Adobe SSO ile kullanmak üzere Shibboleth IdP'yi yapılandırma

Genel bakış

Adobe Admin Console, bir sistem yöneticisinin Çoklu Oturum Açma (SSO) için Federated ID aracılığıyla oturum açmak üzere kullanılan etki alanlarını yapılandırmasına olanak tanır. Etki alanı doğrulandığında, etki alanını içeren dizin kullanıcıların Creative Cloud'da oturum açmasına izin verecek şekilde yapılandırılır. Kullanıcılar bir Kimlik Sağlayıcısı (IdP) aracılığıyla bu etki alanı içerisinde e-posta adreslerini kullanarak oturum açabilir. Bu işlem, ya şirket ağında çalışan ve internetten erişilebilen bir yazılım hizmeti olarak ya da kullanıcı oturum açma ayrıntılarının SAML protokolü kullanan güvenli iletişim üzerinden doğrulanmasına olanak tanıyan üçüncü tarafların barındırdığı bir bulut hizmeti olarak sağlanır.

Shibboleth bu tür bir IdP'dir. Shibboleth'i kullanmak için İnternet'ten erişilebilen ve şirket ağındaki dizin hizmetlerine erişimi olan bir sunucunuz olmalıdır. Bu belgede, Admin Console'u ve bir Shibboleth sunucusunu Çoklu Oturum Açma için Adobe Creative Cloud uygulamalarında ve ilişkili web sitelerinde oturum açabilecek şekilde yapılandırma işlemi açıklanmaktadır.

IdP erişimi genellikle sunucular ile dahili ve harici ağ arasında DMZ (tarafsız bölge) olarak adlandırılan, yalnızca belirli türlerde iletişime izin verecek şekilde belirli kurallarla yapılandırılmış ayrı bir ağ kullanılarak sağlanır. Bu sunucudaki işletim sisteminin yapılandırması ve bu tür bir ağın topolojisi bu belgenin kapsamı dışındadır.

Önkoşullar

Shibboleth IDP kullanarak Çoklu Oturum Açma için bir etki alanını yapılandırmadan önce aşağıdaki gereksinimler sağlanmalıdır:

  • Shibboleth'in en son sürümü yüklü ve yapılandırılmış olmalıdır.
  • İşletmeler için Creative Cloud hesabıyla ilişkilendirilecek tüm Active Directory hesaplarında, Active Directory içinde listelenen bir e-posta adresi bulunur.
Not:

Bu belgede açıklanan Shibboleth IDP'yi Adobe SSO ile yapılandırma adımları Sürüm 3 ile test edilmiştir.

Çoklu oturum açmayı Shibboleth kullanarak yapılandırma

Etki alanınız için çoklu oturum açmayı yapılandırmak üzere aşağıdakileri yapın:

  1. Admin Console'a giriş yapın ve kimlik sağlayıcısı olarak Diğer SAML Sağlayıcıları seçeneğini belirleyerek Federated ID dizini oluşturmaya başlayın. SAML Profili Ekle ekranından ACS URL'si ve Kurum Kimliği değerlerini kopyalayın.
  2. ACS URL'si ve Kurum Kimliği seçeneklerini belirleyerek Shibboleth'i yapılandırın ve Shibboleth meta veri dosyasını indirin.
  3. Adobe Admin Console'a dönün ve SAML Profili Ekle ekranında Shibboleth meta veri dosyasını yükleyip Bitti seçeneğini tıklatın.

Shibboleth'i yapılandırma

SAML XML Meta verilerini Adobe Admin Console'dan indirdikten sonra, Shibboleth yapılandırma dosyalarını güncellemek için aşağıdaki adımları izleyin.

  1. İndirilen meta veri dosyasını aşağıdaki konuma kopyalayın ve dosyayı adobe-sp-metadata.xml olarak yeniden adlandırın:

    %{idp.home}/metadata/

  2. Adobe'ye doğru bilgilerin gönderildiğinden emin olmak için dosyayı güncelleyin.

    Dosyada aşağıdaki satırları değiştirin:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

    Yeni satır:

    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

    Şu satırı da değiştirin:

    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

    Yeni satır:

    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

  3. metadata-providers.xml dosyasını düzenleyin.

    %{idp.home}/conf/metadata-providers.xml dosyasını yukarıda 1. Adımda oluşturduğunuz adobe-sp-metadata.xml meta veri dosyasının konumuyla (aşağıda satır 29) güncelleyin.

        <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Örnek dosya meta veri sağlayıcısı. Yerel bir dosyadan meta verileri yüklemek isterseniz bunu kullanın. “Federated” olmayan ancak hizmet sunmak istediğiniz bazı yerel SP&#39;ler varsa bunu kullanabilirsiniz. SignatureValidation filtresi sağlayamıyorsanız içeriğinizin güvenilir olmasını sağlama sorumluluğunuz vardır. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Shibboleth kurulumuyla ilgili sorunları giderme

adobe.com'da başarılı bir şekilde oturum açamıyorsanız aşağıdaki Shibboleth yapılandırma dosyalarını olası sorunlara karşı kontrol edin:

1. attribute-resolver.xml

Shibboleth'i yapılandırma sırasında güncellediğiniz nitelik filtresi dosyası, Adobe servis sağlayıcısına sunmanız gereken nitelikleri tanımlar. Ancak bu nitelikleri kuruluşunuz için LDAP / Active Directory'de tanımlanan uygun niteliklere eşlemeniz gerekir.

Aşağıdaki konumda bulunan attribute-resolver.xml dosyasını düzenleyin:

%{idp.home}/conf/attribute-resolver.xml

Aşağıdaki niteliklerin her biriyle ilgili olarak kuruluşunuz için tanımlanan kaynak niteliği kimliğini belirtin:

  • FirstName (aşağıda satır 1)
  • LastName (aşağıda satır 7)
  • Email (aşağıda satır 13)
<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Aşağıdaki konumda bulunan relying-party.xml dosyasını, Adobe servis sağlayıcısının gerektirdiği gibi saml-nameid formatını destekleyecek şekilde güncelleyin:

%{idp.home}/conf/relying-party.xml

p:nameIDFormatPrecedence niteliğini (aşağıda satır 7) emailAddress ifadesini içerek şekilde güncelleyin.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Ayrıca her SAML2 türü için DefaultRelyingParty bölümünde onay belgelerinin şifrelemelerini kapatmak üzere:

Değiştirilecek satır:

encryptAssertions="conditional"

Yeni satır:

encryptAssertions=”never"

3. saml-nameid.xml

Aşağıdaki konumda bulunan saml nameid.xml dosyasını güncelleyin:

%{idp.home}/conf/saml-nameid.xml

p:attributeSourceIds niteliğini (aşağıda satır 3) "#{ {'Email'} }" olarak güncelleyin.

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

IdP meta veri dosyasını Adobe Admin Console'a yükleme

Shibboleth meta veri dosyasını güncellemek için:

  1. Adobe Admin Console'a geri dönün.

  2. Shibboleth meta veri dosyasını SAML profili ekle ekranına yükleyin.

    Shibboleth'i yapılandırdıktan sonra meta veri dosyası (idp-metadata.xml) Shibboleth sunucunuzda aşağıdaki konumda kullanılabilir:

    <shibboleth>/metadata

  3. Bitti'yi tıklatın.

Daha ayrıntılı bilgi için Admin Console'daki dizin oluşturma bölümüne bakın.

Çoklu Oturum Açma'yı test etme

Kendi kimlik yönetim sisteminizde ve Adobe Admin Console'da tanımladığınız bir kullanıcının kullanıcı erişimini Adobe web sitesinde veya Creative Cloud masaüstü uygulamasında oturum açarak test edin.

Sorunlarla karşılaşırsanız sorun giderme belgemize bakın.

Yine de çoklu oturum açma yapılandırmanızla ilgili yardıma ihtiyaç duyarsanız Adobe Admin Console'da Destek bölümüne gidin ve bir destek bileti oluşturun.

Adobe logosu

Hesabınıza giriş yapın