管理 Microsoft Azure 基于 SAML 的 SSO

搜索
Enterprise & Teams 用户指南

在此页面上

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

New feature alert

本篇文章描述有关 Microsoft Azure AD 较旧的基于 SAML 的设置。

对于新配置,建议使用 Azure AD 连接器,这种连接器几分钟即可完成设置,并且可以缩短域声明、SSO 设置以及用户同步的过程。


概述

Adobe Admin Console 允许系统管理员配置可通过 Federated ID 进行单点登录 (SSO) 的域。一旦相关的域通过了验证,则包含该域的目录在经过配置后,即可允许用户登录到 Creative Cloud。用户可以通过身份提供程序 (IdP) 在该域内使用电子邮件地址进行登录。该过程可以配置为在公司网络内部运行并可以通过 Internet 访问的软件服务,或由第三方托管并允许通过使用 SAML 协议的安全通信来验证用户登录详细信息的云服务。

Microsoft Azure 便是这样一种 IdP,它是基于云的服务,可协助进行安全身份管理。

Azure AD 使用 userPrincipalName 属性或允许您指定该属性(在自定义安装中)以在内部部署中用作 Azure AD 中的用户主体名称。如果 userPrincipalName 属性的值与 Azure AD 中的已验证域不对应,则会使用默认的 .onmicrosoft.com 值来替换该值。

当用户进行应用程序的身份验证时,Azure AD 将为应用程序颁发一个 SAML 令牌,其中包含可用于唯一识别用户的用户相关信息(或声明)。默认情况下,此类信息包括用户的用户名、电子邮件地址、名字和姓氏。您可以在“属性”选项卡下查看或编辑 SAML 令牌中发送给应用程序的声明,并发布用户名属性。

使用 Azure 配置单点登录

要为您的域配置单点登录,请执行以下操作:

  1. 登录到 Admin Console,启动创建 Federated ID 目录,选择其他 SAML 提供程序作为身份提供程序。复制添加 SAML 配置文件屏幕中 ACS URL实体 ID 的值。
  2. 通过指定 ACS URL实体 ID配置 Azure,然后下载 IdP 元数据文件。
  3. 返回至 Adobe Admin Console,在添加 SAML 配置文件屏幕中上传 IdP 元数据文件,然后单击完成

在 Azure 中为 Adobe 创建 SSO 应用程序

确保您可以访问 Microsoft Azure 仪表板,并且能够以管理员身份登录到 Microsoft Azure,从而新建企业应用程序。

要在 Azure 中配置 SSO,请执行以下步骤:

  1. 导航到 Azure Active Directory > 企业应用程序 > 所有应用程序,然后单击新建应用程序

  2. 从库中添加下,在搜索字段中输入“Adobe Creative Cloud”。

  3. 选择 Adobe Creative Cloud,重命名您的连接器并单击添加,然后等待此流程结束。

    add_application

  4. 导航至 Azure Active Directory > 企业应用程序 > 所有应用程序,然后选择您的新 Adobe Creative Cloud 连接器应用程序,以便访问概述页面。

  5. 选择单点登录 > SAML

    SAML

  6. 基本 SAML 配置中,输入从 Adobe Admin Console 中复制的实体 ID 和 ACS URL。接下来,单击保存

    基本 SAML 配置

  7. 要设置 SAML 令牌属性的格式,请单击编辑按钮并打开用户属性对话框。接下来,单击添加新声明以编辑用户属性与声明页面上的属性,如下所示,将命名空间条目留空。

    名称 命名空间
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

  8. 当所有属性都按照以下值设置后,关闭用户属性与声明页面。

    用户属性

    注意:

    • 要通过电子邮件对用户进行身份验证,请将 UserIdentifier 设置为 user.mail。要通过 UserPrincipalName 对用户进行身份验证,请将 UserIdentifier 设置为 user.userprincipalname
    • 用户必须具备有效的 Office 365 ExO 许可证,才能在 SAML 响应中添加电子邮件声明值。

  9. SAML 签名证书部分下载证书 (Base64) 文件并将其保存在本机。

    SAML 签名证书

  10. 接下来,根据您的要求,从设置 <名称> 部分复制相应的 URL。

    设置

  11. 在 Azure 门户中单击“X”以关闭文档页面,然后返回到 Adobe SSO 连接器的企业应用程序配置窗口。

  12. 在“SAML 签名证书”部分,单击右侧的证书 (base 64) 以下载证书文件。

将 IdP 元数据文件上传到 Adobe Admin Console

要更新 Adobe Admin Console 的最新证书,请返回到 Adobe Admin Console。将从 Azure 下载的证书上传到添加 SAML 配置文件屏幕,然后单击完成

通过 Azure 分配用户

要通过 Microsoft Azure 分配用户以允许其使用 Adobe Creative Cloud 连接器进行登录,请执行以下步骤。您还必须通过 Adobe Admin Console 分配许可证。

  1. 导航到 Azure Active Directory -> 企业应用程序 -> 所有应用程序,然后选择 Adobe Creative Cloud 连接器应用程序。

  2. 单击用户和组

  3. 单击添加用户,以选择要分配给此连接器的用户,此操作将允许这些用户进行单点登录。

  4. 单击用户,选择一个或多个允许其登录到 Creative Cloud 的用户或组,然后依次单击选择分配

测试用户是否可以访问

通过登录到 Adobe 网站或 Creative Cloud 桌面应用程序,检查您在自己的身份管理系统和 Adobe Admin Console 中定义的用户是否拥有相应的用户访问权限。

如果遇到问题,请参阅我们的故障诊断文档

如果您在 单点登录配置方面需要帮助,请导航到 Adobe Admin Console > 支持,以便与我们联系。