配置 Microsoft AD FS 以将其与 Adobe SSO 搭配使用

Enterprise

Enterprise

Admin Console
  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署主页
      2. K-12 加入向导
      3. 简单设置
      4. 同步用户
      5. 名册同步 K-12(美国)
      6. 关键授予许可概念
      7. 部署选项
      8. 快速提示
      9. 在 Google Admin Console 中审批 Adobe 应用程序
      10. 在 Google 课堂中启用 Adobe Express
      11. 与 Canvas LMS 集成
      12. 与 Blackboard Learn 集成
      13. 为学区门户网站和 LMS 配置 SSO
      14. 通过名册同步功能添加用户
      15. Kivuto 常见问题解答
      16. 主要和次要机构资格准则
  3. 设置您的组织
    1. 身份类型 | 概述
    2. 设置身份 | 概述
    3. 使用 Enterprise ID 设置组织
    4. 设置 Azure AD 联合和同步
      1. 通过 Azure OIDC 用 Microsoft 设置 SSO
      2. 将 Azure Sync 添加到您的目录
      3. 用于教育机构的角色同步
      4. Azure 连接器常见问题解答
    5. 设置 Google 联合身份验证和同步
      1. 用 Google 联合身份验证设置 SSO
      2. 将 Google Sync 添加到您的目录
      3. Google 联合身份验证常见问题解答
    6. 通过 Microsoft ADFS 设置组织
    7. 为区域门户网站和 LMS 建立组织
    8. 通过其他身份提供商设置组织
      1. 创建目录
      2. 验证域的所有权
      3. 将域添加到目录
    9. SSO 常见问题和故障排除
      1. SSO 常见问题
      2. SSO 故障排除
      3. 教育常见问题
  4. 管理您的组织设置
    1. 管理现有域和目录
    2. 启用自动创建帐户
    3. 通过目录信任设置组织
    4. 迁移到新的身份验证提供商 
    5. 资源设置
    6. 身份验证设置
    7. 隐私和安全联系人
    8. 控制台设置
    9. 管理加密  
  5. 管理用户
    1. 概述
    2. 管理角色
    3. 用户管理策略
      1. 逐个管理用户   
      2. 管理多个用户(批量 CSV)
      3. 用户同步工具 (UST)
      4. Microsoft Azure Sync
      5. Google 联合身份验证同步
    4. 向团队版用户分配许可证
    5. 适用于团队的应用程序内用户管理
      1. 在 Adobe Express 中管理您的团队
      2. 在 Adobe Acrobat 中管理您的团队
    6. 添加具有匹配电子邮件域的用户
    7. 更改用户的身份类型
    8. 管理用户组
    9. 管理目录用户
    10. 管理开发人员
    11. 将现有用户迁移至 Adobe Admin Console
    12. 将用户管理迁移至 Adobe Admin Console
  6. 管理产品和权利
    1. 管理产品和产品配置文件
      1. 管理产品
      2. 购买产品和许可证
      3. 管理企业用户的产品配置文件
      4. 管理自动分配规则
      5. 授权用户训练 Firefly 自定义模型
      6. 审查产品请求
      7. 管理自助服务策略
      8. 管理应用程序集成
      9. 在 Admin Console 中管理产品权限  
      10. 为产品配置文件启用/禁用服务
      11. 单个应用程序 | Creative Cloud 企业版
      12. 可选服务
    2. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 管理配置文件
      6. 许可工具包
      7. 共享设备许可常见问题解答
  7. 开始使用 Global Admin Console
    1. 采用全局管理
    2. 选择您的组织
    3. 管理组织层次结构
    4. 管理产品配置文件
    5. 管理管理员
    6. 管理用户组
    7. 更新组织策略
    8. 管理策略模板
    9. 将产品分配给子组织
    10. 执行待处理的作业
    11. 探索见解
    12. 导出或导入组织结构
  8. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  9. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
  10. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 管理预生成包
        1. 管理 Adobe 模板
        2. 管理单个应用程序包
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 发行说明
      2. 使用 Adobe Remote Update Manager
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
  11. 管理您的团队帐户
    1. 概述
    2. 更新付款详细信息
    3. 管理账单
    4. 更改合同负责人
    5. 更改您的计划
    6. 更改经销商
    7. 取消您的计划
    8. 购买请求合规性
  12. 续订
    1. 团队会员资格:续订
    2. VIP 企业:续订和合规性
  13. 管理合同
    1. ETLA 合约的自动到期阶段
    2. 在现有 Adobe Admin Console 中切换合同类型
    3. 中国版 Value Incentive Plan (VIP)
    4. VIP Select 帮助
  14. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  15. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

概述

本文重点介绍用 Microsoft AD FS 服务器配置 Adobe Admin Console 的过程。

并非必须可从公司网络之外访问身份提供者,但如果无法访问它,则只有网络内(或通过 VPN 连接)的工作站才能在停用其会话之后执行身份验证以激活许可证或登录。

用 Microsoft AD FS 设置 SSO(观看时长:17 分钟)
注意:

本文中的说明和屏幕快照适用于 AD FS 3.0 版,但 AD FS 2.0 中也有相同的菜单。

先决条件

在创建目录以供使用 Microsoft AD FS 进行单点登录之前,必须满足以下要求:

  • 随 Microsoft Windows Server 一起装有 Microsoft AD FS 和最新的操作系统更新。如果希望用户将 Adobe 产品用于 macOS,请确保您的服务器支持 TLS 1.2 版和前向保密。要详细了解 AD FS,请参阅 Microsoft 身份和访问文档
  • 必须可以从用户的工作站访问该服务器(例如,通过 HTTPS)。
  • 已从 AD FS 服务器获取安全证书.
  • 所有要与 Creative Cloud 企业版帐户关联的 Active Directory 帐户都必须具有在 Active Directory 中列出的电子邮件地址。

在 Adobe Admin Console 中创建目录

要为您的域配置单点登录,您需要执行以下操作:

  1. 登录到 Admin Console,首先创建 Federated ID 目录,其中选择“其他 SAML 提供者”作为身份提供者。从创建目录向导下载 Adobe 元数据文件。
  2. 配置 AD FS,其中指定 ACS URL实体 ID,然后下载 IdP 元数据文件
  3. 返回 Adobe Admin Console,然后在创建目录向导中上传 IdP 元数据文件。然后,选择下一步,设置自动帐户创建,然后选择“完成”。

要详细了解每个步骤,请单击各个超链接。

配置 AD FS 服务器

要配置与 AD FS 的 SAML 集成,请执行以下步骤:

注意:

在对 Adobe Admin Console 中的值做出任意更改后,必须对指定域重复执行所有后续步骤。

  1. 在“AD FS 管理”应用程序中导航到“AD FS”->“信任关系”->“信赖方信任”,然后单击“添加信赖方信任”以启动向导。

  2. 单击“开始”并选择“从文件导入有关信赖方的数据,然后浏览到从您的 Adobe Admin Console 将元数据复制到的位置。

  3. 为您的信赖方信任命名,并按需输入任何其他注释。

    单击“下一步”

  4. 确定是否需要多重身份验证并选择相关的选项。

    单击“下一步”

  5. 确定是否所有用户均可通过 AD FS 登录。

    单击“下一步”

  6. 检查您的设置。

    单击“下一步”

  7. 已添加您的信赖方信任。

    选中该选项以打开“编辑声明规则”对话框以快速访问下一步。

    单击“关闭”

  8. 如果“编辑声明规则”向导尚未自动打开,则可从“AD FS 管理”应用程序的“AD FS”->“信任关系”->“信赖方信任”下,通过选择您的 Adobe SSO 信赖方信任并在右侧单击“编辑声明规则...”而访问它。

  9. 单击“添加规则”,然后使用您的属性存储的“以声明方式发送 LDAP 特性”模板配置一条规则,其中将 LDAP 属性 E-Mail-Addresses 映射到传出声明类型电子邮件。

    注意:

    如上方的屏幕快照所示,我们建议使用电子邮件地址作为主标识符。还可将“用户主体名称(UPN)”字段用作在断言中作为电子邮件地址发送的 LDAP 属性。但是,我们建议不要这样配置声明规则。

    UPN 一般不映射到电子邮件地址,并且在许多情况下有所不同。这很可能导致 Creative Cloud 中的通知和共享资源出现问题。

  10. 单击“完成”以完成添加转换声明规则。

  11. 再次在“编辑声明规则”向导中使用“转换传入声明”模板添加一条规则,以将电子邮件地址类型的传入声明转换为名称 ID 类型的传出声明,并将传出名称 ID 格式转换为电子邮件,以便传递所有声明值。

  12. 单击“完成”以完成添加转换声明规则。

  13. 编辑申请规则向导中,通过使用自定义规则发送申请模板添加一条规则,包含以下自定义规则:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. 单击“完成”以完成自定义规则向导。

  15. “编辑声明规则”对话框上单击“确定”以完成将这三条规则添加到您的信赖方信任。

    注意:

    声明规则的顺序很重要;必须按此处所示的顺序显示声明规则。

要避免在时钟相差无几的情况下系统之间发生连接问题,请将默认时间偏差设置为 2 分钟。有关时间偏差的详细信息,请参阅“排除错误”文档。

下载 AD FS 元数据文件

  1. 打开服务器上的“AD FS 管理”应用程序,然后在“AD FS”>“服务”>“端点”文件夹中选择“联合元数据”

    元数据位置

  2. 使用浏览器导航到针对联合元数据提供的 URL 并下载文件。例如 https://<您的 AD FS 主机名>/FederationMetadata/2007-06/FederationMetadata.xml。

    注意:
    • 如果出现提示,请接受任何警告。
    • 要在 Windows 操作系统上了解您的 Microrsoft AD FS 主机名:
      请打开”Windows PowerShell“>”以管理员身份运行“>键入”Get-AdfsProperties“>按”Enter“>在详细列表中查找您的主机名

将 IdP 元数据文件上传到 Adobe Admin Console

要更新最新证书,请返回 Adobe Admin Console 窗口。将从 AD FS 下载的元数据文件上传到“添加 SAML 配置文件”屏幕,然后单击“完成”

后续步骤:完成设置以将应用程序分配给用户

设置您的目录后,执行以下操作以使您组织的用户可使用 Adobe 应用程序和服务:

  1. 在 Admin Console 中添加并设置域
  2. 将这些域关联到 AD FS 目录。
  3. (可选)如果已在 Admin Console 的另一目录中建立您的域,请将其直接转移到新创建的 AD FS 目录
  4. 添加产品配置文件以微调您已购买的计划的使用方式。
  5. 通过添加测试用户而测试您的 SSO 设置
  6. 根据您的要求选择您的用户管理策略和工具。然后,将用户添加到 Admin Console,并将其分配给产品配置文件以使用户开始使用其 Adobe 应用程序。

要详细了解其他与身份相关的工具和技术,请参阅设置身份

测试单点登录

使用 Active Directory 创建一个测试用户。在 Admin Console 中为此用户创建一个条目,并为其分配一个许可证。然后,测试是否可以登录 Adobe.com,并查看相关软件是否已被列出且可供下载。

还可通过登录到 Creative Cloud Desktop 以及从 Photoshop 或 Illustrator 等应用程序内进行测试。

如果遇到问题,请参阅我们的故障排除文档。如果对于单点登录配置仍需帮助,请在 Adobe Admin Console 中导航到“支持”,并向客户支持提交服务单。

更多此类内容

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接

法律声明    |    在线隐私政策

Copyright © 2024 Adobe。保留所有权利。