Copie o arquivo de metadados baixado para o seguinte local e renomeie o arquivo para adobe-sp-metadata.xml:
%{idp.home}/metadata/
O Adobe Admin Console permite que um administrador do sistema configure os domínios usados para logon por meio de Federated ID para Single Sign-On (SSO). Após a verificação do domínio, o diretório que o contém é configurado para permitir que os usuários façam logon na Creative Cloud. Os usuários podem fazer logon usando endereços de email nesse domínio por meio de um provedor de identidade (IdP). O processo é fornecido como um serviço de software que é executado na rede da empresa e é acessível pela internet ou como um serviço em nuvem hospedado por terceiros que permite a verificação de detalhes de logon do usuário por meio de comunicação segura usando o protocolo SAML.
O Shibboleth é um IdP. Para usar Shibboleth, é necessário um servidor acessível pela Internet e que tenha acesso aos serviços de diretório na rede corporativa. Este documento descreve o processo necessário para configurar o Admin Console e um servidor Shibboleth para fazer logon nos aplicativos da Adobe Creative Cloud e sites associados por meio de Single Sign-On.
O acesso ao IdP normalmente é feito usando uma rede separada configurada com regras específicas para permitir somente acesso a tipos de comunicação específicos entre os servidores e as redes interna e externa, denominado DMZ (zona desmilitarizada). A configuração do sistema operacional no servidor e a topologia da rede não estão no escopo deste documento.
Antes de configurar um domínio para Single Sign-On usando o IDP do Shibboleth, os seguintes requisitos devem ser atendidos:
As etapas para configurar o IDP do Shibboleth com o Adobe SSO descrito neste documento foram testadas com a versão 3.
Para configurar o Single Sign-On para seu domínio, siga estas etapas:
Depois de baixar o arquivo de metadados XML do SAML do Adobe Admin Console, siga as etapas abaixo para atualizar os arquivos de configuração do Shibboleth.
Copie o arquivo de metadados baixado para o seguinte local e renomeie o arquivo para adobe-sp-metadata.xml:
%{idp.home}/metadata/
Atualize o arquivo para garantir que as informações corretas sejam repassadas à Adobe.
Substitua as seguintes linhas no arquivo:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Por:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Além disso, substitua:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Por:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Edite o arquivo metadata-providers.xml.
Atualize o arquivo %{idp.home}/conf/metadata-providers.xml com o local do arquivo de metadados adobe-sp-metadata.xml (linha 29 abaixo) criado na etapa 1.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Exemplo de provedor de metadados de arquivo. Use-o se quiser carregar metadados de um arquivo local. Você pode usá-lo se tiver alguns SPs locais que não são “federados”, mas a que deseja oferecer um serviço. Se você não fornecer um filtro SignatureValidation, terá a responsabilidade de garantir que o conteúdo seja confiável. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Se não conseguir fazer logon em adobe.com, verifique os seguintes arquivos de configuração do Shibboleth para encontrar possíveis problemas:
O arquivo de filtro de atributo que você atualizou enquanto configurava o Shibboleth define os atributos que você precisa fornecer ao provedor de serviços da Adobe. No entanto, é necessário mapear esses atributos para os atributos apropriados conforme definido no LDAP/Active Directory de sua organização.
Edite o arquivo attribute-resolver.xml no seguinte local:
%{idp.home}/conf/attribute-resolver.xml
Para cada um dos seguintes atributos, especifique a ID do atributo de origem conforme definida para sua organização:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Atualize o arquivo relying-party.xml no seguinte local para suportar o formato saml-nameid exigido pelo provedor de serviços da Adobe:
%{idp.home}/conf/relying-party.xml
Atualize o atributo p:nameIDFormatPrecedence (linha 7 abaixo) para incluir emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Além disso, para desativar a criptografia das afirmações, na seção DefaultRelyingParty para cada um dos tipos de SAML2, faça o seguinte:
Substitua:
encryptAssertions="conditional"
Por:
encryptAssertions=”never”
Atualize o arquivo saml-nameid.xml no seguinte local:
%{idp.home}/conf/saml-nameid.xml
Atualize o atributo p:attributeSourceIds (linha 3 abaixo) para "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Para atualizar o arquivo de metadados do Shibboleth:
Volte ao Adobe Admin Console.
Carregue o arquivo de metadados do Shibboleth na tela Adicionar o perfil SAML.
Depois de configurar o Shibboleth, o arquivo de metadados (idp-metadata.xml) estará disponível no seguinte local em seu servidor do Shibboleth:
<shibboleth>/metadata
Clique em Concluído.
Para obter mais informações, veja como criar diretórios no Admin Console.
Verifique o acesso do usuário para um usuário que você definiu em seu próprio sistema de gerenciamento de identidade e no Adobe Admin Console, fazendo logon no site da Adobe ou no aplicativo de desktop da Creative Cloud.
Se você encontrar problemas, consulte nossa solução de problemas de documentos.
Se você ainda precisar de ajuda com a configuração de Single Sign-On, navegue até Suporte no Adobe Admin Console e abra um chamado.