概述

Adobe Admin Console 允许系统管理员配置可通过 Federated ID 进行单点登录 (SSO) 的域。使用 DNS 令牌证明对域拥有所有权后,可对域进行配置,以允许用户登录到 Creative Cloud。用户可以通过身份提供程序 (IdP) 在该域内使用电子邮件地址进行登录。该过程可以配置为在公司网络内部运行并可以通过 Internet 访问的软件服务,或由第三方托管并允许通过使用 SAML 协议的安全通信来验证用户登录详细信息的云服务。

Microsoft Active Directory Federation Services(简称 AD FS)便是这样一种 IdP。要使用 AD FS,必须配置满足以下要求的服务器:可从用户将要登录的工作站中访问;有权访问公司网络内部的目录服务。本文档旨在介绍配置 Adobe Admin Console 和 Microsoft AD FS 服务器,使其能够登录到 Adobe Creative Cloud 应用程序和关联的网站以进行单点登录所需执行的过程。

IdP 未必可从公司网络外部访问,如果不可访问,则只有公司网络内部的工作站(或通过 VPN 连接的工作站)才能执行身份验证以激活许可证,或在停用其会话之后进行登录。

前提条件

在使用 Microsoft AD FS 配置域以进行单点登录之前,必须满足以下要求:

  • 在 Adobe Admin Console 中为 Federated ID 设置了已批准的目录,且该目录正在等待配置或之前已为其他 IdP 进行了配置
  • 已在您的联合目录中声明相关域
  • 已随 Microsoft AD FS 和最新的操作系统更新安装 Microsoft Windows Server。
  • 服务器必须可从用户的工作站访问(例如,通过 HTTPS)
  • 从 AD FS 服务器中获取了安全证书
  • 要与企业版 Creative Cloud 帐户关联的所有 Active Directory 帐户必须拥有一个在 Active Directory 中列出的电子邮件地址。

有关如何在 Admin Console 中设置目录并在该目录中声明域的信息,请参阅设置身份页面。添加目录后,可以先为目录配置单点登录,然后再声明域,但要创建 Federated ID 用户,您必须声明这些用户所在的域名。

目录名称可以是任意的,但与目录关联的域必须与电子邮件地址中“@”符号之后的部分完全匹配。如果您还希望使用子域,则必须单独声明这些子域。

注意:

本文档中的说明和屏幕快照针对的是 AD FS 版本 3.0,但 AD FS 2.0 中存在相同的菜单。

下载令牌签名证书

  1. 在服务器上打开 AD FS 管理应用程序,然后在 AD FS -> 服务 -> 证书文件夹中选择令牌签名证书。要打开证书属性窗口,请单击查看证书

    token_signing_certificate
  2. 详细信息选项卡中单击复制到文件,然后按照向导将证书另存为 Base-64 编码 X. 509 (.CER)。此格式的证书等同于 PEM 格式的证书。

    02_-_certificateexportwizard

在 Adobe Admin Console 中配置目录

要为目录配置单点登录,请在 Adobe Admin Console 中输入必需的信息,然后下载用于配置 Microsoft AD FS 服务器的元数据。

  1. 登录到 Admin Console,然后导航到设置 > 身份

  2. 转到目录选项卡。

  3. 单击要配置的目录旁边的配置

    03_-_configure_directory
  4. 上传您之前从 Microsoft AD FS 服务器中保存的证书。

  5. 选择 HTTP - 重定向作为 IdP 绑定

  6. 选择电子邮件作为用户登录设置

  7. 在 AD FS 服务器上的 AD FS 管理应用程序中,选择树顶部的条目 AD FS,然后单击编辑联合服务属性。在弹出窗口的常规选项卡中,复制联合服务标识符

    例如:http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. 将刚刚复制的联合服务标识符粘贴到 Adobe Admin Console 的 IdP 颁发者字段中。

    注意:

    “IdP 颁发者”字段用于标识服务器,而不是用户在连接到服务器时所访问的 URL。出于安全原因考虑,AD FS 服务器应当只能通过 HTTPS 进行访问,而不能通过不安全的 HTTP 进行访问。

  9. 获取 IdP 服务器的主机名(通常与联合服务名称相同),然后在该名称前面附加 https:// 协议,在后面附加 /adfs/ls 路径,以便构建 IdP 登录 URL。

    例如:https://adfs.example/com/adfs/ls/

  10. 在 Adobe Admin Console 中输入 IdP 登录 URL。

  11. 单击保存

    admin_console_-_adfs-configuredirectory
  12. 要将 SAML XML 元数据文件保存到您的计算机,请单击下载元数据。此文件将在本文档的后面部分用于在 AD FS 服务器上配置信赖方信任。

  13. 选中相应框以表明您已知晓需要使用身份提供程序来完成配置。此配置操作将在后续步骤中在 AD FS 服务器上完成。

    configure_directoryanddownloadmetadata
  14. XML 元数据文件复制到 AD FS 服务器,以便能够将其导入 AD FS 管理应用程序。

  15. 单击完成以完成目录配置。

向目录添加一个或多个域

  1. Adobe Admin Console 中,导航到设置 > 身份

  2. 选项卡中,单击添加域

  3. 输入域屏幕中,输入最多包含 15 个域的列表,然后单击添加域

  4. 添加域屏幕中,确认刚输入的域列表,然后单击添加域

  5. 这些域随即会添加到 Admin Console。但是,您仍需要证明对这些域的所有权。

  6. 页面上,针对需要进行验证的任何域单击验证域

  7. 复制单击复制记录值后显示的 DNS 令牌,然后在 DNS 配置中,为您已添加的每个域的设置创建一个包含此令牌的 TXT 记录,以便对这些域进行验证。

    对于您在 Adobe Admin Console 中添加的所有域,此令牌是相同的,因此之后添加的其他域也可以重复使用此令牌。

    对域进行验证后,此令牌无需保留不动。

    validate_domain_ownership
  8. 您可以使用 MXToolbox 之类的网站在线检查 TXT 记录是否已传播到其他 DNS 服务器,也可以在 Windows、Linux 或 Mac OS 系统上从命令行使用 nslookup 命令来执行此检查,如下所示:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. 验证域所有权屏幕中,单击立即验证

    如果正确检测出 DNS 令牌是域所对应的 TXT 记录,则域将通过验证,可以直接开始使用。最初未通过验证的域会在后台定期进行检查,在 DNS 令牌验证正确后,这些域即通过验证。

配置 AD FS 服务器

要配置 SAML 与 AD FS 的集成,请执行以下步骤:

注意:

在 Adobe Admin Console 中对给定域的值进行任何更改后,必须重复执行下面的所有步骤。

  1. 在 AD FS 管理应用程序中导航到 AD FS -> 信任关系 -> 信赖方信任,然后单击添加信赖方信任以启动向导。

  2. 单击启动,选择从文件导入信赖方的数据,然后浏览到您之前从 Adobe Admin Console 中将元数据复制到的位置。

    08_-_import_metadata
  3. 为信赖方信任命名,并根据需要输入任何其他备注。

    单击下一步

    09_-_name_relyingpartytrust
  4. 确定是否需要使用多重身份验证,并选择相应选项。

    单击下一步

  5. 确定所有用户都将能够通过 AD FS 登录,还是会被拒绝访问。

    单击下一步

  6. 检查设置。

    单击下一步

  7. 信赖方信任即已添加。

    将用于打开编辑声明规则对话框的选项保留处于选中状态,以便快速访问后续步骤。

    单击关闭

  8. 如果编辑声明规则向导未自动打开,您可以从 AD FS 管理应用程序中的 AD FS -> 信任关系 -> 信赖方信任下访问该向导,方法是选择 Adobe SSO 信赖方信任,然后单击右侧的编辑声明规则...

  9. 单击添加规则,然后使用以声明方式发送 LDAP 属性模板配置属性存储的规则,将 LDAP 属性 E-Mail-Addresses 映射到传出声明类型的电子邮件地址。

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    注意:

    如以上屏幕快照中所示,我们建议将电子邮件地址用作主标识符。不建议将“用户主体名称”(UPN) 字段用作在断言中以电子邮件地址方式发送的 LDAP 属性。虽然可以将 UPN 用作 LDAP 属性,但这并不是正式支持的配置,如果进行此配置,您需自行承担风险。

    UPN 通常不会映射到电子邮件地址,它在很多情况下都不相同。这很可能将导致 Creative Cloud 中的通知和资产共享出现问题。

  10. 单击完成以完成添加转换声明规则的操作。

  11. 同样,在编辑声明规则向导中,使用转换传入声明模板来添加一个规则,以便转换类型为电子邮件地址的传入声明,同时将传出声明类型名称 ID 和传出名称 ID 格式指定为“电子邮件地址”,以便传递所有声明值。

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. 单击完成以完成添加转换声明规则的操作。

  13. 编辑声明规则向导中,使用使用自定义规则发送声明模板添加一个规则,该规则包含以下内容:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. 单击完成以完成自定义规则向导。

  15. 编辑声明规则对话框中单击确定,以完成将这三个规则添加到信赖方信任中的操作。

    16_-_edit_claim_rules

    注意:

    声明规则的顺序非常重要;它们应按此处所示的顺序显示。

  16. 确保选中新的信赖方信任,然后单击窗口右侧的属性。选择高级选项卡,并确保将安全哈希算法设为 SHA-1

    17_-_relying_partytrustproperties

测试单点登录

使用 Active Directory 创建一个测试用户。在 Admin Console 中为该用户创建一个条目,并为其分配许可证。然后,通过执行以下步骤来进行测试:登录到 Adobe.com,确认是否列出了可供下载的相关软件。

您还可以通过登录到 Creative Cloud 桌面应用程序以及从 Photoshop 或 Illustrator 之类的应用程序中登录来进行测试。

如果遇到问题,请参阅我们的故障诊断文档

为了避免在时钟存在少量差异的系统之间发生连接问题,请将默认时间偏差设置为 2 分钟。有关时间偏差的更多信息,请参阅解决错误文档。

如果您在单点登录配置方面仍需要帮助,请导航到 Adobe Admin Console 中的支持,然后创建一个票证。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略