概述

Adobe Admin Console 允许系统管理员配置可通过 Federated ID 进行单点登录 (SSO) 的域和目录。

使用 DNS 令牌证明对域拥有所有权,并将域关联到 Federated ID 目录后,如果用户的电子邮件地址位于所声明的域中,则在相关 Adobe Admin Console 中创建对应的帐户后,该用户便可以通过身份提供程序系统 (IdP) 登录到 Creative Cloud。

这个过程既可以配置为在公司网络内部运行并可通过 Internet 访问的软件服务,也可以配置为由第三方托管的云服务,在云服务中允许通过使用 SAML 协议的安全通信来验证用户登录详细信息。

WSO2-Ellucian Ethos 便是这样一种 IdP,它是基于云的服务,可协助进行安全身份管理。

本文档旨在介绍 Adobe Admin Console 和 WSO2 身份服务器的相关配置过程,使其能够登录到 Adobe Creative Cloud 应用程序和关联的网站以实现单点登录。

IdP 不一定必须可从公司网络外部访问,如果不可访问,则只有公司网络内部的工作站(或通过 VPN 连接的工作站)才能执行身份验证以激活许可证,或在停用其会话之后进行登录。

前提条件

在使用 WSO2 身份服务器配置域以进行单点登录之前,请确保满足以下要求:

  • 在 Adobe Admin Console 中为 Federated ID 设置了已批准的目录,且该目录正在等待配置或之前已为其他 IdP 进行了配置
  • 已在您的联合目录中声明相关域
  • 安装了 WSO2 服务器。
  • 可从用户的工作站访问该服务器(例如,通过 HTTPS)
  • 从密钥存储库获得的安全证书
  • 要与一个企业版 Creative Cloud 帐户关联的所有 Active Directory 帐户必须拥有一个在 Active Directory 中列出的电子邮件地址。

在 Adobe Admin Console 中配置目录

  1. 导航到 WSO2 身份管理控制台

  2. 从密钥存储库列表中保存 IdP 签名证书 (X.509)

    IDP 签名证书

    要为目录配置单点登录,请输入 Adobe Admin Console 中的所需信息。

  3. 上载您保存的 IdP 证书

  4. IdP 绑定列表中,选择 HTTP - 重定向

  5. 用户登录设置列表中,选择电子邮件

  6. 输入 ethos 作为 IdP 颁发机构

    例如 ethos.xyz.eduethos.xyz.orgethos.xyz.com

  7. IdP 登录 URL 中,输入 https://ethos/<domain_name>/samlsso

    例如,https://ethos.xyz.org/samlsso

    配置目录
  8. 单击存储

  9. 要将 SAML XML 元数据文件保存到您的计算机,请单击下载元数据

  10. 选中我已知晓需要使用身份提供程序来完成配置复选框。

  11. 要完成目录的配置,请单击完成

注册新的服务提供程序

要注册服务提供程序,请执行以下步骤:

  1. 转到 WSO2 身份服务器管理控制台

  2. 在 WSO2 服务器中,导航到身份 > 服务提供程序 > 添加

  3. 服务提供程序名称框中,输入所需的名称。

  4. 描述框中,输入有关服务提供程序的描述。

  5. 单击注册

    WSO2 身份服务器
  6. 声明配置下,执行以下步骤:

    声明配置栏
    1. 选择定义自定义声明方言选项。
    2. 添加三个声明 URI 属性。
      1. 添加以下服务提供程序声明值。
        • 电子邮件
        • 名字
        • 姓氏
      2. 添加以下本地声明值。
        • http://wso2.org/claims/emailaddress
        • http://wso2.org/claims/givenname 
        • http://wso2.org/claims/lastname
    3. 主题声明 URI 列表中,选择电子邮件
    4. 要保存更改,请单击更新
    声明配置
  7. 从 Admin Console 打开已保存的 Adobe 元数据。

    Adobe 元数据
    1. 复制 entityID 字段 值,并将其安全保存以供将来使用。
    2. 复制 Location 字段值,并将其安全保存以供将来使用。
  8. 注册新的服务提供程序屏幕中,导航至入站身份验证配置 > SAML2 Web SSO 配置

  9. 要编辑服务提供程序,请在操作列中单击相应的编辑链接。

    SAML2 Web SSO 配置
  10. 请执行以下步骤:

    1. 在颁发机构框中,输入从 Adobe 元数据复制的entityID字段值。

    2. 在断言使用者 URL 框中,输入从 Adobe 元数据复制的 Location 字段,然后单击添加

    3. 在 NameID 格式框中,输入 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

    4. 在响应签名算法响应摘要算法列表中,确保选定的值以 sha1 结尾。

    5. 选择启用属性配置文件始终在响应中包含属性复选框。单击更新

     

    register_new_serviceprovider1

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略