本文介绍用于 Microsoft Azure AD 的旧版基于 SAML 的设置。
对于新配置,建议使用 Azure AD 连接器,只需数分钟即可设置它,缩短了域声明、SSO 设置和用户同步的过程。
适用于企业。
本文介绍用于 Microsoft Azure AD 的旧版基于 SAML 的设置。
对于新配置,建议使用 Azure AD 连接器,只需数分钟即可设置它,缩短了域声明、SSO 设置和用户同步的过程。
使用 Adobe Admin Console,系统管理员可以配置用于通过 Federated ID 进行登录的域,从而实现单点登录 (SSO)。 验证该域后,包含该域的目录即被配置为允许用户登录到 Creative Cloud。 用户可以使用该域内的电子邮件地址通过身份提供者 (IdP) 进行登录。 该流程会以在公司网络中运行且可通过 Internet 进行访问的软件服务的形式提供,或者以由第三方托管且可以通过使用 SAML 协议的安全通信验证用户的登录详细信息的云服务的形式提供。
Microsoft Azure 便属于上述 IdP,它是一种基于云的服务,可以帮助进行安全身份管理。
Azure AD 使用 userPrincipalName 属性,也允许在本地使用您指定的属性 (在自定义安装中) 作为 Azure AD 中的用户主体名称。 如果 userPrincipalName 属性的值并不与 Azure AD 中某个经过验证的域对应,则它将被替换为默认的 .onmicrosoft.com 值。
当用户通过应用程序身份验证时,Azure AD 会向应用程序发放 SAML 令牌,其中包含可唯一标识用户的信息 (或申请)。 默认情况下,此信息包括用户的用户名、电子邮件地址、名字和姓氏。 您可以在“属性”选项卡中查看或编辑在 SAML 令牌中发送给应用程序的申请,并发布用户名属性。
要为域配置单点登录,请执行以下操作:
确保可访问 Microsoft Azure 仪表板并且您已经以管理员身份登录,以便能够创建新的企业应用程序。
要在 Azure 中配置 SSO,请执行以下步骤:
导航到“Azure Active Directory”>“企业应用程序”>“所有应用程序”,然后单击“新建应用程序”。
在“从库中添加”下方的搜索字段中输入“Adobe Creative Cloud”
选择 Adobe Identity Management (SAML),重命名您的连接器,选择 添加, 并等待该过程完成。
导航到 Azure Active Directory > 企业应用程序 > 所有应用程序,然后选择您的新 Adobe Identity Management 连接器应用程序以移动到 概述 页面。
选择“单点登录”>“SAML”。
在“基本 SAML 配置”中,输入从 Adobe Admin Console 复制的实体 ID 和 ACS URL。 然后,单击“保存”。
要设置 SAML 令牌属性的格式,请单击“编辑”按钮并打开“用户属性”对话框。 然后,单击“添加新声明”以编辑“用户属性和声明”页面上的如下属性,其中将“命名空间”条目留空。
名称 |
值 |
命名空间 |
---|---|---|
FirstName |
user.givenname |
|
LastName |
用户名 |
|
|
user.mail |
|
将所有属性都设置为与以下值相同后,关闭“用户属性和声明”页面。
从 SAML 签名证书 部分,下载 联合元数据 XML 文件并将其保存到您的计算机。
然后,根据您的要求从“设置 <名称>”部分中复制适当的 URL。
单击“X”以关闭 Azure 门户上的文档页面,然后返回您的 Adobe SSO 连接器的“企业应用程序”配置窗口。
要将最新的证书更新到 Adobe Admin Console,请返回 Adobe Admin Console。 将从 Azure 下载的证书上传到“添加 SAML 配置文件”屏幕,然后单击“完成”。
要通过 Microsoft Azure 分配用户以允许其使用 Adobe Creative Cloud 连接器进行登录,请执行下方的各个步骤。 您还必须通过 Adobe Admin Console 分配许可证。
导航到“Azure Active Directory”->“企业应用程序”->“所有应用程序”,然后选择您的 Adobe Creative Cloud 连接器应用程序。
单击“用户和组”。
单击“添加用户”以选择要分配给此连接器的用户,这样他们即可通过单点登录进行登录。
单击“用户”或“组”并选择一个或多个要允许登录到 Creative Cloud 的用户或组,然后依次单击“选择”和“分配”。