Visão geral

O Console de Administração da permite que um administrador de sistema configure os domínios que são usados para o login através da Federated ID para login único (Single Sign On, SSO). Após a propriedade de um domínio ter sido demonstrada por meio de um token de DNS, o domínio pode ser configurado para permitir que os usuários façam o login na Creative Cloud. Os usuários podem fazer login usando endereços de e-mail nesse domínio através de um Provedor de Identidade (IdP). O processo é provisionado como um serviço de software que é executado na rede da empresa e é acessível através da Internet ou através de um serviço na nuvem hospedado por terceiro que permite a verificação dos detalhes de login do usuário através da comunicação segura usando o protocolo SAML.

Cada um desses IdP é Shibboleth. Para usar o Shibboleth, você precisa de um servidor acessível a partir da Internet e que ter acesso aos serviços de diretório dentro da rede corporativa. Este documento descreve o processo para configurar o Console de Administração e um servidor Shibboleth para poder fazer login nos aplicativos da Adobe Creative Cloud e em sites associados para o login único.

O acesso ao IdP é feito geralmente por meio de uma rede separada configurada com regras específicas para permitir somente tipos específicos de comunicação entre servidores e a rede interna e externa, conhecida como DMZ ou (zona desmilitarizada). A configuração do sistema operacional neste servidor e a topologia de tal rede vão além do escopo deste documento.

Pré-requisitos

Antes de configurar um domínio para login único usando o Shibboleth IDP, os seguintes requisitos devem ser atendidos:

  • Um domínio aprovado para sua conta de organização da Adobe. O status do domínio no Console de Administração da Adobe deve ser Configuração necessária.
  • A versão mais recente do Shibboleth está instalada e configurada.
  • Todas as contas do Active Directory a serem associadas à conta da Creative Cloud para empresas devem ter um endereço de e-mail listado no Active Directory.

Observação:

As etapas para configurar o Shibboleth IDP com o Adobe SSO descrito neste documento foram testadas com a versão 3.

Configurar o Console de administração da Adobe

Para configurar o Shibboleth IdP no Console de Administração. siga as etapas abaixo:

  1. No Console de Administração, navegue para Configurações > Identidade.

    A página Identidade lista os domínios na sua organização.

  2. Clique no nome do domínio que você deseja configurar.

  3. Clique em Configurar SSO.

    O assistente Configurar o Domínio é aberto.

    Configurar o domínio
  4. Para carregar o certificado IdP, clique em Carregar e navegue para o arquivo de certificado:

    %{idp.home}/credentials/idp-signing.crt

  5. Defina Vinculação de IdP como Redirecionar.

  6. Para Configuração de login do usuário, escolha Endereço de e-mail.

  7. Insira o seguinte URL no campo Emissor de IDP:

    https://<claimed domain server name:port>/idp/shibboleth

  8. Insira o seguinte URL no campo URL de login IDP:

    https://<claimed domain server name:port>/idp/profile/SAML2/Redirect/SSO

  9. Clique em Completar a configuração.

  10. Para baixar o arquivo SAML XML Metadata, clique em Download dos metadados.

    Após baixar o arquivo de metadados, este precisa ser modificado para garantir que as informações corretas sejam passadas para a Adobe.

    Substitua as seguintes linhas no arquivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Com:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

  11. Clique em Ativar o domínio.

    Seu domínio está agora ativo.

Configurar o Shibboleth

Depois que você tiver baixado o arquivo SAML XML Metadata do Console de Administração da Adobe, siga as etapas abaixo para atualizar os arquivos de configuração do Shibboleth.

  1. Copie o arquivo baixado no seguinte local e renomeie o arquivo como adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Edite o arquivo attribute-filter.xml.

    O provedor de serviço da Adobe solicita o nome, o sobrenome e o e-mail do usário na resposta SAML.

    Edite o arquivo %{idp.home}/conf/attribute-filter.xml para incluir os atributos FirstName, LastName e Email ao inserir o nó AttributeFilterPolicy como abaixo exibido (linhas 17 a 31):

    <?xml version="1.0" encoding="UTF-8"?>
    <!-- 
        This file is an EXAMPLE policy file.  While the policy presented in this 
        example file is illustrative of some simple cases, it relies on the names of
        non-existent example services and the example attributes demonstrated in the
        default attribute-resolver.xml file.
        
        Deployers should refer to the documentation for a complete list of components
        and their options.
    -->
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
            xmlns="urn:mace:shibboleth:2.0:afp"
            xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
    
        <!-- Release some attributes to an SP. -->
        <AttributeFilterPolicy id="AdobeSP">
            <PolicyRequirementRule xsi:type="Requester" value="https://www.okta.com/saml2/service-provider/spi852ccrrph9JfWw0h7" />
    
            <AttributeRule attributeID="FirstName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="LastName">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
    
            <AttributeRule attributeID="Email">
                <PermitValueRule xsi:type="ANY" />
            </AttributeRule>
        </AttributeFilterPolicy>
       
    
    </AttributeFilterPolicyGroup>
  3. Edite o arquivo metadata-providers.xml.

    Atualize o %{idp.home}/conf/metadata-providers.xml com a localização do arquivo de metadados adobe-sp-metadata.xml (linha 29 abaixo) que você criou na Etapa 1 acima.

        <!--
        <MetadataProvider id="HTTPMetadata"
                          xsi:type="FileBackedHTTPMetadataProvider"
                          backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
                          metadataURL="http://WHATEVER"> 
            
            <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true">
                <PublicKey>
                    MIIBI.....
                </PublicKey>
            </MetadataFilter>
            <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/>
            <MetadataFilter xsi:type="EntityRoleWhiteList">
                <RetainedRole>md:SPSSODescriptor</RetainedRole>
            </MetadataFilter>
        </MetadataProvider>
        -->   
    
        <!--
        Example file metadata provider.  Use this if you want to load metadata
        from a local file.  You might use this if you have some local SPs
        which are not "federated" but you wish to offer a service to.
        
        If you do not provide a SignatureValidation filter, then you have the responsibility to
        ensure that the contents are trustworthy.
        -->
        
        
        <MetadataProvider id="LocalMetadata"  xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>

Solucionar problemas de configuração do Shibboleth

Se não conseguir fazer login no adobe.com com êxito, verifique os seguintes arquivos de configuração do Shibboleth para ver os possíveis problemas:

1. attribute-resolver.xml

O arquivo de filtro de atributo que você atualizou ao Configurar o Shibboleth, define os atributos que precisam ser fornecidos ao provedor de serviços da Adobe. Entretanto, esses atributos precisam ser mapeados para os atributos apropriados como definido no LDAP / Active Directory da sua organização.

Edite o arquivo attribute-resolver.xml no seguinte local:

%{idp.home}/conf/attribute-resolver.xml

Para cada um dos seguintes atributos, especifique a ID do atributo de origem conforme definida para sua empresa:

  • FirstName (linha 1 abaixo)
  • LastName (linha 7 abaixo)
  • Email (linha 13 abaixo)
    <resolver:AttributeDefinition id="Email" xsi:type="ad:Simple" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="Email" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="LastName" xsi:type="ad:Simple" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="LastName" encodeType="false" />
    </resolver:AttributeDefinition>
    
    <resolver:AttributeDefinition id="FirstName" xsi:type="ad:Simple" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" nameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified" name="FirstName" encodeType="false" />
    </resolver:AttributeDefinition>

2. relying-party.xml

Atualize relying-party.xml no seguinte local para suportar o formato saml-nameid conforme exigido pelo provedor de serviços da Adobe:

%{idp.home}/conf/relying-party.xml

Atualize o atributo p:nameIDFormatPrecedence (linha 7 abaixo) para incluir emailAddress.

    <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
        <property name="profileConfigurations">
            <list>
                <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML1.AttributeQuery" />
                <ref bean="SAML1.ArtifactResolution" />
                <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" />
                <ref bean="SAML2.ECP" />
                <ref bean="SAML2.Logout" />
                <ref bean="SAML2.AttributeQuery" />
                <ref bean="SAML2.ArtifactResolution" />
                <ref bean="Liberty.SSOS" />
            </list>
        </property>
    </bean>

3. saml-nameid.xml

Atualize saml-nameid.xml no seguinte local:

%{idp.home}/conf/saml-nameid.xml

Atualize o atributo p:attributeSourceIds (linha 3 abaixo) para "#{ {'Email'} }".

        <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
            p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
            p:attributeSourceIds="#{ {'Email'} }" />

Testar login único

Crie um usuário de teste com o Active Directory. Crie uma entrada no Console de Administração para este usuário e atribua-lhe uma licença. A seguir, teste o login em Adobe.com para confirmar se o software relevante está listado para download.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online