Käyttöopas Peruuta

Microsoft AD FS:n määritys käytettäväksi yhdessä Adobe SSO:n kanssa

Yleiskatsaus

Dokumentissa on esitetty prosessi, jolla Adobe Admin Console voidaan määrittää Microsoft AD FS ‑palvelimen avulla.

Tunnistetietojen toimittajan ei tarvitse olla käytettävissä yritysverkon ulkopuolelta, mutta tällöin vain verkossa olevat (tai VPN:llä yhdistetyt) työasemat pystyvät suorittamaan todennuksen käyttöoikeuden aktivointia varten tai kirjautumaan sisään istunnon aktivoinnin poistamisen jälkeen.

SSO:n määrittäminen Microsoft AD FS:n avulla (Katso: 17 min)
Huomautus:

Tämän dokumentin ohjeet ja näyttökuvat koskevat AD FS:n versiota 3.0, mutta AD FS 2.0:ssa on samat valikot.

Edellytykset

Ennen kuin hakemisto luodaan kertakirjautumista varten niin, että tunnistetietojen toimittajana on Microsoft AD FS, seuraavien vaatimusten on täytyttävä:

  • Käytössä on oltava Microsoft Windows Server, johon on asennettu Microsoft AD FS ja viimeisimmät käyttöjärjestelmäpäivitykset. Jos haluat käyttäjien käyttävän Adoben tuotteita macOS:n kanssa, varmista, että palvelimesi tukee TLS-versiota 1.2 ja PFS-salausta. Lisätietoja AD FS:stä saat Microsoftin käyttäjätietoja ja käyttöoikeuksia käsittelevästä dokumentista.
  • Palvelimen on oltava käytettävissä käyttäjien työasemista (esimerkiksi HTTPS:n kautta).
  • AD FS ‑palvelimelta on hankittava suojausvarmenne.
  • Kaikilla Creative Cloud for enterprise ‑tiliin liitettävillä Active Directory ‑tileillä on oltava Active Directoryssa sähköpostiosoite.

Luo hakemisto Adobe Admin Consolessa

Määritä kertakirjautuminen toimialueellesi seuraavasti: 

  1. Kirjaudu Admin Consoleen ja luo ensin Federated ID ‑hakemisto, valitsemalla sen tunnistetietojen toimittajaksi Muut SAML-palveluntarjoajat. Lataa Adoben metatietotiedosto ohjatusta Luo hakemisto ‑toiminnosta.
  2. Määritä AD FS antamalla ACS:n URL-osoite ja entiteettitunnus ja lataa IdP-metatietotiedosto.
  3. Palaa Adobe Admin Consoleen ja lähetä IdP-metatietotiedosto ohjattuun Luo hakemistoon ‑toimintoon. Valitse sitten Seuraava, ota automaattinen tilien luonti käyttöön ja valitse Valmis.

Lisätietoja kustakin vaiheesta saat seuraamalla hyperlinkkejä.

AD FS ‑palvelimen määrittäminen

Määritä SAML-integrointi AD FS:n kanssa toimimalla seuraavien ohjeiden mukaan:

Varoitus:

Kaikki seuraavat vaiheet on suoritettava uudelleen, jos toimialueen arvoja muutetaan Adobe Admin Consolessa.

  1. Valitse AD FS Management ‑sovelluksessa AD FS -> Trust Relationships -> Relying Party Trusts (AD FS -> Luottamussuhteet -> Luottavan osapuolen luottamussuhteet) ja käynnistä ohjattu toiminto valitsemalla Add Relying Party Trust (Lisää luottavan osapuolen luottamussuhde).

  2. Valitse Start (Käynnistä) ja sitten Import data from a relying party from a file (Tuo luottavan osapuolen tiedot tiedostosta), ja siirry sitten sijaintiin, jonne kopioit metatiedot Adobe Admin Consolesta.

  3. Anna luottavan osapuolen luottamussuhteelle nimi ja lisää huomautuksia tarpeen mukaan.

    Valitse Next (Seuraava).

  4. Määritä, onko monivaiheinen todentaminen tarpeen, ja valitse asianmukainen vaihtoehto.

    Valitse Next (Seuraava).

  5. Määritä, voivatko kaikki käyttäjät kirjautua sisään AD FS:n kautta.

    Valitse Next (Seuraava).

  6. Tarkista asetukset.

    Valitse Next (Seuraava).

  7. Luottavan osapuolen luottamussuhde on lisätty.

    Pidä vaihtoehto valittuna ja avaa Edit Claim Rules (Muokkaa väitesääntöjä) ‑valintaikkuna, josta pääset nopeasti seuraaviin vaiheisiin.

    Valitse Sulje.

  8. Jos ohjattu Edit Claim Rules (Muokkaa väitesääntöjä) ‑toiminto ei avaudu automaattisesti, pääset siihen AD FS Management ‑sovelluksen kohdasta AD FS -> Trust Relationships -> Relying Party Trusts (AD FS -> Luottamussuhteet -> Luottavan osapuolen luottamussuhteet) valitsemalla Adobe SSO:n luottavan osapuolen suhteen ja valitsemalla oikealta puolelta Edit Claim Rules... (Muokkaa väitesääntöjä...).

  9. Valitse Add rule (Lisää sääntö), määritä sääntö käyttämällä määritesäilön Send LDAP attributes as Claims (Lähetä LDAP-määritteet väitteinä) ‑mallia ja määritä LDAP-määritteen sähköpostiosoitteet lähtevän väitteen tyypin sähköpostiosoitteeseen.

    Huomautus:

    Kuten yllä olevassa näyttökuvassa on esitetty, suosittelemme käyttämään sähköpostiosoitetta ensisijaisena tunnisteena. Voit käyttää myös User Principal Name (UPN) ‑kenttää LDAP-määritteenä, joka lähetetään vahvistuksessa sähköpostiosoitteena. Emme kuitenkaan suosittele tätä väitesäännön määrittämiseen.

    UPN-tunnusta ei usein ole määritetty sähköpostiosoitteeseen, ja se on monissa tapauksissa erilainen. Tämä aiheuttaa todennäköisesti ongelmia ilmoituksissa ja resurssien jakamisessa Creative Cloudissa.

  10. Viimeistele muunnosväitesäännön lisäys valitsemalla Finish (Valmis).

  11. Lisää ohjatun Edit Claim Rules (Muokkaa väitesääntöjä) ‑toiminnon avulla sääntö käyttämällä Transform an incoming claim (Muunna saapuva väite) ‑mallia ja muunna tyyppiä E-Mail Address (Sähköpostiosoite) olevat väitteet määritteiden Outgoing Claim Type Name ID (Lähtevän väitteen tyypin nimen tunnus) ja Outgoing Name ID Format (Lähtevän nimen tunnuksen muoto) arvolla Email (Sähköposti), käymällä kaikki väitteen arvot läpi.

  12. Viimeistele muunnosväitesäännön lisäys valitsemalla Finish (Valmis).

  13. Lisää ohjatulla Edit Claim Rules (Muokkaa väitesääntöjä) ‑toiminnolla sääntö käyttämällä mallia Send Claims Using a Custom Rule (Lähetä väitteet käyttämällä mukautettua sääntöä), joka sisältää seuraavan säännön:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Lopeta mukautettujen sääntöjen ohjattu toiminto valitsemalla Finish (Valmis).

  15. Suorita näiden kolmen säännön lisäys luottavan osapuolen luottamussuhteeseen loppuun valitsemalla Edit Claim Rules (Muokkaa väitesääntöjä) ‑valintaikkunassa OK.

    Huomautus:

    Väitesääntöjen järjestys on tärkeää, sääntöjen on oltava tässä esitetyssä järjestyksessä.

Aseta aikaeroksi 2 minuuttia. Tällä voit välttää järjestelmien väliset yhteysongelmat, jotka johtuvat pienestä aikaerosta. Lisätietoja aikaerosta on vianmääritysvirheitä käsittelevässä dokumentissa.

Lataa AD FS ‑metatietotiedosto

  1. Avaa AD FS Management ‑sovellus palvelimella ja valitse kansiosta AD FS > Service > Endpoints (AD FS > Palvelu > Päätepisteet)  Federation Metadata (Yhdistämisen metatiedot).

    Metatietojen sijainti

  2. Siirry selaimella yhdistämisen metatietojen URL-osoitteeseen ja lataa tiedosto. Esimerkki: https://<AD FS ‑isäntänimi>/FederationMetadata/2007-06/FederationMetadata.xml.

    Huomautus:
    • Hyväksy kaikki varoitukset pyydettäessä.
    • Voit selvittää Microsoft AD FS ‑isäntänimen Windows-käyttöjärjestelmässä seuraavasti:
      Avaa Windows PowerShell > Run as Administrator (Suorita järjestelmänvalvojana) > kirjoita Get-AdfsProperties > paina Enter > etsi isäntänimi yksityiskohtaisesta luettelosta.

IdP-metatietotiedoston lähettäminen Adobe Admin Consoleen

Päivitä uusin varmenne palaamalla Adobe Admin Console ‑ikkunaan. Lähetä AD FS:tä ladattu metatietotiedosto Lisää SAML-profiili ‑näyttöön ja valitse Valmis.

Seuraavat vaiheet: suorita käyttöönotto sovellusten määrittämiseksi käyttäjille

Kun olet määrittänyt hakemiston, toimi seuraavasti, jotta organisaatiosi käyttäjät voivat käyttää Adoben sovelluksia ja palveluita:

  1. Lisää ja määritä toimialueet Admin Consolessa.
  2. Yhdistä toimialueet AD FS ‑hakemistoon.
  3. (Valinnainen) Jos toimialueet on jo määritetty Admin Consolessa toiseen hakemistoon, siirrä ne suoraan juuri luotuun AD FS ‑hakemistoon.
  4. Lisää tuoteprofiileja ostettujen sopimusten käytön hienosäätöä varten.
  5. Testaa SSO-kokoonpano lisäämällä testikäyttäjä.
  6. Valitse käyttäjien hallintastrategia ja työkalut vaatimustesi mukaan. Lisää sitten käyttäjät Admin Consoleen ja määritä heidät tuoteprofiileihin, jotta he voivat aloittaa Adoben sovellusten käytön.

Lisätietoja muista tunnistetietoihin liittyvistä työkaluista ja tekniikoista saat artikkelista Tunnistetietojen määritys.

Kertakirjautumisen testaaminen

Luo testikäyttäjä Active Directoryssa. Luo tälle käyttäjälle Admin Consolessa tietue ja määritä siihen käyttöoikeus. Yritä sen jälkeen kirjautua Adobe.comiin varmistaaksesi, että tarvittava ohjelmisto on ladattavissa.

Voit suorittaa testin myös kirjautumalla Creative Cloud ‑tietokonesovellukseen jostakin sovelluksesta, kuten Photoshopista tai Illustratorista.

Jos kohtaat ongelmia, perehdy vianmääritysdokumenttiimme. Jos tarvitset edelleen apua kertakirjautumisen määritykseen, siirry Adobe Admin Consolen Tuki-välilehteen ja avaa tukipyyntö asiakastuessa.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?