Présentation

La console d’administration Adobe permet à un administrateur système de configurer les domaines utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO). Une fois la propriété d’un domaine prouvée à l’aide d’un jeton DNS, le domaine peut être configuré pour permettre aux utilisateurs de se connecter à Creative Cloud. Les utilisateurs peuvent se connecter à l’aide d’adresses électroniques au sein de ce domaine via un fournisseur d’identité (IdP). Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Microsoft Active Directory Federation Services, ou ADFS. Pour utiliser ADFS, un serveur accessible à partir de stations de travail sur lesquelles les utilisateurs se connecteront et ayant accès au service d’annuaire du réseau de l’entreprise doit être configuré. Ce document a pour but de décrire le processus nécessaire pour configurer la console d’administration Adobe et un serveur de services ADFS de Microsoft pour pouvoir ouvrir une session sur des applications Adobe Creative Cloud et des sites Web associés pour l’authentification unique.

L’IdP n’a pas à être accessible depuis l’extérieur du réseau d’entreprise, mais s’il ne l’est pas, seules les stations de travail du réseau (ou connectées via un VPN) pourront effectuer l’authentification pour activer une licence ou se connecter après la désactivation de la session.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique à l’aide des services ADFS de Microsoft, les conditions suivantes doivent être réunies :

  • Répertoire approuvé sur votre console d’administration Adobe défini pour Federated ID qui attend d’être configuré ou qui a déjà été configuré pour un autre IdP
  • Le domaine pertinent a été revendiqué dans votre répertoire fédéré
  • Serveur Microsoft Windows Server installé avec Microsoft AD FS et les dernières mises à jour du système d’exploitation.
  • Le serveur doit être accessible depuis les postes de travail des utilisateurs (par exemple via HTTPS)
  • Certificat de sécurité obtenu à partir du serveur ADFS
  • Tous les comptes d’Active Directory à associer à Creative Cloud pour le compte Enterprise doivent posséder une adresse électronique figurant dans Active Directory.

Les processus de configuration d’un répertoire et de revendication d’un domaine sur votre console d’administration sont décrits sur la page Configurer l’identité. Une fois ajouté, un répertoire peut être configuré pour l’authentification unique avant qu’un domaine ne soit revendiqué, mais pour créer des utilisateurs Federated ID, vous devez revendiquer le nom de domaine dans lequel ils se trouvent.

Le nom du répertoire est arbitraire, mais le domaine lié à votre répertoire doit correspondre entièrement à la partie de l’adresse électronique située après le symbole '@'. Si vous souhaitez également utiliser des sous-domaines, ils doivent être revendiqués séparément.

Remarque :

Les instructions et captures d’écran de ce document concernent AD FS version 3.0, mais les mêmes menus sont présents dans AD FS 2.0.

Téléchargement du certificat de signature jeton

  1. Ouvrez l’application AD FS Management sur votre serveur et dans le dossier AD FS -> Service -> Certificats, sélectionnez le certificat de signature jeton. Pour ouvrir la fenêtre de propriétés du certificat, cliquez sur Afficher le certificat.

    token_signing_certificate
  2. Dans l’onglet Détails, cliquez sur Copier dans le fichier et utilisez l’assistant pour enregistrer le certificat sous forme de fichier .CER X.509 encodé en base 64. Ce format est équivalent à un certificat au format PEM.

    02_-_certificateexportwizard

Configuration de votre répertoire sur la console d’administration Adobe

Pour configurer l’authentification unique pour votre répertoire, entrez les informations requises dans votre console d’administration Adobe et téléchargez les métadonnées pour la configuration de votre serveur Microsoft AD FS.

  1. Connectez-vous à votre console d’administration et accédez à Paramètres > Identité.

  2. Accédez à l’onglet Répertoires.

  3. Cliquez sur Configurer en regard du répertoire que vous souhaitez configurer.

    03_-_configure_directory
  4. Téléchargez le certificat que vous avez enregistré dans votre serveur Microsoft AD FS.

  5. Sélectionnez HTTP - Redirect comme liaison IDP.

  6. Sélectionnez Adresse électronique comme paramètre de connexion de l’utilisateur.

  7. Sur votre serveur AD FS dans l’application AD FS Management, sélectionnez l’entrée en haut de l’arborescence, AD FS, puis cliquez sur Modifier les propriétés du service de fédération. Sous l’onglet Général de la fenêtre contextuelle, copiez l’identificateur de service de fédération.

    Par exemple, http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Collez l’identificateur de service de fédération que vous venez de copier dans votre console d’administration Adobe dans le champ Émetteur de l’IDP.

    Remarque :

    Le champ Émetteur de l’IDP est utilisé pour identifier le serveur et n’est pas une URL à laquelle les utilisateurs accèdent lorsqu’ils se connectent au serveur.Pour des raisons de sécurité, votre serveur AD FS ne doit être accessible que via HTTPS, et non via le protocole HTTP non sécurisé.

  9. Obtenez le nom d’hôte de votre serveur IdP (c’est souvent le même que le nom du service de fédération), ajoutez le protocole https:// et ajoutez le chemin /adfs/ls pour construire l’URL de connexion de l’IdP.

    Par exemple : https://adfs.example/com/adfs/ls/

  10. Entrez l’URL de connexion IdP sur votre console d’administration Adobe.

  11. Cliquez sur Enregistrer.

    admin_console_-_adfs-configuredirectory
  12. Pour enregistrer le fichier de métadonnées XML SAML sur votre ordinateur, cliquez sur Télécharger les métadonnées. Ce fichier sera utilisé pour configurer une approbation de partie de confiance sur votre serveur AD FS dans la suite de ce document.

  13. Cochez la case pour confirmer que vous comprenez la nécessité de terminer la configuration avec votre fournisseur d’identité. Cette opération sera effectuée dans les prochaines étapes sur votre serveur AD FS.

    configure_directoryanddownloadmetadata
  14. Copiez le fichier de métadonnées XML sur votre serveur AD FS afin de pouvoir l’importer dans l’application AD FS Management.

  15. Cliquez sur Terminer pour terminer la configuration de votre répertoire.

Ajout d’un ou de plusieurs domaines à votre répertoire

  1. Dans la console d’administration Adobe, accédez à Paramètres > Identité.

  2. Dans l’onglet Domaines, cliquez sur Ajouter des domaines.

  3. Dans l’écran Entrer des domaines, entrez une liste de 15 domaines, puis cliquez sur Ajouter des domaines.

  4. Dans l’écran Ajouter des domaines, vérifiez la liste des domaines et cliquez sur Ajouter des domaines.

  5. Vos domaines sont maintenant ajoutés à la console d’administration. Cependant, vous devez toujours démontrer la propriété de ces domaines.

  6. Sur la page Domaines, cliquez sur valider le domaine pour tout domaine nécessitant une validation.

  7. Copiez le jeton DNS affiché en cliquant sur la valeur d’enregistrement de copie, et sur votre configuration DNS, créez un enregistrement TXT contenant ce jeton pour les paramètres de chaque domaine que vous avez ajouté afin de les valider.

    Ce jeton sera le même pour tous les domaines ajoutés dans votre console d’administration Adobe, de sorte qu’il peut être réutilisé pour d’autres domaines ajoutés ultérieurement.

    Le jeton n’a pas besoin de rester en place une fois qu’un domaine a été validé.

    validate_domain_ownership
  8. Vous pouvez vérifier si un enregistrement TXT a été propagé vers d’autres serveurs DNS en ligne à l’aide d’un site Web tel que MXToolbox ou depuis la ligne de commande à l’aide de la commande nslookup sur un système Windows, Linux ou Mac OS, comme suit :

    $ nslookup
    > set TYPE=TXT
    > exemple.com
    [..]
    exemple.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Dans l’écran Valider la propriété du domaine, cliquez sur Valider maintenant.

    Si le jeton DNS est correctement détecté comme un enregistrement TXT par rapport au domaine, il sera validé et vous pourrez commencer à l’utiliser immédiatement. Les domaines qui ne sont pas validés initialement sont vérifiés périodiquement en arrière-plan et seront validés une fois que le jeton DNS aura été correctement validé.

Configuration du serveur ADFS

Pour configurer une intégration SAML avec ADFS, suivez les étapes ci-dessous :

Attention :

Toutes les étapes suivantes doivent être répétées après toute modification apportée aux valeurs dans la console d’administration Adobe pour un domaine donné.

  1. Dans l’application AD FS Management, accédez à AD FS -> Relations de confiance -> Approbations de parties de confiance et cliquez sur Ajouter une approbation de partie de confiance pour démarrer l’assistant.

  2. Cliquez sur Démarrer, sélectionnez Importer des données d’une partie de confiance à partir d’un fichier, puis accédez à l’emplacement dans lequel vous avez copié les métadonnées à partir de votre console d’administration Adobe.

    08_-_import_metadata
  3. Nommez l’approbation de votre partie de confiance et entrez des notes supplémentaires, le cas échéant.

    Cliquez sur Suivant.

    09_-_name_relyingpartytrust
  4. Déterminez si l’authentification multi-facteurs est requise et sélectionnez l’option appropriée.

    Cliquez sur Suivant.

  5. Déterminez si tous les utilisateurs auront la possibilité de se connecter via AD FS ou se verront refuser l’accès.

    Cliquez sur Suivant.

  6. Vérifiez vos paramètres.

    Cliquez sur Suivant.

  7. L’approbation de votre partie de confiance a été ajoutée.

    Laissez l’option cochée pour ouvrir la boîte de dialogue Modifier les règles de revendication afin d’accéder rapidement aux étapes suivantes.

    Cliquez sur Fermer.

  8. Si l’assistant Modifier les règles de revendication ne s’ouvre pas automatiquement, vous pouvez y accéder à partir de l’application AD FS Management sous AD FS -> Relations de confiance -> Approbations des parties de confiance, en sélectionnant l’approbation de votre partie de confiance d’authentification unique Adobe et en cliquant sur Modifier les règles de revendication... sur le côté droit.

  9. Cliquez sur Ajouter une règle et configurez une règle à l’aide du modèle Envoyer les attributs LDAP en tant que revendications pour votre magasin d’attributs, en mappant l’attribut LDAP « Adresses électroniques » au type de revendication sortante « Adresse électronique ».

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Remarque :

    Comme indiqué dans la capture d’écran ci-dessus, nous suggérons d’utiliser l’adresse électronique comme identifiant principal. L’utilisation du champ Nom d’utilisateur principal en tant qu’attribut LDAP envoyé dans une assertion en tant qu’adresse électronique n’est pas recommandée. Bien qu’il soit possible d’utiliser le nom d’utilisateur principal comme attribut LDAP, il ne s’agit pas d’une configuration officiellement prise en charge, et vous le faites à vos risques et périls.

    Souvent, le nom d’utilisateur principal ne pointe pas vers une adresse électronique et sera souvent différent. Cela entraînera probablement des problèmes pour les notifications et le partage de ressources dans Creative Cloud.

  10. Cliquez sur Terminer pour terminer l’ajout de la règle de revendication de transformation.

  11. À nouveau, à l’aide de l’assistant Modifier les règles de revendication, ajoutez une règle utilisant le modèle Transformer une revendication entrante pour convertir les revendications entrantes de type « Adresse électronique » avec le type de revendication sortante « ID de nom » et le format d’ID de nom sortant « Adresse électronique », passant par toutes les valeurs de revendication.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Cliquez sur Terminer pour terminer l’ajout de la règle de revendication de transformation.

  13. À l’aide de l’assistant Modifier les règles de revendication, ajoutez une règle utilisant le modèle Envoyer les revendications en utilisant une règle personnalisée contenant la règle suivante :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Cliquez sur Terminer pour terminer l’assistant de règle personnalisée.

  15. Cliquez sur OK dans la boîte de dialogue Modifier les règles de revendication pour terminer l’ajout de ces trois règles à l’approbation de votre partie de confiance.

    16_-_edit_claim_rules

    Remarque :

    L’ordre des règles de revendication est important ; elles doivent apparaître comme indiqué ici.

  16. Assurez-vous que votre nouvelle approbation de partie de confiance est sélectionnée et cliquez sur Propriétés dans la partie droite de la fenêtre. Sélectionnez l’onglet Avancé et vérifiez que l’algorithme de hachage sécurisé est défini sur SHA-1.

    17_-_relying_partytrustproperties

Test d’authentification unique

Créez un utilisateur de test avec Active Directory, créez une entrée sur la console d’administration pour cet utilisateur et assignez-lui une licence, puis testez l’ouverture d’une session sur Adobe.com pour confirmer que le logiciel approprié est disponible au téléchargement.

Vous pouvez également effectuer un test en vous connectant à l’application de bureau Creative Cloud et à partir d’une application telle que Photoshop ou Illustrator.

Si vous rencontrez des problèmes, veuillez consulter notre document de dépannage.

Pour éviter les problèmes de connectivité entre les systèmes sur lesquels l’horloge diffère légèrement, définissez le décalage par défaut de l’heure sur 2 minutes. Pour plus d’informations sur le décalage de l’heure, consultez le document de dépannage des erreurs.

Si vous avez toujours besoin d’aide avec la configuration de l’authentification unique, accédez à Support dans la Console d’administration Adobe et ouvrez un ticket.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne