Übersicht

Mit der Adobe Admin Console können Systemadministratoren Domänen mit Federated ID-Anmeldung für Single-Sign-On (SSO) konfigurieren. Sobald das Eigentum an einer Domäne über ein DNS-Token bestätigt wurde, kann die Domäne so konfiguriert werden, dass Benutzer sich mit einer E-Mail-Adresse dieser Domäne über einen Identitätsanbieter (Identity Provider, IdP) bei Creative Cloud anmelden können. Diese Software ist auf einem Server installiert, der über das Internet zugänglich ist, oder als Cloud-Dienst verfügbar, wobei ein Drittanbieter das Hosting übernimmt. In diesem Fall werden die Anmeldeinformationen des Benutzers über eine sichere Verbindung mithilfe des SAML-Protokolls bestätigt.

Einer dieser IdP ist Microsoft Active Directory Federation Services (AD FS). Damit Sie AD FS verwenden können, muss ein Server konfiguriert werden, der über das Internet erreichbar ist und Zugriff auf die Verzeichnisdienste im Unternehmensnetzwerk hat. In diesem Dokument wird die erforderliche Vorgehensweise beschrieben, um die Adobe Admin Console und einen Microsoft AD FS-Server so zu konfigurieren, dass eine Anmeldung bei Adobe Creative Cloud-Applikationen und zugeordneten Websites mit Single Sign-On möglich ist.

Der Zugriff auf den IdP erfolgt in der Regel über ein separates Netzwerk, für das bestimmte Regeln konfiguriert sind, die nur ausgewählte Arten der Kommunikation zwischen Servern und den internen und externen Netzwerken zulassen. Dies wird im Allgemeinen als „Demilitarised Zone“ oder DMZ bezeichnet. Die Konfiguration des Betriebssystems auf diesem Server und die Topologie eines Netzwerks würde den Rahmen dieses Dokuments sprengen.

Voraussetzungen

Bevor Sie eine Domäne für Single-Sign-On mit Microsoft AD FS konfigurieren können, müssen die folgenden Anforderungen erfüllt sein:

  • Die Domäne wurde in der Adobe Admin Console bereits beansprucht und in der entsprechenden Spalte „Domänenstatus“ wird „Aktiv“ angezeigt.
  • AD FS-Server ist mit einer kompatiblen Version von Microsoft Windows Server und den aktuellen Betriebssystemupdates installiert und ist extern erreichbar (z. B. via HTTPS).
  • Das Sicherheitszertifikat wurde vom AD FS-Server abgerufen.
  • Zu allen Active Directory-Konten, die einem Konto für Creative Cloud für Unternehmen zugeordnet werden sollen, muss in Active Directory eine E-Mail-Adresse verzeichnet sein.

Konfiguration

Führen Sie die folgenden Schritte aus, um die Adobe Admin Console wie im Screenshot oben zu konfigurieren:

Zertifikat in die Konsole hochladen

  1. Wählen Sie in der Ansicht „Zertifikate“ der AD FS 2.0-Management-Applikation das Zertifikat für die Token-Signatur aus und klicken Sie auf „Zertifikat anzeigen“, um das Fenster mit den Zertifikateigenschaften zu öffnen.
  2. Klicken Sie auf der Registerkarte „Details“ auf „In Datei kopieren“, und speichern Sie das Zertifikat mithilfe des Assistenten als „Base-64 encoded X. 509 (.CER)“ (entspricht einem Zertifikat im PEM-Format).
  3. Laden Sie die gespeicherte Zertifikatsdatei in die Adobe Admin Console hoch.

Konfigurationswerte des AD FS-Servers festlegen

  1. Kopieren Sie die IdP-Aussteller-URL aus dem Fenster „Verbunddiensteigenschaften“ auf dem AD FS-Server unter dem Feld „Bezeichner des Verbunddiensts“. (Achten Sie darauf, dass das Feld genau übereinstimmt.) Beispiel: http://adfs.example.com/adfs/services/trust. Diese Adresse muss nicht extern erreichbar sein.
  2. Legen Sie die IdP-Anmelde-URL fest. Standardmäßig hat diese Adresse bei Microsoft AD FS folgendes Format: https://adfs.example.com/adfs/ls/
  3. Wählen Sie als IdP-Bindung „HTTP-REDIRECT“ aus.
  4. Übernehmen Sie „E-Mail-Adresse“ als Einstellung für die Benutzeranmeldung.

Metadaten auf den AD FS-Server kopieren

HINWEIS: Dieser und alle folgenden Schritte müssen nach jeder Änderung an den Werten in der Adobe Admin Console für eine bestimmte Domäne erneut ausgeführt werden.

  1. Laden Sie die Metadatendatei aus der Adobe Admin Console herunter.
  2. Kopieren Sie die Datei auf den AD FS-Server.
  3. Erstellen Sie mithilfe der von der Konsole abgerufenen Metadatendatei eine neue Vertrauensstellung der vertrauenden Seite auf dem AD FS-Server (siehe Screenshot).

Beanspruchungsregeln auf dem AD FS-Server konfigurieren

  1. Fügen Sie mit dem Assistenten „Anspruchsregeln bearbeiten“ und der Vorlage „LDAP-Attribute als Ansprüche senden“ eine Regel für Ihren Attributspeicher hinzu, wobei Sie das LDAP-Attribut „E-Mail-Adressen“ auf den Typ des ausgehenden Anspruchs „E-Mail-Adresse“ festlegen (siehe Screenshot).
  1. Fügen Sie ebenfalls mit dem Assistenten „Anspruchsregeln bearbeiten“ eine Regel mit der Vorlage „Eingehenden Anspruch transformieren“ hinzu, um eingehende Ansprüche vom Typ „E-Mail-Adresse“ in den ausgehenden Anspruchstyp „Namens-ID“ und das ausgehende Namens-ID-Format in „E-Mail“ umzuwandeln, wobei alle Anspruchswerte übergeben werden.
  1. Fügen Sie mit dem Assistenten „Anspruchsregeln bearbeiten“ eine Regel mit der Vorlage „Ansprüche mithilfe einer benutzerdefinierten Regel senden“ und der folgenden Regel hinzu:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

Hash-Algorithmus konfigurieren

  1. Ändern Sie die Eigenschaften des Eintrags für die Vertrauensstellung der vertrauenden Seite der Domäne, die Sie mit der Adobe Admin Console verwenden. Wählen Sie auf der Registerkarte „Erweitert“ als sicheren Hash-Algorithmus SHA-1 aus.

Single-Sign-On testen

  1. Erstellen Sie einen Testbenutzer mit Active Directory. Erstellen Sie einen Eintrag in der Adobe Admin Console für diesen Benutzer und weisen Sie ihm eine Lizenz zu. Testen Sie dann die Anmeldung bei http://www.adobe.com/de/, um sicherzustellen, dass die relevante Software zum Download aufgeführt wird.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie