Übersicht

Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden.  Sobald die Eigentümerschaft einer Domäne durch ein DNS-Token nachgewiesen ist, kann die Domäne konfiguriert werden, um Benutzern die Möglichkeit zur Anmeldung bei Creative Cloud zu geben. Benutzer können sich mit E-Mail-Adressen innerhalb dieser Domäne über einen Identity Provider (IdP) anmelden. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Ein solcher IdP ist Microsoft Active Directory Federation Services oder AD FS. Um AD FS verwenden zu können, muss ein Server konfiguriert sein, auf den über die Arbeitsplätze, bei denen sich Benutzer anmelden können, zugegriffen werden kann und der Zugriff auf die Ordnerdienste innerhalb des Unternehmensnetzwerks hat. Dieses Dokument beschreibt den Vorgang zum Konfigurieren der Adobe Admin-Konsole und eines Microsoft AD FS-Servers, sodass Sie sich bei Adobe Creative Cloud-Applikationen und verknüpften Website für Single Sign-On anmelden können.

Die Möglichkeit zum Zugriff auf den IdP von außerhalb des Firmennetzwerks ist nicht unbedingt erforderlich. Ist dies nicht möglich, können allerdings nur Arbeitsplätze, die sich innerhalb des Netzwerks befinden oder über ein VPN verbunden sind, die Authentifizierung durchführen, um eine Lizenz zu aktivieren oder sind anzumelden, nachdem sie ihre Sitzung deaktiviert haben.

Voraussetzungen

Bevor Sie eine Domäne für Single Sign-On mithilfe des Microsoft AD FS konfigurieren, müssen die folgenden Bedingungen erfüllt sein:

  • Ein freigegebener Ordner in Ihrer Adobe Admin Console ist so festgelegt, dass die Federated ID entweder auf die Konfiguration wartet oder zuvor für einen anderen Identitätsprovider konfiguriert wurde
  • Die relevante Domäne wurde in Ihrem „Federated“ Ordner beansprucht
  • Ein Microsoft Windows Server, der mit Microsoft AD FS und den neuesten Betriebssystem-Updates installiert wurde.
  • Der Server muss vom Arbeitsplatz der Benutzer aus erreichbar sein (z. B. über HTTPS)
  • Sicherheits-Zertifikat vom AD FS-Server
  • Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, müssen eine E-Mail-Adresse haben, die in Active Directory aufgeführt ist.

Der Prozess zum Einrichten eines Verzeichnisses und zum Beanspruchen einer darin enthaltenen Domäne in Ihrer Admin-Konsole wird auf der Seite Identität einrichten beschrieben. Nach dem Hinzufügen kann ein Ordner für die einmalige Anmeldung konfiguriert werden, bevor eine Domäne beansprucht wird. Um jedoch Benutzer mit Federated IDs zu erstellen, müssen Sie den Domänennamen angeben, in dem sie vorhanden sind.

Der Name des Ordners ist beliebig, aber die mit Ihrem Ordner verknüpfte Domäne muss vollständig mit dem Teil der E-Mail-Adresse nach dem Symbol @ übereinstimmen. Wenn Sie auch Unterdomänen verwenden möchten, müssen diese separat beansprucht werden.

Hinweis:

Anweisungen und Screenshots in diesem Dokument gelten für AD FS Version 3.0, aber die gleichen Menüs sind in AD FS 2.0 vorhanden.

Token-Signaturzertifikat herunterladen

  1. Öffnen Sie die Anwendung AD FS Management auf Ihrem Server, und wählen Sie im Ordner AD FS -> Service -> Zertifikate das Token-Signaturzertifikat. Um das Fenster mit den Zertifikatseigenschaften zu öffnen, klicken Sie auf Zertifikat anzeigen.

    token_signing_certificate
  2. Klicken Sie auf der Registerkarte Details auf Kopie in Datei speichern und verwenden Sie den Assistenten, um das Zertifikat als Base-64 encoded X. 509 (.CER) zu speichern. Dieses Format entspricht einem PEM-Format-Zertifikat.

    02_-_certificateexportwizard

Konfigurieren Sie Ihren Ordner in der Adobe Admin Console

Um Single Sign-On für Ihr Verzeichnis zu konfigurieren, geben Sie die erforderlichen Informationen in Ihre Adobe Admin Console ein und laden Sie die Metadaten zur Konfiguration Ihres Microsoft AD FS-Servers herunter.

  1. Melden Sie sich in Ihrer Admin Console an und navigieren Sie zu Einstellungen > Identität.

  2. Wechseln Sie zur Registerkarte Verzeichnisse.

  3. Klicken Sie neben dem Verzeichnis, das Sie konfigurieren möchten, auf Konfigurieren.

    03_-_configure_directory
  4. Laden Sie das Zertifikat hoch, das Sie von Ihrem Microsoft AD FS-Server gespeichert haben.

  5. Wählen Sie HTTP - Redirect als IDP-Bindung.

  6. Wählen Sie E-Mail als Benutzeranmeldeeinstellung aus.

  7. Wählen Sie auf Ihrem AD FS-Server in der Anwendung AD FS Management den Eintrag oben in der Baumstruktur AD FS aus, und klicken Sie auf Eigenschaften des Federation-Diensts bearbeiten. Kopieren Sie auf der Registerkarte Allgemein des Popup-Fensters den Federation Service Identifier.

    Beispiel: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Fügen Sie den Federation Service Identifier, den Sie gerade in Ihre Adobe Admin Console kopiert haben, in das Feld IDP-Aussteller ein.

    Hinweis:

    Das IdP-Ausstellerfeld dient zur Identifizierung des Servers und ist keine URL, auf die Benutzer bei der Verbindung mit dem Server zugreifen. Aus Sicherheitsgründen sollte Ihr AD FS-Server nur über HTTPS und nicht über unsicheres HTTP erreichbar sein.

  9. Beziehen Sie den Hostnamen Ihres IdP-Servers (dies ist oft derselbe wie der Name des Federation Service), stellen Sie dem Protokoll https:// voran und hängen Sie den Pfad /adfs/ls an, um die IdP-Anmelde-URL zu erstellen.

    Beispiel: https://adfs.example/com/adfs/ls/

  10. Geben Sie die IdP-Anmelde-URL in Ihrer Adobe Admin Console ein.

  11. Klicken Sie auf Speichern.

    admin_console_-_adfs-configuredirectory
  12. Um die SAML-XML-Metadatendatei auf Ihrem Computer zu speichern, klicken Sie auf Metadaten herunterladen. Diese Datei wird verwendet, um im weiteren Verlauf dieses Dokuments eine Vertrauensstellung der vertrauenden Seite auf Ihrem AD FS-Server zu konfigurieren.

  13. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Konfiguration mit Ihrem Identitätsanbieter abgeschlossen haben. Dies wird in den nächsten Schritten auf Ihrem AD FS-Server durchgeführt.

    configure_directoryanddownloadmetadata
  14. Kopieren Sie die XML-Metadatendatei auf Ihren AD FS-Server, um sie in die Anwendung AD FS Management importieren zu können.

  15. Klicken Sie auf Fertig, um die Konfiguration Ihres Ordners abzuschließen.

Fügen Sie Ihrem Ordner eine oder mehrere Domänen hinzu

  1. Navigieren Sie in der Admin Console, zu Einstellungen > Identität.

  2. Klicken Sie auf der Registerkarte Domänen auf Domänen hinzufügen.

  3. Geben Sie auf dem Bildschirm Domänen eingeben eine Liste mit bis zu 15 Domänen ein und klicken Sie auf Domänen hinzufügen.

  4. Überprüfen Sie im Bildschirm Domänen hinzufügen die Liste der Domänen und klicken Sie auf Domänen hinzufügen.

  5. Ihre Domänen werden jetzt zur Admin console hinzugefügt. Sie müssen jedoch weiterhin die Inhaberschaft dieser Domänen nachweisen.

  6. Klicken Sie auf der Seite Domänen auf Domäne validieren für jede Domäne, für die eine Validierung erforderlich ist.

  7. Kopieren Sie das angezeigte DNS-Token, indem Sie auf Datensatzwert kopieren klicken, und erstellen Sie in Ihrer DNS-Konfiguration einen TXT-Datensatz mit diesem Token in den Einstellungen für jede Domäne, die Sie hinzugefügt haben, um sie zu validieren.

    Dieser Token ist für alle Domains, die in Ihrer Adobe Admin Console hinzugefügt wurden, identisch, sodass er für andere Domänen, die zu einem späteren Zeitpunkt hinzugefügt werden, wiederverwendet werden kann.

    Der Token muss nicht an Ort und Stelle bleiben, nachdem eine Domäne validiert wurde.

    validate_domain_ownership
  8. Sie können überprüfen, ob ein TXT-Datensatz über eine Website wie MXToolbox oder über die Befehlszeile mit dem Befehl nslookup auf einem Windows-, Linux- oder Mac OS-System online auf andere DNS-Server übertragen wurde:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Klicken Sie im Dialogfeld Eigentümerschaft der Domäne validieren auf Jetzt validieren.

    Wenn der DNS-Token korrekt als TXT-Datensatz für die Domäne erkannt wird, wird er validiert und Sie können ihn sofort verwenden. Domains, die zunächst nicht validiert werden, werden regelmäßig im Hintergrund überprüft und validiert, sobald das DNS-Token korrekt validiert wurde.

AD FS-Server konfigurieren

Führen Sie die folgenden Schritte aus, um die SAML-Integration mit AD FS zu konfigurieren:

Vorsicht:

Alle folgenden Schritte müssen nach jeder Änderung der Werte in der Adobe Admin-Konsole für eine gegebene Domäne wiederholt werden.

  1. Navigieren Sie in der AD FS-Verwaltungsanwendung zu AD FS -> Trust Relationships -> Relying Party Trusts und klicken Sie auf Add Relying Party Trust , um den Assistenten zu starten.

  2. Klicken Sie auf Start und wählen Sie Daten von einer vertrauenden Seite aus einer Datei importieren. Navigieren Sie dann zu dem Speicherort, an den Sie die Metadaten von Ihrer Adobe Admin Console kopiert haben.

    08_-_import_metadata
  3. Benennen Sie Ihren „Relying Party Trust“ und geben Sie ggf. zusätzliche Notizen ein.

    Klicken Sie auf Weiter.

    09_-_name_relyingpartytrust
  4. Stellen Sie fest, ob eine Multi-Faktor-Authentifizierung erforderlich ist, und wählen Sie die entsprechende Option aus.

    Klicken Sie auf Weiter.

  5. Stellen Sie fest, ob alle Benutzer die Möglichkeit haben, sich über AD FS anzumelden, oder ob der Zugriff verweigert wird.

    Klicken Sie auf Weiter.

  6. Überprüfen Sie Ihre Einstellungen.

    Klicken Sie auf Weiter.

  7. Ihre Vertrauensstellung für die vertrauende Seite wurde hinzugefügt.

    Lassen Sie die Option aktiviert, um den Dialog Anspruchsregeln bearbeiten zu öffnen, um schnell auf die nächsten Schritte zuzugreifen.

    Klicken sie auf Schließen.

  8. Wenn der Assistent zum Bearbeiten von Anspruchsregelnnicht automatisch geöffnet wurde, können Sie über die Anwendung AD FS-Verwaltung unter AD FS->  Trust Relationships->  Relying Party Trusts darauf zugreifen, indem Sie die Vertrauensstellung Ihrer vertrauenden Seite von Adobe SSO auswählen und auf Anspruchsregeln bearbeiten auf der rechten Seite klicken.

  9. Klicken Sie auf Regel hinzufügen und konfigurieren Sie eine Regel mit der Vorlage LDAP-Attribute als Ansprüche senden für Ihren Attribut Store und ordnen Sie das LDAP-Attribut „E-Mail-Adressen“ dem ausgehenden Anspruchstyp „E-Mail-Adresse“ hinzu.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Hinweis:

    Wie im obigen Screenshot gezeigt, empfehlen wir, die E-Mail-Adresse als primären Bezeichner zu verwenden. Die Verwendung des Benutzerprinzipalnamens (UPN) als LDAP-Attribut, das in einer Assertion als E-Mail-Adresse gesendet wird, wird nicht empfohlen. Es ist zwar möglich, UPN als LDAP-Attribut zu verwenden, dies ist jedoch keine offiziell unterstützte Konfiguration, und Sie tun dies auf eigenes Risiko.

    Häufig wird der UPN nicht einer E-Mail-Adresse zugeordnet und ist in vielen Fällen unterschiedlich. Dies führt höchstwahrscheinlich zu Problemen bei Benachrichtigungen und der Freigabe von Assets in Creative Cloud.

  10. Klicken Sie auf Fertigstellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  11. Fügen Sie erneut mithilfe des Assistenten zum Bearbeiten von Anspruchsregeln eine Regel mit der Vorlage Einen eingehenden Anspruch transformieren hinzu, um die eingehenden Ansprüche des Typs „E-Mail-Adresse“ mit dem ausgehenden Anspruchstyp „Namens-ID“ und „Ausgehendes Namens-ID-Format“ als „E-Mail“ zu konvertieren, wobei alle Anspruchswerte weitergeleitet werden.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klicken Sie auf Fertigstellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  13. Fügen Sie mithilfe des Assistenten zum Bearbeiten von Anspruchsregeln eine Regel mit der Vorlage Ansprüche mit einer benutzerdefinierten Regel senden hinzu, die folgende Regel enthält:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klicken Sie auf Fertig stellen, um den Assistenten für benutzerdefinierte Regeln abzuschließen.

  15. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um das Hinzufügen dieser drei Regeln zur Vertrauensstellung Ihrer vertrauenden Seite abzuschließen.

    16_-_edit_claim_rules

    Hinweis:

    Die Reihenfolge der Anspruchsregeln ist wichtig. Sie sollten wie hier gezeigt erscheinen.

  16. Stellen Sie sicher, dass Ihr neuer Relying Party Trust ausgewählt ist, und klicken Sie auf Eigenschaften auf der rechten Seite des Fensters. Wählen Sie die Registerkarte Erweitert und stellen Sie sicher, dass der Sichere Hash-Algorithmus auf SHA-1 eingestellt ist.

    17_-_relying_partytrustproperties

Single Sign-on-Test

Erstellen Sie einen Testbenutzer mit Active Directory, erstellen Sie einen Eintrag auf der Admin-Konsole für diesen Benutzer und weisen Sie ihm eine Lizenz zu, dann testen Sie die Anmeldung bei Adobe.com, um zu bestätigen, dass die relevante Software für den Download aufgelistet ist.

Sie können auch testen, indem Sie sich bei Creative Cloud Desktop und in einer Anwendung wie Photoshop oder Illustrator anmelden.

Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung.

Um Verbindungsprobleme zwischen Systemen zu vermeiden, bei denen sich die Uhr geringfügig unterscheidet, setzen Sie den Standardzeitversatz auf 2 Minuten. Weitere Informationen zum Zeitversatz finden Sie im Dokument Fehlerbehebung.

Wenn Sie Unterstützung bei der Konfiguration von Single Sign-On mit benötigen, navigieren Sie zu Support in der Adobe Admin-Konsole und geben Sie ein Ticket ein.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie