Overzicht

Met de Adobe Admin Console kan een systeembeheerder domeinen vormen die voor aanmelding via Federated ID voor Single Sign-On (SSO) worden gebruikt. Nadat het eigendom van een domein is aangetoond met een DNS-token, kan het domein worden geconfigureerd zodat gebruikers zich kunnen aanmelden bij Creative Cloud. Gebruikers kunnen zich aanmelden met e-mailadressen binnen dat domein via een identiteitsprovider (IdP). Het proces wordt geleverd als een softwareservice die wordt uitgevoerd binnen het bedrijfsnetwerk en bereikbaar is via internet of een cloudservice gehost door derden, die verificatie van gebruikersaanmeldingsgegevens via beveiligde communicatie met het SAML-protocol mogelijk maakt.

Een van die identiteitsproviders is Microsoft Directory Federation Services, of AD FS. Als u AD FS wilt gebruiken, moet een server worden geconfigureerd die toegankelijk is vanaf de werkstations waarop de gebruikers zich aanmelden, en die toegang heeft tot de directoryservice binnen het bedrijfsnetwerk. Dit document beschrijft het proces om de Adobe Admin Console en een Microsoft AD FS-server te configureren voor aanmelding bij Adobe Creative Cloud-toepassingen en bijbehorende websites voor Single Sign-On.

De IdP hoeft niet toegankelijk te zijn van buiten het bedrijfsnetwerk. In dit geval kunnen alleen werkstations binnen het netwerk (of verbonden via VPN) verificatie uitvoeren om een licentie te activeren of aan te melden na deactivering van de sessie.

Vereisten

Voordat u een domein voor Single Sign-On kunt configureren met Microsoft AD FS, moet aan de volgende vereisten zijn voldaan:

  • Een goedgekeurde directory op uw Adobe Admin Console-set voor Federated ID wacht op configuratie of is eerder geconfigureerd voor een andere IdP
  • Het relevante domein is geclaimd binnen uw federated directory
  • Een Microsoft Windows Server geïnstalleerd met Microsoft AD FS en de nieuwste updates van het besturingssysteem.
  • De server moet toegankelijk zijn vanaf de werkstations van gebruikers (bijvoorbeeld via HTTPS)
  • Beveiligingscertificaat verkregen van de AD FS-server
  • Alle Active Directory-accounts die met een Creative Cloud voor Enterprise-account moeten worden gekoppeld, moeten een e-mailadres hebben dat in Active Directory wordt weergegeven.

Een directory instellen en een domein daarin claimen via uw Admin Console worden beide beschreven op de pagina Identiteit instellen. Na toevoeging kan een directory worden geconfigureerd voor eenmalige aanmelding voordat een domein is geclaimd, maar om Federated ID-gebruikers te maken, moet u de domeinnaam claimen waarin ze bestaan.

De naam van de directory is willekeurig, maar het domein dat aan uw directory is gekoppeld, moet volledig overeenkomen met het deel van het e-mailadres na het apenstaartje. Als u ook subdomeinen wilt gebruiken, moeten deze afzonderlijk worden geclaimd.

Opmerking:

Instructies en schermafbeeldingen in dit document zijn voor AD FS versie 3.0, maar dezelfde menu's zijn aanwezig in AD FS 2.0.

Het certificaat voor token-ondertekening downloaden

  1. Open de AD FS Management-toepassing op uw server, en selecteer in de map AD FS -> Service -> Certificaten de optie Tokenhandtekeningcertificaat. Om het venster met certificaateigenschappen te openen, klikt u op Certificaat weergeven.

    token_signing_certificate
  2. Klik op het tabblad Details op Kopiëren naar bestand en gebruik de wizard om het certificaat op te slaan als Base64 Encoded X.509 (*.cer). Deze indeling komt overeen met een PEM-indelingcertificaat.

    02_-_certificateexportwizard

Uw directory configureren in de Adobe Admin Console

Als u eenmalige aanmelding voor uw directory wilt configureren, voert u de vereiste informatie in uw Adobe Admin Console in en downloadt u de metadata voor het configureren van uw Microsoft AD FS-server.

  1. Meld u aan bij uw Admin Console en navigeer naar Instellingen > Identiteit.

  2. Ga naar het tabblad Directory's.

  3. Klik op Configureren naast de directory die u wilt configureren.

    03_-_configure_directory
  4. Upload het certificaat dat u hebt opgeslagen van uw Microsoft AD FS-server.

  5. Selecteer HTTP - Redirect als de IdP-binding.

  6. Selecteer E-mail als de instelling voor de gebruikersaanmelding.

  7. Op uw AD FS-server in de AD FS Management-toepassing selecteert u de ingang bovenaan de structuur, AD FS, en klikt u op Eigenschappen van de Federation Service bewerken. Op het tabblad Algemeen van het pop-upvenster kopieert u de Id van Federation Service.

    Bijvoorbeeld: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Plak de Id van Federation Service die u zojuist naar uw Adobe Admin Console hebt gekopieerd, in het veld IdP-verstrekker.

    Opmerking:

    Het veld IdP-verstrekker wordt gebruikt om de server te identificeren en is geen URL die door gebruikers wordt opgeroepen wanneer ze verbinding maken met de server.Om veiligheidsredenen moet uw AD FS-server alleen toegankelijk zijn via HTTPS, niet via onveilige HTTP.

  9. Verkrijg de hostnaam van uw IdP-server (deze is vaak hetzelfde als de naam van de Federation Service), voeg het protocol https:// vooraan toe en voeg het pad /adfs/ls toe om de aanmeldings-URL voor de IdP te maken.

    Bijvoorbeeld: https://adfs.example/com/adfs/ls/

  10. Voer de aanmeldings-URL van de IdP in uw Adobe Admin Console in.

  11. Klik op Opslaan.

    admin_console_-_adfs-configuredirectory
  12. Klik op Metagegevens downloaden om het SAML SML Metadata-bestand op uw computer op te slaan. Dit bestand wordt gebruikt om vertrouwen van de relying party op uw AD FS-server in het overige deel van dit document te configureren.

  13. Vink het vakje aan om aan te geven dat u begrijpt dat u de configuratie bij uw identiteitsprovider moet voltooien. Dit wordt gedaan in de volgende stappen op uw AD FS-server.

    configure_directoryanddownloadmetadata
  14. Kopieer het XML-metagegevensbestand naar uw AD FS-server om het in de AD FS Management-toepassing te kunnen importeren.

  15. Klik op Voltooien om de configuratie van uw directory te voltooien.

Een of meer domeinen aan uw directory toevoegen

  1. Navigeer in uw Adobe Admin Console naar Instellingen > Identiteit.

  2. Klik op het tabblad Domeinen op Domeinen toevoegen.

  3. Voer in het scherm Domeinen invoeren een lijst met maximaal 15 domeinen in, en klik op Domeinen toevoegen.

  4. Controleer op het scherm Domeinen toevoegen dat de lijst met domeinen juist is, en klik op Domeinen toevoegen.

  5. Uw domeinen zijn nu toegevoegd aan de Admin Console. U moet echter nog steeds het eigenaarschap van deze domeinen aantonen.

  6. Klik op de pagina Domeinen op Domein valideren voor een domein dat moet worden gevalideerd.

  7. Kopieer de weergegeven DNS-token door op Recordwaarde kopiëren te klikken, en maak een TXT-record met deze token naar de instellingen voor elk domein dat u hebt toegevoegd om de instellingen te valideren.

    Deze token is hetzelfde voor alle domeinen die zijn toegevoegd binnen uw Adobe Admin Console, zodat de token opnieuw kan worden gebruikt voor andere domeinen die later worden toegevoegd.

    De token hoeft niet op zijn plaats te blijven staan wanneer een domein is gevalideerd.

    validate_domain_ownership
  8. U kunt als volgt controleren of een TXT-record is doorgevoerd naar andere online DNS-servers via een website zoals MXToolbox. U kunt ook via de opdrachtregel de opdracht nslookup op een Windows-, Linux- of Mac OS-systeem gebruiken:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    voorbeeld.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Klik in het scherm Domeineigenaarschap valideren op Nu valideren.

    Als de DNS-token goed wordt gedetecteerd als TXT-record tegen het domein, wordt het gevalideerd en kunt u het meteen gebruiken. Domeinen die aanvankelijk niet valideren, worden periodiek op de achtergrond ingecheckt, en worden gevalideerd wanneer de DNS-token goed is gevalideerd.

De AD FS-server configureren

Als u SAML-integratie met AD FS wilt uitvoeren, voert u de onderstaande stappen uit:

Let op:

Alle volgende stappen moeten worden herhaald na een wijziging in de waarden in de Adobe Admin Console voor domeinen.

  1. Navigeer in de AD FS Management-toepassing naar AD FS -> Vertrouwensrelaties -> Vertrouwensrelaties van relying party en klik op Vertrouwensrelatie van de relying party toevoegen om de wizard te starten.

  2. Klik op Start en selecteer Gegevens over de relying party uit een bestand importeren en navigeer vervolgens naar de locatie waarnaar u de metagegevens hebt gekopieerd vanuit de Adobe Admin Console.

    08_-_import_metadata
  3. Geef de vertrouwensrelatie van uw relying party een naam en voer eventuele aanvullende opmerkingen in.

    Klik op Volgende.

    09_-_name_relyingpartytrust
  4. Bepaal of meervoudige verificatie vereist is en selecteer de relevante optie.

    Klik op Volgende.

  5. Bepaal of alle gebruikers de mogelijkheid hebben zich aan te melden via AD FS of de toegang wordt geweigerd.

    Klik op Volgende.

  6. Controleer uw instellingen.

    Klik op Volgende.

  7. Het vertrouwen van uw relying party is toegevoegd.

    Laat de optie geselecteerd om het dialoogvenster Claimregels bewerken te openen en snel toegang te krijgen tot de volgende stappen.

    Klik op Sluiten.

  8. Als de wizard Claimregels bewerken niet automatisch is geopend, kunt u deze oproepen via de AD FS Management-toepassing onder AD FS -> Vertrouwensrelaties -> Vertrouwensrelaties van relying party, door het vertrouwen van de relying party van uw Adobe SSO te selecteren en aan de rechterkant op Claimregels bewerken... te klikken.

  9. Klik op Regel toevoegen en configureer een regel via de sjabloon LDAP-kenmerken verzenden als claims voor uw kenmerkarchief, waarbij u het LDAP-kenmerk E-Mail-Addresses toewijst aan Outgoing Claim Type E-Mail Address.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Opmerking:

    Zoals in de bovenstaande schermafbeelding wordt weergegeven, raden we aan het e-mailadres als primaire id te gebruiken. Door gebruik van het UPN-veld (User Principal Name) als LDAP-kenmerk is een verklaring verzonden omdat het e-mailadres niet wordt aanbevolen. Hoewel het mogelijk is om UPN als het LDAP-kenmerk te gebruiken, is dit geen officieel ondersteunde configuratie en doet u dit op eigen risico.

    Vaak wordt de UPN niet aan een e-mailadres gekoppeld en is deze anders. Dit zal waarschijnlijk problemen veroorzaken voor meldingen en het delen van middelen in Creative Cloud.

  10. Klik op Voltooien om het toevoegen van de transformatieclaimregel te voltooien.

  11. Gebruik opnieuw de wizard Claimregels bewerken om een regel toe te voegen via de sjabloon Een binnenkomende claim transformeren om inkomende claims van het type e-mailadres met Outgoing Claim Type Name ID en Outgoing Name ID Format as Email te converteren, waarbij door alle claimwaarden wordt gegaan.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klik op Voltooien om het toevoegen van de transformatieclaimregel te voltooien.

  13. Gebruik de wizard Claimregels bewerken om een regel toe te voegen via de sjabloon Claims verzenden met een aangepaste regel met de volgende regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klik op Voltooien om de wizard voor aangepaste regels te voltooien.

  15. Klik op OK in het dialoogvenster Claimregels bewerken om het toevoegen van deze drie regels aan het vertrouwen van uw relying party te voltooien.

    16_-_edit_claim_rules

    Opmerking:

    De volgorde van de claimregels is belangrijk; ze moeten worden weergegeven zoals u hier ziet.

  16. Zorg dat het nieuwe vertrouwen van uw relying party is geselecteerd en klik op Eigenschappen aan de rechterkant van het venster. Selecteer het tabblad Geavanceerd en zorg ervoor dat een veilig hashalgoritme is ingesteld op SHA-1.

    17_-_relying_partytrustproperties

Eenmalige aanmelding (Single Sign-On, SSO) testen

Maak een testgebruiker met active directory. Maak een item op de Admin Console voor deze gebruiker en wijs het een licentie toe. Test vervolgens het aanmelden bij Adobe.com om te bevestigen dat de relevante software voor download vermeld is.

U kunt ook testen door aan te melden bij Creative Cloud Desktop en vanuit een toepassing zoals Photoshop of Illustrator.

Als u problemen ondervindt, raadpleegt u ons document voor probleemoplossing.

Stel de standaard tijdverschuiving op 2 minuten in om verbindingsproblemen te vermijden tussen systemen waarop de klok een klein beetje verschilt. Zie het document over fouten oplossen voor meer informatie over tijdverschuiving.

Als u hulp nodig hebt met de configuratie van SSO, navigeert u naar Ondersteuning in de Adobe Admin Console en opent u een ticket.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid