Visão geral

O Console de Administração da Adobe permite que um administrador de sistema configure os domínios que são usados para o login através da Federated ID para login único (SSO).Após a propriedade de um domínio ter sido demonstrada por meio de um token de DNS, o domínio pode ser configurado para permitir que os usuários façam o login na Creative Cloud. Os usuários podem fazer login usando endereços de e-mail nesse domínio através de um Provedor de Identidade (IdP). O processo é provisionado como um serviço de software que é executado na rede da empresa e é acessível através da Internet ou através de um serviço na nuvem hospedado por terceiro que permite a verificação dos detalhes de login do usuário através da comunicação segura usando o protocolo SAML.

Cada um desses IdP é um Microsoft Active Directory Federation Services, ou AD FS. Para usar o AD FS, um servidor deverá estar configurado para que seja acessível a partir de estações da trabalho nas quais os usuários estarão fazendo login e que tenham acesso aos serviços de diretório dentro da rede corporativa. Este documento visa descrever o processo necessário para configurar o Console de Administração da Adobe e um servidor Microsoft AD FS para ser capaz de efetuar o login em aplicativos da Adobe Creative Cloud e em sites associados para o Single Sign-On.

O IdP não precisa ser acessível fora da rede corporativa, mas se não estiver, somente as estações de trabalho dentro da rede (ou conectadas através da VPN) serão capazes de executar a autenticação para ativar uma licença ou efetuar o login após desativar sua sessão.

Pré-requisitos

Antes de configurar um domínio para login único usando o Microsoft AD FS, os seguintes requisitos devem ser atendidos:

  • Um diretório aprovado em seu conjunto do Console de Administração da Adobe para a Federated ID aguardando a configuração ou configurado anteriormente para outro IdP
  • O domínio relevante foi reivindicado dentro de seu diretório Federated
  • Um Microsoft Windows Server instalado como o Microsoft AD FS as atualizações mais recentes do sistema operacional.
  • O servidor deve ser acessível a partir de estações de trabalho de usuários (por exemplo, através de HTTPS)
  • Certificado de segurança obtido de um servidor AD FS
  • Todas as contas do diretório ativo a serem associadas à conta da Creative Cloud para empresas devem ter um endereço de e-mail listado no diretório ativo.

O processo de configuração de um diretório e reivindicar um domínio dentro dele em seu Console de Administração são descritos na página Configurar a identidade. Uma vez adicionado, um diretório pode ser configurado para login único antes que um domínio seja reivindicado, mas para poder criar usuários de Federated ID, você deve reivindicar o nome do domínio no qual eles existem.

O nome do diretório é arbitrário, mas o domínio vinculado ao seu diretório deve totalmente corresponder a parte do endereço de e-mail depois do símbolo '@'. Se você também quiser usar subdomínios, eles devem ser reivindicados separadamente.

Observação:

As instruções e as capturas de tela neste documento são para a versão 3.0 do AD FS, mas os mesmos menus estão presentes no AD FS 2.0.

Download d certificado de assinatura do token

  1. Abra o aplicativo AD FS Management em seu servidor, e dentro da pasta AD FS -> Serviço -> Certificados, selecione o Certificado de assinatura do token. Para abrir as propriedades do certificado, clique em Exibir o certificado.

    token_signing_certificate
  2. Na guia Detalhes clique em Copiar para arquivo e use o assistente para salvar o certificado como Base-64 encoded X. 509 (.CER). Esse formato é equivalente a um certificado no formato PEM.

    02_-_certificateexportwizard

Configurar seu diretório no Console de Administração da Adobe

Para configurar o login único para seu diretório, insira as informações necessárias em seu Console de Administração da Adobe e baixe os metadados para configurar seu servidor Microsoft AD FS.

  1. Efetue o login em seu Console de Administração e navegue para Configurações > Identidade.

  2. Siga para a guia Diretórios.

  3. Clique em Configurar junto ao diretório que você deseja configurar.

    03_-_configure_directory
  4. Carregue o certificado que você salvou de seu servidor Microsoft AD FS.

  5. Selecione HTTP - Redirecionar como a vinculação IdP.

  6. Selecione E-mail como a Configuração de login do usuário.

  7. No seu servidor AD FS no aplicativo AD FS Management, selecione a entrada no topo da árvore, AD FS, e clique em Editar as propriedades do Federation Service. Na guia General da janela suspensa, copie o Identificador do Federation Service.

    Por exemplo: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Cole o Identificador do Federation Service que você acaba de copiar em seu Console de Administração da Adobe no campo Emissor de IdP .

    Observação:

    O campo Emissor de IdP é usado para identificar o servidor e não é um URL que é acessado por usuários ao se conectar ao servidor.Por motivos de segurança, o servidor AD FS deve ser somente acessível por HTTPS, não através de HTTP inseguro.

  9. Obtenha nome do host do seu servidor IdP (este é frequentemente o mesmo que o nome do Federation Service), anexe o protocolo https:// e adicione o caminho /adfs/ls para criar o URL de login do IdP.

    Por exemplo: https://adfs.example/com/adfs/ls/

  10. Insira o URL do login do IdP em seu Console de Administração da Adobe.

  11. Clique em Salvar.

    admin_console_-_adfs-configuredirectory
  12. Para salvar o arquivo SAML XML Metadata no seu computador, clique em Download dos metadados. Este arquivo será usado para configurar uma entidade confiável em seu servidor AD FS no restante deste documento.

  13. Marque a caixa para mostrar que você compreende a necessidade de completar a configuração com o seu provedor de identidade. Isso será feita nas próximas etapas em seu servidor AD FS.

    configure_directoryanddownloadmetadata
  14. Copie o arquivo XML  de metadados em seu servidor AD FS para poder ser capaz de importá-lo no aplicativo AD FS Management.

  15. Clique em Concluir para concluir a configuração de seu diretório.

Adicionar um ou mais domínios à seu diretório

  1. No Console de Administração da Adobe, navegue para Configurações > Identidade.

  2. Na guia Domínios, clique em Adicionar domínios.

  3. Na tela Inserir domínios, insira uma lista de até 15 domínios e clique emAdicionar domínios.

  4. Na tela Adicionar domínios, verifique a lista de domínios e clique emAdicionar domínios.

  5. Seus domínios estão agora são adicionados ao Console de Administração. No entanto, você ainda deve demonstrar a propriedade desses domínios.

  6. Na página Domínios, clique em Validar o domínio em relação a qualquer domínio que requer a validação.

  7. Copie otoken DNS exibido ao clicar em Copiar o valor registrado e em sua configuração do DNS, crie um registro TXT com o token para as configurações para cada domínio que você adicionou para que sejam validados.

    Este token será o mesmo para todos os domínios adicionados em seu Console de Administração da Adobe, para que possa ser reutilizado para outros domínios adicionados em uma etapa posterior.

    O token não deve permanecer no local após a validação de um domínio.

    validate_domain_ownership
  8. Você pode verificar se um registro TXT foi propagado para outros servidores DNS on-line usando um site como o MXToolbox ou da linha de comando usando o comando nslookup em um sistema Windows, Linux e Mac OS como segue:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Na tela Validar a propriedade do domínio, clique em Validar agora.

    Se o token DNS for detectado corretamente como um registro TXT em relação ao domínio, ele será validado e você poderá começar a usá-lo imediatamente. Os domínios que falham na validação inicialmente são verificados periodicamente em segundo plano, e se tornarão validados quando o token de DNS for validado corretamente.

Configurar o servidor AD FS

Para configurar a integração de SAML com o AD FS, execute as etapas abaixo:

Cuidado:

Todas as etapas subsequentes devem ser repetidas após qualquer alteração dos valores no Console de Administração da Adobe para um determinado domínio.

  1. Navegue dentro do aplicativo AD FS Management para AD FS -> Relacionamentos confiáveis -> Terceiros confiáveis que apoiam e clique em Adicionar terceiros confiáveis que apoiam para iniciar o assistente.

  2. Clique em Iniciar e selecione Importar dados de uma parte confiável de um arquivo e , a seguir, navegue até o local no qual você copiou os metadados de seu Console de Administração da Adobe.

    08_-_import_metadata
  3. Nome sua parte confiável e insira quaisquer observações, como necessário.

    Clique em Avançar.

    09_-_name_relyingpartytrust
  4. Determine se a autenticação por múltiplos fatores é necessária, e selecione a opção relevante.

    Clique em Avançar.

  5. Determine se todos os usuários terão a capacidade de fazer login através do AD FS ou ter o acesso negado.

    Clique em Avançar.

  6. Reveja suas configurações.

    Clique em Avançar.

  7. Sua parte confiável foi adicionada.

    Deixe a opção marcada para abrir a caixa de diálogo Editar as regras de reivindicação para acessar rapidamente as próximas etapas.

    Clique em Fechar.

  8. Se o assistente Editar as regras de reivindicação não foi aberto automaticamente, você pode acessá-lo a partir do aplicativo em AD FS -> Relacionamentos confiáveis -> Terceiros confiáveis que apoiam, ao selecionar sua parte confiável do Adobe SSO e ao clicar em Editar as regras de reivindicação... no lado direito.

  9. Clique em Adicionar regra e configure a regra usando o modelo Enviar atributos LDAP como reinvindicações para seu armazenamento de atributo, mapeando o Atributo LDAP de Endereços de e-mail para Tipo de Reinvindicação de Saída de Endereço de e-mail.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Observação:

    Como mostrado na captura de tela acima, sugerimos usar o endereço de e-mail como identificador principal. O uso do campo User Principal Name (UPN) como o atributo LDAP enviado em uma assertiva como o endereço de e-mail não é recomendado. Apesar de que seja possível usar o UPN como o atributo LDAP, essa não é uma configuração oficialmente suportada e você o faz por sua conta e risco.

    Normalmente, o UPN não mapeia para um endereço de e-mail, e será em muitos casos diferente. Isso provavelmente causará problemas para notificações e para compartilhamento de ativos na Creative Cloud.

  10. Clique em Concluir para completar a adição da regra de reinvindicação de transformação.

  11. Novamente, usando o assistente Editar Regras de Reinvindicação, adicione uma regra usando o modelo Transformar uma reivindicação de entrada para converter as Reinvindicações de entrada do tipo Endereço de e-mail com o tipo Reinvindicação de saída ID do nome e Formato de ID de nome de saída como E-mail passando através de todos os valores de reinvindicação.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Clique em Concluir para completar a adição da regra de reinvindicação de transformação.

  13. Usando o assistente Editar regras de reivindicação, adicione uma regra usando o modelo Enviar reinvindicações usando um regra personalizada contendo a seguinte regra:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Clique em Concluir para completar o assistente de regra personalizada.

  15. Clique em OK na caixa de diálogo Editar regras de reinvindicação para completar a adição dessas três regras para sua parte confiável.

    16_-_edit_claim_rules

    Observação:

    A ordem das regras de reivindicação é importante. Elas devem ser exibidas como aqui mostrado.

  16. Certifique-se de que sua parte confiável esteja selecionada e clique em Propriedades no lado direito da janela. Selecione a guia Avançado , e assegure que o algoritmo de hash seguro esteja definido como SHA-1.

    17_-_relying_partytrustproperties

Testar login único

Crie um usuário de teste com o Active Directory. Crie uma entrada no Console de Administração para este usuário e atribua-lhe uma licença. A seguir, teste o login em Adobe.com para confirmar se o software relevante está listado para download.

Você também pode testar ao efetuar o login na Creative Cloud e de um aplicativo, como o Photoshop ou o Illustrator.

Se você tiver problemas, consulte nosso Documento de solução de problemas.

Para evitar problemas de conectividade entre sistemas onde o relógio difere por um pequeno valor, defina o time-skew padrão para 2 minutos. Para obter mais informações sobre o time-skew, consulte o documento solução de problemas de erros.

Se você precisar de ajuda com a configuração de login único, navegue até Suporte no Console de Administração da Adobe, e abra um ticket.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online