Configurar o IdP do Shibboleth para uso com Adobe SSO

Visão geral

O Adobe Admin Console permite que um administrador do sistema configure os domínios usados para logon por meio de Federated ID para Single Sign-On (SSO). Após a verificação do domínio, o diretório que o contém é configurado para permitir que os usuários façam logon na Creative Cloud. Os usuários podem fazer logon usando endereços de email nesse domínio por meio de um provedor de identidade (IdP). O processo é fornecido como um serviço de software que é executado na rede da empresa e é acessível pela internet ou como um serviço em nuvem hospedado por terceiros que permite a verificação de detalhes de logon do usuário por meio de comunicação segura usando o protocolo SAML.

O Shibboleth é um IdP. Para usar Shibboleth, é necessário um servidor acessível pela Internet e que tenha acesso aos serviços de diretório na rede corporativa. Este documento descreve o processo necessário para configurar o Admin Console e um servidor Shibboleth para fazer logon nos aplicativos da Adobe Creative Cloud e sites associados por meio de Single Sign-On.

O acesso ao IdP normalmente é feito usando uma rede separada configurada com regras específicas para permitir somente acesso a tipos de comunicação específicos entre os servidores e as redes interna e externa, denominado DMZ (zona desmilitarizada). A configuração do sistema operacional no servidor e a topologia da rede não estão no escopo deste documento.

Pré-requisitos

Antes de configurar um domínio para Single Sign-On usando o IDP do Shibboleth, os seguintes requisitos devem ser atendidos:

  • A versão mais recente do Shibboleth está instalada e configurada.
  • Todas as contas do Active Directory que serão associadas a uma conta da Creative Cloud para corporações devem ter um endereço de email listado no Active Directory.
Observação:

As etapas para configurar o IDP do Shibboleth com o Adobe SSO descrito neste documento foram testadas com a versão 3.

Configurar Single Sign-On usando Shibboleth

Para configurar o Single Sign-On para seu domínio, siga estas etapas:

  1. Faça logon no Admin Console e comece criando um diretório de Federated ID e selecionando Outros provedores de SAML como o provedor de identidade. Copie os valores de URL do ACS e ID da entidade da tela Adicionar o perfil SAML.
  2. Configure o Shibboleth especificando o URL do ACS e a ID da entidade e baixe o arquivo de metadados do Shibboleth.
  3. Volte para o Adobe Admin Console e faça upload do arquivo de metadados do Shibboleth na tela Adicionar o perfil SAML e clique em Concluído.

Configuração do Shibboleth

Depois de baixar o arquivo de metadados XML do SAML do Adobe Admin Console, siga as etapas abaixo para atualizar os arquivos de configuração do Shibboleth.

  1. Copie o arquivo de metadados baixado para o seguinte local e renomeie o arquivo para adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Atualize o arquivo para garantir que as informações corretas sejam repassadas à Adobe.

    Substitua as seguintes linhas no arquivo:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Por:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Além disso, substitua:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Por:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Edite o arquivo metadata-providers.xml.

    Atualize o arquivo %{idp.home}/conf/metadata-providers.xml com o local do arquivo de metadados adobe-sp-metadata.xml (linha 29 abaixo) criado na etapa 1.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Exemplo de provedor de metadados de arquivo. Use-o se quiser carregar metadados de um arquivo local. Você pode usá-lo se tiver alguns SPs locais que não são “federados”, mas a que deseja oferecer um serviço. Se você não fornecer um filtro SignatureValidation, terá a responsabilidade de garantir que o conteúdo seja confiável. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Solução de problemas de configuração do Shibboleth

Se não conseguir fazer logon em adobe.com, verifique os seguintes arquivos de configuração do Shibboleth para encontrar possíveis problemas:

1. attribute-resolver.xml

O arquivo de filtro de atributo que você atualizou enquanto configurava o Shibboleth define os atributos que você precisa fornecer ao provedor de serviços da Adobe. No entanto, é necessário mapear esses atributos para os atributos apropriados conforme definido no LDAP/Active Directory de sua organização.

Edite o arquivo attribute-resolver.xml no seguinte local:

%{idp.home}/conf/attribute-resolver.xml

Para cada um dos seguintes atributos, especifique a ID do atributo de origem conforme definida para sua organização:

  • FirstName (linha 1 abaixo)
  • LastName (linha 7 abaixo)
  • Email (linha 13 abaixo)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Atualize o arquivo relying-party.xml no seguinte local para suportar o formato saml-nameid exigido pelo provedor de serviços da Adobe:

%{idp.home}/conf/relying-party.xml

Atualize o atributo p:nameIDFormatPrecedence (linha 7 abaixo) para incluir emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Além disso, para desativar a criptografia das afirmações, na seção DefaultRelyingParty para cada um dos tipos de SAML2, faça o seguinte:

Substitua:

encryptAssertions="conditional"

Por:

encryptAssertions=”never”

3. saml-nameid.xml

Atualize o arquivo saml-nameid.xml no seguinte local:

%{idp.home}/conf/saml-nameid.xml

Atualize o atributo p:attributeSourceIds (linha 3 abaixo) para "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Fazer upload do arquivo de metadados do IdP no Adobe Admin Console

Para atualizar o arquivo de metadados do Shibboleth:

  1. Volte ao Adobe Admin Console.

  2. Carregue o arquivo de metadados do Shibboleth na tela Adicionar o perfil SAML.

    Depois de configurar o Shibboleth, o arquivo de metadados (idp-metadata.xml) estará disponível no seguinte local em seu servidor do Shibboleth:

    <shibboleth>/metadata

  3. Clique em Concluído.

Para obter mais informações, veja como criar diretórios no Admin Console.

Testar o Single Sign-On

Verifique o acesso do usuário para um usuário que você definiu em seu próprio sistema de gerenciamento de identidade e no Adobe Admin Console, fazendo logon no site da Adobe ou no aplicativo de desktop da Creative Cloud.

Se você encontrar problemas, consulte nossa solução de problemas de documentos.

Se você ainda precisar de ajuda com a configuração de Single Sign-On, navegue até Suporte no Adobe Admin Console e abra um chamado.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online