Übersicht

Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden.

Sobald der Besitz einer Domäne mithilfe eines DNS-Tokens demonstriert und mit einem Federated ID-Verzeichnis verknüpft wurde, können sich Benutzer mit E-Mail-Adressen in der beanspruchten Creative Cloud über ein Identity Provider-System (IdP) bei entsprechenden Konten anmelden wurden in der entsprechenden Adobe Admin Console erstellt.  

Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Ein solcher IdP ist WSO2-Ellucian Ethos, ein cloudbasierter Dienst, der eine sichere Identitätsverwaltung ermöglicht.

Dieses Dokument beschreibt den Vorgang, der notwendig ist, die Adobe Admin Console und The WSO2 Identity Server zu konfigurieren, sodass Sie sich bei Adobe Creative Cloud-Applikationen und zu verknüpften Website für Single Sign-On anmelden können.

Die Möglichkeit zum Zugriff auf den IdP von außerhalb des Firmennetzwerks ist nicht unbedingt erforderlich. Ist dies nicht möglich, können allerdings nur Arbeitsplätze, die sich innerhalb des Netzwerks befinden oder über ein VPN verbunden sind, die Authentifizierung durchführen, um eine Lizenz zu aktivieren oder sind anzumelden, nachdem sie ihre Sitzung deaktiviert haben.

Voraussetzungen

Stellen Sie vor dem Konfigurieren einer Domäne für die einmalige Anmeldung mit WSO2 Identity Server sicher, dass die folgenden Anforderungen erfüllt sind:

  • Ein freigegebener Ordner in Ihrer Adobe Admin Console ist so festgelegt, dass die Federated ID entweder auf die Konfiguration wartet oder zuvor für einen anderen Identitätsprovider konfiguriert wurde
  • Die relevante Domäne wurde in Ihrem „Federated“ Ordner beansprucht
  • Ein WSO2-Server ist installiert.
  • Der Server muss vom Arbeitsplatz der Benutzer aus erreichbar sein (z. B. über HTTPS)
  • Sicherheitszertifikat von den Keystores erhalten
  • Alle Active Directory-Konten, die mit Creative Cloud für Unternehmen-Konten verknüpft werden sollen, haben eine E-Mail-Adresse, die in Active Directory aufgeführt ist.

Konfigurieren Sie Ihren Ordner in der Adobe Admin Console

  1. Navigieren Sie zur WSO2 Identity Verwaltungskonsole.

  2. Speichern Sie das IDP-Signaturzertifikat (X.509) aus der Liste der Keystores.

    IDP-Signaturzertifikat

    Um Single Sign-On für Ihren Ordner zu konfigurieren, geben Sie die erforderlichen Informationen in Ihre Adobe Admin Console ein.

  3. Laden Sie das von Ihnen gespeicherte IdP-Zertifikat hoch.

  4. Wählen Sie in der Liste IdP-Bindung die Option HTTP - Redirect.

  5. Wählen Sie in der Liste Benutzeranmeldungseinstellungen die Option E-Mail.

  6. Geben Sie Ethos als IdP-Aussteller ein.

    Zum Beispiel ethos.xyz.edu oder ethos.xyz.org oder ethos.xyz.com

  7. Geben Sie im Feld IdP-Anmelde-URL https://ethos/<domain_name>/samlsso ein.

    Beispiel: https://ethos.xyz.org/samlsso

    Configure Directory
  8. Klicken Sie auf „Speichern“.

  9. Um die SAML-XML-Metadatendaten auf Ihrem Computer zu speichern, klicken Sie auf Metadaten herunterladen

  10. Aktivieren Sie das Kontrollkästchen Ich muss die Konfiguration mit meinem Identitätsanbieter ausfüllen.

  11. Klicken Sie auf FERTIG, um die Konfiguration Ihres Ordners abzuschließen.

Registrieren Sie einen neuen Dienstanbieter

Führen Sie die folgenden Schritte aus, um einen Dienstanbieter zu registrieren:

  1. Wechseln Sie zur WSO2 Identity Server-Verwaltungskonsole.

  2. Navigieren Sie auf dem WSO2-Server zu Identity > Dienstanbieter > Hinzufügen.

  3. Geben Sie im Feld Dienstanbietername den gewünschten Namen ein.

  4. Geben Sie im Feld Beschreibung die Beschreibung des Dienstanbieters ein.

  5. Klicken Sie auf Registrieren.

    WSO2 Identity Server
  6. Führen Sie unter Claim Configuration (Anspruchskonfiguration) die folgenden Schritte aus:

    Anspruchskonfigurationsleiste
    1. Wählen Sie die Option Benutzerdefinierten Anspruchsdialekt definieren.
    2. Fügen Sie drei Anspruchs-URIs -Attribute hinzu.
      1. Fügen Sie die folgenden Werte für Dienstanbieteransprüche hinzu.
        • E-Mail
        • Vorname
        • Nachname
      2. Fügen Sie die folgenden Lokalen Anspruchs-Werte hinzu.
        • http://wso2.org/claims/emailaddress
        • http://wso2.org/claims/givenname 
        • http://wso2.org/claims/lastname
    3. Wählen Sie in der Liste Subject Claim URI (Betreff Anspruchs-URI) E-Mail .
    4. Um Änderungen zu speichern, klicken Sie auf Update.
    Anspruchskonfiguration
  7. Öffnen Sie gespeicherte Adobe Metadaten von der Admin-Konsole.

    Adobe Metadaten
    1. Kopieren Sie denentityIDFeld -Wert und bewahren Sie ihn für die weitere Verwendung auf.
    2. Kopieren Sie den Feld-Wert Speicherort und bewahren Sie ihn für die weitere Verwendung auf.
  8. Navigieren Sie auf dem Bildschirm Neuen Dienstanbieter registrieren zu Konfiguration der eingehenden Authentifizierung > SAML2 Web SSO-Konfiguration.

  9. Um den Dienstleister zu bearbeiten, klicken Sie in der Spalte Aktionen auf den entsprechenden Link Bearbeiten.

    SAML2-Web-SSO-Konfiguration
  10. Versuchen Sie eine der folgenden Schritte:

    1. Geben Sie in das Feld Issuer den FeldwertentityIDein, der aus den Adobe-Metadaten kopiert wurde.

    2. Geben Sie im Feld Assertion Consumer URLs den Wert für das Feld „Speicherort“ ein, der aus Adobe Metadaten kopiert wurde, und klicken Sie auf Hinzufügen.

    3. Geben Sie im Feld NameID-Format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress ein.

    4. Stellen Sie in den Listen Response Signing Algorithm und Response Signing Algorithm sicher, dass der ausgewählte Wert mit sha1 endet.

    5. Aktivieren Sie das Kontrollkästchen Attributprofil aktivieren und Attribute immer in der Antwort einschließen. Klicken Sie auf Aktualisieren.

     

    register_new_serviceprovider1

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie