Základní informace

Konzole Adobe Admin Console umožňuje správci systému nakonfigurovat domény, které budou při použití funkce jednotného přihlašování sloužit k přihlašování prostřednictvím účtu Federated ID. Jakmile je pomocí tokenu DNS prokázáno vlastnictví domény, může být doména nakonfigurována tak, aby uživatelům umožňovala přihlašovat se ke službě Creative Cloud. Uživatelé se mohou přihlašovat pomocí e-mailových adres v rámci dané domény prostřednictvím zprostředkovatele identity. Příslušný proces je zajišťován buď softwarovou službou, která je spuštěna v podnikové síti a dostupná z internetu, nebo cloudovou službou hostovanou třetí stranou, která umožňuje ověřovat přihlašovací údaje uživatelů prostřednictvím zabezpečené komunikace přes protokol SAML.

Jedním takovým zprostředkovatelem identity je služba Microsoft Active Directory Federation Services, neboli AD FS. Aby bylo možné službu AD FS používat, je třeba nakonfigurovat server, ke kterému lze získat přístup z pracovních stanic, pomocí nichž se budou uživatelé přihlašovat, a který má přístup k adresářové službě v podnikové síti. Cílem tohoto dokumentu je popsat postup, kterým lze nakonfigurovat konzoli Adobe Admin Console a server Microsoft AD FS tak, aby bylo možné přihlašovat se k aplikacím služby Adobe Creative Cloud a přidruženým webům pomocí funkce jednotného přihlašování.

Mimo podnikovou síť nemusí být zprostředkovatel identity přístupný. Pokud není, budou moci ověřování za účelem aktivace licence nebo přihlášení po deaktivaci relace provádět pouze pracovní stanice v síti (nebo připojené pomocí virtuální privátní sítě).

Předpoklady

Před konfigurací domény za účelem jednotného přihlašování s využitím služby Microsoft AD FS je třeba splnit následující požadavky:

  • V konzoli Adobe Admin Console musí být vytvořen schválený adresář s identitou typu Federated ID, která byla nebo má být nakonfigurována na jiného zprostředkovatele identity.
  • Ve federovaném adresáři musí být deklarována příslušná doména.
  • Musí být nainstalován systém Microsoft Windows Server se službou Microsoft AD FS a nejnovější aktualizace operačního systému.
  • K tomuto serveru musí mít přístup pracovní stanice uživatelů (například pomocí protokolu HTTPS).
  • Musí být k dispozici certifikát zabezpečení získaný ze serveru AD FS.
  • Pro všechny účty služby Active Directory, které budou přidruženy k účtu služby Creative Cloud pro firmy, musí být ve službě Active Directory uvedena e-mailová adresa.

Proces nastavení adresáře a deklarace domény v tomto adresáři v konzoli Admin Console je popsán v článku Nastavení identity. Jakmile je adresář přidán, může být nakonfigurován na jednotné přihlašování ještě před deklarací domény, ale chcete-li vytvářet uživatele s účtem Federated ID, je nutné deklarovat doménu, ve které tito uživatelé existují.

Název adresáře může být libovolný, ale název domény propojené s tímto adresářem musí přesně odpovídat části e-mailové adresy za symbolem @. Chcete-li používat subdomény, je nutné je deklarovat samostatně.

Poznámka:

Pokyny a snímky obrazovky uvedené v tomto dokumentu platí pro službu AD FS verze 3.0, ale stejné nabídky jsou k dispozici i ve verzi AD FS 2.0.

Stažení podpisového certifikátu tokenu

  1. Otevřete na svém serveru aplikaci Správa AD FS a ve složce AD FS -> Služba -> Certifikáty vyberte položku Podpisový certifikát tokenu. Kliknutím na možnost Zobrazit certifikát otevřete okno vlastností certifikátu.

    token_signing_certificate
  2. Na kartě Podrobnosti klikněte na možnost Kopírovat do souboru a pomocí průvodce uložte certifikát ve formátu X.509, kódování Base-64 (CER). Tento formát certifikátu odpovídá formátu PEM.

    02_-_certificateexportwizard

Konfigurace adresáře v konzoli Adobe Admin Console

Chcete-li pro adresář nakonfigurovat jednotné přihlašování, zadejte v konzoli Adobe Admin Console požadované informace a stáhněte si metadata pro konfiguraci serveru Microsoft AD FS.

  1. Přihlaste se ke konzoli Admin Console a vyberte možnost Nastavení > Identita.

  2. Přejděte na kartu Adresáře.

  3. Klikněte na položku Konfigurovat zobrazenou vedle adresáře, který chcete nakonfigurovat.

    03_-_configure_directory
  4. Nahrajte certifikát stažený ze serveru Microsoft AD FS, který jste si uložili.

  5. V rozevíracím seznamu Vazba IdP vyberte možnost HTTP – Redirect.

  6. V rozevíracím seznamu Nastavení přihlašování uživatele vyberte položku E-mail.

  7. V aplikaci Správa AD FS na serveru AD FS vyberte položku AD FS na nejvyšší úrovni stromové struktury a klikněte na tlačítko Upravit vlastnosti služby FS. Na kartě Obecné v zobrazeném okně zkopírujte identifikátor uvedený v poli Identifikátor služby FS (Federation Service).

    Příklad: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Vložte identifikátor zkopírovaný z pole Identifikátor služby FS (Federation Service) do pole Vydavatel IdP v konzoli Adobe Admin Console.

    Poznámka:

    Pole Vydavatel IdP slouží k identifikaci serveru a nejedná se o adresu URL, kterou uživatelé používají při připojování k serveru.Z bezpečnostních důvodů by měl být váš server AD FS dostupný pouze prostřednictvím protokolu HTTPS, nikoli prostřednictvím nezabezpečeného protokolu HTTP.

  9. Získejte název hostitele serveru zprostředkovatele identity (často je stejný jako název federační služby) a vytvořte adresu URL pro přihlášení ke zprostředkovateli identity, a to tak, že jako předponu zadáte protokol https:// a jako příponu cestu /adfs/ls.

    Příklad: https://adfs.example/com/adfs/ls/

  10. Zadejte adresu pro přihlášení ke zprostředkovateli identity do příslušného pole v konzoli Adobe Admin Console.

  11. Klikněte na tlačítko Uložit.

    admin_console_-_adfs-configuredirectory
  12. Chcete-li uložit soubor metadat SAML ve formátu XML do počítače, klikněte na tlačítko Stáhnout metadata. Tento soubor bude použit ke konfiguraci vztahu důvěryhodnosti předávající strany na serveru AD FS, jak je uvedeno v tomto dokumentu dále.

  13. Zaškrtnutím políčka potvrďte, že víte, že je potřeba dokončit konfiguraci u zprostředkovatele identity. To bude provedeno na serveru AD FS v dalších krocích.

    configure_directoryanddownloadmetadata
  14. Zkopírujte soubor metadat XML na server AD FS, abyste mohli provést jeho import do aplikace Správa AD FS.

  15. Kliknutím na tlačítko Dokončit konfiguraci adresáře dokončete.

Přidání jedné nebo více domén do adresáře

  1. V konzoli Adobe Admin Console vyberte možnost Nastavení > Identita.

  2. Na kartě Domény klikněte na možnost Přidat domény.

  3. Na obrazovce Zadat domény zadejte seznam maximálně 15 doména a potom klikněte na tlačítko Přidat domény.

  4. Na obrazovce Přidat domény příslušný seznam domén zkontrolujte a potom klikněte na tlačítko Přidat domény.

  5. Vaše domény jsou nyní přidány do konzole Admin Console. Je však ještě potřeba prokázat vlastnictví těchto domén.

  6. Na stránce Domény klikněte u každé domény, která vyžaduje ověření, na možnost Ověřit doménu.

  7. Kliknutím na možnost Zkopírovat hodnotu záznamu zkopírujte zobrazený token DNS a v konfiguraci DNS přidejte do nastavení každé přidané domény záznam TXT obsahující tento token. Tím domény ověříte.

    Tento token bude pro všechny domény přidané v konzoli Adobe Admin Console stejný, takže může být znovu použit pro další domény přidávané později.

    Po ověření domény není nutné nechávat token na místě.

    validate_domain_ownership
  8. Rozšíření záznamu TXT na ostatní servery DNS můžete zkontrolovat online pomocí webu, jako je například MXToolbox, nebo z příkazového řádku systému Windows, Linux či Mac OS pomocí příkazu nslookup, a to následujícím způsobem:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Na obrazovce Ověřit vlastnictví domény klikněte na možnost Ověřit.

    Pokud je token DNS správně rozpoznán jako záznam TXT pro danou doménu, bude doména ověřena a můžete ji rovnou začít používat. Domény, které se zpočátku neověří, jsou pravidelně kontrolovány na pozadí, a jakmile je token DNS správně ověřen, je doména ověřena.

Konfigurace serveru AD FS

Při konfiguraci integrace protokolu SAML se službou AD FS postupujte podle následujících kroků:

Pozor:

Po každé změně hodnot pro danou doménu v konzoli Adobe Admin Console je nutné všechny níže uvedené kroky zopakovat.

  1. V aplikaci Správa AD FS přejděte do složky AD FS -> Vztahy důvěryhodnosti -> Vztahy důvěryhodnosti předávající strany a kliknutím na tlačítko Přidat vztah důvěryhodnosti předávající strany spusťte průvodce.

  2. Klikněte na možnost Zahájit, klikněte na přepínač Importovat data o předávající straně ze souboru a potom přejděte do umístění, do kterého jste zkopírovali metadata z konzole Adobe Admin Console.

    08_-_import_metadata
  3. Zadejte název vztahu důvěryhodnosti předávající strany, případně další poznámky.

    Klikněte na tlačítko Další.

    09_-_name_relyingpartytrust
  4. Určete, zda je vyžadováno vícefaktorové ověřování, a vyberte příslušnou možnost.

    Klikněte na tlačítko Další.

  5. Zjistěte, zda se mohou všichni uživatelé přihlásit pomocí služby AD FS, nebo zda je jim přístup odepřen.

    Klikněte na tlačítko Další.

  6. Zkontrolujte provedené nastavení.

    Klikněte na tlačítko Další.

  7. Vztah důvěryhodnosti předávající strany je přidán.

    Pokud chcete otevřít dialogové okno Upravit pravidla deklarací a rychle přejít k dalším krokům, nechejte příslušné políčko zaškrtnuté.

    Klikněte na tlačítko Zavřít.

  8. Pokud se průvodce Upravit pravidla deklarací neotevře automaticky, můžete jej otevřít z aplikace Správa AD FS, a to tak, že přejdete do složky AD FS -> Vztahy důvěryhodnosti -> Vztahy důvěryhodnosti předávající strany, vyberete svou předávající stranu pro jednotné přihlašování k produktům Adobe a kliknete na pravé straně na možnost Upravit pravidla deklarací.

  9. Klikněte na možnost Přidat pravidlo a nakonfigurujte pravidlo pomocí šablony Odeslat atributy LDAP jako deklarace, a to tak, že zadáte své úložiště atributů a namapujete atribut LDAP s názvem E-mailové adresy na odchozí deklaraci typu E-mailová adresa.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Poznámka:

    Jak je vidět na výše uvedeném snímku obrazovky, doporučujeme použít jako primární identifikátor e-mailovou adresu. Použití hlavního názvu uživatele jako atributu LDAP odesílaného v kontrolním výrazu v podobě e-mailové adresy se nedoporučuje. Použití hlavního názvu uživatele jako atributu LDAP je sice možné, ale tato konfigurace není oficiálně podporována, takže ji používáte na vlastní riziko.

    Často se stává, že hlavní název uživatele není na e-mailovou adresu mapován a v mnoha případech bývá odlišný. S největší pravděpodobností to způsobí problémy při zobrazování oznámení a sdílení datových zdrojů ve službě Creative Cloud.

  10. Kliknutím na tlačítko Dokončit proces přidání pravidla pro transformaci deklarace dokončete.

  11. Znovu pomocí průvodce Upravit pravidla deklarací přidejte pravidlo založené na šabloně Transformovat příchozí deklaraci a převeďte příchozí deklarací typu E-mailová adresa tak, že typ odchozí deklarace nastavíte na možnost ID jména, formát ID odchozího názvu nastavíte na možnost E-mail a vyberete možnost procházení všech hodnot deklarací.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Kliknutím na tlačítko Dokončit proces přidání pravidla pro transformaci deklarace dokončete.

  13. Pomocí průvodce Upravit pravidla deklarací přidejte pravidlo založené na šabloně Odesílat deklarace pomocí vlastního pravidla, které bude obsahovat následující pravidlo:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Kliknutím na tlačítko Dokončit průvodce přidáním vlastního pravidla dokončete.

  15. Kliknutím na tlačítko OK v dialogovém okně Upravit pravidla deklarací proces přidání těchto tří pravidel pro vztah důvěryhodnosti předávající strany dokončete.

    16_-_edit_claim_rules

    Poznámka:

    Pořadí pravidel deklarací je důležité. Mělo by být takové, jaké vidíte na tomto obrázku.

  16. Ujistěte se, že je vybrán váš nový vztah důvěryhodnosti předávající strany, a klikněte na možnost Vlastnosti na pravé straně okna. Vyberte kartu Upřesnit a zkontrolujte, zda je v rozevíracím seznamu Algoritmus SHA vybrána položka SHA-1.

    17_-_relying_partytrustproperties

Otestování funkce jednotného přihlašování

Pomocí služby Active Directory vytvořte testovacího uživatele. V konzoli Admin Console vytvořte pro tohoto uživatele příslušnou položku a přiřaďte mu licenci. Potom se pod jeho účtem zkuste přihlásit k webu Adobe.com a ověřte, zda je mezi položkami ke stažení uveden odpovídající software.

Můžete to otestovat také tak, že se přihlásíte k počítačové aplikaci Creative Cloud, a z aplikace, jako je například Photoshop nebo Illustrator.

Pokud dojde k nějakým problémům, podívejte se do našeho dokumentu věnovaného odstraňování problémů.

Chcete-li se vyhnout problémům s připojením mezi systémy, jejichž hodiny jsou nastaveny nepatrně jinak, nastavte výchozí hodnotu časového posuvu na 2 minuty. Další informace o časovém posuvu najdete v dokumentu věnovaném odstraňování chyb.

Pokud potřebujete s konfigurací jednotného přihlašování pomoci, přejděte v konzoli Adobe Admin Console na stránku Podpora a požádejte o podporu.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online