Brugerhåndbog Annuller

Konfiguration af Microsoft AD FS til brug med Adobe SSO

Oversigt

Dokumentet fremhæver processen med at konfigurere Adobe Admin Console med en Microsoft AD FS-server.

Identitetsudbyderen behøver ikke at være tilgængelig uden for virksomhedens netværk, men hvis oplysningerne ikke er tilgængelige, kan godkendelsen til aktivering af en licens eller start efter deaktivering af en session kun foretages på arbejdsstationer i netværket (eller arbejdsstationer, der er forbundet via VPN).

Konfigurer SSO med Microsoft AD FS (se video: 17 min)
Bemærk:

Instruktioner og skærmbilleder i dette dokument er til AD FS version 3.0, men de samme menuer findes i AD FS 2.0.

Forudsætninger

Før du opretter et katalog til enkeltlogon ved hjælp af Microsoft AD FS, skal følgende forudsætninger være opfyldt:

  • En Microsoft Windows Server installeret med Microsoft AD FS og de nyeste operativsystemopdateringer. Hvis du vil have brugerne til at bruge Adobe-produkter med macOS, skal du sikre dig, at din server understøtter TLS version 1.2 og løbende nøgleskift. Få mere at vide om AD FS i Microsofts dokument om identitet og adgang.
  • Serveren skal være tilgængelig fra brugernes arbejdsstationer (f.eks. via HTTPS).
  • Sikkerhedscertifikat, der er hentet fra AD FS-serveren.
  • Alle Active Directory-konti, som skal knyttes til en Creative Cloud for enterprise-konto, skal have en e-mailadresse, der er angivet i Active Directory.

Opret et katalog i Adobe Admin Console

For at kunne konfigurere enkeltlogon for dit domæne skal du gøre følgende: 

  1. Log på Admin Console, og start med at oprette et Federated ID-katalog, hvor du vælger Andre SAML-udbydere som identitetsudbyder. Download Adobe-metadatafilen via guiden Opret katalog.
  2. Konfigurer AD FS, hvor du angiver ACS URL'en og enheds-id'et, og download IdP-metadatafilen.
  3. Gå tilbage til Adobe Admin Console, og upload IdP-metadatafilen i guiden Opret katalog. Vælg derefter Næste, opsæt automatisk oprettelse af konto, og vælg Udført.

Du kan få mere at vide om detaljerne i hvert enkelt trin ved at følge de relevante hyperlinks.

Konfigurer AD FS-serveren

Følg nedenstående trin for at konfigurere SAML-integration med AD FS:

Forsigtig:

Alle efterfølgende trin skal gentages efter hver ændring af værdierne for et bestemt domæne i Adobe Admin Console.

  1. Naviger i AD FS-administrationsappen til AD FS -> Tillidsforhold -> Relying Party Trusts, og klik på Tilføj Relying Party Trust for at starte guiden.

  2. Klik på Start, vælg Importér data fra en relying party fra en fil, og gå derefter til den placering, hvortil du har kopieret metadataene fra din Adobe Admin Console.

  3. Giv din relying party trust et navn, og angiv eventuelle yderligere noter efter behov.

    Klik på Næste.

  4. Find ud af, om der kræves flerfaktorgodkendelse, og vælg den relevante indstilling.

    Klik på Næste.

  5. Find ud af, om alle brugere kan logge på via AD FS.

    Klik på Næste.

  6. Gennemse dine indstillinger.

    Klik på Næste.

  7. Din relying party trust er tilføjet.

    Lad afkrydsningsfeltet være markeret for at åbne dialogboksen Rediger regler for krav, så du hurtigt kan få adgang til de næste trin.

    Klik på Luk.

  8. Hvis guiden Rediger regler for krav ikke er blevet åbnet automatisk, kan du få adgang til den via AD FS-administrationsappen under AD FS -> Tillidsforhold -> Relying Party Trusts ved at vælge din relying party trust for Adobe SSO og klikke på Rediger regler for krav ... i højre side.

  9. Klik på Tilføj regel, og konfigurer en regel ved hjælp af skabelonen Send LDAP-attributter som krav til din attribut-store, og knyt LDAP-attributtens e-mailadresser til e-mailadressen for udgående kravtype.

    Bemærk:

    Som vist på skærmbilledet ovenfor foreslår vi, at du bruger e-mailadresse som primær identifikator. Du kan også bruge feltet Primært brugernavn (UPN) som LDAP-attribut, der sendes i en bedømmelse som e-mailadresse. Vi anbefaler dog ikke dette til regelkonfiguration for krav.

    Ofte bliver UPN ikke knyttet til en e-mailadresse, og den vil i mange tilfælde være anderledes. Dette vil sandsynligvis give problemer for meddelelser og deling af aktiver i Creative Cloud.

  10. Klik på Afslut for at gennemføre tilføjelsen af transformationsreglen for krav.

  11. Brug igen guiden Rediger regler for krav, og tilføj en regel ved hjælp af skabelonen. Omdan et indgående krav for at konvertere indgående krav af typen e-mailadresse med udgående krav af typen navne-ID og udgående navne-ID-format som e-mail ved at gå igennem alle kravværdier.

  12. Klik på Afslut for at gennemføre tilføjelsen af transformationsreglen for krav.

  13. Brug guiden Rediger regler for krav, og tilføj en regel ved hjælp af skabelonen Send krav ved hjælp af en brugerdefineret regel, der indeholder følgende regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", udsteder == "AD AUTHORITY"] => problem (gem = "Active Directory", typer = ("E-mail", "Fornavn", "Efternavn"), forespørgsel = ";mail,givenName,sn;{0}", param = c.værdi);

  14. Klik på Afslut for at afslutte guiden til brugerdefinerede regler.

  15. Klik på OK i dialogboksen Rediger regler for krav for at gennemføre tilføjelsen af disse tre regler til din relying party trust.

    Bemærk:

    Rækkefølgen af reglerne for kravene er vigtig. De skal se ud som vist her.

For at undgå forbindelsesproblemer mellem systemer, hvor uret er indstillet en lille smule forskelligt, skal du indstille standardtidsforskydningen til 2 minutter. Du kan få flere oplysninger om tidsforskydning i dokumentet Fejlfinding i forbindelse med fejl.

Download AD FS-metadatafilen

  1. Åbn AD FS-administrationsappen på din server, gå til mappen AD FS > Service > Slutpunkter, og vælg Føderationsmetadata.

    Metadataplacering

  2. Brug en browser til at navigere til den webadresse, der er angivet for føderationsmetadata, og download filen. Det kan f.eks. være https://<dit AD FS-værtsnavn>/FederationMetadata/2007-06/FederationMetadata.xml.

    Bemærk:
    • Accepter eventuelle advarsler, hvis du bliver bedt om det.
    • Sådan finder du dit Microsoft AD FS-værtsnavn på et Windows-operativsystem:
      Åbn Windows PowerShell > Kør som administrator > Type Get-AdfsProperties > Tryk på Enter > Se efter dit værtsnavn på den detaljerede liste.

Upload IdP-metadatafil til Adobe Admin Console

Gå tilbage til Adobe Admin Console-vinduet for at opdatere det nyeste certifikat. Upload den metadatafil, der er downloadet via AD FS, til skærmbilledet Tilføj SAML-profil, og klik på Udført.

Næste trin: Fuldfør opsætningen for at tildele apps til brugere

Når du har konfigureret dit katalog, skal du gøre følgende for at give brugerne i din organisation mulighed for at bruge Adobes apps og tjenester:

  1. Tilføj og konfigurer domæner i Admin Console.
  2. Knyt domænerne til AD FS-kataloget.
  3. (Valgfrit) Hvis dine domæner allerede er etableret i Admin Console i en anden mappe, kan du overføre dem direkte til det nyoprettede AD FS-bibliotek.
  4. Tilføj produktprofiler for at finjustere brugen af dine købte planer.
  5. Test din SSO-konfiguration ved at tilføje en testbruger.
  6. Vælg din brugerstyringsstrategi og dine brugerstyringsværktøjer baseret på dine krav. Føj derefter brugere til Admin Console, og tildel dem til produktprofiler for at få brugerne i gang med deres Adobe-apps.

Du kan få mere at vide om andre identitetsrelaterede værktøjer og teknikker under Konfigurer identitet.

Test enkeltlogon

Opret en testbruger med Active Directory. Opret en post på Admin Console for denne bruger og tildel den en licens. Test derefter logon på Adobe.com for at bekræfte, at den relevante software angives til download.

Du kan også teste ved at logge på Creative Cloud Desktop og via en app som f.eks. Photoshop eller Illustrator.

Hvis du støder på problemer, kan du se vores fejlfindingsdokument. Gå til Support i Adobe Admin Console, og åbn en sagsanmodning hos Kundesupport, hvis du stadig har brug for hjælp til konfiguration af dit enkeltlogon.

Få hjælp hurtigere og nemmere

Ny bruger?