Übersicht

Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden. Sobald der Besitz einer Domäne mithilfe eines DNS-Tokens demonstriert und mit einem Verbund-ID-Verzeichnis verknüpft wurde, können sich Benutzer mit E-Mail-Adressen in der beanspruchten Domäne über ein Identity Provider-System (IdP) bei entsprechenden Konten anmelden wurden in der entsprechenden Adobe Admin Console erstellt. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Eine derartige IdP ist Microsoft Azure, ein cloudbasierter Dienst, der eine sichere Identitätsverwaltung ermöglicht

Azure AD verwendet das userPrincipalName-Attribut oder lässt zu, dass Sie das Attribut (in einer benutzerdefinierten Installation) angeben, das von Benutzern vor Ort als Benutzername in Azur AD verwendet werden soll. Wenn der Wert des Attributs userPrincipalName keiner verifizierten Domäne in Azure AD entspricht, wird er durch einen Standardwert von .onmicrosoft.com ersetzt.

Wenn ein Benutzer sich bei der Anwendung authentifiziert, gibt Azure AD ein SAML-Token an die App aus, das Informationen (oder Ansprüche) über den Benutzer enthält, mit dem er eindeutig identifiziert werden kann. Standardmäßig umfasst dies den Benutzernamen, die E-Mail-Adresse, den Vornamen und Nachnamen des Benutzers. Sie können die Ansprüche, die im SAML-Token an die Anwendung auf der Registerkarte „Attribute“ gesendet wurden, anzeigen oder bearbeiten und das Attribut „Benutzername“ veröffentlichen.

Voraussetzungen

Bevor Sie eine Domäne für Single Sign-On mithilfe von Microsoft Azure als IdP konfigurieren, müssen die folgenden Bedingungen erfüllt sein:

  • Eine genehmigte Domäne, die der DNS-Domäne entspricht, in der sich Ihre Benutzer befinden, und die mit einem Ordner „Federated“ in Ihrer Adobe Admin Console verknüpft ist. Weitere Einzelheiten finden Sie in unserer allgemeinen Dokumentation zur Einrichtung der Identität.
  • Auf das Microsoft Azure-Dashboard kann zugegriffen werden, und Sie sind als Administrator angemeldet, der eine neue Unternehmensanwendung erstellen kann

Erstellen von SSO-Anwendung in Azure für Adobe

Führen Sie die folgenden Schritte aus, um SSO in Azure zu konfigurieren:

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen> Alle Anwendungen und klicken Sie auf Neue Anwendung.

  2. Unter Hinzufügen aus der Galerie geben Sie „Adobe Creative Cloud“ in das Suchfeld ein

  3. Wählen Sie Adobe Creative Cloud und klicken Sie auf „Hinzufügen“ und warten Sie bis der Vorgang abgeschlossen ist.

    add_application
  4. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen> Alle Anwendungen und wählen Sie Ihre neue Adobe Creative Cloud Connector-Anwendung aus.

  5. Melden Sie sich in einem separaten Tab Ihres Webbrowsers in Ihrer Adobe Admin Console an und greifen Sie auf die Konfigurationsseite für die von Ihnen eingerichtete Domäne zu. Dies finden Sie unter Einstellungen -> Identität, indem Sie auf den Namen der Domäne klicken und dann auf die Schaltfläche SSO konfigurieren klicken.

  6. Klicken Sie im Azure-Portal auf „Single Sign-On“ und wählen Sie den Modus für diese Connector-Anwendung als „SAML-basierte Single Sign-On“ aus

  7. Klicken Sie auf das Kontrollkästchen, um alle anderen Benutzerattribute anzuzeigen und zu bearbeiten

  8. Bearbeiten Sie die SAML-Token-Attribute wie folgt, und lassen Sie den Namespace für jeden Eintrag leer:

    NAME WERT NAMESPACE
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    Hinweis:

    Um Benutzer per E-Mail zu authentifizieren, setzen Sie UserIdentifier auf user.mail. Zur Authentifizierung von Benutzern durch Userprincipalname setzen Sie UserIdentifier auf user.userprincipalname.

  9. Klicken Sie auf den Pfeil an der Unterseite der Seite (als Schritt 5 markiert), der den Namen Ihres Azure SSO-Connectors enthält (siehe Screenshot), um die Microsoft-Dokumentation für Adobe Single Sign-On auf der linken Seite auszugeben.

    screen_shot_2018-05-08at085804
  10. In dem Bereich, der dann unterhalb der Dokumentation angezeigt wird, befindet sich ein Abschnitt mit „Schnellreferenz“, der Links zu den verschiedenen Endpunkten und dem Signaturzertifikat enthält. Diese Informationen werden in den nächsten Abschnitten verwendet.

    screen_shot_2018-05-08at144856
  11. Kopieren Sie die Azure AD SAML-Entitäts-ID aus dem Azure-Portal und fügen Sie sie in das Feld IDP-Aussteller der Identitätskonfigurationsseite für Ihre Domäne in Ihrer Adobe Admin Console ein.

  12. Kopieren Sie die Azure AD Single Sign-On Service URL aus dem Azure-Portal und fügen Sie sie in das Feld IDP-Aussteller der Identitätskonfigurationsseite für Ihre Domäne in Ihrer Adobe Admin Console ein.

  13. Klicken Sie auf das X, um die Dokumentationsseite im Azure-Portal zu schließen und zum Konfigurationsfenster von Enterprise Application für Ihren Adobe SSO-Connector zurückzukehren.

  14. Klicken Sie im Abschnitt „SAML Signing Certificate“ auf der rechten Seite auf Certificate (base 64), um die Zertifikatsdatei herunterzuladen.

  15. Laden Sie das im vorherigen Schritt erhaltene Zertifikat als IdP-Zertifikat in Ihre Adobe Admin-Konsole hoch und speichern Sie diese Details, indem Sie auf die vollständige Konfiguration klicken.

    01_-_configure_saml
  16. Klicken Sie auf Speichern.

  17. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Konfiguration mit Ihrem Identitätsanbieter abgeschlossen haben. Dies wird in den nächsten Schritten auf Ihrem Azure-Portal durchgeführt.

  18. Speichern Sie die Einstellungen für dieses Verzeichnis in Ihrer Adobe Admin Console, indem Sie auf die Schaltfläche Metadaten herunterladen klicken.

    Sie verwenden diese Datei, um bestimmte Attribute der Konfiguration zu erhalten.

    configure_directoryanddownloadmetadata
  19. Klicken Sie auf Fertig, um das Verzeichnis zu aktivieren.

  20. Öffnen Sie die Metadaten in einem Texteditor oder Webbrowser, und kopieren Sie die Werte der EntityID bzw. des AssertionConsumerService in das Azure-Portal in den Feldern Identifier und ReplyURL, wie im folgenden Screenshot dargestellt.

    metadata_example
    • Verwenden Sie die URL der EntityID aus den Metadaten im Feld „Identifier“ in Ihrer Azure-Konfiguration:
      Diese Adresse hat die folgende Form: https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Verwenden Sie die URL des AssertionConsumerService für die Antwort-URL in Ihrer Azure-Konfiguration.
      Diese Adresse hat die folgende Form: https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. Speichern Sie diese Einstellungen in Ihrem Azure-Portal mit dem Link Speichern oben auf der Seite.

Benutzer über Azure zuweisen

Führen Sie die folgenden Schritte aus, um Benutzern über Microsoft Azure die Anmeldung über den Adobe Creative Cloud-Connector zu ermöglichen. Beachten Sie, dass Sie Lizenzen weiterhin über die Admin-Konsole von Adobe zuweisen müssen.

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie Ihre Adobe Creative Cloud Connector-Anwendung aus.

  2. Klicken Sie auf Benutzer und Gruppen

  3. Klicken Sie auf Benutzer hinzufügen, um Benutzer auszuwählen, die diesem Connector zugewiesen werden sollen, damit sie sich über Single Sign-On anmelden können.

  4. Klicken Sie auf Benutzer oder Gruppen und wählen Sie einen oder mehrere Benutzer oder Gruppen aus, um sich bei Creative Cloud anzumelden. Klicken Sie anschließend auf Auswählen und dann auf Zuweisen.

Benutzerzugriff testen

Führen Sie folgende Schritte durch, um den Benutzerzugriff zu testen:

  1. Vergewissern Sie sich, dass die Benutzer über Azure zugewiesen werden.

  2. Stellen Sie außerdem sicher, dass Sie in der Adobe Admin-Konsole Benutzer als Federated ID hinzufügen und einer Gruppe für Berechtigungen zuweisen.

  3. Geben Sie jetzt Ihre E-Mail-Adresse/UPN in das Anmeldeformular von Adobe ein und drücken Sie die Tabulatortaste. Sie werden zu Azure AD zurückgeleitet

    • In einem Webbrowser: www.adobe.com klicken Sie auf Anmelden oben rechts auf der Seite
    • In der Creative Cloud Desktop-Applikation
    • Von einer Adobe Creative Cloud-Applikation wie Photoshop oder Illustrator aus dem Menü Hilfe > Anmelden ...

Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung.

Wenn Sie Unterstützung bei der Azure Single Sign-On-Konfiguration benötigen, navigieren Sie zu Ihrer Adobe Admin Console öffnen Sie den Abschnitt Support und öffnen Sie ein Ticket oder klicken Sie auf support auf der Adobe-Website.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie