Verwalten von SAML-basiertem SSO für Microsoft Azure

Suchen
Enterprise & Teams Benutzerhandbuch

Auf dieser Seite

Hinweis:

Wenn Sie Lizenzen für Ihre Endbenutzer zum ersten Mal in Microsoft Azure AD bereitstellen, verwenden Sie den einfacheren Prozess in der Admin Console, um SSO mit Microsoft Azure über das Azure AD Connector-Tool einzurichten.

Übersicht

Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden. Sobald der Besitz einer Domäne mithilfe eines DNS-Tokens demonstriert und mit einem Federated ID-Verzeichnis verknüpft wurde, können sich Benutzer mit E-Mail-Adressen in der beanspruchten Creative Cloud über ein Identity Provider-System (IdP) bei entsprechenden Konten anmelden wurden in der entsprechenden Adobe Admin Console erstellt. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Eine derartige IdP ist Microsoft Azure, ein cloudbasierter Dienst, der eine sichere Identitätsverwaltung ermöglicht

Azure AD verwendet das userPrincipalName-Attribut oder lässt zu, dass Sie das Attribut (in einer benutzerdefinierten Installation) angeben, das von Benutzern vor Ort als Benutzername in Azur AD verwendet werden soll. Wenn der Wert des Attributs userPrincipalName keiner verifizierten Domäne in Azure AD entspricht, wird er durch einen Standardwert von .onmicrosoft.com ersetzt.

Wenn ein Benutzer sich bei der Anwendung authentifiziert, gibt Azure AD ein SAML-Token an die App aus, das Informationen (oder Ansprüche) über den Benutzer enthält, mit dem er eindeutig identifiziert werden kann. Standardmäßig umfasst dies den Benutzernamen, die E-Mail-Adresse, den Vornamen und Nachnamen des Benutzers. Sie können die Ansprüche, die im SAML-Token an die Anwendung auf der Registerkarte „Attribute“ gesendet wurden, anzeigen oder bearbeiten und das Attribut „Benutzername“ veröffentlichen.

Voraussetzungen

Bevor Sie eine Domäne für Single Sign-On mithilfe von Microsoft Azure als IdP konfigurieren, müssen die folgenden Bedingungen erfüllt sein:

  • Eine genehmigte Domäne, die der DNS-Domäne entspricht, in der sich Ihre Benutzer befinden, und die mit einem Ordner „Federated“ in Ihrer Adobe Admin Console verknüpft ist. Weitere Einzelheiten finden Sie in unserer allgemeinen Dokumentation zur Einrichtung der Identität.
  • Auf das Microsoft Azure-Dashboard kann zugegriffen werden, und Sie sind als Administrator angemeldet, der eine neue Unternehmensanwendung erstellen kann

Erstellen von SSO-Anwendung in Azure für Adobe

Führen Sie die folgenden Schritte aus, um SSO in Azure zu konfigurieren:

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen> Alle Anwendungen und klicken Sie auf Neue Anwendung.

  2. Unter Hinzufügen aus der Galerie geben Sie „Adobe Creative Cloud“ in das Suchfeld ein

  3. Wählen Sie Adobe Creative Cloud und klicken Sie auf Hinzufügen und warten Sie bis der Vorgang abgeschlossen ist.

    add_application

  4. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie Ihre neue Adobe Creative Cloud Connector-Anwendung aus, um zur Seite Übersicht zu navigieren.

  5. Melden Sie sich in einem separaten Tab Ihres Webbrowsers bei Ihrer Adobe Admin-Konsole an. Navigieren Sie dann zu Einstellungen > Identität und klicken Sie auf die Schaltfläche Konfigurieren für das Verzeichnis, dasn Sie einrichten, um auf die Konfigurationsseite zuzugreifen. Weitere Informationen zur Benutzeridentität und zu Verzeichnissen finden Sie unter Identität einrichten.

    Verzeichnis konfigurieren

  6. Wechseln Sie zum Azure Portal-Fenster und wählen Sie Single sign-on > SAML.

    SAML

  7. Fügen Sie in der Grundlegenden SAML-Konfiguration die Kennung (Eintrags-ID) hinzu und setzen Sie die Anmelde-URL auf https://adobe.com. Klicken Sie anschließend auf Speichern.

    Grundlegende SAML-Konfiguration

  8. Um die SAML-Token-Attribute zu formatieren, klicken Sie auf Bearbeiten und öffnen Sie die das Dialogfeld Benutzerattribute. licken Sie anschließend auf Neuen Claim hinzufügen, um die Attribute auf der Seite Benutzerattribute und -ansprüche wie folgt zu bearbeiten, und lassen Sie den Eintrag Namespace leer.

    NAME WERT NAMESPACE
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

  9. Wenn alle Attribute auf die folgenden Werte eingestellt sind, schließen Sie die Seite Benutzerattribute und -ansprüche.

    Benutzerattribut

    Hinweis:

    • Um Benutzer per E-Mail zu authentifizieren, setzen Sie UserIdentifier auf user.mail. Zur Authentifizierung von Benutzern durch Userprincipalname setzen Sie UserIdentifier auf user.userprincipalname.
    • Benutzer benötigen eine gültige Office 365 ExO-Lizenz, damit der E-Mail-Anspruchswert in der SAML-Antwort hinzugefügt werden kann.

  10. Laden Sie im Abschnitt SAML-Signaturzertifikat die Datei Certificate (Base64) herunter und speichern Sie sie auf Ihrem Computer.

    SAML-Signaturzertifikat

  11. Kopieren Sie dann die entsprechenden URLs gemäß Ihren Anforderungen aus dem Abschnitt Einrichten<Name> .

    Einrichten

  12. Kopieren Sie die Azure AD SAML-Entitäts-ID aus dem Azure-Portal und fügen Sie sie in das Feld IdP-Aussteller der Identitätskonfigurationsseite für Ihre Domäne in Ihrer Adobe Admin Console ein.

  13. Kopieren Sie die Azure AD Single Sign-On Service URL aus dem Azure-Portal und fügen Sie sie in das Feld IdP-Anmelde-URL der Identitätskonfigurationsseite für Ihre Domäne in Ihrer Adobe Admin Console ein.

  14. Klicken Sie auf das X, um die Dokumentationsseite im Azure-Portal zu schließen und zum Konfigurationsfenster von Enterprise Application für Ihren Adobe SSO-Connector zurückzukehren.

  15. Klicken Sie im Abschnitt „SAML Signing Certificate“ auf der rechten Seite auf Certificate (base 64), um die Zertifikatsdatei herunterzuladen.

  16. Laden Sie das im vorherigen Schritt erhaltene Zertifikat als IdP-Zertifikat in Ihre Adobe Admin-Konsole hoch und speichern Sie diese Details, indem Sie auf die vollständige Konfiguration klicken. Klicken Sie anschließend auf Speichern.

    01_-_configure_saml

  17. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Konfiguration mit Ihrem Identitätsanbieter abgeschlossen haben. Dies wird in den nächsten Schritten auf Ihrem Azure-Portal durchgeführt.

  18. Speichern Sie die Einstellungen für dieses Verzeichnis in Ihrer Adobe Admin Console, indem Sie auf die Schaltfläche Metadaten herunterladen klicken.

    Sie verwenden diese Datei, um bestimmte Attribute der Konfiguration zu erhalten.

    configure_directoryanddownloadmetadata

  19. Klicken Sie auf Fertig, um das Verzeichnis zu aktivieren.

  20. Öffnen Sie die Metadaten in einem Texteditor oder Webbrowser, und kopieren Sie die Werte der EntityID bzw. des AssertionConsumerService in das Azure-Portal in den Feldern Identifier und ReplyURL, wie im folgenden Screenshot dargestellt.

    metadata_example
    • Verwenden Sie die URL der EntityID aus den Metadaten im Feld „Identifier“ in Ihrer Azure-Konfiguration:
      Diese Adresse hat die folgende Form: https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Verwenden Sie die URL des AssertionConsumerService für die Antwort-URL in Ihrer Azure-Konfiguration.
      Diese Adresse hat die folgende Form: https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest

  22. Speichern Sie diese Einstellungen in Ihrem Azure-Portal mit dem Link Speichern oben auf der Seite.

Benutzer über Azure zuweisen

Führen Sie die folgenden Schritte aus, um Benutzern über Microsoft Azure die Anmeldung über den Adobe Creative Cloud-Connector zu ermöglichen. Beachten Sie, dass Sie Lizenzen weiterhin über die Admin-Konsole von Adobe zuweisen müssen.

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie Ihre Adobe Creative Cloud Connector-Anwendung aus.

  2. Klicken Sie auf Benutzer und Gruppen

  3. Klicken Sie auf Benutzer hinzufügen, um Benutzer auszuwählen, die diesem Connector zugewiesen werden sollen, damit sie sich über Single Sign-On anmelden können.

  4. Klicken Sie auf Benutzer oder Gruppen und wählen Sie einen oder mehrere Benutzer oder Gruppen aus, um sich bei Creative Cloud anzumelden. Klicken Sie anschließend auf Auswählen und dann auf Zuweisen.

Benutzerzugriff testen

Führen Sie folgende Schritte durch, um den Benutzerzugriff zu testen:

  1. Vergewissern Sie sich, dass die Benutzer über Azure zugewiesen werden.

  2. Stellen Sie außerdem sicher, dass Sie in der Adobe Admin-Konsole Benutzer als Federated ID hinzufügen und einer Gruppe für Berechtigungen zuweisen.

  3. Geben Sie jetzt Ihre E-Mail-Adresse/UPN in das Anmeldeformular von Adobe ein und drücken Sie die Tabulatortaste. Sie werden zu Azure AD zurückgeleitet

    • In einem Webbrowser: www.adobe.com klicken Sie auf Anmelden oben rechts auf der Seite
    • In der Creative Cloud Desktop-Applikation
    • Von einer Adobe Creative Cloud-Applikation wie Photoshop oder Illustrator aus dem Menü Hilfe > Anmelden ...

Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung.

Wenn Sie Unterstützung bei der Azure Single Sign-On-Konfiguration benötigen, navigieren Sie zu Ihrer Adobe Admin Console öffnen Sie den Abschnitt Support und öffnen Sie ein Ticket oder klicken Sie auf support auf der Adobe-Website.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie

Region wählen

Durch Auswahl einer Region ändert sich die Sprache und ggf. der Inhalt auf Adobe.com.

Americas
Brasil
Canada - English
Canada - Français
Latinoamérica
México
United States
Europe, Middle East and Africa
Africa - English
Belgique - Français
Belgium - English
België - Nederlands
Česká republika
Cyprus - English
Danmark
Deutschland
Eesti
España
France
Greece - English
Ireland
Israel - English
Italia
Latvija
Lietuva
Luxembourg - Deutsch
Luxembourg - English
Luxembourg - Français
Magyarország
Malta - English
Middle East and North Africa - English
Nederland
Norge
Österreich
Polska
Portugal
România
Schweiz
Slovenija
Slovensko
Suisse
Suomi
Sverige
Svizzera
Türkiye
United Kingdom
България
Россия
Україна
الشرق الأوسط وشمال أفريقيا - اللغة العربية
ישראל - עברית
Asia - Pacific
Australia
Hong Kong S.A.R. of China
India - English
New Zealand
Southeast Asia (Includes Indonesia, Malaysia, Philippines, Singapore, Thailand, and Vietnam) - English
中国
中國香港特別行政區
台灣地區
日本
한국
Commonwealth of Independent States
Includes Armenia, Azerbaijan, Belarus, Georgia, Kazakhstan, Kyrgyzstan, Moldova, Tajikistan, Turkmenistan, Ukraine, Uzbekistan