InCommon Federation 會為學術社群提供 Federated ID。身為 InCommon Federation 所屬成員之教育機構的身分管理員,您可以設定企業以接受使用 InCommon Federated ID 登入來存取 Adobe 應用程式。

使用 Federated ID 登入時,用戶的身分提供者 (IdP) 就會驗證用戶的身分,而且 Adobe 會將服務的授權授與通過驗證的用戶。為了提供授權,Adobe 會建立對應至 InCommon Federated ID 的內部 Adobe ID。

每個 IdP 儲存身分資訊的方式都有所不同,這表示您必須在 IdP 所使用的特定欄位與對應 Adobe ID 所需要的欄位之間建立對應。這項對應必須是雙向的。您必須使用 IdP 聯絡人和對應資訊來設定您的 Adobe 組織,而且您必須使用您的 Adobe 組織的聯絡人和對應資訊來設定 IdP。

先決條件

您必須是擁有 Adobe 組織帳戶和 IdP 帳戶適當存取權限的身分管理員,才能完成設定程序。您必須擁有下列項目:

  • 與 SAML 2.0 相容的作用中 IdP。InCommon Federation 成員通常會使用 Shibboleth 2.x 或 3.x 做為其 IdP,但這並非必要條件。
  • Adobe Admin Console 和 InCommon Federation Manager 的管理存取權。
  • IdP 中繼資料的管理存取權。
  • 已核准的 Adobe 組織帳戶網域申請。

Adobe 與 InCommon Federated ID 之間的對應

為了讓您的組織允許透過 InCommon Federated ID 對 Adobe 應用程式進行 SSO 存取,您必須做兩件事:

  • 使用 Adobe Admin Console 為您的組織設定 IdP 的安全性詳細資料,IdP 可用來驗證您的 InCommon Federation ID。
  • 使用 InCommon Federation Manager 來設定 Adobe 連線的服務提供者項目。

在 Adobe Admin Console 中設定您的 IdP 資訊

若要為您的網域設定單一登入,請使用 Adobe Admin Console 中的「設定網域」精靈來輸入必要的資訊。

設定網域

您必須填入下列欄位,才能讓 Adobe 連線至您的服務提供者並且允許用戶使用其 InCommon Federated ID 登入。

  • IDP 憑證:IdP 中繼資料中的 PEM 格式憑證。此檔案的副檔名必須是 .crt
  • IDP 繫結:HTTP-POST 或 HTTP-REDIRECT。
  • 用戶登入設定:選擇用戶要使用電子郵件地址登入,還是使用簡單的用戶名稱登入。
  • IDP 發行者:IdP 的實體 ID。
  • IDP 登入 URL:SAML 登入端點 (依照您指定的繫結所需)。

若要存取新服務提供者的中繼資料檔案,請按一下「下載中繼資料」。使用這個檔案來設定 SAML 與身分提供者的整合。您的身分提供者需要這個檔案才能啟用單一登入。

設定 IdP 的 Adobe 服務提供者項目

Adobe 的連線需要 InCommon Federation Manager 中的自訂服務提供者。此服務提供者項目會在 Adobe Federated ID 格式與 IdP 所使用的 InCommon Federated ID 格式之間對應身分資訊。您可以在透過 Admin Console 所下載的服務提供者中繼資料檔案中找到 Adobe 值。

若要建立服務提供者項目,請使用下列步驟。

  1. 在 InCommon Federation Manager UI 中,選擇「New Service Provider」(新增服務提供者)。

  2. 根據 Adobe 中繼資料中的 entityID 欄位填入「Entity ID」(實體 ID)。

    new
  3. 在「User Interface Elements and Requested Attributes」(用戶介面元素和要求的屬性) 底下,將「SP Display Name」(SP 顯示名稱) 設定為您可輕易辨識的名稱。

    v2_SP_display_name

    若要填入「Requested Attributes」(要求的屬性),您必須先依照下列說明針對 Adobe 所需要的自訂屬性來設定 IdP。請暫時跳過。

  4. 在「Assertion Consumer Service」(聲明消費者服務) 底下,填入 Adobe 中繼資料中的對應值。針對「Location」(位置) URL,請使用 SAML HTTP-POST 繫結值。

    Assertion_Consumer_Service
  5. 目前不支援「Single Logout Services」(單一登出服務)。請保留空白。

  6. 輸入適當的「Contacts」(聯絡人) 資訊。

    contacts

IdP 設定

Adobe 服務提供者要求 IdP 使用下列區分大小寫的特定名稱來提供三個自訂屬性:

  • FirstName:相當於「sn」(「surname」) InCommon 屬性 (urn:oid:2.5.4.4)
  • LastName:相當於「givenname」InCommon 屬性 (urn:oid:2.5.4.42)
  • Email:相當於「mail」InCommon 屬性 (urn:oid:0.9.2342.19200300.100.1.3)

因為對應的 InCommon 屬性不會使用相同的名稱,所以您必須將 IdP 設定為對應值並將它們當做自訂屬性傳送。如果您使用 Shibboleth 做為 IdP,請參閱設定自訂屬性的相關文件:

除了這些自訂屬性以外,您必須設定 Subject 屬性的 NameId 欄位以包含用戶之登入用戶名稱或電子郵件的值 (如 Adobe Admin Console 中所設定)。如果您使用 Shibboleth 做為 IdP,請參閱設定 NameId 欄位的相關文件:

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策