用户指南 取消(C)

配置 Microsoft AD FS 以将其与 Adobe SSO 搭配使用

概述

本文重点介绍用 Microsoft AD FS 服务器配置 Adobe Admin Console 的过程。

并非必须可从公司网络之外访问身份提供者,但如果无法访问它,则只有网络内(或通过 VPN 连接)的工作站才能在停用其会话之后执行身份验证以激活许可证或登录。

用 Microsoft AD FS 设置 SSO(观看时长:17 分钟)
注意:

本文中的说明和屏幕快照适用于 AD FS 3.0 版,但 AD FS 2.0 中也有相同的菜单。

先决条件

在创建目录以供使用 Microsoft AD FS 进行单点登录之前,必须满足以下要求:

  • 随 Microsoft Windows Server 一起装有 Microsoft AD FS 和最新的操作系统更新。如果希望用户将 Adobe 产品用于 macOS,请确保您的服务器支持 TLS 1.2 版和前向保密。要详细了解 AD FS,请参阅 Microsoft 身份和访问文档
  • 必须可以从用户的工作站访问该服务器(例如,通过 HTTPS)。
  • 已从 AD FS 服务器获取安全证书.
  • 所有要与 Creative Cloud 企业版帐户关联的 Active Directory 帐户都必须具有在 Active Directory 中列出的电子邮件地址。

在 Adobe Admin Console 中创建目录

要为您的域配置单点登录,您需要执行以下操作:

  1. 登录到 Admin Console,首先创建 Federated ID 目录,其中选择“其他 SAML 提供者”作为身份提供者。从创建目录向导下载 Adobe 元数据文件。
  2. 配置 AD FS,其中指定 ACS URL实体 ID,然后下载 IdP 元数据文件
  3. 返回 Adobe Admin Console,然后在创建目录向导中上传 IdP 元数据文件。然后,选择下一步,设置自动帐户创建,然后选择“完成”。

要详细了解每个步骤,请单击各个超链接。

配置 AD FS 服务器

要配置与 AD FS 的 SAML 集成,请执行以下步骤:

注意:

在对 Adobe Admin Console 中的值做出任意更改后,必须对指定域重复执行所有后续步骤。

  1. 在“AD FS 管理”应用程序中导航到“AD FS”->“信任关系”->“信赖方信任”,然后单击“添加信赖方信任”以启动向导。

  2. 单击“开始”并选择“从文件导入有关信赖方的数据,然后浏览到从您的 Adobe Admin Console 将元数据复制到的位置。

  3. 为您的信赖方信任命名,并按需输入任何其他注释。

    单击“下一步”

  4. 确定是否需要多重身份验证并选择相关的选项。

    单击“下一步”

  5. 确定是否所有用户均可通过 AD FS 登录。

    单击“下一步”

  6. 检查您的设置。

    单击“下一步”

  7. 已添加您的信赖方信任。

    选中该选项以打开“编辑声明规则”对话框以快速访问下一步。

    单击“关闭”

  8. 如果“编辑声明规则”向导尚未自动打开,则可从“AD FS 管理”应用程序的“AD FS”->“信任关系”->“信赖方信任”下,通过选择您的 Adobe SSO 信赖方信任并在右侧单击“编辑声明规则...”而访问它。

  9. 单击“添加规则”,然后使用您的属性存储的“以声明方式发送 LDAP 特性”模板配置一条规则,其中将 LDAP 属性 E-Mail-Addresses 映射到传出声明类型电子邮件。

    注意:

    如上方的屏幕快照所示,我们建议使用电子邮件地址作为主标识符。还可将“用户主体名称(UPN)”字段用作在断言中作为电子邮件地址发送的 LDAP 属性。但是,我们建议不要这样配置声明规则。

    UPN 一般不映射到电子邮件地址,并且在许多情况下有所不同。这很可能导致 Creative Cloud 中的通知和共享资源出现问题。

  10. 单击“完成”以完成添加转换声明规则。

  11. 再次在“编辑声明规则”向导中使用“转换传入声明”模板添加一条规则,以将电子邮件地址类型的传入声明转换为名称 ID 类型的传出声明,并将传出名称 ID 格式转换为电子邮件,以便传递所有声明值。

  12. 单击“完成”以完成添加转换声明规则。

  13. 编辑申请规则向导中,通过使用自定义规则发送申请模板添加一条规则,包含以下自定义规则:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. 单击“完成”以完成自定义规则向导。

  15. “编辑声明规则”对话框上单击“确定”以完成将这三条规则添加到您的信赖方信任。

    注意:

    声明规则的顺序很重要;必须按此处所示的顺序显示声明规则。

要避免在时钟相差无几的情况下系统之间发生连接问题,请将默认时间偏差设置为 2 分钟。有关时间偏差的详细信息,请参阅“排除错误”文档。

下载 AD FS 元数据文件

  1. 打开服务器上的“AD FS 管理”应用程序,然后在“AD FS”>“服务”>“端点”文件夹中选择“联合元数据”

    元数据位置

  2. 使用浏览器导航到针对联合元数据提供的 URL 并下载文件。例如 https://<您的 AD FS 主机名>/FederationMetadata/2007-06/FederationMetadata.xml。

    注意:
    • 如果出现提示,请接受任何警告。
    • 要在 Windows 操作系统上了解您的 Microrsoft AD FS 主机名:
      请打开”Windows PowerShell“>”以管理员身份运行“>键入”Get-AdfsProperties“>按”Enter“>在详细列表中查找您的主机名

将 IdP 元数据文件上传到 Adobe Admin Console

要更新最新证书,请返回 Adobe Admin Console 窗口。将从 AD FS 下载的元数据文件上传到“添加 SAML 配置文件”屏幕,然后单击“完成”

后续步骤:完成设置以将应用程序分配给用户

设置您的目录后,执行以下操作以使您组织的用户可使用 Adobe 应用程序和服务:

  1. 在 Admin Console 中添加并设置域
  2. 将这些域关联到 AD FS 目录。
  3. (可选)如果已在 Admin Console 的另一目录中建立您的域,请将其直接转移到新创建的 AD FS 目录
  4. 添加产品配置文件以微调您已购买的计划的使用方式。
  5. 通过添加测试用户而测试您的 SSO 设置
  6. 根据您的要求选择您的用户管理策略和工具。然后,将用户添加到 Admin Console,并将其分配给产品配置文件以使用户开始使用其 Adobe 应用程序。

要详细了解其他与身份相关的工具和技术,请参阅设置身份

测试单点登录

使用 Active Directory 创建一个测试用户。在 Admin Console 中为此用户创建一个条目,并为其分配一个许可证。然后,测试是否可以登录 Adobe.com,并查看相关软件是否已被列出且可供下载。

还可通过登录到 Creative Cloud Desktop 以及从 Photoshop 或 Illustrator 等应用程序内进行测试。

如果遇到问题,请参阅我们的故障排除文档。如果对于单点登录配置仍需帮助,请在 Adobe Admin Console 中导航到“支持”,并向客户支持提交服务单。

更快、更轻松地获得帮助

新用户?