İndirilen meta veri dosyasını aşağıdaki konuma kopyalayın ve dosyayı adobe-sp-metadata.xml olarak yeniden adlandırın:
%{idp.home}/metadata/
Kurumsal kullanıcılar için geçerlidir.
Adobe Admin Console, bir sistem yöneticisinin Çoklu Oturum Açma (SSO) için Federated ID aracılığıyla oturum açmak üzere kullanılan etki alanlarını yapılandırmasına olanak tanır. Etki alanı doğrulandığında, etki alanını içeren dizin kullanıcıların Creative Cloud'da oturum açmasına izin verecek şekilde yapılandırılır. Kullanıcılar bir Kimlik Sağlayıcısı (IdP) aracılığıyla bu etki alanı içerisinde e-posta adreslerini kullanarak oturum açabilir. Bu işlem, ya şirket ağında çalışan ve internetten erişilebilen bir yazılım hizmeti olarak ya da kullanıcı oturum açma ayrıntılarının SAML protokolü kullanan güvenli iletişim üzerinden doğrulanmasına olanak tanıyan üçüncü tarafların barındırdığı bir bulut hizmeti olarak sağlanır.
Shibboleth bu tür bir IdP'dir. Shibboleth'i kullanmak için İnternet'ten erişilebilen ve şirket ağındaki dizin hizmetlerine erişimi olan bir sunucunuz olmalıdır. Bu belgede, Admin Console'u ve bir Shibboleth sunucusunu Çoklu Oturum Açma için Adobe Creative Cloud uygulamalarında ve ilişkili web sitelerinde oturum açabilecek şekilde yapılandırma işlemi açıklanmaktadır.
IdP erişimi genellikle sunucular ile dahili ve harici ağ arasında DMZ (tarafsız bölge) olarak adlandırılan, yalnızca belirli türlerde iletişime izin verecek şekilde belirli kurallarla yapılandırılmış ayrı bir ağ kullanılarak sağlanır. Bu sunucudaki işletim sisteminin yapılandırması ve bu tür bir ağın topolojisi bu belgenin kapsamı dışındadır.
Shibboleth IDP kullanarak Çoklu Oturum Açma için bir etki alanını yapılandırmadan önce aşağıdaki gereksinimler sağlanmalıdır:
Bu belgede açıklanan Shibboleth IDP'yi Adobe SSO ile yapılandırma adımları Sürüm 3 ile test edilmiştir.
Etki alanınız için çoklu oturum açmayı yapılandırmak üzere aşağıdakileri yapın:
SAML XML Meta verilerini Adobe Admin Console'dan indirdikten sonra, Shibboleth yapılandırma dosyalarını güncellemek için aşağıdaki adımları izleyin.
İndirilen meta veri dosyasını aşağıdaki konuma kopyalayın ve dosyayı adobe-sp-metadata.xml olarak yeniden adlandırın:
%{idp.home}/metadata/
Adobe'ye doğru bilgilerin gönderildiğinden emin olmak için dosyayı güncelleyin.
Dosyada aşağıdaki satırları değiştirin:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
Yeni satır:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
Şu satırı da değiştirin:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Yeni satır:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
metadata-providers.xml dosyasını düzenleyin.
%{idp.home}/conf/metadata-providers.xml dosyasını yukarıda 1. Adımda oluşturduğunuz adobe-sp-metadata.xml meta veri dosyasının konumuyla (aşağıda satır 29) güncelleyin.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Örnek dosya meta veri sağlayıcısı. Yerel bir dosyadan meta verileri yüklemek isterseniz bunu kullanın. “Federated” olmayan ancak hizmet sunmak istediğiniz bazı yerel SP'ler varsa bunu kullanabilirsiniz. SignatureValidation filtresi sağlayamıyorsanız içeriğinizin güvenilir olmasını sağlama sorumluluğunuz vardır. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
adobe.com'da başarılı bir şekilde oturum açamıyorsanız aşağıdaki Shibboleth yapılandırma dosyalarını olası sorunlara karşı kontrol edin:
Shibboleth'i yapılandırma sırasında güncellediğiniz nitelik filtresi dosyası, Adobe servis sağlayıcısına sunmanız gereken nitelikleri tanımlar. Ancak bu nitelikleri kuruluşunuz için LDAP / Active Directory'de tanımlanan uygun niteliklere eşlemeniz gerekir.
Aşağıdaki konumda bulunan attribute-resolver.xml dosyasını düzenleyin:
%{idp.home}/conf/attribute-resolver.xml
Aşağıdaki niteliklerin her biriyle ilgili olarak kuruluşunuz için tanımlanan kaynak niteliği kimliğini belirtin:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Aşağıdaki konumda bulunan relying-party.xml dosyasını, Adobe servis sağlayıcısının gerektirdiği gibi saml-nameid formatını destekleyecek şekilde güncelleyin:
%{idp.home}/conf/relying-party.xml
p:nameIDFormatPrecedence niteliğini (aşağıda satır 7) emailAddress ifadesini içerek şekilde güncelleyin.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Ayrıca her SAML2 türü için DefaultRelyingParty bölümünde onay belgelerinin şifrelemelerini kapatmak üzere:
Değiştirilecek satır:
encryptAssertions="conditional"
Yeni satır:
encryptAssertions=”never"
Aşağıdaki konumda bulunan saml nameid.xml dosyasını güncelleyin:
%{idp.home}/conf/saml-nameid.xml
p:attributeSourceIds niteliğini (aşağıda satır 3) "#{ {'Email'} }" olarak güncelleyin.
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Shibboleth meta veri dosyasını güncellemek için:
Adobe Admin Console'a geri dönün.
Shibboleth meta veri dosyasını SAML profili ekle ekranına yükleyin.
Shibboleth'i yapılandırdıktan sonra meta veri dosyası (idp-metadata.xml) Shibboleth sunucunuzda aşağıdaki konumda kullanılabilir:
<shibboleth>/metadata
Bitti'yi tıklatın.
Daha ayrıntılı bilgi için Admin Console'daki dizin oluşturma bölümüne bakın.
Kendi kimlik yönetim sisteminizde ve Adobe Admin Console'da tanımladığınız bir kullanıcının kullanıcı erişimini Adobe web sitesinde veya Creative Cloud masaüstü uygulamasında oturum açarak test edin.
Sorunlarla karşılaşırsanız sorun giderme belgemize bakın.
Yine de çoklu oturum açma yapılandırmanızla ilgili yardıma ihtiyaç duyarsanız Adobe Admin Console'da Destek bölümüne gidin ve bir destek bileti oluşturun.