Benutzerhandbuch Abbrechen

Konfigurieren von Microsoft AD FS für die Verwendung mit Adobe SSO

  1. Adobe Unternehmen und Teams – Administrationshandbuch
  2. Bereitstellungsplanung
    1. Grundbegriffe
      1. Lizenzierung
      2. Identität
      3. Benutzerverwaltung
      4. Applikationsbereitstellung
      5. Übersicht über die Admin Console
      6. Administratorrollen
    2. Bereitstellungshandbücher
      1. Bereitstellungshandbuch für die personengebundene Lizenzierung
      2. Bereitstellungshandbuch für die Lizenzierung für gemeinsam genutzte Geräte
      3. Bereitstellen von Adobe Acrobat 
    3. Bereitstellen von Creative Cloud für Bildungseinrichtungen
      1. Bereitstellungsstartseite
      2. Onboarding-Assistent für Schulen
      3. Einfache Einrichtung
      4. Benutzer synchronisieren
      5. Synchronisation von Klassenlisten (USA)
      6. Wichtige Lizenzierungskonzepte
      7. Bereitstellungsoptionen
      8. Kurze Tipps
      9. Genehmigen von Adobe-Anwendungen in der Google Admin Console
      10. Aktivieren Sie Adobe Express in Google Classroom
      11. Integration mit Canvas LMS
      12. Integration mit Blackboard Learn
      13. Konfigurieren von SSO für Verbandsportale und Lernmanagementsysteme
      14. Hinzufügen von Benutzern über die Synchronisation von Klassenlisten
      15. Kivuto – Häufige Fragen
      16. Richtlinien für die Berechtigungen für Grund- und weiterführende Schulen
  3. Einrichten der Organisation
    1. Identitätstypen | Übersicht
    2. Einrichten der Identität | Übersicht
    3. Einrichten der Organisation mit Enterprise ID
    4. Einrichten von Azure AD-Verbund und -Synchronisation
      1. Einrichten von SSO mit Microsoft über Azure OIDC
      2. Hinzufügen von Azure Sync zum Verzeichnis
      3. Rollensynchronisation im Bildungsbereich
      4. Häufig gestellte Fragen zum Azure-Connector
    5. Einrichten von Google-Verbund und -Synchronisation
      1. Einrichten von SSO mit dem Google-Verbund
      2. Hinzufügen von Google Sync zum Verzeichnis
      3. Häufige Fragen zum Google-Verbund
    6. Einrichten einer Organisation mit Microsoft ADFS
    7. Einrichten einer Organisation für Distriktsportale und LMS
    8. Einrichten einer Organisation mit anderen Identitätsanbietern
      1. Erstellen eines Verzeichnisses
      2. Bestätigen des Eigentums an einer Domäne
      3. Hinzufügen von Domänen zu Verzeichnissen
    9. Häufige Fragen und Fehlerbehebung zu SSO
      1. Häufige Fragen zu SSO
      2. Fehlerbehebung bei SSO
      3. Häufige Fragen zu Bildungseinrichtungen
  4. Verwalten der Einrichtung von Organisationen
    1. Verwalten bestehender Domänen und Verzeichnisse
    2. Aktivieren der automatischen Kontoerstellung
    3. Einrichten einer Organisation über Bevollmächtigte für Verzeichnisse
    4. Migrieren zu einem neuen Authentifizierungsanbieter 
    5. Elementeinstellungen
    6. Authentifizierungseinstellungen
    7. Datenschutz- und Sicherheitskontakte
    8. Konsoleneinstellungen
    9. Verwalten der Verschlüsselung  
  5. Verwalten von Benutzern
    1. Übersicht
    2. Administratorrollen
    3. Strategien zur Benutzerverwaltung
      1. Verwalten einzelner Benutzer   
      2. Verwalten mehrerer Benutzer (Massen-CSV)
      3. Benutzer-Synchronisationstool (UST)
      4. Microsoft Azure Sync
      5. Google Federation Sync
    4. Zuweisen von Lizenzen zu Teams-Benutzern
    5. Hinzufügen von Benutzern mit übereinstimmenden E‑Mail-Domänen
    6. Ändern des Identitätstyps eines Benutzers
    7. Verwalten von Benutzergruppen
    8. Verwalten von Verzeichnisbenutzern
    9. Verwalten von Entwicklern
    10. Migrieren bestehender Benutzer zur Adobe Admin Console
    11. Migrieren der Benutzerverwaltung in die Adobe Admin Console
  6. Verwalten von Produkten und Berechtigungen
    1. Verwalten von Produkten und Produktprofilen
      1. Verwalten von Produkten
      2. Kaufen von Produkten und Lizenzen
      3. Verwalten von Produktprofilen für Unternehmensbenutzer
      4. Verwalten von Regeln für die automatische Zuordnung
      5. Erteilen der Benutzungsberechtigung zum Trainieren von Firefly Custom Models
      6. Produktanforderungen überprüfen
      7. Verwalten von Self-Service-Richtlinien
      8. Verwalten von Programmintegrationen
      9. Verwalten von Produktberechtigungen in der Admin Console  
      10. Aktivieren/Deaktivieren von Services für ein Produktprofil
      11. Einzelprodukt | Creative Cloud für Unternehmen
      12. Optionale Services
    2. Verwalten von Lizenzen für gemeinsam genutzte Geräte
      1. Neue Funktionen
      2. Bereitstellungshandbuch
      3. Erstellen von Paketen
      4. Wiederherstellen von Lizenzen
      5. Verwalten von Profilen
      6. Licensing Toolkit
      7. Häufige Fragen zur Lizenzierung für gemeinsam genutzte Geräte
  7. Erste Schritte mit der Global Admin Console
    1. Einführung der globalen Administration
    2. Auswählen der Organisation
    3. Verwalten der Organisationshierarchie
    4. Verwalten von Produktprofilen
    5. Verwalten von Administratoren
    6. Verwalten von Benutzergruppen
    7. Aktualisieren von Organisationsrichtlinien
    8. Verwalten von Richtlinienvorlagen
    9. Zuordnen von Produkten zu untergeordneten Organisationen
    10. Ausführen ausstehender Aufträge
    11. Auswertung
    12. Exportieren oder Importieren der Organisationsstruktur
  8. Verwalten von Speicher und Assets
    1. Speicher
      1. Verwalten des Enterprise-Speichers
      2. Adobe Creative Cloud: Update des Speichers
      3. Verwalten des Adobe-Speichers
    2. Asset-Migration
      1. Automatisierte Elementmigration
      2. Häufige Fragen zur automatisierten Elementmigration  
      3. Verwalten von übertragenen Assets
    3. Rückübertragen von Elementen eines Benutzers
    4. Elementmigration für Schüler/Studierende | nur Bildungseinrichtungen
      1. Automatische Elementmigration für Schüler/Studierende
      2. Migrieren von Assets
  9. Verwalten von Services
    1. Adobe Stock
      1. Adobe Stock-Credit-Packs für Teams
      2. Adobe Stock für Unternehmen
      3. Verwenden von Adobe Stock für Unternehmen
      4. Genehmigung von Adobe Stock-Lizenzen
    2. Benutzerdefinierte Schriften
    3. Adobe Asset Link
      1. Übersicht
      2. Erstellen einer Benutzergruppe
      3. Konfigurieren von Adobe Experience Manager-Assets
      4. Konfigurieren und Installieren von Adobe Asset Link
      5. Verwalten von Assets
      6. Adobe Asset Link für XD
    4. Adobe Acrobat Sign
      1. Adobe Acrobat Sign für Unternehmen oder Teams einrichten
      2. Adobe Acrobat Sign – Team-Funktionsadministrator
      3. Adobe Acrobat Sign in der Admin Console verwalten
    5. Creative Cloud für Unternehmen – kostenloses Abo
      1. Übersicht
  10. Bereitstellen von Applikationen und Updates
    1. Übersicht
      1. Bereitstellen und Verteilen von Applikationen und Updates
      2. Planen der Bereitstellung
      3. Vorbereiten der Bereitstellung
    2. Erstellen von Paketen
      1. Erstellen von Paketen mit Applikationen über die Admin Console
      2. Erstellen von Paketen für die personengebundene Lizenzierung
      3. Adobe-Vorlagen für Pakete
      4. Verwalten von Paketen
      5. Verwalten von Gerätelizenzen
      6. Seriennummernlizenzierung
    3. Anpassen von Paketen
      1. Anpassen des Creative Cloud-Clients
      2. Einschließen von Erweiterungen im Paket
    4. Bereitstellen von Paketen 
      1. Bereitstellen von Paketen
      2. Bereitstellen von Adobe-Paketen mit Microsoft Intune
      3. Bereitstellen von Adobe-Paketen mit SCCM
      4. Bereitstellen von Adobe-Paketen mit ARD
      5. Installieren von Produkten im Ordner „Exceptions“
      6. Deinstallieren von Creative Cloud-Produkten
      7. Adobe Provisioning Toolkit Enterprise Edition
      8. Lizenzbezeichner für Adobe Creative Cloud
    5. Verwalten von Updates
      1. Änderungsmanagement für Adobe-Unternehmens- und ‑Team-Kunden
      2. Bereitstellen von Updates
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST – Übersicht
      2. Einrichten des internen Updateservers
      3. Verwalten des internen Updateservers
      4. Übliche Applikationsfälle von AUSST   
      5. Beheben von Problemen mit dem internen Updateserver
    7. Adobe Remote Update Manager (RUM)
      1. Verwenden von Adobe Remote Update Manager
      2. Beheben von RUM-Fehlern
    8. Fehlerbehebung
      1. Beheben von Fehlern bei der Installation und Deinstallation von Creative Cloud-Applikationen
      2. Abfragen der Clientcomputer zum Überprüfen der Bereitstellung eines Pakets
      3. Creative Cloud Packager-Fehlermeldung „Installationsfehler“
  11. Verwalten des Teams-Kontos
    1. Übersicht
    2. Aktualisieren von Rechnungsangaben
    3. Verwalten von Rechnungen
    4. Ändern des Vertragseigentümers
    5. Ändern deines Abos
    6. Wechseln des Fachhändlers
    7. Kündigen des Abos
    8. Einhalten von Kaufaufträgen
    9. Verwalten von Teams in Adobe Express
  12. Verlängerungen
    1. Teams-Abonnement: Verlängerungen
    2. VIP für Unternehmen: Verlängerungen und Einhaltung der Lizenzbestimmungen
  13. Verwalten von Verträgen
    1. Automatisierte Verfallsstufen für ETLA-Verträge
    2. Umschalten von Vertragsarten innerhalb einer bestehenden Adobe Admin Console
    3. Value Incentive Plan (VIP) in China
    4. VIP Select-Hilfe
  14. Berichte und Protokolle
    1. Administratorprotokoll
    2. Zuweisungsberichte
    3. Inhaltsprotokolle
  15. Hilfe
    1. Kontaktaufnahme mit der Adobe-Kundenunterstützung
    2. Supportoptionen für Teams-Konten
    3. Supportoptionen für Unternehmenskonten
    4. Supportoptionen für Experience Cloud

Übersicht

In diesem Dokument wird beschrieben, wie Sie die Adobe Admin Console mit einem Microsoft AD FS-Server konfigurieren.

Der Identitätsanbieter muss zwar nicht von außerhalb des Firmennetzwerks zugänglich sein, dann können jedoch nur Workstations innerhalb des Netzwerks (oder über VPN verbundene Workstations) Authentifizierungen durchführen, um eine Lizenz zu aktivieren oder sich anzumelden, nachdem sie ihre Sitzung deaktiviert haben.

Einrichten von SSO mit Microsoft AD FS (Ansehen: 17 Min.)
Hinweis:

Anweisungen und Screenshots in diesem Dokument beziehen sich auf AD FS, Version 3.0, in AD FS 2.0 sind jedoch die gleichen Menüs vorhanden.

Voraussetzungen

Bevor Sie ein Verzeichnis für Single Sign-on mit Microsoft AD FS konfigurieren können, müssen die folgenden Anforderungen erfüllt sein:

  • Ein Microsoft Windows-Server mit Microsoft AD FS und den neuesten Betriebssystemupdates ist installiert. Wenn Benutzer Adobe-Produkte mit macOS verwenden sollen, stellen Sie sicher, dass Ihr Server TLS, Version 1.2, und Forward Secrecy unterstützt. Weitere Informationen über AD FS finden Sie im Microsoft-Dokument Active Directory-Verbunddienste (AD FS).
  • Die Workstations der Benutzer müssen auf den Server zugreifen können (z. B. über HTTPS).
  • Das Sicherheitszertifikat wurde vom AD FS-Server abgerufen.
  • Zu allen Active Directory-Konten, die einem Konto für Creative Cloud für Unternehmen zugeordnet werden sollen, muss in Active Directory eine E‑Mail-Adresse verzeichnet sein.

Verzeichnis in der Adobe Admin Console erstellen

Zum Konfigurieren von Single Sign-on für Ihre Domäne müssen Sie die folgenden Schritte ausführen: 

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, wobei Sie Andere SAML-Anbieter als Identitätsanbieter auswählen. Laden Sie die Adobe-Metadatendatei aus dem Assistenten Verzeichnis erstellen herunter.
  2. Konfigurieren Sie AD FS, indem Sie die ACS URL und die Entity ID angeben und die IdP-Metadatendatei herunterladen.
  3. Kehren Sie zur Adobe Admin Console zurück, um im Assistenten Verzeichnis erstellen die IdP-Metadatendatei hochzuladen. Wählen Sie dann Weiter, richten Sie die automatische Kontoerstellung ein und wählen Sie „Fertig“.

Folgen Sie den Links, um Einzelheiten zu den einzelnen Schritten abzurufen.

AD FS-Server konfigurieren

Um die SAML-Integration mit AD FS zu konfigurieren, führen Sie die folgenden Schritte aus:

Vorsicht:

Alle folgenden Schritte müssen nach jeder Änderung an den Werten in der Adobe Admin Console für eine bestimmte Domäne erneut ausgeführt werden.

  1. Navigieren Sie in der AD FS-Verwaltungsanwendung zu AD FS > Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen, um den Assistenten zu starten.

  2. Klicken Sie auf Starten und wählen Sie Daten über die vertrauende Seite aus einer Datei importieren. Navigieren Sie dann zu dem Speicherort, an den Sie die Metadaten aus der Adobe Admin Console kopiert haben.

  3. Legen Sie einen Namen für die Vertrauensstellung der vertrauenden Seite fest und geben Sie nach Bedarf zusätzliche Anmerkungen ein.

    Klicken Sie auf Weiter.

  4. Bestimmen Sie, ob Mehrstufige Authentifizierung erforderlich ist, und wählen Sie die entsprechende Option aus.

    Klicken Sie auf Weiter.

  5. Ermitteln Sie, ob sich alle Benutzer über AD FS anmelden können.

    Klicken Sie auf Weiter.

  6. Überprüfen Sie die Einstellungen.

    Klicken Sie auf Weiter.

  7. Die Vertrauensstellung der vertrauenden Seite wurde hinzugefügt.

    Lassen Sie die Option aktiviert, um das Dialogfeld Anspruchsregeln bearbeiten zu öffnen und schnell auf die nächsten Schritte zuzugreifen.

    Klicken Sie auf Schließen.

  8. Wenn der Assistent Anspruchsregeln bearbeiten nicht automatisch geöffnet wird, können Sie ihn über die AD FS-Verwaltungsanwendung unter AD FS > Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite aufrufen, indem Sie die Adobe SSO-Vertrauensstellung der vertrauenden Seite auswählen und auf der rechten Seite auf Anspruchsregeln bearbeiten klicken.

  9. Klicken Sie auf Regel hinzufügen und konfigurieren Sie eine Regel mit der Vorlage LDAP-Attribute als Ansprüche senden für Ihren Attributspeicher, wobei Sie das LDAP-Attribut „E-Mail-Addresses“ dem Typ des ausgehenden Anspruchs „E-Mail Address“ zuordnen.

    Hinweis:

    Es wird empfohlen, wie im Screenshot oben die E-Mail-Adresse als primäre Kennung zu verwenden. Sie können auch den Benutzerprinzipalnamen (UPN) als LDAP-Attribut verwenden, das in einer Zusicherung als E-Mail-Adresse gesendet wird. Beim Konfigurieren der Anspruchsregel wird dies jedoch nicht empfohlen.

    Der UPN ist oft keiner E-Mail-Adresse zugeordnet und unterscheidet sich in vielen Fällen von dieser. Dies führt höchstwahrscheinlich zu Problemen bei der Benachrichtigung und Freigabe von Elementen in Creative Cloud.

  10. Klicken Sie auf Fertig stellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  11. Fügen Sie wiederum mit dem Assistenten Anspruchsregeln bearbeiten eine Regel mit der Vorlage Eingehenden Anspruch transformieren hinzu, um eingehende Ansprüche vom Typ „E-Mail-Adresse“ in den Typ des ausgehenden Anspruchs „Namens-ID“ und das ID-Format des ausgehenden Namens in „E‑Mail“ umzuwandeln, wobei alle Anspruchswerte übergeben werden.

  12. Klicken Sie auf Fertig stellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  13. Fügen Sie mit dem Assistenten Anspruchsregeln bearbeiten eine Regel mit der Vorlage Ansprüche mithilfe einer benutzerdefinierten Regel senden und der folgenden Regel hinzu:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Klicken Sie auf Fertig stellen, um den Assistenten für benutzerdefinierte Regeln abzuschließen.

  15. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um das Hinzufügen dieser drei Regeln zur Vertrauensstellung der vertrauenden Seite abzuschließen.

    Hinweis:

    Die Reihenfolge der Anspruchsregeln ist wichtig und muss der Abbildung hier entsprechen.

Legen Sie den Standardzeitversatz auf 2 Minuten fest, um Verbindungsprobleme zwischen Systemen zu vermeiden, bei denen die Uhrzeiten geringfügig abweichen. Weitere Informationen zum Zeitversatz finden Sie im Dokument Fehlerbehebung.

AD FS-Metadatendatei herunterladen

  1. Öffnen Sie die AD FS-Verwaltungsanwendung auf Ihrem Server und wählen Sie im Ordner AD FS > Dienst > Endpunkte die Option Verbundmetadaten aus.

    Speicherort der Metadaten

  2. Verwenden Sie einen Browser, um zu der URL zu navigieren, die für Verbundmetadaten angegeben wurde, und laden Sie die Datei herunter. Beispiel: https://<Ihr AD FS-Hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Hinweis:
    • Akzeptieren Sie alle Warnungen, wenn Sie dazu aufgefordert werden.
    • So ermitteln Sie den Microrsoft AD FS-Hostname unter einem Windows-Betriebssystem:
      Öffnen Sie Windows PowerShell > Als Administrator ausführen > Geben Sie Get-AdfsProperties ein > Drücken Sie die Eingabetaste > Suchen Sie in der Liste mit Details nach Hostname.

IdP-Metadatendatei in die Adobe Admin Console hochladen

Um das neueste Zertifikat zu aktualisieren, kehren Sie zum Fenster der Adobe Admin Console zurück. Laden Sie die aus AD FS heruntergeladene Metadatendatei auf der Seite SAML-Profil hinzufügen hoch und klicken Sie auf Fertig.

Nächste Schritte: Einrichtung abschließen, um Benutzern Anwendungen zuzuweisen

Nachdem Sie das Verzeichnis eingerichtet haben, gehen Sie wie folgt vor, um den Benutzern Ihrer Organisation die Verwendung von Adobe-Anwendungen und -Services zu ermöglichen:

  1. In der Admin Console Domänen hinzufügen und einrichten
  2. Im AD FS-Verzeichnis Domänen zuordnen
  3. (Optional) Wenn Ihre Domänen in der Admin Console bereits in einem anderen Verzeichnis eingerichtet sind, übertragen Sie sie direkt an das neu erstellte AD FS-Verzeichnis.
  4. Produktprofile hinzufügen, um die Nutzung Ihrer gebuchten Abonnements zu optimieren
  5. SSO-Einrichtung testen, indem Sie einen Testbenutzer hinzufügen
  6. Wählen Sie die Benutzerverwaltungsstrategie und -Tools, die Ihren Anforderungen entsprechen. Fügen Sie dann Benutzer zur Admin Console hinzu und weisen Sie sie Produktprofilen zu, damit Benutzer ihre Adobe-Anwendungen verwenden können.

Weitere Informationen zu anderen Tools und Verfahren zur Identitätsverwaltung finden Sie unter Einrichten der Identität.

Single Sign-on testen

Erstellen Sie mit Active Directory einen Testbenutzer: Erstellen Sie in der Admin Console einen Eintrag für diesen Benutzer und weisen Sie ihm eine Lizenz zu. Testen Sie dann das Anmelden bei Adobe.com, um sich zu vergewissern, dass die relevante Software für den Download aufgelistet ist.

Sie können sich zum Testen auch aus einer Anwendung wie Photoshop oder Illustrator bei Creative Cloud Desktop anmelden.

Wenn Probleme auftreten, lesen Sie das Dokument zur Problembehandlung. Wenn Sie bei der Konfiguration von Single Sign-on weitere Hilfe benötigen, navigieren Sie in der Adobe Admin Console zu Support und erstellen Sie ein Support-Ticket.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14. bis 16. Oktober in Miami Beach und online

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14. bis 16. Oktober in Miami Beach und online