Présentation

La console d’administration Adobe permet à un administrateur système de configurer les domaines et répertoires utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO).Une fois que la propriété d’un domaine est démontrée à l’aide d’un jeton DNS et qu’elle a été associée à un répertoire Federated ID, les utilisateurs ayant des adresses électroniques dans le domaine revendiqué peuvent se connecter à Creative Cloud via un système Identity Provider (IdP), une fois les comptes correspondants créés sur la console d’administration Adobe appropriée. Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Microsoft Azure, un service basé sur le cloud qui facilite la gestion des identités sécurisées.

Azure AD utilise l’attribut userPrincipalName ou vous permet de spécifier l’attribut (dans une installation personnalisée) à utiliser sur site en tant que nom principal d’utilisateur dans Azure AD. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans Azure AD, elle est remplacée par la valeur .onmicrosoft.com par défaut.

Lorsqu’un utilisateur s’authentifie sur l’application, Azure AD émet un jeton SAML à l’application qui contient des informations (ou revendications) concernant les utilisateurs qui les identifient de manière unique. Par défaut, ces informations incluent le nom d’utilisateur, l’adresse électronique, le prénom et le nom d’un utilisateur. Vous pouvez afficher ou modifier les demandes envoyées dans le jeton SAML à l’application dans l’onglet Attributs et libérer l’attribut de nom d’utilisateur.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique à l’aide du fournisseur d’identité Microsoft Azure, les conditions suivantes doivent être réunies :

  • Un domaine approuvé dans un répertoire existant de votre console d’administration Adobe. Le statut du répertoire dans la console d’administration Adobe doit être Configuration requise, ou il peut s’agir d’un répertoire existant préalablement configuré.
  • Le tableau de bord Microsoft Azure est accessible et vous êtes connecté en tant qu’administrateur capable de créer une nouvelle application d’entreprise

Création de l’application SSO dans l’Azure pour Adobe

Pour configurer SSO dans Azure, suivez les étapes ci-dessous :

  1. Accédez à Azure Active Directory> Applications d’entreprise > Toutes les applications, puis cliquez sur Nouvelle application.

  2. Sous Ajouter à partir de la galerie, entrez « Adobe Creative Cloud » dans le champ de recherche

  3. Sélectionnez Adobe Creative Cloud, donnez un nom à votre connecteur, cliquez sur « Ajouter » et attendez la fin du processus.

    add_application
  4. Accédez à Azure Active Directory> Applications d’entreprise > Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud.

  5. Dans un onglet distinct de votre navigateur Web, connectez-vous à votre console d’administration Adobe et accédez à la page de configuration du domaine que vous configurez. Elle est disponible sous paramètres -> identité en cliquant sur le nom du domaine, puis sur le bouton Configurer SSO

  6. Sur votre portail Azure, cliquez sur Authentification unique et sélectionnez le mode pour cette application de connecteur en tant qu’ « authentification unique basée sur SAML »

  7. Cochez la case Afficher et modifier tous les autres attributs utilisateur

  8. Modifiez les attributs de jeton SAML comme suit, en laissant l’espace de nom vide pour chaque entrée :

    NOM VALEUR ESPACE DE NOM
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    Remarque :

    Comme indiqué dans la capture d’écran ci-dessus, nous suggérons d’utiliser l’adresse électronique comme identifiant principal. L’utilisation du champ Nom d’utilisateur principal en tant qu’attribut LDAP envoyé dans une assertion en tant qu’adresse électronique n’est pas recommandée. Bien qu’il soit possible d’utiliser le nom d’utilisateur principal comme attribut LDAP, il ne s’agit pas d’une configuration officiellement prise en charge, et vous le faites à vos risques et périls.

    Souvent, le nom d’utilisateur principal ne pointe pas vers une adresse électronique et sera souvent différent. Cela entraînera probablement des problèmes pour les notifications et le partage de ressources dans Creative Cloud.

  9. Cliquez sur le lien en bas de la page qui contient le nom de votre connecteur d’authentification unique Azure pour faire apparaître la documentation de Microsoft pour l’authentification unique Adobe dans la partie gauche de la page.

    quick_reference
  10. Copiez l’ID d’entité SAML Azure AD à partir du portail Azure et collez-le dans le champ Émetteur de l’IDP de la page de configuration d’identité de votre domaine sur votre console d’administration Adobe.

  11. Copiez l’ID d’entité SAML Azure AD à partir du portail Azure et collez-le dans le champ Émetteur de l’IDP de la page de configuration d’identité de votre domaine sur votre console d’administration Adobe.

  12. Cliquez sur le 'X' pour fermer la page de documentation sur le portail Azure et revenir à la fenêtre de configuration de l’application Enterprise pour votre connecteur Adobe SSO.

  13. Dans la section « Certificat de signature SAML », cliquez sur Certificat (base 64) sur le côté droit pour télécharger le fichier de certificat.

  14. Chargez le certificat obtenu à l’étape précédente sur votre console d’administration Adobe en tant que certificat IdP et enregistrez ces informations en cliquant sur configuration terminée.

    01_-_configure_saml
  15. Cliquez sur Enregistrer.

  16. Cochez la case pour confirmer que vous comprenez la nécessité de terminer la configuration avec votre fournisseur d’identité. Cette opération sera effectuée dans les prochaines étapes sur votre portail Azure.

  17. Enregistrez les paramètres de ce répertoire depuis votre console d’administration Adobe en cliquant sur le bouton Télécharger les métadonnées.

    Vous utiliserez ce fichier pour obtenir des attributs particuliers de la configuration.

    configure_directoryanddownloadmetadata
  18. Cliquez sur Terminer pour activer le répertoire.

  19. Ouvrez les métadonnées dans un éditeur de texte ou un navigateur Web et copiez les valeurs de EntityID et AssertionConsumerService sur votre portail Azure, respectivement dans les champs Identifier et ReplyURL, comme indiqué dans l’exemple de capture d’écran ci-dessous.

    metadata_example
    • Utilisez l’URL de l’EntityID à partir des métadonnées dans le champ Identifier de votre configuration Azure :
      cette adresse prend la forme suivante : https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Utilisez l’URL de AssertionConsumerService pour l’URL de réponse dans votre configuration Azure
      Cette adresse se présente comme suit : https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  20. Enregistrez ces paramètres sur votre portail Azure en utilisant le lien « Enregistrer » en haut de la page.

Affectation des utilisateurs par le biais d’Azure

Pour affecter des utilisateurs via Microsoft Azure afin de leur permettre de se connecter à l’aide du connecteur Adobe Creative Cloud, procédez comme suit. Notez que vous devrez toujours affecter des licences via la console d’administration Adobe.

  1. Accédez à Azure Active Directory -> Applications d’entreprise -> Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud.

  2. Cliquez sur Utilisateurs et groupes.

  3. Cliquez sur Ajouter un utilisateur pour sélectionner les utilisateurs à affecter à ce connecteur, ce qui leur permettra de se connecter via l’authentification unique.

  4. Cliquez sur Utilisateurs ou Groupes et sélectionnez un ou plusieurs utilisateurs ou groupes autorisés à se connecter à Creative Cloud, puis cliquez sur Sélectionner suivi de Affecter.

Test de l’accès utilisateur

Pour tester l’accès utilisateur, effectuez les étapes suivantes :

  1. En outre, veillez à ajouter des utilisateurs au sein de la console d’administration Adobe en tant que Federated ID et à les affecter à un groupe pour les droits.

  2. À ce stade, saisissez votre adresse électronique/UPN dans le formulaire de connexion Adobe et appuyez sur la touche Tab. Vous êtes alors fédéré sur Azure AD :

    • Dans un navigateur Web : www.adobe.com, cliquez sur Connexion dans l’angle supérieur droit de la page.
    • Dans l’application de bureau Creative Cloud
    • À partir d’une application Adobe Creative Cloud telle que Photoshop ou Illustrator, dans le menu Aide > Connexion...

Si vous avez besoin d’aide avec la configuration de l’authentification unique Azure, accédez à votre console administration Adobe, ouvrez la section Support  et ouvrez un ticket, ou cliquez sur support sur le site Web d’Adobe.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne