用户指南 取消(C)

配置 Microsoft AD FS 以将其与 Adobe SSO 搭配使用

  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署指南
      2. 与 Canvas LMS 集成
      3. 与 Blackboard Learn 集成
      4. 为学区门户网站和 LMS 配置 SSO
      5. Kivuto 常见问题解答
      6. 主要和次要机构资格准则
  3. 设置您的组织
    1. 设置身份
      1. 身份类型 | 概述
      2. 使用 Enterprise ID 设置组织
      3. 使用 Federated ID 设置组织
        1. SSO 概述
        2. 设置 Azure 连接器和 Azure Sync
          1. 通过 Azure OIDC 用 Microsoft 设置 SSO
          2. 将 Azure Sync 添加到您的目录
          3. Azure 连接器常见问题解答
        3. 设置 Google 联合身份验证和 Google Sync
          1. 用 Google 联合身份验证设置 SSO
          2. 将 Google Sync 添加到您的目录
          3. Google 联合身份验证常见问题解答
        4. 通用 SAML
          1. 用其他 SAML 提供商设置 SSO
          2. 用 Microsoft ADFS 设置 SSO
          3. SSO 常见问题
          4. SSO 故障排除
        5. 教育 SSO
          1. 为学区门户网站和 LMS 配置 SSO
          2. 常见问题
      4. 验证域的所有权
      5. 添加和管理域
      6. 将域链接到目录
      7. 使用目录信任添加预先申领的域
      8. 迁移到新的验证提供者
    2. 资源设置
    3. 身份验证设置
    4. 隐私和安全联系人
    5. 控制台设置
    6. 管理加密
  4. 管理产品和权利
    1. 管理用户
      1. 概述
      2. 管理角色
      3. 用户管理技术
        1. 逐个管理用户   
        2. 管理多个用户(批量 CSV)
        3. 用户同步工具 (UST)
        4. Microsoft Azure Sync
        5. Google 联合身份验证同步
      4. 更改用户的身份类型
      5. 管理用户组
      6. 管理目录用户
      7. 管理开发人员
      8. 将现有用户迁移至 Adobe Admin Console
      9. 将用户管理迁移至 Adobe Admin Console
    2. 管理产品和产品配置
      1. 管理产品
      2. 管理企业用户的产品配置文件
      3. 管理自助服务策略
      4. 管理应用程序集成
      5. 在 Admin Console 中管理产品权限  
      6. 为产品配置文件启用/禁用服务
      7. 单个应用程序 | Creative Cloud 企业版
      8. 可选服务
    3. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 从设备许可迁移
      6. 管理配置文件
      7. 许可工具包
      8. 共享设备许可常见问题解答
  5. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  6. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
      2. 快速入门
  7. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 适用于程序包的 Adobe 模板
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
      8. Adobe Creative Cloud 许可标识符
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 使用 Adobe Remote Update Manager
      2. 用于 Adobe Remote Update Manager 的通道 ID
      3. 解决 RUM 错误
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
      3. Creative Cloud 包“安装失败”错误消息
    9. 使用 Creative Cloud Packager(CC 2018 或更早版本应用程序)创建程序包
      1. 关于 Creative Cloud Packager
      2. Creative Cloud Packager 发行说明
      3. 应用程序打包
      4. 使用 Creative Cloud Packager 创建程序包
      5. 创建指定许可证包
      6. 使用设备许可证创建包
      7. 创建许可证包
      8. 使用序列号许可证创建程序包
      9. Packager Automation
      10. 对非 Creative Cloud 产品进行打包
      11. 编辑和保存配置
      12. 在系统级别设置区域设置
  8. 管理帐户
    1. 管理您的团队帐户
      1. 概述
      2. 更新付款详细信息
      3. 管理账单
      4. 更改合同负责人
      5. 更改经销商
    2. 向团队版用户分配许可证
    3. 添加产品和许可证
    4. 续订
      1. 团队会员资格:续订
      2. VIP 企业:续订和合规性
    5. 购买请求合规性
    6. 中国版 Value Incentive Plan (VIP)
    7. VIP Select 帮助
  9. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  10. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

概述

本文重点介绍用 Microsoft AD FS 服务器配置 Adobe Admin Console 的过程。

并非必须可从公司网络之外访问身份提供者,但如果无法访问它,则只有网络内(或通过 VPN 连接)的工作站才能在停用其会话之后执行身份验证以激活许可证或登录。

用 Microsoft AD FS 设置 SSO(观看时长:17 分钟)
注意:

本文中的说明和屏幕快照适用于 AD FS 3.0 版,但 AD FS 2.0 中也有相同的菜单。

先决条件

在创建目录以供使用 Microsoft AD FS 进行单点登录之前,必须满足以下要求:

  • 随 Microsoft Windows Server 一起装有 Microsoft AD FS 和最新的操作系统更新。如果希望用户将 Adobe 产品用于 macOS,请确保您的服务器支持 TLS 1.2 版和前向保密。要详细了解 AD FS,请参阅 Microsoft 身份和访问文档
  • 必须可以从用户的工作站访问该服务器(例如,通过 HTTPS)。
  • 已从 AD FS 服务器获取安全证书.
  • 所有要与 Creative Cloud 企业版帐户关联的 Active Directory 帐户都必须具有在 Active Directory 中列出的电子邮件地址。

在 Adobe Admin Console 中创建目录

要为您的域配置单点登录,您需要执行以下操作:

  1. 登录到 Admin Console,首先创建 Federated ID 目录,其中选择“其他 SAML 提供者”作为身份提供者。从“添加 SAML 配置文件”屏幕下载 Adobe 元数据。
  2. 配置 AD FS,其中指定 ACS URL实体 ID然后下载 IdP 元数据文件
  3. 返回 Adobe Admin Console,在“添加 SAML 配置文件”屏幕中上传 IdP 元数据文件,然后单击“完成”

要详细了解每个步骤,请单击各个超链接。

配置 AD FS 服务器

要配置与 AD FS 的 SAML 集成,请执行以下步骤:

注意:

在对 Adobe Admin Console 中的值做出任意更改后,必须对指定域重复执行所有后续步骤。

  1. 在“AD FS 管理”应用程序中导航到“AD FS”->“信任关系”->“信赖方信任”,然后单击“添加信赖方信任”以启动向导。

  2. 单击“开始”并选择“从文件导入有关信赖方的数据,然后浏览到从您的 Adobe Admin Console 将元数据复制到的位置。

  3. 为您的信赖方信任命名,并按需输入任何其他注释。

    单击“下一步”

  4. 确定是否需要多重身份验证并选择相关的选项。

    单击“下一步”

  5. 确定是否所有用户均可通过 AD FS 登录。

    单击“下一步”

  6. 检查您的设置。

    单击“下一步”

  7. 已添加您的信赖方信任。

    选中该选项以打开“编辑声明规则”对话框以快速访问下一步。

    单击“关闭”

  8. 如果“编辑声明规则”向导尚未自动打开,则可从“AD FS 管理”应用程序的“AD FS”->“信任关系”->“信赖方信任”下,通过选择您的 Adobe SSO 信赖方信任并在右侧单击“编辑声明规则...”而访问它。

  9. 单击“添加规则”,然后使用您的属性存储的“以声明方式发送 LDAP 特性”模板配置一条规则,其中将 LDAP 属性 E-Mail-Addresses 映射到传出声明类型电子邮件。

    注意:

    如上方的屏幕快照所示,我们建议使用电子邮件地址作为主标识符。还可将“用户主体名称(UPN)”字段用作在断言中作为电子邮件地址发送的 LDAP 属性。但是,我们建议不要这样配置声明规则。

    UPN 一般不映射到电子邮件地址,并且在许多情况下有所不同。这很可能导致 Creative Cloud 中的通知和共享资源出现问题。

  10. 单击“完成”以完成添加转换声明规则。

  11. 再次在“编辑声明规则”向导中使用“转换传入声明”模板添加一条规则,以将电子邮件地址类型的传入声明转换为名称 ID 类型的传出声明,并将传出名称 ID 格式转换为电子邮件,以便传递所有声明值。

  12. 单击“完成”以完成添加转换声明规则。

  13. 编辑申请规则向导中,通过使用自定义规则发送申请模板添加一条规则,包含以下自定义规则:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. 单击“完成”以完成自定义规则向导。

  15. “编辑声明规则”对话框上单击“确定”以完成将这三条规则添加到您的信赖方信任。

    注意:

    声明规则的顺序很重要;必须按此处所示的顺序显示声明规则。

要避免在时钟相差无几的情况下系统之间发生连接问题,请将默认时间偏差设置为 2 分钟。有关时间偏差的详细信息,请参阅“排除错误”文档。

下载 AD FS 元数据文件

  1. 打开服务器上的“AD FS 管理”应用程序,然后在“AD FS”>“服务”>“端点”文件夹中选择“联合元数据”

    元数据位置

  2. 使用浏览器导航到针对联合元数据提供的 URL 并下载文件。例如 https://<您的 AD FS 主机名>/FederationMetadata/2007-06/FederationMetadata.xml。

    注意:
    • 如果出现提示,请接受任何警告。
    • 要在 Windows 操作系统上了解您的 Microrsoft AD FS 主机名:
      请打开“Windows PowerShell”>“以管理员身份运行”>键入 Get-AdfsProperties > 按 Enter > 在详细列表中查找您的主机名

将 IdP 元数据文件上传到 Adobe Admin Console

要更新最新证书,请返回 Adobe Admin Console 窗口。将从 AD FS 下载的元数据文件上传到“添加 SAML 配置文件”屏幕,然后单击“完成”

后续步骤:完成设置以将应用程序分配给用户

设置您的目录后,执行以下操作以使您组织的用户可使用 Adobe 应用程序和服务:

  1. 在 Admin Console 中添加并设置域
  2. 将这些域关联到 AD FS 目录。
  3. (可选)如果已在 Admin Console 的另一目录中建立您的域,请将其直接转移到新创建的 AD FS 目录
  4. 添加产品配置文件以微调您已购买的计划的使用方式。
  5. 通过添加测试用户而测试您的 SSO 设置
  6. 根据您的要求选择您的用户管理策略和工具。然后,将用户添加到 Admin Console,并将其分配给产品配置文件以使用户开始使用其 Adobe 应用程序。

要详细了解其他与身份相关的工具和技术,请参阅设置身份

测试单点登录

使用 Active Directory 创建一个测试用户。在 Admin Console 中为此用户创建一个条目,并为其分配一个许可证。然后,测试是否可以登录 Adobe.com,并查看相关软件是否已被列出且可供下载。

还可通过登录到 Creative Cloud Desktop 以及从 Photoshop 或 Illustrator 等应用程序内进行测试。

如果遇到问题,请参阅我们的故障排除文档。如果对于单点登录配置仍需帮助,请在 Adobe Admin Console 中导航到“支持”,并向客户支持提交服务单。

Adobe 徽标

登录到您的帐户

[Feedback V2 Badge]