
本文介绍用于 Microsoft Azure AD 的旧版基于 SAML 的设置。
对于新配置,建议使用 Azure AD 连接器,只需数分钟即可设置它,缩短了域声明、SSO 设置和用户同步的过程。
使用 Adobe Admin Console,系统管理员可以配置用于通过 Federated ID 进行登录的域,从而实现单点登录 (SSO)。验证该域后,包含该域的目录即被配置为允许用户登录到 Creative Cloud。用户可以使用该域内的电子邮件地址通过身份提供者 (IdP) 进行登录。该流程会以在公司网络中运行且可通过 Internet 进行访问的软件服务的形式提供,或者以由第三方托管且可以通过使用 SAML 协议的安全通信验证用户的登录详细信息的云服务的形式提供。
Microsoft Azure 便属于上述 IdP,它是一种基于云的服务,可以帮助进行安全身份管理。
Azure AD 使用 userPrincipalName 属性,也允许在本地使用您指定的属性 (在自定义安装中) 作为 Azure AD 中的用户主体名称。如果 userPrincipalName 属性的值并不与 Azure AD 中某个经过验证的域对应,则它将被替换为默认的 .onmicrosoft.com 值。
当用户通过应用程序身份验证时,Azure AD 会向应用程序发放 SAML 令牌,其中包含可唯一标识用户的信息 (或申请)。默认情况下,此信息包括用户的用户名、电子邮件地址、名字和姓氏。您可以在“属性”选项卡中查看或编辑在 SAML 令牌中发送给应用程序的申请,并发布用户名属性。
要为域配置单点登录,请执行以下操作:
- 登录到 Admin Console,首先创建 Federated ID 目录,其中选择“其他 SAML 提供者”作为身份提供者。从“添加 SAML 配置文件”屏幕中复制“ACS URL”和“实体 ID”的值。
- 配置 Azure,其中指定 ACS URL 和实体 ID,然后下载 IdP 元数据文件。
- 返回 Adobe Admin Console,在“添加 SAML 配置文件”屏幕中上传 IdP 元数据文件,然后单击“完成”。
要将最新的证书更新到 Adobe Admin Console,请返回 Adobe Admin Console。将从 Azure 下载的证书上传到“添加 SAML 配置文件”屏幕,然后单击“完成”。
要通过 Microsoft Azure 分配用户以允许其使用 Adobe Creative Cloud 连接器进行登录,请执行下方的各个步骤。您还必须通过 Adobe Admin Console 分配许可证。