Descripción general

La Consola de Administración de Adobe permite que un administrador de sistemas configure los dominios que se utilizarán para el acceso a través de la identificación federada para inicio de sesión único (SSO). Una vez que se demuestra la propiedad de un dominio mediante un token de DNS, el dominio se puede configurar para permitir a los usuarios iniciar sesión en Creative Cloud. Los usuarios pueden iniciar sesión usando direcciones de correo electrónico dentro de ese dominio a través de un proveedor de identidad (IdP). El proceso se suministra como servicio de software que se ejecuta en la red de la empresa y se accede a él desde Internet o desde un servicio en la nube alojado por terceros que permite la verificación de los detalles de inicio de sesión del usuario a través de la comunicación segura usando el protocolo SAML.

Uno de estos IdP es Microsoft Active Directory Federation Services o AD FS. Para utilizar AD FS, se debe configurar un servidor al que se pueda acceder desde las estaciones de trabajo en las que inician sesión los usuarios y que tenga acceso al servicio de directorio en la red de la empresa. Este documento pretende describir el proceso necesario para configurar la Consola de Administración de Adobe y un servidor AD FS, para poder acceder a las aplicaciones de Adobe Creative Cloud y a las páginas web asociadas para inicio de sesión único.

No hace falta poder acceder al IdP desde fuera de la red de la empresa; ahora bien, si no es así, las estaciones de trabajo de la red (o conectadas por VPN) serán las únicas aptas para efectuar la autenticación a fin de activar una licencia o de iniciar sesión tras desactivar su sesión.

Requisitos previos

Antes de configurar un dominio para el inicio de sesión único utilizando Microsoft AD FS, se deben cumplir los siguientes requisitos:

  • Un directorio aprobado en la Consola de administración de Adobe definido para Federated ID espera a que se configure o bien ya se había configurado para otro IdP
  • El dominio pertinente se ha notificado dentro del directorio federado
  • Se ha instalado una instancia de Microsoft Windows Server con Microsoft AD FS y las actualizaciones más recientes en el sistema operativo.
  • Se debe poder acceder al servidor desde estaciones de trabajo de los usuarios, por ejemplo a través de HTTPS
  • El certificado de seguridad se obtiene desde el servidor AD FS
  • Todas las cuentas de Active Directory que se van a asociar con una cuenta de Creative Cloud para empresas deben tener una dirección de correo electrónico que se encuentre dentro de Active Directory.

El proceso de configurar un directorio y la notificación de un dominio dentro de él en la Consola de administración se explican en la página Configurar la identidad. Después de añadirse, un directorio puede configurarse para un inicio de sesión único antes de notificar un dominio; sin embargo, para crear usuarios de Federated ID, debe notificar el dominio en el que existen los usuarios.

El directorio puede tener cualquier nombre, pero el dominio vinculado al directorio debe coincidir totalmente con la parte de la dirección de correo electrónico que está después del símbolo @. Si también desea utilizar subdominios, se deben notificar por separado.

Nota:

Las instrucciones y las capturas de pantalla de este documento son para AD FS versión 3.0, pero los mismos menús están presentes en AD FS 2.0.

Descargar el certificado de firma de token

  1. Abra la aplicación Administración de AD FS en el servidor. En la carpeta AD FS -> Service -> Certificates, seleccione el certificado de firma de token. Para abrir la ventana de propiedades del certificado, haga clic en Ver certificado.

    token_signing_certificate
  2. En la ficha Detalles, haga clic en Copiar en archivo y utilice el asistente para guardar el certificado como Base-64 encoded X. 509 (.CER). Este formato es el equivalente a un certificado con formato PEM.

    02_-_certificateexportwizard

Configurar el directorio en la Consola de administración de Adobe

Para configurar el inicio de sesión único del directorio, indique la información pertinente en la Consola de administración de Adobe y descargue los metadatos para configurar la instancia del servidor Microsoft AD FS.

  1. Inicie sesión en la Consola de administración y vaya a Configuración > Identidad.

  2. Vaya a la ficha Directorios.

  3. Haga clic en Configurar junto al directorio que desea configurar.

    03_-_configure_directory
  4. Cargue el certificado que guardó en el servidor Microsoft AD FS.

  5. Seleccione Redirección HTTP como enlace IdP.

  6. Seleccione Correo electrónico como Configuración de inicio de sesión de usuarios.

  7. En el servidor AD FS de la aplicación Administración de AD FS, seleccione la entrada en la parte superior de árbol, AD FS, y haga clic en Modificar las propiedades del Servicio de federación. En la ficha General de la ventana emergente, copie el valor de Identificador del Servicio de federación.

    Por ejemplo, http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Pegue el valor de Identificador del Servicio de federación que acaba de copiar en la Consola de administración de Adobe en el campo Emisor de IdP.

    Nota:

    El campo Emisor de IdP se utiliza para identificar el servidor, no es una URL a la que acceden los usuarios al conectarse con el servidor. Por motivos de seguridad, solo se debe poder acceder mediante HTTPS a su servidor de AD FS, no mediante una conexión HTTP no segura.

  9. Obtenga el nombre del host del servidor de IdP (suele ser el mismo que el nombre del Servicio de federación); a continuación, anteponga el protocolo https:// y añada la ruta /adfs/ls para crear la URL de inicio de sesión de IdP.

    Por ejemplo, https://adfs.example/com/adfs/ls/

  10. Indique la URL de inicio de sesión de IdP en la Consola de administración de Adobe.

  11. Haga clic en Guardar.

    admin_console_-_adfs-configuredirectory
  12. Para guardar el archivo de metadatos SAML XML en el equipo, haga clic en Descargar metadatos. Este archivo se utilizará para configurar una relación de confianza para usuario autenticado en el servidor de AD FS en el recordatorio de este documento.

  13. Marque la casilla para indicar que comprende el requisito de completar la configuración con su proveedor de identidades. Esto se efectuará en los próximos pasos del servidor de AD FS.

    configure_directoryanddownloadmetadata
  14. Copie el archivo de metadatos XML en el servidor de AD FS a fin de poder importarlo a la aplicación Administración de AD FS.

  15. Haga clic en Completar para finalizar la configuración del directorio.

Añadir uno o más dominios al directorio

  1. En la Consola de administración de Adobe, vaya a Configuración > Identidad.

  2. En la ficha Dominios, haga clic en Añadir dominios.

  3. En la pantalla Introducir dominios, proporcione una lista con un máximo de 15 dominios y haga clic en Añadir dominios.

  4. En la pantalla Añadir dominios, verifique la lista de dominios y haga clic en Añadir dominios.

  5. Los dominios ya se han incorporado a la Consola de administración. Ahora bien, todavía debe acreditar la propiedad de estos dominios.

  6. En la página Dominios, haga clic en Validar dominio respecto a cualquier dominio que requiera validación.

  7. Copie el token de DNS que se muestra haciendo clic en Copiar valor de registro; a continuación, en la configuración de DNS, cree un registro de TXT que contenga este token con la configuración para cada dominio que ha añadido para validarlos.

    Este token será el mismo para todos los dominios que se han añadido a la Consola de administración de Adobe, por lo tanto es válido para otros dominios que se añadan más adelante.

    El token no debe quedarse tal como está tras la validación de un dominio.

    validate_domain_ownership
  8. Puede comprobar si un registro TXT se ha propagado a otros servidores DNS en línea desde un sitio web como MXToolbox, o bien desde la línea de comandos mediante el comando nslookup en un sistema Windows, Linux o Mac OS como se indica a continuación:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. En la pantalla Validar propiedad de dominio, haga clic en Validar ahora.

    Si el token de DNS se detecta correctamente como registro TXT respecto al dominio, se validará y podrá empezar a utilizarlo de inmediato. Los dominios que no se validan inicialmente se comprueban de forma periódica en segundo plano y se validarán cuando el token de DNS se valide correctamente.

Configurar el servidor AD FS

Para configurar la integración de SAML con AD FS, siga estos pasos:

Precaución:

Todos los pasos posteriores deben repetirse después de cualquier cambio en los valores de la Consola de administración de Adobe para un dominio específico.

  1. Navegue en la aplicación Administración de AD FS hasta AD FS -> Relaciones de confianza -> Veracidades de usuarios de confianza y haga clic en Agregar veracidad del usuario de confianza para iniciar el asistente.

  2. Haga clic en Inicio y seleccione Importar datos sobre el usuario de confianza de un archivo; a continuación, acceda a la ubicación donde ha copiado los metadatos en la Consola de administración de Adobe.

    08_-_import_metadata
  3. Asigne un nombre a la entrada de relación de confianza; a continuación, escriba notas adicionales si es preciso.

    Haga clic en Siguiente.

    09_-_name_relyingpartytrust
  4. Determine si hace falta autenticación multifactor y seleccione la opción pertinente.

    Haga clic en Siguiente.

  5. Determine si todos los usuarios pueden iniciar sesión mediante AD FS o se les deniega el acceso.

    Haga clic en Siguiente.

  6. Revise la configuración.

    Haga clic en Siguiente.

  7. La entrada de relación de confianza se ha añadido.

    Deje sin marcar la opción para abrir el cuadro de diálogo Editar reglas de notificación para acceder con rapidez a los pasos siguientes.

    Haga clic en Cerrar.

  8. Si el asistente Editar reglas de notificación no se ha abierto automáticamente, se puede acceder desde la aplicación Administración de AD FS en AD FS -> Relaciones de confianza -> Veracidades de usuarios de confianza, seleccionando la entrada de relación de confianza del inicio de sesión único de Adobe y haciendo clic en Editar reglas de notificación... en el lado derecho.

  9. Haga clic en Añadir regla y configure una regla con la plantilla Enviar atributos LDAP como notificaciones para el almacén de atributos, y asigne el atributo LDAP Direcciones de correo electrónico al tipo de notificación saliente Dirección de correo electrónico.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Nota:

    Como se muestra en la captura de pantalla anterior, recomendamos el uso de la dirección de correo electrónico como identificador principal. No se recomienda utilizar el campo Nombre principal de usuario como atributo LDAP enviado a una aserción como dirección de correo electrónico. Aunque sea posible utilizar el nombre principal de usuario como atributo LDAP, no se admite oficialmente y esta acción se realiza a cuenta y riesgo del usuario.

    Con frecuencia, el nombre principal de usuario no se asigna a una dirección de correo electrónico; en muchos casos, será diferente. Eso causará problemas con toda probabilidad en las notificaciones y el uso compartido de recursos en Creative Cloud.

  10. Haga clic en Finalizar para completar la adición de la regla de transformación de notificación.

  11. Una vez más, con el asistente Editar reglas de notificación, añada una regla con la plantilla Transformar una notificación entrante para convertir las notificaciones entrantes del tipo Dirección de correo electrónico con el tipo de notificación saliente Id. de nombre y el formato de id. de nombre saliente como Correo electrónico, y transferir todos los valores de notificación.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Haga clic en Finalizar para completar la adición de la regla de transformación de notificación.

  13. Con el asistente Editar reglas de notificación, añada una regla utilizando la plantilla Enviar notificaciones con una regla personalizada, que contiene la regla siguiente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Haga clic en Finalizar para completar el asistente para personalización de reglas.

  15. Haga clic en Aceptar en el cuadro de diálogo Editar reglas de notificación para finalizar la adición de estas tres reglas a la entrada de relación de confianza.

    16_-_edit_claim_rules

    Nota:

    El orden de las reglas de notificación es importante; deben aparecer como se muestra aquí.

  16. Asegúrese de que esté seleccionada la entrada de relación de confianza; a continuación, haga clic en Propiedades en la parte derecha de la ventana. Seleccione la ficha Avanzada y asegúrese de que un algoritmo hash seguro se haya configurado en SHA-1.

    17_-_relying_partytrustproperties

Probar el inicio de sesión único

Cree un usuario de prueba con directorio activo, cree una entrada en la Consola de administración para este usuario y asígnele una licencia; después, pruebe el inicio de sesión en Adobe.com para confirmar que el software correspondiente está enumerado para la descarga.

También puede hacer una prueba iniciando sesión en la aplicación de escritorio de Creative Cloud y en una aplicación como Photoshop o Illustrator.

Si tiene problemas, consulte nuestro documento de resolución de problemas.

Para evitar problemas de conectividad entre sistemas en los que el reloj difiere en una cantidad pequeña, establezca el sesgo del tiempo predeterminado en 2 minutos. Para obtener más información sobre el sesgo del tiempo, consulte el documento Solución de problemas de errores.

Si tiene problemas con la configuración de inicio de sesión único, vaya a Asistencia en la Consola de administración de Adobe y abra un ticket.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea