New feature alert

本文介绍用于 Microsoft Azure AD 的旧版基于 SAML 的设置。

对于新配置,建议使用 Azure AD 连接器,只需数分钟即可设置它,缩短了域声明、SSO 设置和用户同步的过程。


概述

使用 Adobe Admin Console,系统管理员可以配置用于通过 Federated ID 进行登录的域,从而实现单点登录 (SSO)。验证该域后,包含该域的目录即被配置为允许用户登录到 Creative Cloud。用户可以使用该域内的电子邮件地址通过身份提供者 (IdP) 进行登录。该流程会以在公司网络中运行且可通过 Internet 进行访问的软件服务的形式提供,或者以由第三方托管且可以通过使用 SAML 协议的安全通信验证用户的登录详细信息的云服务的形式提供。

Microsoft Azure 便属于上述 IdP,它是一种基于云的服务,可以帮助进行安全身份管理。

Azure AD 使用 userPrincipalName 属性,也允许在本地使用您指定的属性 (在自定义安装中) 作为 Azure AD 中的用户主体名称。如果 userPrincipalName 属性的值并不与 Azure AD 中某个经过验证的域对应,则它将被替换为默认的 .onmicrosoft.com 值。

当用户通过应用程序身份验证时,Azure AD 会向应用程序发放 SAML 令牌,其中包含可唯一标识用户的信息 (或申请)。默认情况下,此信息包括用户的用户名、电子邮件地址、名字和姓氏。您可以在“属性”选项卡中查看或编辑在 SAML 令牌中发送给应用程序的申请,并发布用户名属性。

使用 Azure 配置单点登录

要为域配置单点登录,请执行以下操作:

  1. 登录到 Admin Console,首先创建 Federated ID 目录,其中选择“其他 SAML 提供者”作为身份提供者。从“添加 SAML 配置文件”屏幕中复制“ACS URL”“实体 ID”的值。
  2. 配置 Azure,其中指定 ACS URL实体 ID,然后下载 IdP 元数据文件。
  3. 返回 Adobe Admin Console,在“添加 SAML 配置文件”屏幕中上传 IdP 元数据文件,然后单击“完成”

在 Azure 中为 Adobe 创建 SSO 应用程序

确保可访问 Microsoft Azure 仪表板并且您已经以管理员身份登录,以便能够创建新的企业应用程序。

要在 Azure 中配置 SSO,请执行以下步骤:

  1. 导航到“Azure Active Directory”>“企业应用程序”>“所有应用程序”,然后单击“新建应用程序”

  2. “从库中添加”下方的搜索字段中输入“Adobe Creative Cloud”

  3. 选择“Adobe Creative Cloud”,重命名您的连接器,然后单击“添加”并等待过程完毕。

    add_application
  4. 导航到“Azure Active Directory”>“企业应用程序”>“所有应用程序”,然后选择您的新 Adobe Creative Cloud 连接器应用程序以移至“概述”页面。

  5. 选择“单点登录”>“SAML”

    SAML
  6. “基本 SAML 配置”中,输入从 Adobe Admin Console 复制的实体 ID 和 ACS URL。然后,单击“保存”

    基本 SAML 配置
  7. 要设置 SAML 令牌属性的格式,请单击“编辑”按钮并打开“用户属性”对话框。然后,单击“添加新声明”以编辑“用户属性和声明”页面上的如下属性,其中将“命名空间”条目留空。

    名称 命名空间
    FirstName user.givenname  
    LastName 用户名  
    Email user.mail  
  8. 将所有属性都设置为与以下值相同后,关闭“用户属性和声明”页面。

    用户属性

    注意:

    • 要通过电子邮件验证用户身份,请将 UserIdentifier 设置为 user.mail。要通过 UserPrincipalName 验证用户身份,请将 UserIdentifier 设置为 user.userprincipalname
    • 用户必须具有有效的 Office 365 ExO 许可证,才能将电子邮件声明值添加到 SAML 响应中。

  9. “SAML 签名证书”部分中,下载证书(Base64) 文件并将它保存到您的计算机。

    SAML 签名证书
  10. 然后,根据您的要求从“设置 <名称>”部分中复制适当的 URL。

    设置
  11. 单击“X”以关闭 Azure 门户上的文档页面,然后返回您的 Adobe SSO 连接器的“企业应用程序”配置窗口。

  12. 在“SAML 签名证书”部分中,单击“证书(base 64)”右侧以下载证书文件。

将 IdP 元数据文件上传到 Adobe Admin Console

要将最新的证书更新到 Adobe Admin Console,请返回 Adobe Admin Console。将从 Azure 下载的证书上传到“添加 SAML 配置文件”屏幕,然后单击“完成”

通过 Azure 分配用户

要通过 Microsoft Azure 分配用户以允许其使用 Adobe Creative Cloud 连接器进行登录,请执行下方的各个步骤。您还必须通过 Adobe Admin Console 分配许可证。

  1. 导航到“Azure Active Directory”->“企业应用程序”->“所有应用程序”,然后选择您的 Adobe Creative Cloud 连接器应用程序。

  2. 单击“用户和组”

  3. 单击“添加用户”以选择要分配给此连接器的用户,这样他们即可通过单点登录进行登录。

  4. 单击“用户”“组”并选择一个或多个要允许登录到 Creative Cloud 的用户或组,然后依次单击“选择”“分配”

测试用户访问

通过登录到 Adobe 网站或 Creative Cloud 桌面应用程序,为已在您自己的身份管理系统中和在 Adobe Admin Console 中定义的用户检查用户访问。

如果遇到问题,请参阅我们的故障排除文档

如果在单点登录配置方面需要帮助,请导航到 Adobe Admin Console >“支持”以联系我们。