Handboek Annuleren

Microsoft AD FS configureren voor gebruik met SSO van Adobe

Overzicht

In dit document wordt beschreven hoe u de Adobe Admin Console configureert met een Microsoft AD FS-server.

De identiteitsprovider hoeft niet toegankelijk te zijn van buiten het bedrijfsnetwerk, maar als dat niet het geval is, kunnen alleen werkstations die zich binnen het netwerk bevinden (of die met het netwerk zijn verbonden via een VPN), verificatie uitvoeren om een licentie te activeren of zich aanmelden nadat hun sessie is gedeactiveerd.

SSO instellen met Microsoft AD FS (kijken: 17 min)
Opmerking:

De instructies en schermafbeeldingen in dit document gelden voor AD FS versie 3.0, maar dezelfde menu's zijn aanwezig in AD FS 2.0.

Algemene vereisten

Voordat u een directory voor eenmalige aanmelding configureert met Microsoft AD FS, moet aan de volgende vereisten zijn voldaan:

  • Een Microsoft Windows Server geïnstalleerd met Microsoft AD FS en de nieuwste updates van het besturingssysteem. Als u wilt dat gebruikers Adobe-producten in macOS gebruiken, zorg er dan voor dat uw server TLS-versie 1.2 en forward secrecy ondersteunt. Voor meer informatie over AD FS raadpleegt u dit Microsoft-document over identiteit en toegang.
  • De server moet toegankelijk zijn vanaf de werkstations van gebruikers (bijvoorbeeld via HTTPS).
  • Er moet een beveiligingscertificaat zijn opgehaald van de AD FS-server.
  • Alle Active Directory-accounts die aan een account van Creative Cloud voor ondernemingen moeten worden gekoppeld, moeten een e-mailadres hebben dat in Active Directory wordt weergegeven.

Een directory maken in de Adobe Admin Console

Doe het volgende om eenmalige aanmelding voor uw domein te configureren:

  1. Meld u aan bij de Admin Console en maak een Federated ID-directory waarbij u Andere SAML-providers kiest als identiteitsprovider. Download het Adobe-metagegevensbestand van de wizard Directory maken.
  2. Configureer AD FS waarbij u de ACS-URL en de Entiteits-ID opgeeft en het IdP-metagegevensbestand downloadt.
  3. Keer terug naar de Adobe Admin Console en upload het IdP-metagegevensbestand in de wizard Directory maken. Selecteer Volgende, stel Automatisch accounts maken in en selecteer Gereed.

Volg de hyperlinks voor meer informatie over de details van elke stap.

De AD FS-server configureren

Als u de SAML-integratie met AD FS wilt configureren, voert u de onderstaande stappen uit:

Let op:

Alle volgende stappen moeten worden herhaald na elke wijziging van de waarden in de Adobe Admin Console voor een bepaald domein.

  1. Navigeer in de applicatie Beheer van AD FS naar AD FS -> Vertrouwensrelaties -> Vertrouwensrelaties van relying party en klik op Vertrouwensrelatie van relying party toevoegen om de wizard te starten.

  2. Klik op Starten, selecteer Gegevens van een relying party importeren uit een bestand en blader naar de locatie waarnaar u de metagegevens vanuit de Adobe Admin Console hebt gekopieerd.

  3. Geef de vertrouwensrelatie van de relying party een naam en voer zo nodig aanvullende opmerkingen in.

    Klik op Volgende.

  4. Bepaal of meervoudige verificatie is vereist en selecteer de gewenste optie.

    Klik op Volgende.

  5. Bepaal of alle gebruikers zich kunnen aanmelden via AD FS.

    Klik op Volgende.

  6. Controleer de instellingen.

    Klik op Volgende.

  7. De vertrouwensrelatie van de relying party is toegevoegd.

    Laat de optie ingeschakeld om het dialoogvenster Claimregels bewerken te openen en snel naar de volgende stappen te gaan.

    Klik op Sluiten.

  8. Als de wizard Claimregels bewerken niet automatisch wordt geopend, kunt u deze openen vanuit de applicatie Beheer van AD FS door via AD FS -> Vertrouwensrelaties -> Vertrouwensrelatie van relying party de vertrouwensrelatie voor uw Adobe SSO te selecteren en te klikken op Claimregels bewerken... aan de rechterkant.

  9. Klik op Regel toevoegen en configureer een regel met behulp van de sjabloon LDAP-kenmerken verzenden als claims voor uw kenmerkarchief, waarbij u het LDAP-kenmerk E-mailadressen toewijst aan het Type uitgaande claim E-mailadres.

    Opmerking:

    Zoals u ziet in de bovenstaande schermafbeelding, raden we u aan om het e-mailadres als primaire identificatie te gebruiken. U kunt ook het veld Principal-naam van gebruiker (UPN) gebruiken als LDAP-kenmerk dat in een bevestiging als e-mailadres wordt verzonden. We raden echter af dit als claimregel te configureren.

    De UPN verwijst vaak niet naar een e-mailadres en zal in veel gevallen anders zijn. Dit zal hoogstwaarschijnlijk problemen veroorzaken voor meldingen en het delen van middelen binnen Creative Cloud.

  10. Klik op Voltooien om het toevoegen van de transformatieclaimregel te voltooien.

  11. Gebruik opnieuw de wizard Claimregels bewerken om een regel toe te voegen via de sjabloon Een binnenkomende claim transformeren waarbij binnenkomende claims van het type E-mailadres worden geconverteerd naar claims waarvoor Type uitgaande claim Naam-id en Id-indeling van uitgaande naam E-mail is, waarbij alle claimwaarden worden doorgegeven.

  12. Klik op Voltooien om het toevoegen van de transformatieclaimregel te voltooien.

  13. Gebruik de wizard Claimregels bewerken om een regel toe te voegen via de sjabloon Claims verzenden met een aangepaste regel die de volgende regel bevat:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Klik op Voltooien om de wizard voor aangepaste regels te voltooien.

  15. Klik op OK in het dialoogvenster Claimregels bewerken om het toevoegen van deze drie regels aan de vertrouwensrelatie van de relying party te voltooien.

    Opmerking:

    De volgorde van de claimregels is belangrijk. Ze moeten worden weergegeven zoals hier getoond.

Om verbindingsproblemen te voorkomen tussen systemen waarvan de klok een klein beetje afwijkt, stelt u het standaardtijdverschil in op 2 minuten. Zie het document Fouten oplossen voor meer informatie over het tijdverschil.

Het AD FS-metagegevensbestand downloaden

  1. Open de applicatie Beheer van AD FS op uw server en selecteer Federatieve metagegevens in de map AD FS > Service > Eindpunten.

    Locatie van metagegevens

  2. Navigeer in een browser naar de URL die is opgegeven voor Federatieve metagegevens en download het bestand. Bijvoorbeeld https://<uw AD FS-hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml.

    Opmerking:
    • Accepteer eventuele waarschuwingen die worden weergegeven.
    • Uw Microrsoft AD FS-hostnaam achterhalen in een Windows-besturingssysteem:
      Open Windows PowerShell > Als administrator uitvoeren > typ Get-AdfsProperties > druk op Enter > zoek uw hostnaam in de uitgebreide lijst.

Het IdP-metagegevensbestand uploaden naar de Adobe Admin Console

Ga terug naar de Adobe Admin Console om het certificaat bij te werken naar de meest recente versie. Upload het van AD FS gedownloade metagegevensbestand naar het scherm SAML-profiel toevoegen en klik op Gereed.

Volgende stappen: de configuratie voltooien door apps aan gebruikers toe te wijzen

Nadat u uw directory hebt ingesteld, doet u het volgende om ervoor te zorgen dat de gebruikers van uw organisatie Adobe-apps en -services kunnen gebruiken:

  1. Voeg domeinen toe en stel ze in binnen de Admin Console.
  2. Verbind de domeinen met de AD FS-directory.
  3. (Optioneel) Als uw domeinen al in de Admin Console zijn ingesteld in een andere directory, zet u ze rechtstreeks over naar de zojuist gemaakte AD FS-directory.
  4. Voeg productprofielen toe om het gebruik van uw gekochte lidmaatschappen te beheren.
  5. Test uw SSO-configuratie door een testgebruiker toe te voegen.
  6. Kies uw strategie en tools voor gebruikersbeheer op basis van uw vereisten. Voeg vervolgens gebruikers toe aan de Admin Console en wijs ze toe aan productprofielen, zodat gebruikers aan de slag kunnen gaan met hun Adobe-apps.

Voor meer informatie over andere tools en technieken die te maken hebben met identiteit, leest u Identiteit instellen.

Eenmalige aanmelding testen

Maak een testgebruiker met Active Directory. Maak een vermelding in de Admin Console voor deze gebruiker en wijs een licentie aan de gebruiker toe. Test vervolgens het aanmelden bij Adobe.com om te controleren of de relevante software wordt weergegeven die kan worden gedownload.

U kunt dit ook testen door u aan te melden bij Creative Cloud op de desktop of vanuit een applicatie zoals Photoshop of Illustrator.

Raadpleeg ons document voor probleemoplossing als u problemen ondervindt. Als u nog steeds hulp nodig met de configuratie van eenmalige aanmelding, gaat u naar Ondersteuning in de Adobe Admin Console en opent u een ticket bij de klantenondersteuning.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?