Gérer le SSO basé sur SAML pour Microsoft Azure

Rechercher
Enterprise & Teams Guide d'utilisation

Sur cette page

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

New feature alert

Cet article décrit l’ancienne configuration de Microsoft Azure AD basée sur SAML.

Pour les nouvelles configurations, il est recommandé d’utiliser le Connecteur Azure AD, qui peut être installé en quelques minutes et qui accélère le processus de revendication de domaine, de configuration SSO et de synchronisation d’utilisateurs.


Présentation

La Adobe Admin Console permet à un administrateur système de configurer les domaines utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO). Une fois que le domaine a été vérifié, le répertoire contenant ce dernier est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud. Les utilisateurs peuvent se connecter à l’aide d’adresses électroniques au sein de ce domaine via un fournisseur d’identité (IdP). Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Microsoft Azure, un service basé sur le cloud qui facilite la gestion des identités sécurisées.

Azure AD utilise l’attribut userPrincipalName ou vous permet de spécifier l’attribut (dans une installation personnalisée) à utiliser sur site en tant que nom principal d’utilisateur dans Azure AD. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans Azure AD, elle est remplacée par la valeur .onmicrosoft.com par défaut.

Lorsqu’un utilisateur s’authentifie sur l’application, Azure AD émet un jeton SAML à l’application qui contient des informations (ou revendications) concernant les utilisateurs qui les identifient de manière unique. Par défaut, ces informations incluent le nom d’utilisateur, l’adresse électronique, le prénom et le nom d’un utilisateur. Vous pouvez afficher ou modifier les demandes envoyées dans le jeton SAML à l’application dans l’onglet Attributs et libérer l’attribut de nom d’utilisateur.

Configuration de l’authentification unique à l’aide d’Azure

Pour configurer l’authentification unique pour votre domaine, procédez comme suit :

  1. Connectez-vous à Admin Console et commencez par créer un répertoire Federated ID, en sélectionnant Autres fournisseurs SAML comme fournisseur d’identité. Copiez les valeurs de l’URL ACS et de l’ID d’entité à partir de l’écran Ajouter un profil SAML.
  2. Configurez Azure en spécifiant l’URL ACS et l’ID d’entité, puis téléchargez le fichier de métadonnées du fournisseur d’identité.
  3. Retournez dans Adobe Admin Console et chargez le fichier de métadonnées du fournisseur d’identité sur l’écran Ajouter un profil SAML, puis cliquez sur Terminé.

Création de l’application SSO dans Azure pour Adobe

Assurez-vous que le tableau de bord Microsoft Azure est accessible et que vous êtes connecté en tant qu’administrateur pour pouvoir créer une nouvelle application d’entreprise.

Pour configurer SSO dans Azure, suivez les étapes ci-dessous :

  1. Accédez à Azure Active Directory> Applications d’entreprise > Toutes les applications, puis cliquez sur Nouvelle application.

  2. Sous Ajouter à partir de la galerie, entrez « Adobe Creative Cloud » dans le champ de recherche

  3. Sélectionnez Adobe Creative Cloud, renommez votre connecteur, cliquez sur Ajouter et attendez la fin du processus.

    add_application

  4. Accédez à Azure Active Directory > Applications d’entreprise > Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud pour accéder à la page Présentation.

  5. Sélectionnez Authentification unique > SAML.

    SAML

  6. Dans le champ Configuration SAML de base, saisissez l’ID d’entité et l’URL ACS que vous avez copiés à partir d’Adobe Admin Console. Cliquez ensuite sur Enregistrer.

    Config. SAML de base

  7. Pour formater les attributs de jeton SAML, cliquez sur le bouton Modifier et ouvrez la boîte de dialogue Attributs utilisateur. Cliquez ensuite sur Ajouter une nouvelle demande pour modifier les attributs sur la page Demandes et attributs utilisateur comme suit, en laissant l’entrée Espace de nom vide.

    NOM VALEUR ESPACE DE NOM
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

  8. Lorsque tous les attributs sont définis pour correspondre aux valeurs suivantes, fermez la page Demandes et attributs utilisateur.

    Attribut utilisateur

    Remarque :

    • Pour authentifier les utilisateurs par courrier électronique, définissez UserIdentifier sur user.mail. Pour authentifier les utilisateurs par UserPrincipalName, définissez UserIdentifier sur user.userprincipalname.
    • Les utilisateurs doivent disposer d’une licence Office 365 ExO valide pour que la valeur de demande de courrier électronique soit ajoutée à la réponse SAML.

  9. Depuis la section Certificat de signature SAML, téléchargez le fichier Certificat (Base64) et enregistrez-le sur votre ordinateur.

    Certificat de signature SAML

  10. Copiez ensuite les URL appropriées de la section Configuration de <Name> selon vos besoins.

    Configuration

  11. Cliquez sur le « X » pour fermer la page de documentation sur le portail Azure et revenir à la fenêtre de configuration de l’application Enterprise pour votre connecteur Adobe SSO.

  12. Dans la section « Certificat de signature SAML », cliquez sur Certificat (base 64) sur le côté droit pour télécharger le fichier de certificat.

Chargement du fichier de métadonnées du fournisseur d’identité dans Adobe Admin Console

Pour mettre à jour le certificat le plus récent dans Adobe Admin Console, repassez à Adobe Admin Console. Chargez le certificat téléchargé depuis Azure vers l’écran Ajouter un profil SAML et cliquez sur Terminé.

Affectation des utilisateurs par le biais d’Azure

Pour affecter des utilisateurs via Microsoft Azure afin de leur permettre de se connecter à l’aide du connecteur Adobe Creative Cloud, procédez comme suit. Vous devez également affecter des licences via Adobe Admin Console.

  1. Accédez à Azure Active Directory -> Applications d’entreprise -> Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud.

  2. Cliquez sur Utilisateurs et groupes..

  3. Cliquez sur Ajouter un utilisateur pour sélectionner les utilisateurs à affecter à ce connecteur, ce qui leur permettra de se connecter via l’authentification unique.

  4. Cliquez sur Utilisateurs ou Groupes et sélectionnez un ou plusieurs utilisateurs ou groupes autorisés à se connecter à Creative Cloud, puis cliquez sur Sélectionner suivi de Affecter.

Test de l’accès utilisateur

Vérifiez l’accès d’un utilisateur que vous avez défini dans votre propre système de gestion des identités et dans Adobe Admin Console en vous connectant au site Web Adobe ou à l’application de bureau Creative Cloud.

Si vous rencontrez des problèmes, consultez notre document de dépannage.

Si vous avez besoin d’aide avec la configuration de l’authentification unique, accédez à Adobe Admin Console > Support pour nous contacter.