Příručka uživatele Zrušit

Konfigurace Microsoft AD FS pro použití v rámci jednotného přihlašování Adobe

Přehled

Dokument se zaměřuje na postup konfigurace konzoly Adobe Admin Console pro server Microsoft AD FS.

Poskytovatel identity nemusí být přístupný mimo podnikovou síť, ale pokud tedy není, budou se moci ověřovat s cílem aktivovat licenci nebo se přihlásit po deaktivaci relace pouze pracovní stanice v síti (nebo stanice připojené v síti VPN).

Nastavení jednotného přihlašování pomocí serveru Microsoft AD FS (video: 17 min.)
Poznámka:

Pokyny a snímky obrazovky v tomto dokumentu jsou určeny pro AD FS verze 3.0, ale stejné nabídky se nachází také ve verzi AD FS 2.0.

Předpoklady

Než začnete s vytvářením adresářů pro jednotné přihlašování pomocí serveru Microsoft AD FS, je třeba splnit následující požadavky:

  • Server Microsoft Windows s nainstalovaným produktem Microsoft AD FS a nejnovějšími aktualizacemi operačního systému. Pokud chcete, aby uživatelé používali produkty Adobe v systému macOS, ujistěte se, že server podporuje protokol TLS verze 1.2 a dopřednou bezpečnost. Další informace o produktu AD FS viz dokument Identita a přístup Microsoft.
  • Server musí být dostupný z pracovních stanic uživatelů (například jako HTTPS).
  • Certifikát zabezpečení získaný ze serveru AD FS.
  • Všechny účty Active Directory přiřazené k účtu ve službě Creative Cloud pro podniky musí mít e-mailovou adresu uvedenou v rámci služby Active Directory.

Vytvořte adresář v konzoli Adobe Admin Console.

Při konfiguraci jednotného přihlašování pro svou doménu postupujte následovně: 

  1. Přihlaste se ke konzoli Admin Console a začněte s vytvářením adresáře Federated ID, kde jako poskytovatele identity vyberte možnost Ostatní poskytovatelé SAML. Stáhněte soubor s metadaty Adobe pomocí průvodce Vytvoření adresáře.
  2. Nakonfigurujte AD FS, definujte adresu ACS URL a ID entitystáhněte soubor s metadaty IdP.
  3. Vraťte se do konzole Adobe Admin Console a nahrajte soubor s metadaty IdP pomocí průvodce Vytvoření adresáře. Poté zvolte Další, nastavte automatické vytvoření účtu a zvolte tlačítko Hotovo.

Další podrobnosti ke každému kroku naleznete na následujících hypertextových odkazech.

Konfigurace serveru AD FS

Budete-li chtít nakonfigurovat integraci SAML na serveru AD FS, postupujte následovně:

Pozor:

Všechny následující kroky je třeba zopakovat při každé změně hodnot pro danou doménu v konzoli Adobe Admin Console.

  1. V rámci aplikace AD FS pro správu přejděte do nabídky AD FS > Vztahy důvěryhodnosti > Důvěryhodnost závislé strany a kliknutím na tlačítko Přidat důvěryhodnost závislé strany spusťte průvodce.

  2. Klikněte na nabídku Start, vyberte možnost Importovat data závislé strany ze souboru a přejděte na místo, do kterého jste zkopírovali metadata z konzole Adobe Admin Console.

  3. Pojmenujte důvěryhodnost závislé strany a podle potřeby zadejte další poznámky.

    Klikněte na tlačítko Další.

  4. Určete, zda je požadováno vícefaktorové ověřování, a vyberte příslušnou možnost.

    Klikněte na tlačítko Další.

  5. Určete, zda se všichni uživatelé mohou přihlásit pomocí AD FS.

    Klikněte na tlačítko Další.

  6. Zkontrolujte své nastavení.

    Klikněte na tlačítko Další.

  7. Vaše důvěryhodnost závislé strany je tímto přidána.

    Ponecháním označené možnosti otevřete dialogové okno Úprava pravidel deklarace s rychlým přístupem k dalším krokům.

    Klikněte na tlačítko Zavřít.

  8. Pokud se průvodce Úprava pravidel deklarace automaticky neotevře, budete k němu mít přístup z aplikace AD FS pro správu v nabídce AD FS > Vztahy důvěry > Důvěryhodnost závislé strany výběrem důvěryhodnosti závislé strany Adobe SSO a kliknutím na tlačítko Úprava pravidel deklarace... na pravé straně.

  9. Klikněte na tlačítko Přidat pravidlo, nakonfigurujte pravidla pomocí šablony Odeslání atributů LDAP jako deklarace do svého úložiště atributů a namapujte e-mailové adresy atributu LDAP k e-mailové adrese typu odchozí deklarace.

    Poznámka:

    Jak lze vidět na výše uvedeném snímku obrazovky, doporučujeme jako primární identifikátor používat e-mailovou adresu. Můžete také použít pole Hlavní uživatelské jméno (UPN) jako atribut LDAP odeslaný v rámci kontroly coby e-mailovou adresu. Nedoporučujeme však tuto možnost používat pro pravidlo deklarace.

    Hlavní uživatelské jméno se nemapuje na e-mailovou adresu a v mnoha případech se bude lišit. To s největší pravděpodobností způsobí problémy s oznámením a sdílením datových zdrojů ve službě Creative Cloud.

  10. Kliknutím na tlačítko Dokončit dokončete přidání pravidla pro deklaraci transformace.

  11. Následně pomocí průvodce Úprava pravidel deklarace znovu přidejte pravidlo pomocí šablony Transformovat příchozí deklaraci a převeďte příchozí deklarace typu „E-mailová adresa“ s ID názvu typu odchozí deklarace a formátem ID názvu odchozí deklarace jako „E-mail“ tak, aby splnila všechny hodnoty deklarace.

  12. Kliknutím na tlačítko Dokončit dokončete přidání pravidla pro deklaraci transformace.

  13. Pomocí průvodce Úprava pravidel deklarace přidejte pravidlo za použití šablony Odesílání deklarací pomocí vlastního pravidla s následujícím pravidlem:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Kliknutím na tlačítko Dokončit zavřete průvodce vytvořením vlastních pravidel.

  15. Kliknutím na tlačítko OK v dialogovém okně Upravit pravidla reklamace dokončíte přidání těchto tří pravidel k důvěryhodnosti závislé strany.

    Poznámka:

    Pořadí pravidel reklamace je důležité a musí odpovídat uvedenému vzoru.

Aby se bylo možné vyhnout problémům s připojením mezi systémy, u kterých se čas mírně liší, nastavte výchozí časový posun na 2 minuty. Další informace o časovém posunu najdete v dokumentu Odstraňování chyb.

Stažení souboru s metadaty AD FS

  1. Otevřete aplikaci AD FS pro správu na svém serveru a ve složce AD FS > Služba > Koncové body vyberte možnost Metadata federace.

    Umístění metadat

  2. V prohlížeči přejděte na adresu URL pro příslušná metadata federace a stáhněte soubor. Například https://<název hostitele AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Poznámka:
    • Potvrďte případná upozornění.
    • Informace o názvu hostitele Microrsoft AD FS v operačním systému Windows:
      Otevřete nabídku Windows PowerShell > Spustit jako správce > zadejte výraz Get-AdfsProperties > stiskněte klávesu Enter > vyhledejte název hostitele v podrobném seznamu.

Nahrání souboru s metadaty IdP do konzole Adobe Admin Console

Pokud budete chtít aktualizovat nejnovější certifikát, vraťte se v okně Adobe Admin Console. Nahrajte soubor s metadaty stažený ze stránek AD FS na obrazovce Přidat profil SAML a klikněte na tlačítko Hotovo.

Další kroky: dokončete nastavení a přiřaďte aplikace k uživatelům

Jakmile bude adresář nastaven, postupujte následovně a umožněte tak uživatelům ve vaší organizaci používat aplikace a služby Adobe:

  1. Přidejte a nastavte domény v konzoli Admin Console.
  2. Přiřaďte domény k adresářům AD FS.
  3. (Volitelně) Pokud vaše domény již byly vytvořeny v konzoli Admin Console v jiném adresáři, přeneste je přímo do nově vytvořeného adresáře AD FS.
  4. Přidejte profily produktů a dolaďte tak používání vašich zakoupených plánů.
  5. Otestujte nastavení jednotného přihlašování přidáním testovacího uživatele.
  6. Určete své strategie a nástroje pro správu uživatelů na základě vašich požadavků. Poté přidejte uživatele do konzole Admin Console a přiřaďte je k profilům produktů, díky kterým mohou uživatelé začít používat své aplikace Adobe.

Další informace o dalších nástrojích a technikách souvisejících se správou identity najdete v tématu Nastavení identity.

Zkouška jednotného přihlašování

Vytvořte testovacího uživatele ve službě Active Directory. Vytvořte pro tohoto uživatele položku v konzoli Admin Console a přiřaďte mu licenci. Poté se zkuste přihlásit na adrese Adobe.com a ujistěte se, že je ke stažení uveden veškerý související software.

Test můžete provést také přihlášením k aplikaci Creative Cloud pro stolní počítače z aplikace, jako je Photoshop nebo Illustrator.

V případě jakýchkoli problémů konzultujte náš dokument obsahující řešení potíží. Pokud potřebujete pomoc s konfigurací jednotného přihlašování, přejděte v konzoli Adobe Admin Console do nabídky Podpora a podejte žádost zákaznické podpoře.

Získejte pomoc rychleji a snáze

Nový uživatel?