Konfigurera Shibboleth IdP för användning med Adobe SSO

Översikt

Med Adobe Admin Console kan systemadministratörer konfigurera domäner för inloggning via Federated ID med enkel inloggning (SSO). När domänen har verifierats konfigureras katalogen som innehåller domänen så att användare kan logga in på Creative Cloud. Användarna kan logga in via e-postadresser i domänen via en identitetsleverantör (IdP). Det tillhandahålls antingen som en programvarutjänst som körs i företagsnätverket och nås via internet eller som en molntjänst från en tredjepartsleverantör som verifierar användarnas inloggning via säker kommunikation med SAML-protokoll.

En av identitetsleverantörerna är Shibboleth. För att kunna använda Shibboleth måste du ha en server som är tillgänglig från internet och som har åtkomst till katalogtjänsterna i företagets nätverk. I det här dokumentet finns information om hur du konfigurerar Admin Console och en Shibboleth-server för att kunna logga in på Adobe Creative Cloud-program och tillhörande webbplatser med enkel inloggning.

Åtkomst till identitetsleverantören fås för det mesta via ett separat nätverk som konfigurerats med specifika regler som bara tillåter viss typ av kommunikation mellan servrar och interna och externa nätverk, kallas DMZ (demilitariserad zon). Det här dokumentet tar inte upp konfigurationen av operativsystemet på den här servern eller topologin i ett sådant nätverk.

Förutsättningar

Innan du konfigurerar en domän för enkel inloggning med Shibboleth som IdP måste följande krav vara uppfyllda:

  • Den senaste versionen av Shibboleth är installerad och konfigurerad.
  • Alla Active Directory-konton som ska associeras med ett Creative Cloud for Enterprise-konto har en e-postadress som listas i Active Directory
Obs!

Stegen för att konfigurera Shibboleth IdP med Adobe SSO som beskrivs i det här dokumentet har testats med version 3.

Konfigurera enkel inloggning med Shibboleth

Gör följande för att konfigurera enkel inloggning (SSO) för domänen:

  1. Logga in på Admin Console och börja genom att skapa en Federated ID-katalog och välj Andra SAML-leverantörer som identitetsleverantör. Kopiera värdena för Webbadress för ACS och Enhets-ID från skärmen Lägg till SAML-profil.
  2. Konfigurera Shibboleth och ange Webbadress för ACS och Enhets-IDoch hämta Shibboleth-metadatafilen.
  3. Gå tillbaka till Adobe Admin Console och överför Shibboleth-metadatafilen till skärmen Lägg till SAML-profil och klicka på Klart.

Konfigurera Shibboleth

När du har hämtat XML-metadatafilen för SAML från Adobe Admin Console följer du stegen nedan för att uppdatera konfigurationsfilerna för Shibboleth.

  1. Kopiera den hämtade metadatafilen till följande plats och döp om filen till adobe-sp-metadata.xml:

    %{idp.home}/metadata/

  2. Uppdatera filen så att korrekt information skickas tillbaka till Adobe.

    Ersätt filraderna

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    med

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Ersätt också

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    med

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. Redigera filen metadata-providers.xml.

    Uppdatera %{idp.home}/conf/metadata-providers.xml med platsen för metadatafilen adobe-sp-metadata.xml (rad 29 nedan) som du skapade i steg 1 ovan.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Exempelfil för metadataleverantör. Använd den om du vill överföra metadata från en lokal fil. Du kan använda den om du har lokala tjänstleverantörer som inte är &quot;federerade&quot; men som du vill erbjuda en tjänst. Om du inte tillhandahåller ett SignatureValidation-filter har du ansvaret att se till att innehållet är pålitligt. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Felsök Shibboleth-konfigurationen

Om du inte kan logga in på adobe.com kontrollerar du följande Shibboleth-konfigurationsfiler och ser om det finns eventuella problem:

1. attribute-resolver.xml

Attributfilterfilen, som du uppdaterade när du konfigurerade Shibboleth, definierar de attribut som du måste ange till Adobe-tjänstleverantören. Du måste dock mappa dessa attribut till lämpliga attribut enligt definitionen i LDAP/Active Directory för din organisation.

Redigera filen attribute-resolver.xml på följande plats:

%{idp.home}/conf/attribute-resolver.xml

Ange ID för källattribut som definierats för din organisation för vart och ett av följande attribut:

  • FirstName (rad 1 nedan)
  • LastName (rad 7 nedan)
  • Email (rad 13 nedan)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Uppdatera relying-party.xml på följande plats för att ge stöd åt formatet saml-nameid som krävs av Adobe-tjänstleverantören:

%{idp.home}/conf/relying-party.xml

Uppdatera attributet p:nameIDFormatPrecedence (rad 7 nedan) så att det omfattar emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Om du vill inaktivera kryptering av försäkringar gör du det i avsnittet DefaultRelyingParty för varje SAML2-typ:

Ersätt

encryptAssertions="conditional"

med

encryptAssertions=”never"

3. saml-nameid.xml

Uppdatera saml-nameid.xml på följande plats:

%{idp.home}/conf/saml-nameid.xml

Uppdatera attributet p:attributeSourceIds (rad 3 nedan) till "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Överför IdP-metadatafilen till Adobe Admin Console

Så här uppdaterar du Shibboleth-metadatafilen:

  1. Gå tillbaka till Adobe Admin Console.

  2. Överför Shibboleth-metadatafilen till skärmen Lägg till SAML-profil.

    När du har konfigurerat Shibboleth är metadatafilen (idp-metadata.xml) tillgänglig på följande plats på din Shibboleth-server:

    <shibboleth>/metadata

  3. Klicka på Klart.

Om du vill veta mer kan du läsa hur du skapar kataloger i Admin Console.

Testa enkel inloggning

Kontrollera åtkomsten för en användare som du har definierat i ditt eget identitetshanteringssystem och i Adobe Admin Console genom att logga in på Adobes webbplats eller Creative Cloud-datorprogrammet.

Om du stöter på problem kan du titta i felsökningsdokumentet.

Om du fortfarande behöver hjälp med konfigurationen för enkel inloggning går du till Support i Adobe Admin Console och startar ett supportärende.

Adobes logotyp

Logga in på ditt konto