Oversigt

I Adobe-administrationskonsollen kan systemadministratoren konfigurere domæner, som skal anvendes med login via Federated ID til Single Sign-On (SSO). Når først ejerskabet af et domæne er bevist ved hjælp af et DNS-token, kan domænet konfigureres, så brugere kan logge på Creative Cloud. Brugere kan logge på ved hjælp af e-mailadresser inden for det pågældende domæne via en IdP (Identity Provider). Processen foregår via en softwaretjeneste, der kører på virksomhedens eget netværk og kan tilgås fra internettet, eller en cloud-tjeneste med en tredjepartsvært; i så fald verificeres brugeroplysningerne via sikker kommunikation vha. SAML-protokollen.

Microsoft Active Directory Federation Services eller AD FS er en sådan IdP. Før AD FS kan anvendes, skal der konfigureres en server, som er tilgængelig fra de arbejdsstationer, som brugerne logger på, og som har adgang til kataloget på virksomhedens netværk. Dette dokument beskriver, hvordan du skal konfigurere Adobe-administrationskonsollen og en Microsoft AD FS-server, så der kan logges på Adobe Creative Cloud-programmer og tilknyttede websteder med Single Sign-On.

IdP'en behøver ikke være tilgængelig uden for virksomhedens netværk, men hvis den ikke er det, er det kun arbejdsstationer på netværket (eller med en VPN-forbindelse), der kan gennemføre godkendelse og aktivere en licens eller logge på, når de har deaktiveret deres session.

Forudsætninger

Disse forudsætninger skal være opfyldt, for at et domæne kan anvende SSO via Microsoft AD FS:

  • Et godkendt katalog på Adobe-administrationskonsollen, som er indstillet til Federated ID og afventer enten konfiguration eller tidligere har været konfigureret til en anden IdP
  • Der er allerede gjort krav på det relevante domæne inden for dit samlede katalog
  • En Microsoft Windows Server installeret med Microsoft AD FS og de nyeste operativsystemopdateringer. Hvis dine brugere skal kunne anvende Adobe-produkter på macOS, skal du sørge for, at din server understøtter TLS version 1.2 og FS-protokol (Forward Secrecy).
  • Der skal være forbindelse til serveren fra brugernes arbejdsstationer (f.eks. via HTTPS)
  • Sikkerhedscertifikat fra AD FS-serveren
  • Der skal være angivet en e-mailadresse i Active Directory for alle de Active Directory-konti, som skal knyttes til en konto i Creative Cloud til virksomheder.

Oprettelse af et katalog, og hvordan der gøres krav på et domæne inden for det i administrationskonsollen, beskrives på siden Konfiguration af identitet. Når et katalog er tilføjet, kan det konfigureres til SSO, før der gøres krav på et domæne, men før du kan oprette Federated ID-brugere, skal du gøre krav på det domænenavn, de findes under.

Navnet på kataloget er tilfældigt, men det domæne, som er knyttet til kataloget, skal svare præcist til den del af e-mailadressen, som står efter @-tegnet. Hvis du også vil bruge underdomæner, skal der gøres krav på dem særskilt.

Bemærk:

Instruktioner og skærmbilleder i dette dokument er til AD FS version 3.0, men de samme menuer findes i AD FS 2.0.

Hent certifikatet til token-signering

  1. Åbn AD FS Management-programmet på serveren, og vælg i mappen AD FS -> Service -> Certificates (Certifikater), vælg Token Signing certificate (Tokensigneringscertifikat).

    Bemærk:

    Certifikatet til token-signering udløber på den angivne udløbsdato. Når certifikatet er udløbet, kan det fornys, downloades og uploades til Adobe-administratorkonsollen igen.

  2. Klik på View Certificate (Vis certifikat) for at åbne vinduet med certifikategenskaber.

    token_signing_certificate
  3. Klik på Copy to File (Kopiér til fil) på fanen Details (Detaljer), og brug guiden til at gemme certifikatet som Base-64 encoded X. 509 (.CER). Dette format svarer til et certifikat i PEM-format.

    02_-_certificateexportwizard

Konfiguration af kataloget i Adobe-administrationskonsollen

Hvis du vil konfigurere SSO for kataloget, skal du angive de nødvendige oplysninger i Adobe-administrationskonsollen og hente metadata til konfiguration af Microsoft AD FS-serveren.

  1. Log på administrationskonsollen, og vælg Settings (Indstillinger) > Identity (Identitet).

  2. Klik på fanen Directories (Kataloger).

  3. Klik på Configure (Konfigurer) ud for det katalog, som du vil konfigurere.

    03_-_configure_directory
  4. Overfør det certifikat, som du gemte fra Microsoft AD FS-serveren.

  5. Vælg HTTP - Redirect som IdP binding.

  6. Vælg Email (E-mail) som User login setting (Indstilling for brugerlogon).

  7. På AD FS-serveren i AD FS Management-programmet skal du vælge posten øverst i træet AD FS og klikke på Edit Federation Service Properties (Rediger egenskaber for Federation-tjeneste). På fanen General (Generelt) i pop op-vinduet skal du kopiere Federation Service-id'et.

    For eksempel: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Indsæt det Federation Service-id, som du har kopieret, i feltet IdP Issuer i Adobe-administratorkonsollen.

    Bemærk:

    Feltet IdP Issuer bruges til at identificere serveren, og er ikke en URL-adresse, som anvendes, når der oprettes forbindelse til serveren. Af sikkerhedsmæssige årsager bør AD FS-serveren kun være tilgængelig via HTTPS, ikke via en usikker HTTP-forbindelse.

  9. Find værtsnavnet på IdP-serveren (det er ofte det samme som Federation Service-navnet), skriv https:// før protokollen og stien /adfs/ls bagefter for at sammensætte en IdP-URL til logon.

    For eksempel: https://adfs.example/com/adfs/ls/

  10. Angiv URL-adressen til IdP-logon i Adobe-administrationskonsollen.

  11. Klik på Gem.

    admin_console_-_adfs-configuredirectory
  12. Hvis du vil gemme SAML XML Metadata-filen på din computer, skal du klikke på Download Metadata. Denne fil vil blive brugt til at konfigurere en afhængig parts tillidsobjekt på din AD FS-server i resten af dette dokument.

  13. Markér afkrydsningsfeltet for at vise, at du forstår behovet for at udføre konfigurationen med din identitetsudbyder. Det sker i de næste trin på AD FS-serveren.

    configure_directoryanddownloadmetadata
  14. Kopiér XML-filen med metadata til AD FS-serveren, så den kan importeres til AD FS Management-programmet.

  15. Klik på Complete (Udfør) for at afslutte konfigurationen af kataloget.

Tilføjelse af et eller flere domæner til kataloget

  1. I Adobe-administrationskonsollen skal du vælge Settings (Indstillinger) > Identity (Identitet).

  2. På fanen Domains (Domæner) skal du klikke på Add Domains (Tilføj domæner).

  3. På skærmbilledet Enter Domains (Angiv domæner) skal du angive en liste på op til 15 domæner og klikke på Add Domains (Tilføj domæner).

  4. På skærmbilledet Add Domains (Tilføj domæner) skal du kontrollere listen over domæner og klikke på Add Domains (Tilføj domæner).

  5. Dine domæner føjes nu til administrationskonsollen. Du skal dog stadig kunne dokumentere ejerskab af disse domæner.

  6. På siden Domains (Domæner) skal du klikke på validate domain (valider domæne) for hvert domæne, som kræver validering.

  7. Kopiér det DNS-token, som vises, ved at klikke på copy record value (kopiér postværdi). I din DNS-konfiguration skal du derefter oprette en TXT-post, som indeholder dette token i indstillingerne for hvert domæne, som du har tilføjet, for at validere dem.

    Dette token er det samme for alle domæner, som tilføjes i Adobe-administrationskonsollen, så det kan genbruges for andre domæner, som senere tilføjes.

    Dette token behøver ikke at forblive det samme sted, når først et domæne er blevet valideret.

    validate_domain_ownership
  8. Du kan kontrollere, om en TXT-post er blevet overført til andre DNS-servere online ved hjælp af et websted som f.eks. MXToolbox eller fra en kommandolinje med kommandoen nslookup i Windows, Linux eller Mac OS som følger:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. På skærmbilledet Validate Domain Ownership (Valider domæneejerskab) skal du klikke på Validate Now (Valider nu).

    Hvis det pågældende DNS-token registreres korrekt som en TXT-post i forhold til domænet, vil det blive valideret, og du kan begynde at bruge det med det samme. Domæner, der ikke umiddelbart kan valideres, kontrolleres med mellemrum i baggrunden, og vil blive valideret, når det DNS-tokenet er valideret korrekt.

Konfiguration af AD FS-serveren

Hvis du vil konfigurere SAML-integration med AD FS, skal du gøre følgende:

Forsigtig:

Alle nedenstående trin skal gentages efter enhver ændring af værdierne i Adobe-administrationskonsollen for et givet domæne.

  1. I AD FS Management-programmet skal du vælge AD FS -> Trust Relationships (Tillidsforhold) -> Relying Party Trusts (Afhængig parts tillid) og klikke på Add Relying Party Trust (Tilføj afhængig parts tillid) for at starte guiden.

  2. Klik på Start, og vælg Import data from a relying party from a file (Importér data fra en afhængig part fra en fil). Find derefter den placering, som du kopierede metadata fra Adobe-administrationskonsollen til.

    08_-_import_metadata
  3. Navngiv din afhængige parts tillidsobjekt, og indtast eventuelle andre noter.

    Klik på Næste.

    09_-_name_relyingpartytrust
  4. Beslut, om der skal kræves multifaktorgodkendelse, og vælg den relevante indstilling.

    Klik på Næste.

  5. Kontrollér, at alle brugere kan logge på via AD FS.

    Klik på Næste.

  6. Gennemse indstillingerne.

    Klik på Næste.

  7. Din afhængige parts tillidsobjekt er tilføjet.

    Lad indstillingen være markeret for at åbne diaglogboksen Edit Claim Rules (Rediger kravregler), så du hurtigt kan få adgang til de næste trin.

    Klik på Luk.

  8. Hvis guiden Edit Claim Rules (Rediger kravregler) ikke er åbnet automatisk, kan du få adgang til den fra programmet AD FS Management under AD FS -> Trust Relationships (Tillidsforhold) -> Relying Party Trusts (Afhængig parts tillid) ved at vælge Adobe SSO relying party trust og klikke på Edit Claim Rules... (Rediger kravregler ...) i højre side.

  9. Klik på Add rule (Tilføj regel), og konfigurer en regel ved hjælp af skabelonen Send LDAP attributes as Claims til dit attributlager, idet du forbinder LDAP Attribute E-Mail-Addresses med Outgoing Claim Type E-Mail Address.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Bemærk:

    Som vist på ovenstående skærmbillede foreslår vi at bruge e-mailadressen som den primære identifikator. Vi anbefaler ikke at bruge UPN-feltet (User Principal Name) som e-mailadresse i LDAP-assertionsattributten. Selvom det i teorien er muligt at bruge UPN-feltet som LDAP-attribut, understøttes det ikke officielt, og en sådan konfiguration udføres på egen risiko.

    UPN svarer i de fleste tilfælde alligevel ikke til e-mailadressen. En sådan konfiguration vil ofte give problemer, når der skal sendes meddelelser og deles ressourcer i Creative Cloud.

  10. Klik på Finish (Afslut) for at gennemføre tilføjelsen af reglen om transformationskrav.

  11. Brug guiden Edit Claim Rules (Rediger kravregler) til at tilføje en regel med skabelonen Transform an incoming claim (Transformér et indgående krav) til konvertering af indkommende krav af typen E-Mail Address med Outgoing Claim Type Name ID og Outgoing Name ID Format as Email i forbindelse med alle kravværdier.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klik på Finish (Afslut) for at gennemføre tilføjelsen af reglen om transformationskrav.

  13. Brug guiden Edit Claim Rules (Rediger kravregler) til at tilføje en regel med skabelonen Send Claims Using a Custom Rule (Send krav med en brugerdefineret regel) med følgende regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klik på Finish (Afslut) for at gennemføre guiden for brugerdefineret regel.

  15. Klik på OK i dialogboksen Edit Claim Rules (Rediger kravregler) for at gennemføre tilføjelsen af disse tre regler til den afhængige parts tillidsobjekt.

    16_-_edit_claim_rules

    Bemærk:

    Rækkefølgen af kravreglerne er vigtig. De skal vises nøjagtigt som angivet her.

  16. Kontrollér, at den nye Relying Party Trust er valgt, og klik på Properties (Egenskaber) i højre side af vinduet. Vælg fanen Advanced (Avanceret), og kontrollér, at Secure hash-algoritmen er indstillet til SHA-1.

    17_-_relying_partytrustproperties

    Bemærk:

    For at undgå kommunikationsproblemer mellem systemer, som har en smule forskellige klokkeslæt, skal du sætte tidsforskellen til 2 minutter. Du kan læse mere om at angive tidsforskellen i afsnittet om fejlfinding.

Test af Single Sign-On

Opret en testbruger i Active Directory samt i administrationskonsollen, og tildel brugeren en licens. Prøv derefter at logge på Adobe.com for at bekræfte, at den angivne software kan downloades.

Du kan også teste det ved at logge på Creative Cloud Desktop og prøve via et program som f.eks. Photoshop eller Illustrator.

Hvis der opstår problemer, kan du se vores fejlfindingsdokumenter. Hvis du har brug for hjælp til konfiguration af enkeltlogon, skal du oprette en supportanmodning under SupportAdobe-administratorkonsollen.

Dette arbejde har licens under en Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Opslag på Twitter™ og Facebook er ikke omfattet af vilkårene for Creative Commons.

Juridiske meddelelser   |   Politik for beskyttelse af personlige oplysninger online