Обновление сертификата SSO

Если вы настроили систему единого входа для своего поставщика удостоверений (IdP) с помощью Adobe Admin Console, а пользователям не удается войти в приложения и сервисы Adobe, возможно, срок действия сертификата SAML истек.

Проблема

Вы сталкиваетесь с проблемами, описанными ниже.

  • Пользователи вышли из системы и не могут войти в веб-приложение, мобильное приложение или приложение для настольных ПК Adobe Creative Cloud.
  • При попытке входа пользователи видят сообщения об ошибках, например такие:
    • Не удалось подтвердить сертификацию SAML.
    • Цифровая подпись в ответе SAML не подтверждена сертификатом поставщика удостоверений.
  • Администратор не может добавлять пользователей или профили продуктов, удалять их или управлять ими.
  • Администраторы хотят продлить сертификат SAML, срок действия которого скоро истечет.

Причина

В обмене SAML участвуют две стороны:

  • Поставщик удостоверений (IdP)
    Сертификат IdP принадлежит клиенту и управляется им внутри его собственного IdP (ADFS, OKTA, Shiboleth) и загружается в Admin Console.
  • Компания Adobe, которая выступает в качестве поставщика услуг (SP)
    Управление объектами Adobe осуществляется в Admin Console, а загружаются они в IdP клиента.

Обе стороны имеют соответствующие сертификаты, которые используются для установления доверия.
Если вы настроили систему единого входа для своего поставщика удостоверений (IdP) с помощью Adobe Admin Console, а пользователям не удается войти в приложения и сервисы Adobe, возможно, срок действия сертификата SAML истек.

Уведомление в Admin Console

Adobe сообщит вам о том, что срок действия сертификата, созданного Adobe, истекает или уже истек, с помощью баннерного уведомления в Admin Console, а также информацию о новом статусе для каждого каталога. Чтобы посмотреть статус сертификата SAML, перейдите в раздел Настройки > Настройки идентификации и просмотрите столбец «Статус» на вкладке «Каталоги».

Решение

Настройка SAML

Вы можете напрямую обновить настройку федерации через Admin Console, если срок действия ваших сертификатов истек или вот-вот истечет. Сертификаты SAML обновляются вместе с настройкой SAML.

Примечание.

Если ваш IdP не проверяет действительность сертификата, никаких действий не требуется.

Как системный администратор вы можете напрямую обновлять самозаверяющие сертификаты и управлять ими в Adobe Console, выполнив действия, представленные ниже.

  1. В Admin Console выберите Настройки > Идентификация > (Название каталога) > Аутентификация.

  2. Нажмите Изменить, а затем — Далее.

  3. Просмотр доступных сертификатов и их статуса. Вы можете создать новый сертификат или запрос на подпись нового сертификата.

    Примечание.

    Самозаверяющий сертификат более удобен и соответствует рекомендациям по обеспечению безопасности. Рекомендуется выбрать самозаверяющий сертификат, если только у вашей организации нет особых требований, которые самозаверяющий сертификат не может удовлетворить.

  4. Нажмите Создать новый сертификат.

    Новый сертификат SAML будет создан в выбранном объединенном каталоге для активной конфигурации SAML.

  5. Создайте новый запрос на подпись.

    Нажмите Создать запрос на подпись сертификата.
    В появившемся диалоговом окне введите следующие данные из вашего центра сертификации (CA):

    1. Введите данные из вашего центра сертификации.
    2. Если вы решили создать новый запрос на подпись, вы должны завершить процесс с вашим центром сертификации (CA), чтобы он вступил в силу с сертификатом SAML.
    3. Перейдите в раздел «Действия» и нажмите Завершить.
    4. Загрузите файл сертификата из центра сертификации и нажмите Завершить, а затем нажмите Готово

После успешного создания сертификата будут доступны дополнительные действия, в том числе установка в качестве сертификата по умолчанию, активация, деактивация, загрузка метаданных, загрузка сертификата и его удаление.

Если ваш поставщик удостоверений поддерживает несколько сертификатов, выполните действия, представленные ниже, не выходя из системы.

  1. Отправьте новый сертификат в дополнение к старому в свой IdP.

  2. Установите новый сертификат как сертификат по умолчанию в Adobe Admin Console.

  3. Протестируйте вход.

  4. Удалите старый сертификат из вашей конфигурации IdP.

  5. Отключите/удалите старый сертификат.

Примечание.

Рекомендуется отключить, так как при удалении восстановить сертификат не получится.

Если ваш поставщик удостоверений НЕ поддерживает несколько сертификатов, вам следует выбрать интервал простоя, чтобы выполнить продление:

  1. Отправьте новый сертификат в свой IdP.

  2. Установите новый сертификат как сертификат по умолчанию в Adobe Admin Console.

  3. Протестируйте вход.

  4. Отключите старый сертификат.

  5. Если у вас не возникло проблем, удалите старый сертификат.

Примечание.

Прежде чем удалять старый сертификат, рекомендуется подождать некоторое время, поскольку удаление сертификатов является необратимым.

Журналы аудита

Действия, предпринятые в отношении создания сертификатов и управления ими, можно найти в журналах аудита.

Чтобы просмотреть журналы аудита, перейдите в Admin Console и выберите Анализ > Журналы > Журнал аудита.

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?

Adobe MAX 2024

Adobe MAX
— творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Adobe MAX

Творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Adobe MAX 2024

Adobe MAX
— творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Adobe MAX

Творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн