Федерация InCommon (InCommon Federation) выдает научным сообществам федеративные удостоверения. Администратор удостоверений академического учреждения, входящего в Федерацию InCommon, может настроить в своем учреждении доступ к программам Adobe с помощью удостоверения InCommon Federated ID.

Когда пользователь пытается войти в систему с помощью Federated ID, Adobe отправляет запрос вашему поставщику удостоверений, который пробует аутентифицировать пользователя. После аутентификации поставщик удостоверений отправляет ответное сообщение для входа пользователя, а Adobe предоставляет авторизацию пользователю для своих услуг.

Поскольку каждый поставщик удостоверений использует разные системы хранения данных, вы должны сопоставить определенные поля, используемые в вашем удостоверении, с соответствующими полями учетной записи Adobe ID. Сопоставление может выполняться в обе стороны. Вы должны настроить контактные данные и сопоставить поля учетной записи вашей организации в системе поставщика удостоверений с учетной записью Adobe, а также настроить контактные данные и сопоставить поля учетной записи Adobe с учетной записью вашей организации в системе поставщика удостоверений.

Необходимые условия

Чтобы завершить процедуру настройки, вам потребуется учетная запись администратора удостоверений с соответствующими правами доступа к учетной записи Adobe вашей организации и к учетной записи в системе поставщика удостоверений. Для этого необходимо следующее.

  • Работающий поставщик удостоверений, поддерживающий SAML 2.0. Члены Федерации InCommon обычно используют в качестве поставщика удостоверений Shibboleth 2.x или 3.x, хотя это не обязательно.
  • Права администратора на доступ к Adobe Admin Console и InCommon Federation Manager.
  • Права администратора на доступ к метаданным поставщика удостоверений.
  • Утвержденный запрос на регистрацию домена для учетной записи Adobe вашей организации.

Сопоставление Adobe ID и InCommon Federated ID

Чтобы настроить единый вход для доступа к программам Adobe под удостоверениями InCommon Federated ID в вашей организации, необходимо выполнить две задачи.

  • С помощью Adobe Admin Console задайте в системе организации параметры безопасности поставщика удостоверений, который проверяет подлинность InCommon Federation ID.
  • С помощью InCommon Federation Manager настройте запись поставщика удостоверений для подключений к системе Adobe.

Настройка данных поставщика удостоверений в Adobe Admin Console

Чтобы настроить функцию единого входа для вашего домена, введите требуемую информацию с помощью мастера Настроить домен в консоли Adobe Admin Console.

Настроить домен

Эти поля необходимо заполнить для того, чтобы система Adobe могла подключиться к вашему поставщику сервисов, а пользователи могли войти в систему под удостоверениями InCommon Federated ID.

  • Сертификат поставщика удостоверений: сертификат в формате PEM в метаданных поставщика удостоверений. Это должен быть файл с расширением .crt
  • Привязка к поставщику удостоверений: HTTP-POST или HTTP-REDIRECT.
  • Настройка входа пользователя в систему: настройка входа в систему с помощью адреса электронной почты или обычного имени пользователя.
  • Публикатор удостоверений: удостоверение объекта поставщика удостоверений.
  • URL-адрес для входа в систему поставщика удостоверений: конечная точка для входа в систему по протоколу SAML, соответствующая требованиям привязки, которую вы указали.

Для доступа к файлу метаданных для нового поставщика сервисов щелкните пункт Загрузка метаданных. Используйте этот файл для настройки интеграции SAML с поставщиком удостоверений. Этот файл необходим поставщику удостоверений для включения сервиса единого входа.

Настройка поставщика сервисов Adobe для поставщика удостоверений

Для подключения к Adobe необходимо задать данные вашего поставщика сервисов в InCommon Federation Manager. Запись поставщика сервисов позволяет сопоставить идентификационные данные в формате Adobe Federated ID и в формате InCommon Federated ID, который использует ваш поставщик удостоверений. Данные Adobe представлены в файле метаданных поставщика сервисов, который вы загрузили из Admin Console.

Чтобы создать запись поставщика сервисов, сделайте следующее.

  1. В интерфейсе InCommon Federation Manager выберите New Service Provider (Новый поставщик сервисов).

  2. Введите удостоверение объекта, указанный в поле entityID в файле метаданных Adobe.

    new
  3. В разделе User Interface Elements and Requested Attributes (Элементы пользовательского интерфейса и запрашиваемые атрибуты) в поле SP Display Name (Отображаемое имя поставщика сервисов) введите имя, по которому вы сможете с легкостью опознать данного поставщика.

    v2_SP_display_name

    Чтобы указать запрашиваемые атрибуты, сначала нужно настроить в поставщике удостоверений пользовательские атрибуты, необходимые Adobe (см. ниже). Пока пропустите этот этап.

  4. В разделе Assertion Consumer Service (Потребительская служба утверждения) введите соответствующие значения из метаданных Adobe. В качестве URL-адреса в поле Location (Расположение) введите привязку HTTP-POST SAML.

    Assertion_Consumer_Service
  5. Сервисы единого выхода в данный момент не поддерживаются. Оставьте поле пустым.

  6. Введите контактные данные в поле Contacts (Контактные данные).

    contacts

Настройка поставщика удостоверений

Поставщик сервисов Adobe требует от поставщика удостоверений три пользовательских атрибута со следующими именами (с учетом регистра):

  • FirstName — соответствует атрибуту InCommon sn (surname) (urn:oid:2.5.4.4);
  • LastName — соответствует атрибуту InCommon givenname (urn:oid:2.5.4.42);
  • Email — соответствует атрибуту InCommon mail (urn:oid:0.9.2342.19200300.100.1.3).

Поскольку соответствующие атрибуты InCommon обладают другими именами, их необходимо сопоставить и отправить поставщику удостоверений как пользовательские атрибуты. Если в качестве поставщика удостоверений используется Shibboleth, инструкции по настройке пользовательских атрибутов см. в документации по Shibboleth.

Помимо этих пользовательских атрибутов необходимо задать для атрибута Subject в поле NameId имя пользователя или адрес электронной почты для входа в систему (в соответствии с настройками, заданными в Adobe Admin Console). Если в качестве поставщика удостоверений используется Shibboleth, инструкции по заполнению поля NameId см. в документации по Shibboleth:

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет