管理用于 Microsoft Azure 的基于 SAML 的 SSO

使用 Adobe Admin Console，系统管理员可以配置用于通过 Federated ID 进行登录的域，从而实现单点登录 (SSO)。 验证该域后，包含该域的目录即被配置为允许用户登录到 Creative Cloud。 用户可以使用该域内的电子邮件地址通过身份提供者 (IdP) 进行登录。 该流程会以在公司网络中运行且可通过 Internet 进行访问的软件服务的形式提供，或者以由第三方托管且可以通过使用 SAML 协议的安全通信验证用户的登录详细信息的云服务的形式提供。

Microsoft Azure 便属于上述 IdP，它是一种基于云的服务，可以帮助进行安全身份管理。

Azure AD 使用 userPrincipalName 属性，也允许在本地使用您指定的属性 (在自定义安装中) 作为 Azure AD 中的用户主体名称。 如果 userPrincipalName 属性的值并不与 Azure AD 中某个经过验证的域对应，则它将被替换为默认的 .onmicrosoft.com 值。

当用户通过应用程序身份验证时，Azure AD 会向应用程序发放 SAML 令牌，其中包含可唯一标识用户的信息 (或申请)。 默认情况下，此信息包括用户的用户名、电子邮件地址、名字和姓氏。 您可以在“属性”选项卡中查看或编辑在 SAML 令牌中发送给应用程序的申请，并发布用户名属性。

使用 Azure 配置单点登录

要为域配置单点登录，请执行以下操作：

1. 登录到 Admin Console，首先创建 Federated ID 目录，其中选择“其他 SAML 提供者”作为身份提供者。 从“添加 SAML 配置文件”屏幕中复制“ACS URL”和“实体 ID”的值。
2. 配置 Azure，其中指定 ACS URL 和实体 ID，然后下载 IdP 元数据文件。
3. 返回 Adobe Admin Console，在“添加 SAML 配置文件”屏幕中上传 IdP 元数据文件，然后单击“完成”。

在 Azure 中为 Adobe 创建 SSO 应用程序

确保可访问 Microsoft Azure 仪表板并且您已经以管理员身份登录，以便能够创建新的企业应用程序。

要在 Azure 中配置 SSO，请执行以下步骤：

将 IdP 元数据文件上传到 Adobe Admin Console

要将最新的证书更新到 Adobe Admin Console，请返回 Adobe Admin Console。 将从 Azure 下载的证书上传到“添加 SAML 配置文件”屏幕，然后单击“完成”。

通过 Azure 分配用户

要通过 Microsoft Azure 分配用户以允许其使用 Adobe Creative Cloud 连接器进行登录，请执行下方的各个步骤。 您还必须通过 Adobe Admin Console 分配许可证。

测试用户访问

通过登录到 Adobe 网站或 Creative Cloud 桌面应用程序，为已在您自己的身份管理系统中和在 Adobe Admin Console 中定义的用户检查用户访问。

如果遇到问题，请参阅我们的故障排除文档。

如果在单点登录配置方面需要帮助，请导航到 Adobe Admin Console >“支持”以联系我们。