Visão geral

O Console de Administração da Adobe permite que um administrador de sistema configure os domínios que são usados para o login através da Federated ID para login único (SSO).Após a propriedade de um domínio ter sido demonstrada por meio de um token de DNS, o domínio pode ser configurado para permitir que os usuários façam o login na Creative Cloud. Os usuários podem fazer login usando endereços de e-mail nesse domínio através de um Provedor de Identidade (IdP). O processo é provisionado como um serviço de software que é executado na rede da empresa e é acessível através da Internet ou através de um serviço na nuvem hospedado por terceiro que permite a verificação dos detalhes de login do usuário através da comunicação segura usando o protocolo SAML.

Cada um desses IdP é um Microsoft Active Directory Federation Services, ou AD FS. Para usar o AD FS, um servidor deverá estar configurado para que seja acessível a partir de estações da trabalho nas quais os usuários estarão fazendo login e que tenham acesso aos serviços de diretório dentro da rede corporativa. Este documento visa descrever o processo necessário para configurar o Console de Administração da Adobe e um servidor Microsoft AD FS para ser capaz de efetuar o login em aplicativos da Adobe Creative Cloud e em sites associados para o Single Sign-On.

O IdP não precisa ser acessível fora da rede corporativa, mas se não estiver, somente as estações de trabalho dentro da rede (ou conectadas através da VPN) serão capazes de executar a autenticação para ativar uma licença ou efetuar o login após desativar sua sessão.

Pré-requisitos

Antes de configurar um domínio para login único usando o Microsoft AD FS, os seguintes requisitos devem ser atendidos:

  • Um diretório aprovado em seu conjunto do Console de Administração da Adobe para a Federated ID aguardando a configuração ou configurado anteriormente para outro IdP
  • O domínio relevante foi reivindicado dentro de seu diretório Federated
  • Um Microsoft Windows Server instalado como o Microsoft AD FS as atualizações mais recentes do sistema operacional.Se você deseja que os usuários usem produtos da Adobe com o macOS, verifique se o seu servidor oferece suporte ao TLS versão 1.2 e a sigilo encaminhado (forward secrecy, FS).
  • O servidor deve ser acessível a partir de estações de trabalho de usuários (por exemplo, através de HTTPS)
  • Certificado de segurança obtido de um servidor AD FS
  • Todas as contas do diretório ativo a serem associadas à conta da Creative Cloud para empresas devem ter um endereço de e-mail listado no diretório ativo.

O processo de configuração de um diretório e reivindicar um domínio dentro dele em seu Console de Administração são descritos na página Configurar a identidade. Uma vez adicionado, um diretório pode ser configurado para logon único antes que um domínio seja reivindicado, mas para poder criar usuários de Federated ID, você deve reivindicar o nome do domínio no qual eles existem.

O nome do diretório é arbitrário, mas o domínio vinculado ao seu diretório deve corresponder totalmente a parte do endereço de e-mail depois do símbolo '@'. Se também quiser usar subdomínios, eles devem ser reivindicados separadamente.

Observação:

As instruções e as capturas de tela neste documento são para a versão 3.0 do AD FS, mas os mesmos menus estão presentes no AD FS 2.0.

Download d certificado de assinatura do token

  1. Abra o aplicativo AD FS Management em seu servidor e, dentro da pasta AD FS -> Serviço -> Certificados, selecione o Certificado de assinatura do token.

    Observação:

    O certificado de assinatura de token vence na data de expiração especificada. Depois que o certificado expirar, renove-o, baixe-o e faça upload para o Adobe Admin Console novamente.

  2. Para abrir as propriedades do certificado, clique em Exibir certificado.

    token_signing_certificate
  3. Na guia Detalhes , clique em Copiar para arquivo e use o assistente para salvar o certificado como X. 509 codificado na base 64 (.CER). Esse formato é equivalente a um certificado no formato PEM.

    02_-_certificateexportwizard

Configurar seu diretório no Console de Administração da Adobe

Para configurar o login único para seu diretório, insira as informações necessárias em seu Console de Administração da Adobe e baixe os metadados para configurar seu servidor Microsoft AD FS.

  1. Efetue o login em seu Console de Administração e navegue para Configurações > Identidade.

  2. Siga para a guia Diretórios.

  3. Clique em Configurar junto ao diretório que você deseja configurar.

    03_-_configure_directory
  4. Carregue o certificado que você salvou de seu servidor Microsoft AD FS.

  5. Selecione HTTP - Redirecionar como a vinculação IdP.

  6. Selecione E-mail como a Configuração de login do usuário.

  7. No seu servidor AD FS no aplicativo AD FS Management, selecione a entrada no topo da árvore, AD FS, e clique em Editar as propriedades do Federation Service. Na guia General da janela suspensa, copie o Identificador do Federation Service.

    Por exemplo: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Cole o Identificador do Federation Service que você acaba de copiar no Adobe Admin Console no campo Emissor de IdP.

    Observação:

    O campo Emissor de IdP é usado para identificar o servidor e não é um URL que é acessado por usuários ao se conectar ao servidor.Por motivos de segurança, o servidor AD FS deve ser acessível somente por HTTPS, não através de HTTP inseguro.

  9. Obtenha o nome do host do seu servidor IdP (em geral, trata-se do mesmo nome do Federation Service), anexe o protocolo https:// e adicione o caminho /adfs/ls para criar o URL de login do IdP.

    Por exemplo: https://adfs.example/com/adfs/ls/

  10. Insira o URL do login do IdP em seu Console de Administração da Adobe.

  11. Clique em Salvar.

    admin_console_-_adfs-configuredirectory
  12. Para salvar o arquivo SAML XML Metadata no seu computador, clique em Download dos metadados. Este arquivo será usado para configurar uma entidade confiável em seu servidor AD FS no restante deste documento.

  13. Selecione a caixa de seleção para mostrar que você compreende a necessidade de completar a configuração com o seu provedor de identidade. Isso será feito nas próximas etapas em seu servidor AD FS.

    configure_directoryanddownloadmetadata
  14. Copie o arquivo XML de metadados em seu servidor AD FS para poder importá-lo para o aplicativo AD FS Management.

  15. Clique em Concluir para concluir a configuração de seu diretório.

Adicionar um ou mais domínios à seu diretório

  1. No Console de Administração da Adobe, navegue para Configurações > Identidade.

  2. Na guia Domínios, clique em Adicionar domínios.

  3. Na tela Inserir domínios, insira uma lista de até 15 domínios e clique emAdicionar domínios.

  4. Na tela Adicionar domínios, verifique a lista de domínios e clique emAdicionar domínios.

  5. Seus domínios estão agora são adicionados ao Console de Administração. No entanto, você ainda deve demonstrar a propriedade desses domínios.

  6. Na página Domínios, clique em Validar o domínio em relação a qualquer domínio que requer a validação.

  7. Copie o token DNS exibido clicando em Copiar valor registrado e, na configuração do DNS, crie um registro TXT com este token para as configurações de cada domínio que você adicionou para que sejam validados.

    Este token será o mesmo para todos os domínios adicionados em seu Console de Administração da Adobe, para que possa ser reutilizado para outros domínios adicionados em uma etapa posterior.

    O token não deve permanecer no local após a validação de um domínio.

    validate_domain_ownership
  8. Você pode verificar se um registro TXT foi propagado para outros servidores DNS on-line usando um site como o MXToolbox ou da linha de comando usando o comando nslookup em um sistema Windows, Linux e Mac OS como segue:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Na tela Validar a propriedade do domínio, clique em Validar agora.

    Se o token DNS for detectado corretamente como um registro TXT em relação ao domínio, ele será validado e você poderá começar a usá-lo imediatamente. Os domínios que falham na validação inicialmente são verificados periodicamente em segundo plano, e se tornarão validados quando o token de DNS for validado corretamente.

Configurar o servidor AD FS

Para configurar a integração de SAML com o AD FS, execute as etapas abaixo:

Cuidado:

Todas as etapas subsequentes devem ser repetidas após qualquer alteração dos valores no Console de Administração da Adobe para um determinado domínio.

  1. Navegue dentro do aplicativo AD FS Management para AD FS -> Relacionamentos confiáveis -> Terceiros confiáveis que apoiam e clique em Adicionar terceiros confiáveis que apoiam para iniciar o assistente.

  2. Clique em Iniciar e selecione Importar dados de uma parte confiável de um arquivo e , a seguir, navegue até o local no qual você copiou os metadados de seu Console de Administração da Adobe.

    08_-_import_metadata
  3. Nome sua parte confiável e insira quaisquer observações, como necessário.

    Clique em Avançar.

    09_-_name_relyingpartytrust
  4. Determine se a autenticação por múltiplos fatores é necessária, e selecione a opção relevante.

    Clique em Avançar.

  5. Determine se todos os usuários podem fazer logon via AD FS.

    Clique em Avançar.

  6. Reveja suas configurações.

    Clique em Avançar.

  7. Sua parte confiável foi adicionada.

    Deixe a opção marcada para abrir a caixa de diálogo Editar as regras de reivindicação para acessar rapidamente as próximas etapas.

    Clique em Fechar.

  8. Se o assistente Editar as regras de reivindicação não foi aberto automaticamente, você pode acessá-lo a partir do aplicativo em AD FS -> Relacionamentos confiáveis -> Terceiros confiáveis que apoiam, ao selecionar sua parte confiável do Adobe SSO e ao clicar em Editar as regras de reivindicação... no lado direito.

  9. Clique em Adicionar regra e configure a regra usando o modelo Enviar atributos LDAP como reinvindicações para seu armazenamento de atributo, mapeando o Atributo LDAP de Endereços de e-mail para Tipo de Reinvindicação de Saída de Endereço de e-mail.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Observação:

    Como mostrado na captura de tela acima, sugerimos usar o endereço de e-mail como identificador principal. Não é recomendado o uso do campo Nome principal do usuário (UPN) como atributo LDAP enviado em uma declaração como o endereço de e-mail. Apesar de que seja possível usar o UPN como o atributo LDAP, essa não é uma configuração oficialmente suportada e você o faz por sua conta e risco.

    Normalmente, o UPN não mapeia para um endereço de e-mail, e será diferente em muitos casos. Isso provavelmente causará problemas para notificações e para compartilhamento de ativos na Creative Cloud.

  10. Clique em Concluir para completar a adição da regra de reinvindicação de transformação.

  11. Novamente, usando o assistente Editar Regras de Reinvindicação, adicione uma regra usando o modelo Transformar uma reivindicação de entrada para converter as Reinvindicações de entrada do tipo Endereço de e-mail com o tipo Reinvindicação de saída ID do nome e Formato de ID de nome de saída como E-mail passando através de todos os valores de reinvindicação.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Clique em Concluir para completar a adição da regra de reinvindicação de transformação.

  13. Usando o assistente Editar regras de reivindicação, adicione uma regra usando o modelo Enviar reinvindicações usando um regra personalizada contendo a seguinte regra:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Clique em Concluir para completar o assistente de regra personalizada.

  15. Clique em OK na caixa de diálogo Editar regras de reinvindicação para completar a adição dessas três regras para sua parte confiável.

    16_-_edit_claim_rules

    Observação:

    A ordem das regras de reivindicação é importante. Elas devem ser exibidas conforme mostrado aqui.

  16. Certifique-se de que sua nova Terceira parte confiável esteja selecionada e clique em Propriedades no lado direito da janela. Selecione a guia Avançado e assegure-se de que o algoritmo de hash seguro esteja definido como SHA-1.

    17_-_relying_partytrustproperties

    Observação:

    Para evitar problemas de conectividade entre sistemas onde o relógio difere por um pequeno valor, defina o time-skew padrão para 2 minutos. Para obter mais informações sobre o time-skew, consulte o documento sobre solução de problemas de erros.

Testar login único

Crie um usuário de teste com o Active Directory. Crie uma entrada no Console de Administração para este usuário e atribua-lhe uma licença. A seguir, teste o login em Adobe.com para confirmar se o software relevante está listado para download.

Você também pode testar ao efetuar o login na Creative Cloud e de um aplicativo, como o Photoshop ou o Illustrator.

Se você tiver problemas, consulte nosso documento de solução de problemas. Se precisar de ajuda com a configuração de logon único, vá até Suporte no Adobe Admin Console e abra um ticket no Suporte ao cliente.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online