Panoramica

Adobe Admin Console consente all'amministratore di sistema di configurare i domini utilizzati per accedere con Single Sign-On (SSO) e Federated ID. Dopo aver comprovato la titolarità di un dominio utilizzando un token DNS, il dominio può essere configurato per consentire agli utenti di effettuare l'accesso a Creative Cloud con indirizzi e-mail compresi in tale dominio tramite un provider di identità (IdP), un software installato nel server accessibile sia da Internet che da un servizio cloud ospitato da terzi, che consente di verificare i dettagli di accesso degli utenti tramite comunicazione protetta dal protocollo SAML.

Uno di tali provider di identità (IdP) è Microsoft Active Directory Federation Services o AD FS. Per utilizzare AD FS, un server deve essere configurato in modo che sia accessibile da Internet e abbia accesso ai servizi di directory all'interno della rete aziendale. Questo documento illustra il processo di configurazione di Adobe Admin Console e del server Microsoft AD FS al fine di consentire l'accesso Single Sign-On alle applicazioni Adobe Creative Cloud e ai siti Web correlati.

Per accedere normalmente al provider d'identità (IdP) si utilizza una rete diversa, generalmente denominata rete perimetrale o DMZ, per la quale sono state configurate regole specifiche per consentire solo un determinato tipo di comunicazione tra i server e la rete interna ed esterna. La configurazione del sistema operativo di questo server e della topologia di tale rete esula dallo scopo del presente documento.

Prerequisiti

Prima di configurare il dominio per Single Sign-On utilizzando Microsoft AD FS, i seguenti requisiti devono essere soddisfatti:

  • Il dominio è stato registrato in Adobe Admin Console e risulta “Attivo” nella colonna “Stato dominio”.
  • Il server AD FS è stato installato con una versione compatibile di Microsoft Windows Server e gli aggiornamenti più recenti del sistema operativo ed è accessibile dall'esterno, ad esempio tramite HTTPS.
  • Il certificato di protezione è stato ottenuto dal server AD FS.
  • Tutti gli account Active Directory da associare all'account Creative Cloud for enterprise devono avere un indirizzo e-mail presente all'interno di Active Directory.

Configurazione

Per configurare Adobe Admin Console, come illustrato nella schermata riportata sopra, procedi come segue:

Caricare il certificato nella console

  1. Nella vista “Certificati” dell'applicazione Gestione di AD FS 2.0, seleziona il certificato di firma del token e fai clic su “Visualizza certificato…” per aprire la finestra delle proprietà del certificato.
  2. Dalla scheda Dettagli, fai clic su “Copia su file…” e utilizza la procedura guidata per salvare il certificato come “Codificato Base 64 X.509 (.CER)” (questo è equivalente al certificato in formato PEM).
  3. Carica il file del certificato salvato in Adobe Admin Console.

Impostare i valori di configurazione del server AD FS

  1. Copia l'URL dell'emittente IDP dalla finestra Proprietà del servizio federativo del server AD FS, sotto il campo “Identificatore servizio federativo” (il campo deve essere uguale) ad esempio http://adfs.esempio.com/adfs/services/trust (non è necessario che questo indirizzo sia accessibile esternamente).
  2. Determina l'URL di accesso dell'IDP; per impostazione predefinita, questo indirizzo per Microsoft AD FS è nel formato: https://adfs.esempio.com/adfs/ls/.
  3. Seleziona HTTP-REDIRECT come associazione IDP.
  4. Lascia l'impostazione Accesso utente come “Indirizzo e-mail”.

Copiare i metadati al server AD FS

NOTA: questo passaggio e tutti quelli successivi devono essere ripetuti se modifichi i valori per un dato dominio in Adobe Admin Console.

  1. Scarica i file dei metadati da Adobe Admin Console.
  2. Copia il file nel server AD FS.
  3. Crea una nuova attendibilità del componente nel server AD FS utilizzando il file dei metadati ottenuto dalla console (vedi l'immagine).

Configurare le regole di attestazione nel server AD FS.

  1. Utilizza la procedura guidata “Modifica regole attestazione” per aggiungere un regola utilizzando il modello “Inviare attributi LDAP come attestazioni” per il tuo archivio attributi, mappando l'attributo LDAP “Indirizzo e-mail” a “Indirizzo e-mail” in Tipo di attestazione in uscita (vedi l'immagine).
  1. Utilizza nuovamente la procedura guidata “Modifica regole attestazione” e aggiungi una regola utilizzando il modello “Trasformare un'attestazione in ingresso” per convertire le attestazioni in ingresso del tipo “Indirizzo e-mail” con Tipo di attestazione in uscita uguale a “ID nome” e Formato ID nome in uscita uguale a “E-mail”; seleziona quindi Pass-through di tutti i valori attestazione.
  1. Utilizza la procedura guidata “Modifica regole attestazione” utilizzando il modello “Inviare attestazioni mediante una regola personalizzata” per aggiungere la regola seguente:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

Configurare l'algoritmo hash

  1. Modifica le proprietà della voce Attendibilità del componente per il dominio utilizzato con Adobe Admin Console e nella scheda “Avanzate”, seleziona SHA-1 come Algoritmo hash sicuro.

Verificare Single Sign-On

  1. Crea un utente di prova con Active Directory, crea una voce in Adobe Admin Console per questo utente e assegnagli una licenza, quindi verifica l'accesso a http://www.adobe.com/it/ per confermare che il software pertinente sia elencato per il download.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online