Verwalten von SAML-basiertem SSO für Microsoft Azure

Suchen
Enterprise & Teams Benutzerhandbuch

Auf dieser Seite

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

New feature alert

In diesem Artikel wird die ältere SAML-basierte Konfiguration für Microsoft Azure AD beschrieben.

Für neue Konfigurationen sollten Sie den Azure AD-Connector verwenden, der in wenigen Minuten eingerichtet werden kann und die Beanspruchung von Domänen, die SSO-Einrichtung und die Benutzersynchronisation beschleunigt.


Übersicht

Mit der Adobe Admin Console können Systemadministratoren Domänen mit Federated ID-Anmeldung für Single Sign-on (SSO) konfigurieren. Sobald das Eigentum an einer Domäne bestätigt wurde, wird das Verzeichnis mit der Domäne so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mithilfe ihrer E-Mail-Adresse in dieser Domäne über einen Identitätsanbieter (Identity Provider, IdP) anmelden. Dieser Prozess wird entweder als Softwaredienst, der innerhalb des Unternehmensnetzwerks ausgeführt wird und über das Internet zugänglich ist, oder als Cloud Service bereitgestellt, wobei ein Drittanbieter das Hosting übernimmt. In diesem Fall werden die Anmeldeinformationen des Benutzers über eine sichere Verbindung mithilfe des SAML-Protokolls bestätigt.

Einer dieser IdP ist Microsoft Azure, ein Cloud-basierter Dienst, der eine sichere Identitätsverwaltung ermöglicht.

Azure AD verwendet das Attribut „userPrincipalName“ oder gibt Ihnen die Möglichkeit, das Attribut, das lokal als User Principal Name in Azure AD verwendet werden soll, selbst anzugeben (bei benutzerdefinierten Installationen). Wenn der Wert des Attributs „userPrincipalName“ keiner verifizierten Domäne in Azure AD entspricht, wird er durch den Standardwert .onmicrosoft.com ersetzt.

Wenn ein Benutzer die Applikation authentifiziert, gibt Azure AD ein SAML-Token für die App aus, das Informationen (oder Ansprüche) zu Benutzern enthält, mit denen diese eindeutig identifiziert werden. Standardmäßig enthalten diese Informationen den Benutzernamen, die E-Mail-Adresse sowie den Vor- und Nachnamen eines Benutzers. Sie können die im SAML-Token an die Applikation gesendeten Ansprüche auf der Registerkarte „Attribute“ anzeigen und bearbeiten und das Benutzernamenattribut freigeben.

Single Sign-on mit Azure konfigurieren

Führen Sie zum Konfigurieren von Single Sign-on für Ihre Domäne die folgenden Schritte aus:

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, wobei Sie Andere SAML-Anbieter als Identitätsanbieter auswählen. Kopieren Sie die Werte für ACS URL und Entity ID von der Seite SAML-Profil hinzufügen.
  2. Konfigurieren Sie Azure, indem Sie die ACS URL und die Entity ID angeben und die IdP-Metadatendatei herunterladen.
  3. Kehren Sie zur Adobe Admin Console zurück, um auf der Seite SAML-Profil hinzufügen die IdP-Metadatendatei hochzuladen. Klicken Sie dann auf Fertig.

SSO-Anwendung in Azure für Adobe erstellen

Stellen Sie sicher, dass Sie auf das Microsoft Azure-Dashboard zugreifen können und als Administrator angemeldet sind, um eine neue Unternehmensanwendung erstellen zu können.

Um SSO in Azure zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und klicken Sie auf Neue Anwendung.

  2. Geben Sie unter Aus Katalog hinzufügen im Suchfeld „Adobe Creative Cloud“ ein.

  3. Wählen Sie Adobe Creative Cloud aus, benennen Sie den Connector um und klicken Sie auf Hinzufügen. Warten Sie, bis der Vorgang abgeschlossen ist.

    add_application

  4. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie die neue Adobe Creative Cloud-Connector-Anwendung aus, um zur Seite Übersicht zu wechseln.

  5. Wählen Sie Single Sign-on > SAML aus.

    SAML

  6. Geben Sie unter Grundlegende SAML-Konfiguration die Entity ID und die ACS URL ein, die Sie aus der Adobe Admin Console kopiert haben. Klicken Sie anschließend auf Speichern.

    Grundlegende SAML-Konfiguration

  7. Klicken Sie zum Formatieren der SAML-Token-Attribute auf die Schaltfläche Bearbeiten und öffnen Sie das Dialogfeld Benutzerattribute. Klicken Sie dann auf Neuen Anspruch hinzufügen, um die Attribute auf der Seite Benutzerattribute und Ansprüche wie folgt zu bearbeiten, wobei Sie den Eintrag Namespace leer lassen.

    NAME WERT NAMESPACE
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

  8. Wenn alle Attribute so festgelegt sind, dass sie mit den folgenden Werten übereinstimmen, schließen Sie die Seite Benutzerattribute und Ansprüche.

    Benutzerattribut

    Hinweis:

    • Um Benutzer per E-Mail zu authentifizieren, setzen Sie UserIdentifier auf user.mail. Um Benutzer mit dem UserPrincipalName zu authentifizieren, legen Sie UserIdentifier auf user.userprincipalname fest.
    • Benutzer müssen über eine gültige Office 365 ExO-Lizenz verfügen, damit der Wert für E-Mail-Ansprüche in der SAML-Antwort hinzugefügt werden kann.

  9. Laden Sie im Abschnitt SAML-Signaturzertifikat die Datei Zertifikat (Base64) auf Ihren Computer herunter.

    SAML-Signaturzertifikat

  10. Kopieren Sie dann die entsprechenden URLs aus dem Abschnitt <Name> einrichten nach Bedarf.

    Einrichten

  11. Klicken Sie auf das „X“, um die Dokumentationsseite im Azure-Portal zu schließen, und kehren Sie zum Konfigurationsfenster für Unternehmensanwendungen für Ihren Adobe SSO-Connector zurück.

  12. Klicken Sie im Abschnitt „SAML-Signaturzertifikat“ auf der rechten Seite auf Zertifikat (Base64), um die Zertifikatdatei herunterzuladen.

IdP-Metadatendatei in die Adobe Admin Console hochladen

Um das neueste Zertifikat in der Adobe Admin Console zu aktualisieren, kehren Sie zur Adobe Admin Console zurück. Laden Sie das aus Azure heruntergeladene Zertifikat auf der Seite SAML-Profil hinzufügen hoch und klicken Sie auf Fertig.

Benutzer über Azure zuweisen

Führen Sie die folgenden Schritte aus, um Benutzer über Microsoft Azure zuzuweisen, damit sie sich über den Adobe Creative Cloud-Connector anmelden können. Sie müssen Lizenzen auch über die Adobe Admin Console zuweisen.

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie die Adobe Creative Cloud-Connector-Anwendung aus.

  2. Klicken Sie auf Benutzer und Gruppen.

  3. Klicken Sie auf Benutzer hinzufügen, um Benutzer auszuwählen, die diesem Connector zugewiesen werden sollen, damit sie sich über Single Sign-on anmelden können.

  4. Klicken Sie auf Benutzer oder Gruppen und wählen Sie mindestens einen Benutzer oder eine Gruppe aus, die sich bei Creative Cloud anmelden dürfen soll, und klicken Sie dann auf Auswählen und anschließend auf Zuweisen.

Benutzerzugriff testen

Überprüfen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsverwaltungssystem und in der Adobe Admin Console definiert haben, indem Sie sich bei der Adobe-Website oder beim Creative Cloud-Client anmelden.

Wenn Probleme auftreten, lesen Sie das Dokument zur Problembehandlung.

Wenn Sie bei der Single Sign-on-Konfiguration Hilfe benötigen, navigieren Sie in der Adobe Admin Console zu Support, um mit uns Kontakt aufzunehmen.