Скопируйте загруженный файл метаданных в следующий каталог и присвойте файлу имя adobe-sp-metadata.xml:
%{idp.home}/metadata/
Adobe Admin Console позволяет системному администратору настраивать домены, которые используются для входа в систему через Federated ID для единого входа (SSO). После проверки домена каталог, содержащий домен, настраивается так, чтобы пользователи могли входить в Creative Cloud. Пользователи могут выполнять вход, используя адреса электронной почты в этом домене, посредством поставщика удостоверений (IdP). Процесс реализуется через программную службу, работающую в сети компании и доступную через Интернет, либо облачную службу, которая размещена у стороннего поставщика и осуществляет проверку учетных данных пользователей для входа в систему через защищенное соединение по протоколу SAML.
Одним из таких поставщиков удостоверений является Shibboleth. Для использования Shibboleth необходим сервер, который доступен из Интернета и имеет доступ к службам каталогов в корпоративной сети. В данном документе описывается процесс настройки Admin Console и сервера Shibboleth, чтобы можно было входить в приложения Adobe Creative Cloud и связанные веб-сайты для единого входа.
Доступ к поставщику удостоверений обычно достигается с помощью отдельной сети, настроенной со специальными правилами, чтобы разрешить только определенные типы взаимодействия между серверами и внутренней и внешней сетью. Такая сеть называется демилитаризованной зоной (DMZ). Конфигурация операционной системы на этом сервере и топология такой сети не рассматриваются в этом документе.
Перед настройкой домена для единого входа с использованием поставщика удостоверений Shibboleth необходимо обеспечить выполнение следующих требований.
Действия для настройки поставщика удостоверений Shibboleth с единым входом Adobe, описанные в этом документе, были проверены с использованием версии 3.
Чтобы настроить функцию единого входа для домена, выполните действия, описанные ниже.
После загрузки XML-файла с метаданными SAML из Adobe Admin Console выполните приведенные ниже действия, чтобы обновить файлы конфигурации Shibboleth.
Скопируйте загруженный файл метаданных в следующий каталог и присвойте файлу имя adobe-sp-metadata.xml:
%{idp.home}/metadata/
Обновите файл, чтобы передать правильную информацию обратно в Adobe.
Замените следующие строки в файле:
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:persistent</md:NameIDFormat>
<md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</md:NameIDFormat>
на:
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
А также замените:
<md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
на:
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Отредактируйте файл metadata-providers.xml.
Обновите файл %{idp.home}/conf/metadata-providers.xml, указав расположение файла метаданных adobe-sp-metadata.xml (строка 29 ниже), который был создан на этапе 1 выше.
<!-- <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" metadataURL="http://WHATEVER"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> <PublicKey> MIIBI..... </PublicKey> </MetadataFilter> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> --> <!-- Пример поставщика метаданных файла. Используйте его для загрузки метаданных из локального файла. Вы можете использовать этот пример при наличии нескольких локальных SP, которые не являются «федеративными», но вы хотите предложить услугу. Если вы не предоставляете фильтр SignatureValidation, вы несете ответственность за достоверность содержимого. --> <MetadataProvider id="LocalMetadata" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/adobe-sp-metadata.xml"/>
Если вам не удается успешно войти на сайт adobe.com, проверьте следующие файлы конфигурации Shibboleth на наличие каких-либо проблем.
Файл фильтра атрибутов, обновленный при настройке Shibboleth, определяет атрибуты, которые необходимо предоставить поставщику сервисов Adobe. Однако необходимо сопоставить эти атрибуты с соответствующими атрибутами, что определено в LDAP/Active Directory для вашей организации.
Отредактируйте файл attribute-resolver.xml в следующем расположении:
%{idp.home}/conf/attribute-resolver.xml
Для каждого из следующих атрибутов укажите идентификатор исходного атрибута, как указано для вашей организации:
<resolver:AttributeDefinition xsi:type="ad:Simple" id="NameID" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="Email" sourceAttributeID="mail"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="Email" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="FirstName" sourceAttributeID="givenName"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="FirstName" /> </resolver:AttributeDefinition> <resolver:AttributeDefinition xsi:type="ad:Simple" id="LastName" sourceAttributeID="sn"> <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="LastName" /></resolver:AttributeDefinition>
Для поддержки формата saml-nameid согласно требованиям поставщика сервисов Adobe обновите файл relying-party.xml в следующем расположении:
%{idp.home}/conf/relying-party.xml
Обновите атрибут p:nameIDFormatPrecedence (строка 7 ниже), чтобы добавить emailAddress.
<bean parent="RelyingPartyByName" c:relyingPartyIds="[entityId"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:postAuthenticationFlows="attribute-release" p:encryptAssertions="false" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>
Кроме того, чтобы отключить шифрование утверждений, в разделе DefaultRelyingParty для каждого из типов SAML2
Заменить:
encryptAssertions="conditional"
на:
encryptAssertions=”never"
Обновите файл saml-nameid.xml в следующем расположении:
%{idp.home}/conf/saml-nameid.xml
Измените атрибут p:attributeSourceIds (строка 3 ниже) на "#{ {'Email'} }".
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" p:attributeSourceIds="#{ {'Email'} }" />
Чтобы обновить файл метаданных Shibboleth
Вернитесь в Adobe Admin Console.
Загрузите файл метаданных Shibboleth на экран Добавление профиля SAML.
После настройки Shibboleth файл метаданных (idp-metadata.xml) доступен по следующему адресу на вашем сервере Shibboleth:
<shibboleth>/metadata
Нажмите кнопку Готово.
Дополнительные сведения о создании каталогов см. в Admin Console.
Проверьте доступ пользователя, которого вы определили в своей системе управления идентификационными данными и в консоли Adobe Admin Console, войдя на веб-сайт Adobe или в приложение Creative Cloud для настольных ПК.
При возникновении проблем см. наш документ для устранения неполадок.
Если все еще требуется помощь с настройкой единого входа, перейдите в раздел Поддержка в консоли Adobe Admin Console и откройте заявку.