Présentation

1.setup-identity

La Adobe Admin Console permet à un administrateur système de configurer les domaines utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO). Une fois que le domaine a été vérifié, le répertoire contenant ce dernier est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud. Les utilisateurs peuvent se connecter à l’aide d’adresses électroniques au sein de ce domaine via un fournisseur d’identité (IdP). Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Microsoft Active Directory Federation Services, ou AD FS. Pour utiliser AD FS, un serveur accessible à partir de stations de travail sur lesquelles les utilisateurs se connecteront et ayant accès au service d’annuaire du réseau de l’entreprise doit être configuré. Ce document a pour but de décrire le processus nécessaire pour configurer la Adobe Admin Console et un serveur de services AD FS de Microsoft pour pouvoir ouvrir une session sur des applications Adobe Creative Cloud et des sites Web associés pour l’authentification unique.

L’IdP n’a pas à être accessible depuis l’extérieur du réseau d’entreprise, mais s’il ne l’est pas, seules les stations de travail du réseau (ou connectées via un VPN) pourront effectuer l’authentification pour activer une licence ou se connecter après la désactivation de la session.


Remarque :

Les instructions et captures d’écran de ce document concernent AD FS version 3.0, mais les mêmes menus sont présents dans AD FS 2.0.

Conditions préalables

Avant de créer un répertoire pour l’authentification unique à l’aide des services AD FS de Microsoft, les conditions suivantes doivent être réunies :

  • Serveur Microsoft Windows Server installé avec Microsoft AD FS et les dernières mises à jour du système d’exploitation. Si vous souhaitez que les utilisateurs utilisent les produits Adobe avec macOS, assurez-vous que votre serveur prend en charge la version 1.2 de TLS et la confidentialité de transmission.
  • Le serveur doit être accessible depuis les postes de travail des utilisateurs (par exemple via HTTPS).
  • Certificat de sécurité obtenu à partir du serveur AD FS.
  • Tous les comptes Active Directory à associer à un compte Creative Cloud abonnement Entreprise doivent disposer d’une adresse e-mail répertoriée dans Active Directory.

Créez un répertoire dans le portail Adobe Admin Console

Pour configurer l’authentification unique pour votre domaine, procédez comme suit :

  1. Connectez-vous à Admin Console et commencez par créer un répertoire Federated ID, en sélectionnant Autres fournisseurs SAML comme fournisseur d’identité. Téléchargez le fichier de métadonnées Adobe à partir de la fenêtre Ajouter un profil SAML.
  2. Configurez AD FS en spécifiant l’URL ACS et l’ID d’entité, puis téléchargez le fichier de métadonnées du fournisseur d’identité.
  3. Retournez dans Adobe Admin Console et chargez le fichier de métadonnées du fournisseur d’identité sur l’écran Ajouter un profil SAML, puis cliquez sur Terminé.

Configuration du serveur AD FS

Pour configurer une intégration SAML avec AD FS, suivez les étapes ci-dessous :

Attention :

Toutes les étapes suivantes doivent être répétées après toute modification apportée aux valeurs dans la Adobe Admin Console pour un domaine donné.

  1. Dans l’application AD FS Management, accédez à AD FS -> Relations de confiance -> Approbations de parties de confiance et cliquez sur Ajouter une approbation de partie de confiance pour démarrer l’assistant.

  2. Cliquez sur Démarrer, sélectionnez Importer des données d’une partie de confiance à partir d’un fichier, puis accédez à l’emplacement dans lequel vous avez copié les métadonnées à partir de votre Adobe Admin Console.

    08_-_import_metadata
  3. Nommez l’approbation de votre partie de confiance et entrez des notes supplémentaires, le cas échéant.

    Cliquez sur Suivant.

    09_-_name_relyingpartytrust
  4. Déterminez si l’authentification multi-facteurs est requise et sélectionnez l’option appropriée.

    Cliquez sur Suivant.

  5. Déterminez si tous les utilisateurs peuvent se connecter via AD FS.

    Cliquez sur Suivant.

  6. Vérifiez vos paramètres.

    Cliquez sur Suivant.

  7. L’approbation de votre partie de confiance a été ajoutée.

    Laissez l’option cochée pour ouvrir la boîte de dialogue Modifier les règles de revendication afin d’accéder rapidement aux étapes suivantes.

    Cliquez sur Fermer.

  8. Si l’assistant Modifier les règles de revendication ne s’ouvre pas automatiquement, vous pouvez y accéder à partir de l’application AD FS Management sous AD FS -> Relations de confiance -> Approbations des parties de confiance, en sélectionnant l’approbation de votre partie de confiance d’authentification unique Adobe et en cliquant sur Modifier les règles de revendication... sur le côté droit.

  9. Cliquez sur Ajouter une règle et configurez une règle à l’aide du modèle Envoyer les attributs LDAP en tant que revendications pour votre magasin d’attributs, en mappant l’attribut LDAP « Adresses électroniques » au type de revendication sortante « Adresse électronique ».

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Remarque :

    Comme indiqué dans la capture d’écran ci-dessus, nous suggérons d’utiliser l’adresse électronique comme identifiant principal. Vous pouvez également utiliser le champ Nom d’utilisateur principal en tant qu’attribut LDAP envoyé dans une assertion en tant qu’adresse électronique. Toutefois, nous déconseillons de procéder ainsi pour configurer une règle de revendication.

    Souvent, le nom d’utilisateur principal ne pointe pas vers une adresse électronique et sera souvent différent. Cela entraînera probablement des problèmes pour les notifications et le partage de ressources dans Creative Cloud.

  10. Cliquez sur Terminer pour terminer l’ajout de la règle de revendication de transformation.

  11. À nouveau, à l’aide de l’assistant Modifier les règles de revendication, ajoutez une règle utilisant le modèle Transformer une revendication entrante pour convertir les revendications entrantes de type Adresse électronique avec le type de revendication sortante ID de nom et le format d’ID de nom sortant Adresse électronique, passant par toutes les valeurs de revendication.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Cliquez sur Terminer pour terminer l’ajout de la règle de revendication de transformation.

  13. À l’aide de l’assistant Modifier les règles de revendication, ajoutez une règle utilisant le modèle Envoyer les revendications en utilisant une règle personnalisée contenant la règle suivante :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Cliquez sur Terminer pour terminer l’assistant de règle personnalisée.

  15. Cliquez sur OK dans la boîte de dialogue Modifier les règles de revendication pour terminer l’ajout de ces trois règles à l’approbation de votre partie de confiance.

    16_-_edit_claim_rules

    Remarque :

    L’ordre des règles de revendication est important ; elles doivent apparaître comme indiqué ici.

Pour éviter les problèmes de connectivité entre les systèmes sur lesquels l’horloge diffère légèrement, définissez le décalage par défaut de l’heure sur 2 minutes. Pour plus d’informations sur le décalage de l’heure, consultez le document de dépannage des erreurs.

Téléchargez le fichier de métadonnées AD FS

  1. Ouvrez l’application AD FS Management sur votre serveur et dans le dossier AD FS -> Service -> Point de terminaison et sélectionnez les métadonnées Federation.

    Emplacement des métadonnées
  2. Utilisez un navigateur pour accéder à l’URL fournie en regard des métadonnées Federation et téléchargez le fichier. Par exemple, https://<votre nom d’hôte AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Remarque :

    Acceptez tous les avertissements si vous y êtes invité.

Chargement du fichier de métadonnées du fournisseur d’identité dans Adobe Admin Console

Pour mettre à jour le certificat le plus récent, repassez à Adobe Admin Console. Chargez le fichier de métadonnées téléchargé depuis AD FS vers l’écran Ajouter un profil SAML et cliquez sur Terminé.

Test d’authentification unique

Créez un utilisateur de test avec Active Directory, créez une entrée sur la Admin Console pour cet utilisateur et assignez-lui une licence, puis testez l’ouverture d’une session sur Adobe.com pour confirmer que le logiciel approprié est disponible au téléchargement.

Vous pouvez également effectuer un test en vous connectant à l’application de bureau Creative Cloud et à partir d’une application telle que Photoshop ou Illustrator.

Si vous rencontrez des problèmes, consultez notre document de dépannage. Si vous avez toujours besoin d’aide avec la configuration de l’authentification unique, accédez à Support dans la Adobe Admin Console et ouvrez un ticket avec le Service clientèle.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne