Visão geral

O Console de Administração da permite que um administrador de sistema configure os domínios que são usados para o login através da Federated ID para login único (Single Sign On, SSO). Após a propriedade de um domínio ter sido demonstrada por meio de um token de DNS, o domínio pode ser configurado para permitir que os usuários façam o login na Creative Cloud. Os usuários podem fazer login usando endereços de e-mail nesse domínio através de um Provedor de Identidade (IdP). O processo é provisionado como um serviço de software que é executado na rede da empresa e é acessível através da Internet ou através de um serviço na nuvem hospedado por terceiro que permite a verificação dos detalhes de login do usuário através da comunicação segura usando o protocolo SAML.

Cada um desses IdP é Shibboleth. Para usar o Shibboleth, você precisa de um servidor acessível a partir da Internet e que ter acesso aos serviços de diretório dentro da rede corporativa. Este documento descreve o processo para configurar o Console de Administração e um servidor Shibboleth para poder fazer login nos aplicativos da Adobe Creative Cloud e em sites associados para o login único.

O acesso ao IdP é feito geralmente por meio de uma rede separada configurada com regras específicas para permitir somente tipos específicos de comunicação entre servidores e a rede interna e externa, conhecida como DMZ ou (zona desmilitarizada). A configuração do sistema operacional neste servidor e a topologia de tal rede vão além do escopo deste documento.

Pré-requisitos

Antes de configurar um domínio para login único usando o Shibboleth IDP, os seguintes requisitos devem ser atendidos:

  • Um domínio aprovado para sua conta de organização da Adobe. O status do domínio no Console de Administração da Adobe deve ser Configuração necessária.
  • A versão mais recente do Shibboleth está instalada e configurada.
  • Todas as contas do Active Directory a serem associadas à conta da Creative Cloud para empresas devem ter um endereço de e-mail listado no Active Directory.

Observação:

As etapas para configurar o Shibboleth IDP com o Adobe SSO descrito neste documento foram testadas com a versão 3.

Configurar o Console de administração da Adobe

Para configurar o Shibboleth IdP no Console de Administração. siga as etapas abaixo:

  1. No Console de Administração, navegue para Configurações > Identidade.

    A página Identidade lista os domínios na sua organização.

  2. Clique no nome do domínio que você deseja configurar.

  3. Clique em Configurar SSO.

    O assistente Configurar o Domínio é aberto.

    Configurar o domínio
  4. Para carregar o certificado IdP, clique em Carregar e navegue para o arquivo de certificado:

    %{idp.home}/credentials/idp-signing.crt

  5. Defina Vinculação de IdP como Redirecionar.

  6. Para Configuração de login do usuário, escolha Endereço de e-mail.

  7. Insira o seguinte URL no campo Emissor de IDP:

    https://<claimed domain server name:port>/idp/shibboleth

  8. Insira o seguinte URL no campo URL de login IDP:

    https://<claimed domain server name:port>/idp/profile/SAML2/Redirect/SSO

  9. Clique em Completar a configuração.

  10. Para baixar o arquivo SAML XML Metadata, clique em Download dos metadados.

    Após baixar o arquivo de metadados, este precisa ser modificado para garantir que as informações corretas sejam passadas para a Adobe.

    Substitua as seguintes linhas no arquivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Com:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Também substitua:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Por:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  11. Clique em Ativar o domínio.

    Seu domínio está agora ativo.

Configurar o Shibboleth

Depois que você tiver baixado o arquivo SAML XML Metadata do Console de Administração da Adobe, siga as etapas abaixo para atualizar os arquivos de configuração do Shibboleth.

  1. Copie o arquivo baixado no seguinte local e renomeie o arquivo como adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Edite o arquivo attribute-filter.xml.

    O provedor de serviço da Adobe solicita o nome, o sobrenome e o e-mail do usário na resposta SAML.

    Edite o arquivo %{idp.home}/conf/attribute-filter.xml para incluir os atributos FirstName, LastName e Email ao inserir o nó AttributeFilterPolicy como abaixo exibido (linhas 17 a 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <afp:AttributeFilterPolicy>
        <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="ADD ADOBE METADATA URL (ENDS WITH A 7)" /> 
        <afp:AttributeRule attributeID="NameID">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="FirstName">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="LastName">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
        <afp:AttributeRule attributeID="Email">
            <afp:PermitValueRule xsi:type="basic:ANY" />
        </afp:AttributeRule>
    </afp:AttributeFilterPolicy>
  3. Edite o arquivo metadata-providers.xml.

    Atualize o %{idp.home}/conf/metadata-providers.xml com a localização do arquivo de metadados adobe-sp-metadata.xml (linha 29 abaixo) que você criou na Etapa 1 acima.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Solucionar problemas de configuração do Shibboleth

Se não conseguir fazer login no adobe.com com êxito, verifique os seguintes arquivos de configuração do Shibboleth para ver os possíveis problemas:

1. attribute-resolver.xml

O arquivo de filtro de atributo que você atualizou ao Configurar o Shibboleth, define os atributos que precisam ser fornecidos ao provedor de serviços da Adobe. Entretanto, esses atributos precisam ser mapeados para os atributos apropriados como definido no LDAP / Active Directory da sua organização.

Edite o arquivo attribute-resolver.xml no seguinte local:

%{idp.home}/conf/attribute-resolver.xml

Para cada um dos seguintes atributos, especifique a ID do atributo de origem conforme definida para sua empresa:

  • FirstName (linha 1 abaixo)
  • LastName (linha 7 abaixo)
  • Email (linha 13 abaixo)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
    <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="SAML2StringNameID"         
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
    </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"         
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
    </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" 
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
    </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" 
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Atualize relying-party.xml no seguinte local para suportar o formato saml-nameid conforme exigido pelo provedor de serviços da Adobe:

%{idp.home}/conf/relying-party.xml

Atualize o atributo p:nameIDFormatPrecedence (linha 7 abaixo) para incluir emailAddress.

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

Também para desativar a criptografia das asserções, na seção DefaultRelyingParty de cada um dos tipos de SAML2:

Substitua:

encryptAssertions="conditional"

Por:

encryptAssertions=”never"

3. saml-nameid.xml

Atualize saml-nameid.xml no seguinte local:

%{idp.home}/conf/saml-nameid.xml

Atualize o atributo p:attributeSourceIds (linha 3 abaixo) para "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Testar login único

Crie um usuário de teste com o Active Directory. Crie uma entrada no Console de Administração para este usuário e atribua-lhe uma licença. A seguir, teste o login em Adobe.com para confirmar se o software relevante está listado para download.

Se você tiver problemas, consulte nosso Documento de solução de problemas.

Se você precisar de ajuda com a configuração de login único, navegue até Suporte no Adobe Admin Console, e abra um ticket.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online