概述

Adobe Admin Console 允许系统管理员配置可通过 Federated ID 进行单点登录 (SSO) 的域和目录。使用 DNS 令牌证明对域拥有所有权,并将域关联到 Federated ID 目录后,如果用户的电子邮件地址位于所声明的域中,则在相关 Adobe Admin Console 中创建对应的帐户后,该用户便可以通过身份提供程序系统 (IdP) 登录到 Creative Cloud。该过程可以配置为在公司网络内部运行并可以通过 Internet 访问的软件服务,或由第三方托管并允许通过使用 SAML 协议的安全通信来验证用户登录详细信息的云服务。

Microsoft Azure 便是这样一种 IdP,它是基于云的服务,可协助进行安全身份管理。

Azure AD 使用 userPrincipalName 属性或允许您指定该属性(在自定义安装中)以在内部部署中用作 Azure AD 中的用户主体名称。如果 userPrincipalName 属性的值与 Azure AD 中的已验证域不对应,则会使用默认的 .onmicrosoft.com 值来替换该值。

当用户进行应用程序的身份验证时,Azure AD 将为应用程序颁发一个 SAML 令牌,其中包含可用于唯一识别用户的用户相关信息(或声明)。默认情况下,此类信息包括用户的用户名、电子邮件地址、名字和姓氏。您可以在“属性”选项卡下查看或编辑在 SAML 令牌中发送给应用程序的声明,并释放用户名属性。

前提条件

在使用 Microsoft Azure 作为 IdP 配置域以进行单点登录之前,必须满足以下要求:

  • 一个经过批准的域,与用户驻留的 DNS 域相对应,该域可链接到 Adobe Admin Console 上的联盟目录。有关详细信息,请参阅关于设置身份的通用文档
  • Microsoft Azure 仪表板可以访问,且您能够以管理员身份登录到 Microsoft Azure 来创建新的企业应用程序。

在 Azure 中为 Adobe 创建 SSO 应用程序

要在 Azure 中配置 SSO,请执行以下步骤:

  1. 导航到 Azure Active Directory > 企业应用程序 > 所有应用程序,然后单击新建应用程序

  2. 从库中添加下,在搜索字段中输入“Adobe Creative Cloud”。

  3. 选择 Adobe Creative Cloud,命名您的连接器,单击“添加”,然后等待此过程结束。

    add_application
  4. 导航到 Azure Active Directory > 企业应用程序 > 所有应用程序,然后选择新的 Adobe Creative Cloud 连接器应用程序。

  5. 在 Web 浏览器的单独选项卡中,登录到 Adobe Admin Console,然后访问您要设置的域对应的配置页面。在设置 -> 身份下,单击域名称,然后单击配置 SSO 按钮,可找到该配置页面。

  6. 在 Azure 门户中,单击“单点登录”,然后选择“基于 SAML 的单点登录”作为此连接器应用程序的单点登录模式。

  7. 单击用于查看和编辑所有其他用户属性的复选框。

  8. 按以下方式编辑 SAML 令牌属性,同时将每个条目的命名空间留空:

    名称 命名空间
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    注意:

    要通过电子邮件对用户进行身份验证,请将 UserIdentifier 设置为 user.mail。要通过 UserPrincipalName 对用户进行身份验证,请将 UserIdentifier 设置为 user.userprincipalname

  9. 单击页面底部包含 Azure SSO 连接器名称(请参见屏幕截图)的箭头(标记为步骤 5),页面左侧将会弹出有关 Adobe 单点登录的 Microsoft 文档。

    screen_shot_2018-05-08at085804
  10. 在随后显示的窗格中,文档下方的“快速参考”部分提供了指向各个端点和签名证书的链接。此信息将在后续部分中使用。

    screen_shot_2018-05-08at144856
  11. 从 Azure 门户中复制 Azure AD SAML 实体 ID,然后在 Adobe Admin Console 中将该 ID 粘贴到域身份配置页面的“IdP 颁发者”字段中。

  12. 从 Azure 门户中复制 Azure AD 单点登录服务 URL,然后在 Adobe Admin Console 中将该 URL 粘贴到域身份配置页面的“IdP 登录 URL”字段中。

  13. 在 Azure 门户中单击“X”以关闭文档页面,然后返回到 Adobe SSO 连接器的企业应用程序配置窗口。

  14. 在“SAML 签名证书”部分,单击右侧的证书 (Base 64) 以下载证书文件。

  15. 将在上一步中获取的证书上传到 Adobe Admin Console 以用作 IdP 证书,然后单击完成配置以保存这些详细信息。

    01_-_configure_saml
  16. 单击保存

  17. 选中相应框以表明您已知晓需要使用身份提供程序来完成配置。此配置操作将在后续步骤中在 Azure 门户上完成。

  18. 在 Adobe Admin Console 中单击下载元数据按钮,以保存此目录的设置。

    您将使用此文件获取配置的特定属性。

    configure_directoryanddownloadmetadata
  19. 单击完成以激活目录。

  20. 在文本编辑器或 Web 浏览器中打开元数据,然后将 EntityID 和 AssertionConsumerService 的值分别复制到 Azure 门户中的“标识符”字段和“回复 URL”字段,如以下屏幕快照中的示例所示。

    metadata_example
    • 在 Azure 配置的“标识符”字段中,使用元数据中 EntityID 的 URL:
      此地址采用以下格式:https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • 在 Azure 配置的“回复 URL”字段中,使用 AssertionConsumerService 的 URL:
      此地址采用以下格式:https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. 在 Azure 门户中使用页面顶部的“保存”链接保存这些设置。

通过 Azure 分配用户

要通过 Microsoft Azure 分配用户以允许其使用 Adobe Creative Cloud 连接器进行登录,请执行以下步骤。请注意,您将仍然需要通过 Adobe Admin Console 分配许可证。

  1. 导航到 Azure Active Directory -> 企业应用程序 -> 所有应用程序,然后选择 Adobe Creative Cloud 连接器应用程序。

  2. 单击用户和组

  3. 单击添加用户,以选择要分配给此连接器的用户,此操作将允许这些用户进行单点登录。

  4. 单击用户,选择一个或多个允许其登录到 Creative Cloud 的用户或组,然后依次单击选择分配

测试用户是否可以访问

要测试用户是否可以访问,请执行以下步骤:

  1. 此外,还确保您已在 Adobe Admin Console 中添加用户作为 Federated ID,并将其分配到相应组以进行授权。

  2. 此时,将您的电子邮件地址/UPN 键入 Adobe 登录表单,按下 Tab 键,之后您会返回到 Azure AD:

    • 在 Web 浏览器中:访问 www.adobe.com,然后单击页面右上角的登录
    • 在 Creative Cloud 桌面应用程序中
    • 在 Adobe Creative Cloud 应用程序(例如 Photoshop 或 Illustrator)中通过菜单帮助 > 登录...

如果遇到问题,请参阅我们的故障诊断文档

如果您在单点登录配置方面需要进一步的帮助,请导航到 Adobe Admin Console,打开支持部分,然后创建一个票证;或者在 Adobe 网站上单击支持

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略