Übersicht

1.setup-identity

In diesem Dokument wird der Prozess zur Konfiguration der Adobe Admin Console mit einem Microsoft AD FS-Server hervorgehoben.

Die Möglichkeit zum Zugriff auf den IdP von außerhalb des Firmennetzwerks ist nicht unbedingt erforderlich. Anderenfalls können allerdings nur Arbeitsplätze, die sich innerhalb des Netzwerks befinden oder über ein VPN verbunden sind, die Authentifizierung durchführen, um eine Lizenz zu aktivieren oder sich anzumelden, nachdem sie ihre Sitzung deaktiviert haben.


Hinweis:

Anweisungen und Screenshots in diesem Dokument gelten für AD FS Version 3.0, aber die gleichen Menüs sind in AD FS 2.0 vorhanden.

Voraussetzungen

Bevor Sie ein Verzeichnis für die Single Sign-On mit Microsoft AD FS erstellen, müssen die folgenden Voraussetzungen erfüllt sein:

  • Ein Microsoft Windows Server, der mit Microsoft AD FS und den neuesten Betriebssystem-Updates installiert wurde.Wenn Sie möchten, dass die Benutzer Adobe-Produkte mit macOS verwenden, stellen Sie sicher, dass Ihr Server TLS Version 1.2 unterstützt und die Geheimhaltung gewährleistet. Um mehr über AD FS zu erfahren, lesen Sie Weitere Informationen finden Sie im Dokument „Microsoft Identity and Access“.
  • Der Server muss vom Arbeitsplatz der Benutzer aus erreichbar sein (z. B. über HTTPS).
  • Sicherheits-Zertifikat vom AD FS-Server.
  • Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, müssen eine E-Mail-Adresse haben, die in Active Directory aufgeführt ist.

Erstellen eines Verzeichnisses in der Adobe Admin Console

Gehen Sie wie folgt vor, um Single Sign-On für Ihre Domäne zu konfigurieren:

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, indem Sie Andere SAML-Anbieter as Identitätsanbieter auswählen. Laden Sie die Adobe-Metadatendatei vom Bildschirm SAML-Profil hinzufügen herunter.
  2. Konfigurieren Sie AD FS, indem Sie die ACS URL und die  Entitäts-ID eingeben und laden Sie die IdP-Metadaten-Datei herunter.
  3. Kehren Sie zur Adobe Admin Console zurück, laden Sie die IdP-Metadatendatei im Fenster SAML-Profil hinzufügen hoch und klicken Sie auf Fertig.

Folgen Sie den Hyperlinks, um mehr über die Details der einzelnen Schritte zu erfahren.

AD FS-Server konfigurieren

Führen Sie die folgenden Schritte aus, um die SAML-Integration mit AD FS zu konfigurieren:

Vorsicht:

Alle folgenden Schritte müssen nach jeder Änderung der Werte in der Adobe Admin Console für eine gegebene Domäne wiederholt werden.

  1. Navigieren Sie in der AD FS-Verwaltungsanwendung zu AD FS -> Vertrauensbeziehungen -> Vertrauen in den Vertrauensgeber und klicken Sie auf Vertrauen in den Vertrauensgeber hinzufügen , um den Assistenten zu starten.

  2. Klicken Sie auf Start und wählen Sie Daten von einer vertrauenden Seite aus einer Datei importieren. Navigieren Sie dann zu dem Speicherort, an den Sie die Metadaten von Ihrer Adobe Admin Console kopiert haben.

    08_-_import_metadata
  3. Benennen Sie Ihren „Relying Party Trust“ (Vertrauen in den Vertrauensgeber) und geben Sie ggf. zusätzliche Notizen ein.

    Klicken Sie auf Weiter.

    09_-_name_relyingpartytrust
  4. Stellen Sie fest, ob eine Multi-Faktor-Authentifizierung erforderlich ist, und wählen Sie die entsprechende Option aus.

    Klicken Sie auf Weiter.

  5. Stellen Sie fest, ob sich alle Benutzer über AD FS anmelden können.

    Klicken Sie auf Weiter.

  6. Überprüfen Sie Ihre Einstellungen.

    Klicken Sie auf Weiter.

  7. Ihre Vertrauensstellung für die vertrauende Seite wurde hinzugefügt.

    Lassen Sie die Option aktiviert, um den Dialog Anspruchsregeln bearbeiten zu öffnen, um schnell auf die nächsten Schritte zuzugreifen.

    Klicken sie auf Schließen.

  8. Wenn der Assistent zum Bearbeiten von Anspruchsregeln nicht automatisch geöffnet wurde, können Sie über die Anwendung AD FS-Verwaltung unter AD FS->  Vertrauensbeziehungen->  Vertrauen in den Vertrauensgeber darauf zugreifen, indem Sie die Vertrauensstellung Ihrer vertrauenden Seite von Adobe SSO auswählen und auf Anspruchsregeln bearbeiten auf der rechten Seite klicken.

  9. Klicken Sie auf Regel hinzufügen und konfigurieren Sie eine Regel mit der Vorlage LDAP-Attribute als Ansprüche senden für Ihren Attribut Store und ordnen Sie das LDAP-Attribut „E-Mail-Adressen“ dem ausgehenden Anspruchstyp „E-Mail-Adresse“ hinzu.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Hinweis:

    Wie im obigen Screenshot gezeigt, empfehlen wir, die E-Mail-Adresse als primäre Kennzeichnung zu verwenden. Die Verwendung des Benutzerprinzipalnamens (UPN) als LDAP-Attribut, das in einer Assertion als E-Mail-Adresse gesendet wird, wird nicht empfohlen. Es wird jedoch davon abgeraten, die Anspruchsregel zu konfigurieren.

    Häufig wird der UPN nicht einer E-Mail-Adresse zugeordnet und ist in vielen Fällen unterschiedlich. Dies führt höchstwahrscheinlich zu Problemen bei Benachrichtigungen und der Freigabe von Assets in Creative Cloud.

  10. Klicken Sie auf Fertigstellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  11. Fügen Sie erneut mithilfe des Assistenten zum Bearbeiten von Anspruchsregeln eine Regel mit der Vorlage Einen eingehenden Anspruch transformieren hinzu, um die eingehenden Ansprüche des Typs „E-Mail-Adresse“ mit dem ausgehenden Anspruchstyp „Namens-ID“ und „Ausgehendes Namens-ID-Format“ als „E-Mail“ zu konvertieren, wobei alle Anspruchswerte weitergeleitet werden.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klicken Sie auf Fertigstellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  13. Fügen Sie mithilfe des Assistenten zum Bearbeiten von Anspruchsregeln eine Regel mit der Vorlage Ansprüche mit einer benutzerdefinierten Regel senden hinzu, die folgende Regel enthält:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klicken Sie auf Fertig stellen, um den Assistenten für benutzerdefinierte Regeln abzuschließen.

  15. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um das Hinzufügen dieser drei Regeln zur Vertrauensstellung Ihrer vertrauenden Seite abzuschließen.

    16_-_edit_claim_rules

    Hinweis:

    Die Reihenfolge der Anspruchsregeln ist wichtig. Sie sollten wie hier gezeigt erscheinen.

Um Verbindungsprobleme zwischen Systemen zu vermeiden, bei denen sich die Uhr geringfügig unterscheidet, setzen Sie den Standardzeitversatz auf 2 Minuten. Weitere Informationen zum Zeitversatz finden Sie im Dokument Fehlerbehebung.

Laden Sie die AD FS-Metadatendatei herunter

  1. Öffnen Sie die Anwendung AD FS Management auf Ihrem Server, und wählen Sie im Ordner AD FS > Service > Endpunkte Federation Metadata.

    Metadaten-Speicherort
  2. Navigieren Sie mit einem Browser zu der URL, die für Verbundmetadaten angegeben wurde, und laden Sie die Datei herunter. Beispiel: https://<Ihr AD FS Hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Hinweis:

    Akzeptieren Sie alle Warnungen, wenn Sie dazu aufgefordert werden.

Laden Sie die IdP-Metadatendatei in die Adobe Admin Console hoch

Kehren Sie zum Aktualisieren des neuesten Zertifikats zur Adobe Admin Console zurück. Laden Sie die Metadatendatei hoch, die Sie von AD FS auf den Add SAML Profil-Bildschirm geladen haben und klicken Sie auf Fertig.

Nächste Schritte: Schließen Sie die Einrichtung ab, um den Benutzern Apps zuzuweisen

Führen Sie nach dem Einrichten Ihres Verzeichnisses die folgenden Schritte aus, damit die Benutzer Ihres Unternehmens Adobe-Apps und -Dienste verwenden können:

  1. Domänen hinzufügen und einrichten innerhalb der Admin Console.
  2. Domänen verknüpfen mit dem AD FS-Verzeichnis.
  3. (Optional) Wenn Ihre Domänen bereits in der Admin Console in einem anderen Verzeichnis eingerichtet sind, übertragen Sie sie direkt an das neu erstellte AD FS-Verzeichnis.
  4. Produktprofile hinzufügen, um die Nutzung Ihrer erworbenen Abos zu optimieren.
  5. SSO-Setup testen durch Hinzufügen eines Testbenutzers.
  6. Benutzerverwaltungsstrategie und -werkzeuge auswählen entsprechend Ihren Anforderungen. Fügen Sie dann Benutzer zur Admin Console hinzu und ordnen Sie sie Produktprofilen zu, um Benutzern den Einstieg in ihre Adobe-Apps zu erleichtern.

Weitere Informationen zu anderen identitätsbezogenen Tools und Techniken finden Sie unter Identität einrichten.

Single Sign-on-Test

Erstellen Sie einen Testbenutzer mit Active Directory, erstellen Sie einen Eintrag auf der Admin Console für diesen Benutzer und weisen Sie ihm eine Lizenz zu, dann testen Sie die Anmeldung bei Adobe.com, um zu bestätigen, dass die relevante Software für den Download aufgelistet ist.

Sie können auch testen, indem Sie sich bei Creative Cloud Desktop und in einer Anwendung wie Photoshop oder Illustrator anmelden.

Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung. Wenn Sie Unterstützung bei der Konfiguration von Single Sign-On mit benötigen, navigieren Sie zu Support in der Adobe Admin Console und öffnen Sie ein Ticket an den Support.