Обновление сертификата SSO

Поиск
Enterprise

Enterprise

Admin Console

Если вы настроили систему единого входа для своего поставщика удостоверений (IdP) с помощью Adobe Admin Console, а пользователям не удается войти в приложения и сервисы Adobe, возможно, срок действия сертификата SAML истек.

Проблема

Вы сталкиваетесь с проблемами, описанными ниже.

  • Пользователи вышли из системы и не могут войти в веб-приложение, мобильное приложение или приложение для настольных ПК Adobe Creative Cloud.
  • При попытке входа пользователи видят сообщения об ошибках, например такие:
    • Не удалось подтвердить сертификацию SAML.
    • Цифровая подпись в ответе SAML не подтверждена сертификатом поставщика удостоверений.
  • Администратор не может добавлять пользователей или профили продуктов, удалять их или управлять ими.
  • Администраторы хотят продлить сертификат SAML, срок действия которого скоро истечет.

Причина

В обмене SAML участвуют две стороны:

  • Поставщик удостоверений (IdP)
    Сертификат IdP принадлежит клиенту и управляется им внутри его собственного IdP (ADFS, OKTA, Shiboleth) и загружается в Admin Console.
  • Компания Adobe, которая выступает в качестве поставщика услуг (SP)
    Управление объектами Adobe осуществляется в Admin Console, а загружаются они в IdP клиента.

Обе стороны имеют соответствующие сертификаты, которые используются для установления доверия.
Если вы настроили систему единого входа для своего поставщика удостоверений (IdP) с помощью Adobe Admin Console, а пользователям не удается войти в приложения и сервисы Adobe, возможно, срок действия сертификата SAML истек.

Уведомление в Admin Console

Adobe сообщит вам о том, что срок действия сертификата, созданного Adobe, истекает или уже истек, с помощью баннерного уведомления в Admin Console, а также информацию о новом статусе для каждого каталога. Чтобы посмотреть статус сертификата SAML, перейдите в раздел Настройки > Настройки идентификации и просмотрите столбец «Статус» на вкладке «Каталоги».

Решение

Настройка SAML

Если срок действия ваших сертификатов истек или скоро истечет, вы можете обновить обновить настройку федерации непосредственно через Admin Console. Сертификаты SAML обновляются вместе с настройкой SAML.

Примечание.

Если ваш IdP не проверяет действительность сертификата, никаких действий не требуется.

Как системный администратор вы можете напрямую обновлять самозаверяющие сертификаты и управлять ими в Adobe Console, выполнив действия, представленные ниже.

  1. В Admin Console выберите Настройки > Идентификация > (Название каталога) > Аутентификация.

  2. Нажмите Изменить, а затем — Далее.

  3. Просмотр доступных сертификатов и их статуса. Вы можете создать новый сертификат или запрос на подпись нового сертификата.

    Примечание.

    Самозаверяющий сертификат более удобен и соответствует рекомендациям по обеспечению безопасности. Рекомендуется выбрать самозаверяющий сертификат, если только у вашей организации нет особых требований, которые самозаверяющий сертификат не может удовлетворить.

  4. Нажмите Создать новый сертификат.

    Новый сертификат SAML будет создан в выбранном объединенном каталоге для активной конфигурации SAML.

  5. Создайте новый запрос на подпись.

    Нажмите Создать запрос на подпись сертификата.
    В появившемся диалоговом окне введите следующие данные из вашего центра сертификации (CA):

    1. Введите данные из вашего центра сертификации.
    2. Если вы решили создать новый запрос на подпись, вы должны завершить процесс с вашим центром сертификации (CA), чтобы он вступил в силу с сертификатом SAML.
    3. Перейдите в раздел «Действия» и нажмите Завершить.
    4. Загрузите файл сертификата из центра сертификации и нажмите Завершить, а затем нажмите Готово

После успешного создания сертификата будут доступны дополнительные действия, в том числе установка в качестве сертификата по умолчанию, активация, деактивация, загрузка метаданных, загрузка сертификата и его удаление.

Если ваш поставщик удостоверений поддерживает несколько сертификатов, выполните действия, представленные ниже, не выходя из системы.

  1. Отправьте новый сертификат в дополнение к старому в свой IdP.

  2. Установите новый сертификат как сертификат по умолчанию в Adobe Admin Console.

  3. Протестируйте вход.

  4. Удалите старый сертификат из вашей конфигурации IdP.

  5. Отключите/удалите старый сертификат.

Примечание.

Рекомендуется отключить, так как при удалении восстановить сертификат не получится.

Если ваш поставщик удостоверений НЕ поддерживает несколько сертификатов, вам следует выбрать интервал простоя, чтобы выполнить продление:

  1. Отправьте новый сертификат в свой IdP.

  2. Установите новый сертификат как сертификат по умолчанию в Adobe Admin Console.

  3. Протестируйте вход.

  4. Отключите старый сертификат.

  5. Если у вас не возникло проблем, удалите старый сертификат.

Примечание.

Прежде чем удалять старый сертификат, рекомендуется подождать некоторое время, поскольку удаление сертификатов является необратимым.

Журналы аудита

Действия, предпринятые в отношении создания сертификатов и управления ими, можно найти в журналах аудита.

Чтобы просмотреть журналы аудита, перейдите в Admin Console и выберите Анализ > Журналы > Журнал аудита.

Связанные материалы

Получайте помощь быстрее и проще

Новый пользователь?

Ссылки быстрого перехода

Просмотреть все свои планы Управление планами
Просмотреть ссылки быстрого доступа
Скрыть ссылки быстрого доступа

Юридическая информация    |    Политика конфиденциальности в Интернете