Konfigurowanie domeny

Wypełnij następujące pola, aby umożliwić nawiązanie połączenia między Adobe a usługą IdP, co pozwoli użytkownikom logować się za pomocą identyfikatorów Federated ID z InCommon.

  • Certyfikat IDP: certyfikat w formacie PEM w metadanych usługi IdP. Plik musi mieć rozszerzenie .crt.
  • Powiązanie IDP: HTTP-POST lub HTTP-REDIRECT.
  • Ustawienie loginu użytkownika: określ, czy użytkownicy mają się logować za pomocą adresu e-mail, czy nazwy użytkownika.
  • Wystawca IDP: wprowadź identyfikator podmiotu (Entity ID) dla usługi IdP.
  • URL logowania IDP: punkt końcowy logowania usługi SAML, zgodnie z wymaganiami wynikającymi ze zdefiniowanego powiązania.

Kliknij łącze Pobierz metadane, aby uzyskać dostęp do pliku metadanych nowego dostawcy usług. Plik ten umożliwia skonfigurowanie integracji SAML z usługą IdP. Należy dostarczyć go do usługi IdP używanej przez przedsiębiorstwo, aby umożliwić włączenie logowania SSO.

Konfigurowanie wpisu Service Provider dla Adobe w usłudze IdP

Połączenie z systemami Adobe wymaga skonfigurowania niestandardowego dostawcy usług (Service Provider) w narzędziu InCommon Federation Manager. Wpis Service Provider służy do odwzorowania informacji między formatem Federated ID używanym w Adobe oraz formatem InCommon Federated ID, używanym przez usługę IdP. Wartości Adobe można znaleźć w pliku metadanych dostawcy usługi pobranym z serwisu Admin Console.

Aby utworzyć wpis Service Provider, wykonaj następujące kroki.

  1. W interfejsie narzędzia InCommon Federation Manager wybierz opcję New Service Provider (Nowy dostawca usługi).

  2. W polu Entity ID (Identyfikator podmiotu) wpisz dane z pola entityID w metadanych Adobe.

    new
  3. W sekcji Elementy interfejsu użytkownika i żądane atrybuty ustaw opcję Wyświetlana nazwa dostawcy usługi na nazwę, która będzie dla Ciebie zrozumiała.

    v2_SP_display_name

    Aby wypełnić sekcję Requested Attributes (Żądane atrybuty), należy najpierw skonfigurować usługę IdP w zakresie wymaganych przez Adobe atrybutów niestandardowych. Procedurę tę opisano poniżej. Na razie pomiń tę sekcję.

  4. W sekcji Assertion Consumer Service (Usługa przyjmująca potwierdzenie) wprowadź odpowiednie wartości z metadanych Adobe. W polu Location URL użyj wartości powiązania SAML HTTP-POST.

    Assertion_Consumer_Service
  5. Usługi jednokrotnego wylogowywania (Single Logout Services) nie są obecnie obsługiwane. Pozostaw te pola puste.

  6. W sekcji Contacts wprowadź odpowiednie informacje kontaktowe.

    contacts

Konfiguracja IdP

Funkcja dostawcy usługi (Service Provider) obsługiwana przez Adobe wymaga przekazywania przez usługę IdP trzech niestandardowych atrybutów, zapisanych z taką wielkością liter, jaką podano poniżej:

  • FirstName: odpowiednik atrybutu InCommon „sn” („surname”, urn:oid:2.5.4.4)
  • LastName: odpowiednik atrybutu InCommon „givenname” (urn:oid:2.5.4.42)
  • Email: odpowiednik atrybutu InCommon „mail” (urn:oid:0.9.2342.19200300.100.1.3)

Ponieważ odpowiednie atrybuty InCommon nie mają takich samych nazw, trzeba odpowiednio skonfigurować usługę IdP, definiując odwzorowania wartości i wysyłając je jako atrybuty niestandardowe. Jeśli jako usługi IdP używasz produktu Shibboleth, odszukaj w jego dokumentacji informacje na temat konfigurowania atrybutów niestandardowych:

Oprócz omówionych powyżej atrybutów niestandardowych należy dodatkowo ustawić w atrybucie Subject pole NameId zawierające nazwę konta użytkownika lub adres e-mail używany do logowania (zgodnie z wartością skonfigurowaną w serwisie Adobe Admin Console). Jeśli jako usługi IdP używasz produktu Shibboleth, odszukaj w jego dokumentacji informacje na temat konfigurowania pola NameId:

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online