Visão geral

O Adobe Admin Console permite que um administrador de sistema configure os domínios que são usados para o login através da Federated ID para login único (SSO). Depois que o domínio for verificado, o diretório que contém o domínio é configurado para permitir que os usuários façam login na Creative Cloud. Os usuários podem fazer login usando endereços de e-mail nesse domínio através de um Provedor de Identidade (IdP). O processo é provisionado como um serviço de software que é executado na rede da empresa e é acessível através da Internet ou através de um serviço na nuvem hospedado por terceiro que permite a verificação dos detalhes de login do usuário através da comunicação segura usando o protocolo SAML.

Cada um desses IdP é Shibboleth. Para usar o Shibboleth, você precisa de um servidor acessível a partir da Internet e que ter acesso aos serviços de diretório dentro da rede corporativa. Este documento descreve o processo para configurar o Admin Console e um servidor Shibboleth para poder fazer login nos aplicativos da Adobe Creative Cloud e em sites associados para o login único.

O acesso ao IdP é feito geralmente por meio de uma rede separada configurada com regras específicas para permitir somente tipos específicos de comunicação entre servidores e a rede interna e externa, conhecida como DMZ ou (zona desmilitarizada). A configuração do sistema operacional neste servidor e a topologia de tal rede vão além do escopo deste documento.

Pré-requisitos

Antes de configurar um domínio para login único usando o Shibboleth IDP, os seguintes requisitos devem ser atendidos:

  • A versão mais recente do Shibboleth está instalada e configurada.
  • Todas as contas do Active Directory a serem associadas à conta da Creative Cloud para empresas devem ter um endereço de e-mail listado no Active Directory.

Observação:

As etapas para configurar o Shibboleth IDP com o Adobe SSO descrito neste documento foram testadas com a versão 3.

Configurar o logon único usando Shibboleth

Para Configurar o logon único para seu domínio, execute as etapas abaixo:

  1. Entre no Admin Console e comece criando um diretório Federated ID, selecionando Outros provedores SAML como o provedor de identidade. Copie os valores para ACS URL e Entity ID a partir da tela Adicionar Perfil SAML.
  2. Configure o Shibboleth especificado o URL do ACS e a Entity ID, e baixe o arquivo de metadados do Shibboleth.
  3. Volte para o Adobe Admin Console e carregue o arquivo de metadados do Shibboleth na tela Adicionar perfil SAML e clique em Concluído.

Configurar o Shibboleth

Depois que você tiver baixado o arquivo SAML XML Metadata do Adobe Admin console, siga as etapas abaixo para atualizar os arquivos de configuração do Shibboleth.

  1. Copie o arquivo baixado no seguinte local e renomeie o arquivo como adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Atualize o arquivo para garantir que as informações corretas sejam passadas para a Adobe.

    Substitua as seguintes linhas no arquivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Com:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Também substitua:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Por:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Edite o arquivo attribute-filter.xml.

    O provedor de serviço da Adobe solicita o nome, o sobrenome e o e-mail do usário na resposta SAML.

    Edite o arquivo %{idp.home}/conf/attribute-filter.xml para incluir os atributos FirstName, LastName e Email ao inserir o nó AttributeFilterPolicy como abaixo exibido (linhas 17 a 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!--
        This file is an EXAMPLE policy file.  While the policy presented in this
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
         
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup>
    	<AttributeFilterPolicy>
    		<PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spiml66pl3iZi7tuI0x7" />
    		<AttributeRule attributeID="NameID">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="FirstName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="LastName">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    		<AttributeRule attributeID="Email">
    			<PermitValueRule xsi:type="ANY" />
    		</AttributeRule>
    	</AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
  4. Edite o arquivo metadata-providers.xml.

    Atualize o %{idp.home}/conf/metadata-providers.xml com a localização do arquivo de metadados adobe-sp-metadata.xml (linha 29 abaixo) que você criou na Etapa 1 acima.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Solucionar problemas de configuração do Shibboleth

Se não conseguir fazer login no adobe.com com êxito, verifique os seguintes arquivos de configuração do Shibboleth para ver os possíveis problemas:

1. attribute-resolver.xml

O arquivo de filtro de atributo que você atualizou ao Configurar o Shibboleth, define os atributos que precisam ser fornecidos ao provedor de serviços da Adobe. Entretanto, esses atributos precisam ser mapeados para os atributos apropriados como definido no LDAP / Active Directory da sua organização.

Edite o arquivo attribute-resolver.xml no seguinte local:

%{idp.home}/conf/attribute-resolver.xml

Para cada um dos seguintes atributos, especifique a ID do atributo de origem conforme definida para sua empresa:

  • FirstName (linha 1 abaixo)
  • LastName (linha 7 abaixo)
  • Email (linha 13 abaixo)
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail">
      <resolver:Dependency ref="myLDAP" />
      <resolver:AttributeEncoder xsi:type="SAML2StringNameID"
       xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
        nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email"
        sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName"
        sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" />
     </resolver:AttributeDefinition>
     <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName"
        sourceAttributeID="sn">
     <resolver:Dependency ref="myLDAP" />
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>

2. relying-party.xml

Atualize relying-party.xml no seguinte local para suportar o formato saml-nameid conforme exigido pelo provedor de serviços da Adobe:

%{idp.home}/conf/relying-party.xml

Atualize o atributo p:nameIDFormatPrecedence (linha 7 abaixo) para incluir emailAddress.

<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId">
	<property name="profileConfigurations">
		<list>
			<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
			<ref bean="SAML1.AttributeQuery" />
			<ref bean="SAML1.ArtifactResolution" />
			<bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" />
			<ref bean="SAML2.ECP" />
			<ref bean="SAML2.Logout" />
			<ref bean="SAML2.AttributeQuery" />
			<ref bean="SAML2.ArtifactResolution" />
			<ref bean="Liberty.SSOS" />
		</list>
	</property>
</bean>

Além disso, para desativar a criptografia das asserções, na seção DefaultRelyingParty de cada um dos tipos de SAML2:

Substitua:

encryptAssertions="conditional"

Por:

encryptAssertions=”never"

3. saml-nameid.xml

Atualize saml-nameid.xml no seguinte local:

%{idp.home}/conf/saml-nameid.xml

Atualize o atributo p:attributeSourceIds (linha 3 abaixo) para "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Carregar arquivo de metadados do IdP no Adobe Admin Console

Para atualizar o arquivo de metadados do Shibboleth:

  1. Carregue o arquivo de metadados do Shibboleth na tela Adicionar o perfil SAML.

    Após configurar o Shibboleth, o arquivo de metadados (idp-metadata.xml) estará disponível no local a seguir em seu servidor Shibboleth:

    <shibboleth>/metadados

  2. Clique em Concluído.

Para mais detalhes, consulte como criar diretórios no Admin Console.

Testar login único

Verifique o acesso do usuário que você tem definido no seu sistema de gerenciamento de identidade e no Adobe Admin Console fazendo logon no site da Adobe ou no aplicativo de desktop Creative Cloud.

Se você tiver problemas, consulte nosso documento de solução de problemas.

Se você precisar de ajuda com a configuração de login único, navegue até Suporte no Adobe Admin Console, e abra um ticket.