概述

1.setup-identity

Adobe Admin Console 允许系统管理员配置可通过 Federated ID 进行单点登录 (SSO) 的域。一旦相关的域通过了验证,则包含该域的目录在经过配置后,即可允许用户登录到 Creative Cloud。用户可以通过身份提供程序 (IdP) 在该域内使用电子邮件地址进行登录。该过程可以配置为在公司网络内部运行并可以通过 Internet 访问的软件服务,或由第三方托管并允许通过使用 SAML 协议的安全通信来验证用户登录详细信息的云服务。

Microsoft Active Directory Federation Services(简称 AD FS)便是这样一种 IdP。要使用 AD FS,必须配置满足以下要求的服务器:可从用户将要登录的工作站中访问;有权访问公司网络内部的目录服务。本文档旨在介绍配置 Adobe Admin Console 和 Microsoft AD FS 服务器,使其能够登录到 Adobe Creative Cloud 应用程序和关联的网站以进行单点登录所需执行的过程。

IdP 未必可从公司网络外部访问,如果不可访问,则只有公司网络内部的工作站(或通过 VPN 连接的工作站)才能执行身份验证以激活许可证,或在停用其会话之后进行登录。


注意:

本文档中的说明和屏幕快照适用于 AD FS 3.0 版;不过,AD FS 2.0 展示的也是相同的菜单。

前提条件

在使用 Microsoft AD FS 来创建可实现单点登录的域之前,必须满足以下要求:

  • Microsoft Windows Server 安装了 Microsoft AD FS 和最新的操作系统更新。如果您希望用户在 macOS 上使用 Adobe 产品,请确保您的服务器支持 TLS 1.2 版和正向保密。
  • 必须可以从用户的工作站访问服务器(例如,通过 HTTPS)。
  • 获得了来自 AD FS 服务器的安全证书。
  • 所有将要与 Creative Cloud 企业版帐户关联的 Active Directory 帐户,都必须拥有一个列在 Active Directory 中的电子邮件地址。

在 Adobe Admin Console 中创建一个目录

要为您的域配置单点登录,请执行以下操作:

  1. 登录到 Admin Console,启动创建 Federated ID 目录,选择其他 SAML 提供程序作为身份提供程序。从添加 SAML 配置文件屏幕中下载 Adobe 元数据文件。
  2. 通过指定 ACS URL实体 ID配置 AD FS,然后下载 IdP 元数据文件。
  3. 返回至 Adobe Admin Console,在添加 SAML 配置文件屏幕中上传 IdP 元数据文件,然后单击完成

配置 AD FS 服务器

要配置 SAML 与 AD FS 的集成,请执行以下步骤:

注意:

在 Adobe Admin Console 中对给定域的值进行任何更改后,必须重复执行下面的所有步骤。

  1. 在 AD FS 管理应用程序中导航到 AD FS -> 信任关系 -> 信赖方信任,然后单击添加信赖方信任以启动向导。

  2. 单击启动,选择从文件导入信赖方的数据,然后浏览到您之前从 Adobe Admin Console 中将元数据复制到的位置。

    08_-_import_metadata
  3. 为信赖方信任命名,并根据需要输入任何其他备注。

    单击下一步

    09_-_name_relyingpartytrust
  4. 确定是否需要使用多重身份验证,并选择相应选项。

    单击下一步

  5. 确定是否所有用户都可以通过 AD FS 登录。

    单击下一步

  6. 检查设置。

    单击下一步

  7. 信赖方信任即已添加。

    将用于打开编辑声明规则对话框的选项保留处于选中状态,以便快速访问后续步骤。

    单击关闭

  8. 如果编辑声明规则向导未自动打开,您可以从 AD FS 管理应用程序中的 AD FS -> 信任关系 -> 信赖方信任下访问该向导,方法是选择 Adobe SSO 信赖方信任,然后单击右侧的编辑声明规则...

  9. 单击添加规则,然后使用以声明方式发送 LDAP 属性模板配置属性存储的规则,将 LDAP 属性 E-Mail-Addresses 映射到传出声明类型的电子邮件地址。

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    注意:

    如以上屏幕快照中所示,我们建议将电子邮件地址用作主标识符。您还可以使用用户主体名称 (UPN) 字段作为 LDAP 属性,在断言中作为电子邮件地址方式发送。但是,我们不建议这样配置声明规则。

    UPN 通常不会映射到电子邮件地址,它在很多情况下都不相同。这很可能将导致 Creative Cloud 中的通知和资产共享出现问题。

  10. 单击完成以完成添加转换声明规则的操作。

  11. 同样,在编辑声明规则向导中,使用转换传入声明模板添加一条规则来传递所有声明值,将“电子邮件地址”类型的传入声明转换为传出声明类型为“名称 ID”、传出名称 ID 格式为“电子邮件”。

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. 单击完成以完成添加转换声明规则的操作。

  13. 编辑声明规则向导中,使用使用自定义规则发送声明模板添加一个规则,该规则包含以下内容:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. 单击完成以完成自定义规则向导。

  15. 编辑声明规则对话框中单击确定,以完成将这三个规则添加到信赖方信任中的操作。

    16_-_edit_claim_rules

    注意:

    声明规则的顺序非常重要;它们必须按此处所示的顺序显示。

为了避免在时钟存在少量差异的系统之间发生连接问题,请将默认时间偏差设置为 2 分钟。有关时间偏差的更多信息,请参阅错误故障诊断文档。

下载 AD FS 元数据文件

  1. 在服务器上打开 AD FS 管理应用程序,然后在 AD FS > 服务 > 端点文件夹中选择联合身份验证元数据

    元数据位置
  2. 使用浏览器导航到联合身份验证元数据中提供的 URL,并下载相应的文件。例如,https://<您的 AD FS 主机名>/FederationMetadata/2007-06/FederationMetadata.xml。

    注意:

    如果出现任何警告,请都予以接受。

将 IdP 元数据文件上传到 Adobe Admin Console

要更新最新的证书,请返回 Adobe Admin Console。将从 AD FS 下载的元数据文件上传到添加 SAML 配置文件屏幕,然后单击完成

测试单点登录

使用 Active Directory 创建一个测试用户。在 Admin Console 中为该用户创建一个条目,并为其分配许可证。然后,通过执行以下步骤来进行测试:登录到 Adobe.com,确认是否列出了可供下载的相关软件。

您还可以通过登录到 Creative Cloud 桌面应用程序以及从 Photoshop 或 Illustrator 之类的应用程序中登录来进行测试。

如果遇到问题,请参阅我们的故障诊断文档。如果您在单点登录配置方面仍需要帮助,请导航到 Adobe Admin Console 中的支持,然后通过客户支持打开一个票证。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略