Федерация InCommon (InCommon Federation) выдает научным сообществам федеративные удостоверения. Администратор удостоверений академического учреждения, входящего в Федерацию InCommon, может настроить в своем учреждении доступ к программам Adobe с помощью удостоверения InCommon Federated ID.

При входе в систему под удостоверением Federated ID поставщик удостоверений пользователя подтверждает его личность и Adobe предоставляет данному пользователю доступ к своим сервисам. Для авторизации пользователя Adobe создает внутреннее удостоверение Adobe ID, который соответствует удостоверению InCommon Federated ID пользователя.

Поскольку каждый поставщик удостоверений использует разные системы хранения данных, вы должны сопоставить определенные поля, используемые в вашем удостоверении, с соответствующими полями учетной записи Adobe ID. Сопоставление может выполняться в обе стороны. Вы должны настроить контактные данные и сопоставить поля учетной записи вашей организации в системе поставщика удостоверений с учетной записью Adobe, а также настроить контактные данные и сопоставить поля учетной записи Adobe с учетной записью вашей организации в системе поставщика удостоверений.

Необходимые условия

Чтобы завершить процедуру настройки, вам потребуется учетная запись администратора удостоверений с соответствующими правами доступа к учетной записи Adobe вашей организации и к учетной записи в системе поставщика удостоверений. Для этого необходимо следующее.

  • Работающий поставщик удостоверений, поддерживающий SAML 2.0. Члены Федерации InCommon обычно используют в качестве поставщика удостоверений Shibboleth 2.x или 3.x, хотя это не обязательно.
  • Права администратора на доступ к Adobe Admin Console и InCommon Federation Manager.
  • Права администратора на доступ к метаданным поставщика удостоверений.
  • Утвержденный запрос на регистрацию домена для учетной записи Adobe вашей организации.

Сопоставление Adobe ID и InCommon Federated ID

Чтобы настроить единый вход для доступа к программам Adobe под удостоверениями InCommon Federated ID в вашей организации, необходимо выполнить две задачи.

  • С помощью Adobe Admin Console задайте в системе организации параметры безопасности поставщика удостоверений, который проверяет подлинность InCommon Federation ID.
  • С помощью InCommon Federation Manager настройте запись поставщика удостоверений для подключений к системе Adobe.

Настройка данных поставщика удостоверений в Adobe Admin Console

Чтобы настроить функцию единого входа для вашего домена, введите требуемую информацию с помощью мастера Настроить домен в консоли Adobe Admin Console.

Настроить домен

Эти поля необходимо заполнить для того, чтобы система Adobe могла подключиться к вашему поставщику сервисов, а пользователи могли войти в систему под удостоверениями InCommon Federated ID.

  • Сертификат поставщика удостоверений: сертификат в формате PEM в метаданных поставщика удостоверений. Это должен быть файл с расширением .crt
  • Привязка к поставщику удостоверений: HTTP-POST или HTTP-REDIRECT.
  • Настройка входа пользователя в систему: настройка входа в систему с помощью адреса электронной почты или обычного имени пользователя.
  • Публикатор удостоверений: удостоверение объекта поставщика удостоверений.
  • URL-адрес для входа в систему поставщика удостоверений: конечная точка для входа в систему по протоколу SAML, соответствующая требованиям привязки, которую вы указали.

Для доступа к файлу метаданных для нового поставщика сервисов щелкните пункт Загрузка метаданных. Используйте этот файл для настройки интеграции SAML с поставщиком удостоверений. Этот файл необходим поставщику удостоверений для включения сервиса единого входа.

Настройка поставщика сервисов Adobe для поставщика удостоверений

Для подключения к Adobe необходимо задать данные вашего поставщика сервисов в InCommon Federation Manager. Запись поставщика сервисов позволяет сопоставить идентификационные данные в формате Adobe Federated ID и в формате InCommon Federated ID, который использует ваш поставщик удостоверений. Данные Adobe представлены в файле метаданных поставщика сервисов, который вы загрузили из Admin Console.

Чтобы создать запись поставщика сервисов, сделайте следующее.

  1. В интерфейсе InCommon Federation Manager выберите New Service Provider (Новый поставщик сервисов).

  2. Введите удостоверение объекта, указанный в поле entityID в файле метаданных Adobe.

    new
  3. В разделе User Interface Elements and Requested Attributes (Элементы пользовательского интерфейса и запрашиваемые атрибуты) в поле SP Display Name (Отображаемое имя поставщика сервисов) введите имя, по которому вы сможете с легкостью опознать данного поставщика.

    v2_SP_display_name

    Чтобы указать запрашиваемые атрибуты, сначала нужно настроить в поставщике удостоверений пользовательские атрибуты, необходимые Adobe (см. ниже). Пока пропустите этот этап.

  4. В разделе Assertion Consumer Service (Потребительская служба утверждения) введите соответствующие значения из метаданных Adobe. В качестве URL-адреса в поле Location (Расположение) введите привязку HTTP-POST SAML.

    Assertion_Consumer_Service
  5. Сервисы единого выхода в данный момент не поддерживаются. Оставьте поле пустым.

  6. Введите контактные данные в поле Contacts (Контактные данные) .

    contacts

Настройка поставщика удостоверений

Поставщик сервисов Adobe требует от поставщика удостоверений три пользовательских атрибута со следующими именами (с учетом регистра):

  • FirstName — соответствует атрибуту InCommon sn (surname) (urn:oid:2.5.4.4);
  • LastName — соответствует атрибуту InCommon givenname (urn:oid:2.5.4.42);
  • Email — соответствует атрибуту InCommon mail (urn:oid:0.9.2342.19200300.100.1.3).

Поскольку соответствующие атрибуты InCommon обладают другими именами, их необходимо сопоставить и отправить поставщику удостоверений как пользовательские атрибуты. Если в качестве поставщика удостоверений используется Shibboleth, инструкции по настройке пользовательских атрибутов см. в документации по Shibboleth.

Помимо этих пользовательских атрибутов необходимо задать для атрибута Subject в поле NameId имя пользователя или адрес электронной почты для входа в систему (в соответствии с настройками, заданными в Adobe Admin Console). Если в качестве поставщика удостоверений используется Shibboleth, инструкции по заполнению поля NameId см. в документации по Shibboleth:

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет