Adobe Federated ID mit ADFS konfigurieren

Symbolbild Tastatur mit Schlüssel
CC0 | Pixabay.com

Adobe Federated ID mit Microsoft Active Directory Federation Services (ADFS) konfigurieren und darüber Adobe Enterprise Logins ermöglichen.

Microsoft Active Directory Federation Services (ADFS) installieren

Falls noch keine ADFS-Infrastruktur vorhanden ist, wird die Bereitstellung hier erläutert:

Active Directory Federation Services (ADFS) installieren

Adobe Admin Console: Domain hinzufügen

Die jeweilige Domäne sollte bereits in der Adobe Admin Console hinzugefügt worden sein. Falls nicht, gibt es hier eine Anleitung von Adobe.

ADFS-Tokensignatur und ADFS-Bezeichner

Bevor mit der Einrichtung in der Adobe Admin Console begonnen wird, sollte das ADFS-Tokensignatur-Zertifikat exportiert werden.

ADFS-Verwaltungskonsole öffnen → Dienst → Zertifikate → Tokensignatur-Zertifikat anzeigen:

ADFS-Verwaltungskonsole

Details → In Datei kopieren…:

Tokensignatur-Zertifikat

Weiter:

Zertifikatexport-Assistent

Base-64-codiert X.509 (.CER) auswählen → Weiter:

Zertifikatexport-Assistent

Dateipfad und Name angeben → Weiter:

Zertifikatexport-Assistent

Fertigstellen:

Zertifikatexport-Assistent

OK:

Zertifikatexport-Assistent

Als nächstes wird in der ADFS-Verwaltungskonsole der Bezeichner des Verbunddiensts ermittelt (wird nachher in der Adobe Admin Console benötigt):

ADFS-Verwaltungskonsole → Rechtsklick auf AD FS → Verbunddiensteigenschaften bearbeiten…:

Verbunddiensteigenschaften in der ADFS-Verwaltungskonsole

Bezeichner-URL in die Zwischenablage kopieren:

Verbunddiensteigenschaften - Bezeichner des Verbunddiensts

Adobe Admin Console: ADFS hinzufügen

Konfigurieren:

Adobe Federated ID konfigurieren

Verzeichnis konfigurieren und danach speichern:

  • Tokensignatur-Zertifikat hinaufladen
  • IdP-Bindung: HTTP-Redirect
  • Einstellung für Benutzeranmeldung: E-Mail
  • IdP-Aussteller: Bezeichner des Verbunddiensts (aus der Zwischenablage – siehe vorherigen Schritt!) einfügen
  • IdP-Anmelde-URL: https://adfs.domain.at/adfs/ls/ einfügen (Domain natürlich entsprechend anpassen)

ACHTUNG: Bei IdP-Aussteller und IdP-Anmelde-URL-Schreibweise sehr genau arbeiten (inkl. gesetztem/fehlendem Schrägstrich am Ende)!

Adobe Admin Console - Verzeichnis konfigurieren

Metadaten herunterladen (Datei wird für ADFS-Einrichtung benötigt) → Akzeptieren: „Ich bin mir darüber im Klaren…“ → Abgeschlossen:

Adobe Admin Console - Verzeichnis konfigurieren

Adobe Federated ID in ADFS konfigurieren

ADFS-Verwaltungskonsole → „Vertrauensstellung der vertrauenden Seite hinzufügen…“:

ADFS-Verwaltungskonsole - Vertrauensstellung der vertrauenden Seite hinzufügen...

Ansprüche unterstützend:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

Daten über die vertrauende Seite aus einer Datei importieren → Metadaten-Datei aus der Adobe Admin Console auswählen:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

Anzeigename „Adobe SSO Relying Party Trust“ → Weiter:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

Jedem einzelnen Zugriff gewähren → Weiter:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

Weiter:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

„Anspruchsausstellungs-Richtlinie für diese Anwendung konfigurieren“ aktivieren → Schließen:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite

Regel hinzufügen:

ADFS-Verwaltungskonsole - Anspruchsausstellungsrichtlinie für Adobe SSO Relying Party Trust bearbeiten

„LDAP-Attribute als Ansprüche senden“ auswählen → Weiter:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen einer Transformationsanspruchsregel

Anspruchsregel konfigurieren und Fertig stellen:

  • Anspruchsregelname: LDAP-Attribute als Ansprüche senden
  • Attributspeicher: Active Directory
  • LDAP-Attribut: E-Mail-Addresses
  • Ausgehender Anspruchtyp: E-Mail-Adresse

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen einer Transformationsanspruchsregel

Regel hinzufügen:

ADFS-Verwaltungskonsole - Anspruchsausstellungsrichtlinie für Adobe SSO Relying Party Trust bearbeiten

„Eingehenden Anspruch transformieren“ → Weiter:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen einer Transformationsanspruchsregel

Anspruchsregel konfigurieren und weiter:

  • Anspruchsregelname: Eingehenden Anspruch transformieren
  • Typ des eingehenden Anspruchs: E-Mail-Adresse
  • Typ des ausgehenden Anspruchs: Namens-ID
  • ID Format des ausgehenden Namens: E-Mail
  • Alle Anspruchswerte zulassen

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen einer Transformationsanspruchsregel

Regel hinzufügen:

ADFS-Verwaltungskonsole - Anspruchsausstellungsrichtlinie für Adobe SSO Relying Party Trust bearbeiten

„Ansprüche mithilfe einer benutzerdefinierten Regel senden“ auswählen → Weiter:

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen einer Transformationsanspruchsregel

Anspruchsregel konfigurieren und Fertig stellen:

  • Anspruchsregelname: Ansprüche mithilfe einer benutzerdefinierten Regel senden
  • Benutzerdefinierte Regel:
    c:[Type == „http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname“, Issuer == „AD AUTHORITY“] => issue(store = „Active Directory“, types = („Email“, „FirstName“, „LastName“), query = „;mail,givenName,sn;{0}“, param = c.Value);

ADFS-Verwaltungskonsole - Assistent zum Hinzufügen einer Transformationsanspruchsregel

OK:

ADFS-Verwaltungskonsole - Anspruchsausstellungsrichtlinie für Adobe SSO Relying Party Trust bearbeiten

Vertrauenseinstellungen der vertrauenden Seite → Adobe SSO… Eigenschaften öffnen:

ADFS-Verwaltungskonsole

Erweitert → Sicherer Hashalgorithmus: SHA-1 → OK:

Adobe SSO Relying Party Trust Eigenschaften SHA-1

Webanwendungsproxy bzw. Web Application Proxy (WAP)

Am Webanwendungsproxy bzw. Web Application Proxy (WAP) Server müssen keine speziellen Einstellungen gesetzt werden. Die in der Admin Console eingegebenen URLs für den IdP-Austeller (Bezeichner des Verbunddiensts) und die IdP-Anmelde-URL werden automatisch vom WAP- an den ADFS-Server weitergeleitet.

Benutzer in Adobe Admin Console hinzufügen

Zu guter Letzt müssen noch die berechtigten Benutzer mit E-Mailadresse, Identitätstyp „Federated ID (empfohlen)“ und SSO-Benutzernamen hinzugefügt werden:

Adobe Admin Console - Benutzer hinzufügen

SSO-Login mit Adobe Federated ID und ADFS testen

Ob die Konfiguration funktioniert, kann mit „Mit Enterprise ID anmelden“ beim Adobe Login auf der Adobe Website getestet werden:

Adobe Federated ID mit Enterprise ID Anmeldung verwenden

Falls es nicht klappen sollte, gibt es von Adobe eine Seite mit den häufigsten Problemen und Ursachen.

Quelle: Adobe.com

nach oben