New feature alert

Tento článek popisuje starší metodu nastavení pro Microsoft Azure AD využívající SAML.

U nových konfigurací se doporučuje používat konektor Azure AD, který lze nastavit během několika minut a který urychluje deklaraci domény, nastavení jednotného přihlášení a synchronizaci uživatelů.


Přehled

Konzole Adobe Admin Console umožňuje správci systému konfigurovat domény používané k přihlášení pomocí Federated ID pro jednotné přihlašování. Po ověření domény bude adresář obsahující doménu nakonfigurován tak, aby umožňoval uživatelům přihlásit se ke službě Creative Cloud. Uživatelé se mohou prostřednictvím poskytovatele identity přihlásit pomocí e-mailové adresy z dané domény. Postup je vytvořen buď jako softwarová služba, která běží v rámci podnikové sítě a je dostupná z internetu, nebo jako cloudová služba hostovaná třetí stranou, která umožňuje ověření přihlašovacích údajů prostřednictvím zabezpečené komunikace skrze protokol SAML.

Jedním takovým poskytovatelem identity je Microsoft Azure, cloudová služba, která usnadňuje zabezpečenou správu identit.

Služba Azure AD využívá atribut userPrincipalName nebo umožňuje určit atribut (při vlastní instalaci), který se použije na pracovišti jako hlavní uživatelské jméno ve službě Azure AD. Pokud hodnota atributu userPrincipalName neodpovídá ověřitelné doméně ve službě Azure AD, tato služba ji nahradí výchozí hodnotou .onmicrosoft.com.

Když se uživatel přihlásí do aplikace, služba Azure AD vydá token SAML pro aplikaci, který obsahuje informace (nebo deklarace) o uživatelích a jednoznačně je tak identifikuje. Ve výchozím nastavení tyto informace zahrnují uživatelské jméno, e-mailovou adresu, jméno a příjmení uživatele. Podle potřeby můžete zobrazit nebo upravit deklarace odeslané v tokenu SAML do aplikace na kartě Atributy nebo vydat atribut pro uživatelské jméno.

Konfigurace jednotného přihlašování pomocí služby Azure

Při konfiguraci jednotného přihlašování pro svou doménu postupujte následovně:

  1. Přihlaste se ke konzoli Admin Console a začněte s vytvářením adresáře Federated ID, kde jako poskytovatele identity vyberte možnost Ostatní poskytovatelé SAML. Zkopírujte hodnoty pro adresu ACS URLID entity z obrazovky Přidat profil SAML.
  2. Nakonfigurujte službu Azure, definujte adresu ACS URLID entity a stáhněte soubor s metadaty poskytovatele identity.
  3. Vraťte se do konzole Adobe Admin Console, nahrajte soubor metadat IdP do okna Přidat profil SAML a klikněte na tlačítko Hotovo.

Vytvoření aplikace pro jednotné přihlašování ve službě Azure pro produkty Adobe

Ujistěte se, že řídicí panel Microsoft Azure je přístupný a že jste přihlášeni jako správce, abyste tak mohli vytvořit novou podnikovou aplikaci.

Při konfiguraci jednotného přihlašování ve službě Azure postupujte následovně:

  1. Přejděte do nabídky Azure Active Directory > Podnikové aplikace > Všechny aplikace a klikněte na tlačítko Nová aplikace.

  2. V okně Přidat z galerie do vyhledávacího pole zadejte výraz „Adobe Creative Cloud“.

  3. Vyberte možnost Adobe Creative Cloud, přejmenujte svůj konektor, klikněte na tlačítko Přidat a počkejte na dokončení procesu.

    add_application
  4. Přejděte do nabídky Azure Active Directory > Podnikové aplikace > Všechny aplikace a vyberte novou aplikaci konektoru Adobe Creative Cloud, kterou chcete přesunout na stránku Přehled.

  5. Vyberte možnost Jednotné přihlášení > SAML.

    SAML
  6. V nabídce Základní konfigurace SAML zadejte ID entity a adresu ACS URL zkopírované z konzole Adobe Admin Console. Potom klikněte na tlačítko Uložit.

    Základní konfigurace SAML
  7. Pokud budete chtít naformátovat atributy tokenu SAML, klikněte na tlačítko Upravit a otevřete dialogové okno Atributy uživatele. Poté kliknutím na tlačítko Přidat novou deklaraci následujícím způsobem upravte atributy na stránce Atributy a deklarace uživatele, přičemž Obor názvů zůstane nevyplněný.

    JMÉNO HODNOTA OBOR NÁZVŮ
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. Jakmile jsou všechny atributy nastaveny tak, aby odpovídaly následujícím hodnotám, zavřete stránku Atributy a deklarace uživatele.

    Atribut uživatele

    Poznámka:

    • Pokud chcete uživatele ověřovat pomocí e-mailu, nastavte v nabídce UserIdentifier možnost user.mail. Pokud chcete uživatele ověřovat pomocí údaje UserPrincipalName, nastavte v nabídce UserIdentifier možnost user.userprincipalname.
    • Uživatelé musí mít platnou licenci Office 365 ExO, aby mohla být do odpovědi SAML doplněna hodnota e-mailové deklarace.

  9. V části Podpisový certifikát SAML stáhněte soubor Certifikát (base64) a uložte si jej v počítači.

    Podpisový certifikát SAML
  10. Poté zkopírujte příslušné adresy URL z části Nastavení <název> podle vašich potřeb.

    Nastavení
  11. Kliknutím na ikonu „X“ zavřete stránku dokumentace na webu Azure Portal a vraťte se do okna s konfigurací podnikové aplikace pro svůj konektor Adobe SSO.

  12. V části „Podpisový certifikát SAML“ kliknutím na tlačítko Certifikát (base 64) na pravé straně stáhněte soubor s certifikátem.

Nahrání souboru s metadaty IdP do konzole Adobe Admin Console

Pokud budete chtít aktualizovat nejnovější certifikát Adobe Admin Console, vraťte se do konzole Adobe Admin Console. Nahrajte certifikát stažený ze stránek Azure na obrazovce Přidat profil SAML a klikněte na tlačítko Hotovo.

Přiřazení uživatelů prostřednictvím služby Azure

Pokud chcete přiřadit uživatele v prostředí Microsoft Azure a umožnit jim přihlášení pomocí konektoru Adobe Creative Cloud, postupujte následovně. Je nutné také přiřadit licence prostřednictvím konzole Adobe Admin Console.

  1. Přejděte do nabídky Azure Active Directory > Podnikové aplikace > Všechny aplikace a vyberte aplikaci konektoru Adobe Creative Cloud.

  2. Klikněte na tlačítko Uživatelé a skupiny.

  3. Kliknutím na tlačítko Přidat uživatele vyberte uživatele, které chcete přiřadit k tomuto konektoru. To jim umožní přihlásit se prostřednictvím jednotného přihlášení.

  4. Klikněte na tlačítko Uživatelé nebo Skupiny a vyberte jednoho nebo více uživatelů nebo skupin, kterým bude povoleno se přihlásit ke službě Creative Cloud. Poté klikněte na tlačítko Vybrat a dále Přiřadit.

Testování přístupu uživatelů

Vyzkoušejte přístup uživatele, kterého jste definovali ve vlastním systému pro správu identity a v konzoli Adobe Admin Console. Přihlaste se na webu Adobe nebo v aplikaci Creative Cloud pro stolní počítače.

V případě jakýchkoli problémů konzultujte náš dokument obsahující řešení potíží.

Pokud potřebujete pomoc s konfigurací jednotného přihlašování, přejděte v konzoli Adobe Admin Console do nabídky Podpora a kontaktujte nás.