Настройка Shibboleth IdP для использования в сочетании с сервисом единого входа Adobe

Поиск

Последнее обновление 17 сент. 2021 г. | Также применяется к Creative Cloud for enterprise, Experience Cloud

Обзор

Adobe Admin Console позволяет системному администратору настраивать домены, которые используются для входа в систему через Federated ID для единого входа (SSO). После проверки домена каталог, содержащий домен, настраивается так, чтобы пользователи могли входить в Creative Cloud. Пользователи могут выполнять вход, используя адреса электронной почты в этом домене, посредством поставщика удостоверений (IdP). Процесс реализуется через программную службу, работающую в сети компании и доступную через Интернет, либо облачную службу, которая размещена у стороннего поставщика и осуществляет проверку учетных данных пользователей для входа в систему через защищенное соединение по протоколу SAML.

Одним из таких поставщиков удостоверений является Shibboleth. Для использования Shibboleth необходим сервер, который доступен из Интернета и имеет доступ к службам каталогов в корпоративной сети. В данном документе описывается процесс настройки Admin Console и сервера Shibboleth, чтобы можно было входить в приложения Adobe Creative Cloud и связанные веб-сайты для единого входа.

Доступ к поставщику удостоверений обычно достигается с помощью отдельной сети, настроенной со специальными правилами, чтобы разрешить только определенные типы взаимодействия между серверами и внутренней и внешней сетью. Такая сеть называется демилитаризованной зоной (DMZ). Конфигурация операционной системы на этом сервере и топология такой сети не рассматриваются в этом документе.

Необходимые условия

Перед настройкой домена для единого входа с использованием поставщика удостоверений Shibboleth необходимо обеспечить выполнение следующих требований.

Самая актуальная версия Shibboleth установлена и настроена.
Все учетные записи Active Directory, связываемые с учетной записью Creative Cloud для организаций, имеют адрес электронной почты, указанный в Active Directory.

Примечание.

Действия для настройки поставщика удостоверений Shibboleth с единым входом Adobe, описанные в этом документе, были проверены с использованием версии 3.

Настройка единого входа с помощью Shibboleth

Чтобы настроить функцию единого входа для домена, выполните действия, описанные ниже.

Войдите в Admin Console и создайте каталог Federated ID, выбрав Другие поставщики SAML в качестве поставщика удостоверений. Скопируйте значения URL-адрес ACS и идентификатор объекта с экрана Добавить профиль SAML.
Настройте Shibboleth, указав URL-адрес ACS и Идентификатор объекта, и загрузите файл метаданных Shibboleth.
Вернитесь в Adobe Admin Console, передайте файл метаданных Shibboleth в окне Добавить профиль SAML и нажмите Готово.

Настройка Shibboleth

После загрузки XML-файла с метаданными SAML из Adobe Admin Console выполните приведенные ниже действия, чтобы обновить файлы конфигурации Shibboleth.

Скопируйте загруженный файл метаданных в следующий каталог и присвойте файлу имя adobe-sp-metadata.xml:

%{idp.home}/metadata/
Обновите файл, чтобы передать правильную информацию обратно в Adobe.

Замените следующие строки в файле:

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>

<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>

на:

<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>

А также замените:

<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

на:

<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Отредактируйте файл metadata-providers.xml.

Обновите файл %{idp.home}/conf/metadata-providers.xml, указав расположение файла метаданных adobe-sp-metadata.xml (строка 29 ниже), который был создан на этапе 1 выше.

    <!-- <MetadataProvider id=&quot;HTTPMetadata&quot; xsi:type=&quot;FileBackedHTTPMetadataProvider&quot; backingFile=&quot;%{idp.home}/metadata/localCopyFromXYZHTTP.xml&quot; metadataURL=&quot;http://WHATEVER&quot;> <MetadataFilter xsi:type=&quot;SignatureValidation&quot; requireSignedRoot=&quot;true&quot;> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type=&quot;RequiredValidUntil&quot; maxValidityInterval=&quot;P30D&quot;/> <MetadataFilter xsi:type=&quot;EntityRoleWhiteList&quot;> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Пример поставщика метаданных файла. Используйте его для загрузки метаданных из локального файла. Вы можете использовать этот пример при наличии нескольких локальных SP, которые не являются «федеративными», но вы хотите предложить услугу. Если вы не предоставляете фильтр SignatureValidation, вы несете ответственность за достоверность содержимого. --> <MetadataProvider id=&quot;LocalMetadata&quot; xsi:type=&quot;FilesystemMetadataProvider&quot; metadataFile=&quot;%{idp.home}/metadata/adobe-sp-metadata.xml&quot;/>

Устранение неполадок с настройкой Shibboleth

Если вам не удается успешно войти на сайт adobe.com, проверьте следующие файлы конфигурации Shibboleth на наличие каких-либо проблем.

1. attribute-resolver.xml

Файл фильтра атрибутов, обновленный при настройке Shibboleth, определяет атрибуты, которые необходимо предоставить поставщику сервисов Adobe. Однако необходимо сопоставить эти атрибуты с соответствующими атрибутами, что определено в LDAP/Active Directory для вашей организации.

Отредактируйте файл attribute-resolver.xml в следующем расположении:

%{idp.home}/conf/attribute-resolver.xml

Для каждого из следующих атрибутов укажите идентификатор исходного атрибута, как указано для вашей организации:

FirstName (строка 1 ниже)
LastName (строка 7 ниже)
Email (строка 13 ниже)

<resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;NameID&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;SAML2StringNameID&quot; xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot; nameFormat=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;Email&quot; sourceAttributeID=&quot;mail&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;Email&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;FirstName&quot; sourceAttributeID=&quot;givenName&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;FirstName&quot; /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type=&quot;ad:Simple&quot; id=&quot;LastName&quot; sourceAttributeID=&quot;sn&quot;> <resolver:Dependency ref=&quot;myLDAP&quot; /> <resolver:AttributeEncoder xsi:type=&quot;enc:SAML2String&quot; name=&quot;LastName&quot; /></resolver:AttributeDefinition>

2. relying-party.xml

Для поддержки формата saml-nameid согласно требованиям поставщика сервисов Adobe обновите файл relying-party.xml в следующем расположении:

%{idp.home}/conf/relying-party.xml

Обновите атрибут p:nameIDFormatPrecedence (строка 7 ниже), чтобы добавить emailAddress.

<bean parent=&quot;RelyingPartyByName&quot; c:relyingPartyIds=&quot;[entityId&quot;> <property name=&quot;profileConfigurations&quot;> <list> <bean parent=&quot;Shibboleth.SSO&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; /> <ref bean=&quot;SAML1.AttributeQuery&quot; /> <ref bean=&quot;SAML1.ArtifactResolution&quot; /> <bean parent=&quot;SAML2.SSO&quot; p:nameIDFormatPrecedence=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:postAuthenticationFlows=&quot;attribute-release&quot; p:encryptAssertions=&quot;false&quot; /> <ref bean=&quot;SAML2.ECP&quot; /> <ref bean=&quot;SAML2.Logout&quot; /> <ref bean=&quot;SAML2.AttributeQuery&quot; /> <ref bean=&quot;SAML2.ArtifactResolution&quot; /> <ref bean=&quot;Liberty.SSOS&quot; /> </list> </property> </bean>

Кроме того, чтобы отключить шифрование утверждений, в разделе DefaultRelyingParty для каждого из типов SAML2

Заменить:

encryptAssertions="conditional"

на:

encryptAssertions=”never"

3. saml-nameid.xml

Обновите файл saml-nameid.xml в следующем расположении:

%{idp.home}/conf/saml-nameid.xml

Измените атрибут p:attributeSourceIds (строка 3 ниже) на "#{ {'Email'} }".

        <bean parent=&quot;shibboleth.SAML2AttributeSourcedGenerator&quot; p:format=&quot;urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress&quot; p:attributeSourceIds=&quot;#{ {&#39;Email&#39;} }&quot; />

Загрузка файла метаданных поставщика удостоверений в Adobe Admin Console

Чтобы обновить файл метаданных Shibboleth

Вернитесь в Adobe Admin Console.
Загрузите файл метаданных Shibboleth на экран Добавление профиля SAML.

После настройки Shibboleth файл метаданных (idp-metadata.xml) доступен по следующему адресу на вашем сервере Shibboleth:

<shibboleth>/metadata
Нажмите кнопку Готово.

Дополнительные сведения о создании каталогов см. в Admin Console.

Проверка единого входа

Проверьте доступ пользователя, которого вы определили в своей системе управления идентификационными данными и в консоли Adobe Admin Console, войдя на веб-сайт Adobe или в приложение Creative Cloud для настольных ПК.

При возникновении проблем см. наш документ для устранения неполадок.

Если все еще требуется помощь с настройкой единого входа, перейдите в раздел Поддержка в консоли Adobe Admin Console и откройте заявку.