Yleistä

Adobe hallintakonsoli sallii järjestelmän ylläpitäjän määrittää toimialueet, joita käytetään kertakirjautumisessa, kun kirjaudutaan Federated ID -tunnuksella. Kun toimialueen omistus osoitetaan käyttämällä DNS-tunnusta, toimialue voidaan määrittää siten, että käyttäjät voivat kirjautua Creative Cloudiin. Käyttäjät voivat kirjautua toimialueen sähköpostiosoitteella käyttäen tunnistetietojen toimittajaa (IdP). Prosessi toimitetaan joko ohjelmistopalveluna, joka toimii yrityksen verkossa ja jota voi käyttää internetin kautta, tai kolmannen osapuolen isännöimänä pilvipalveluna, jonka avulla käyttäjän kirjautumistiedot voidaan vahvistaa turvallisesti SAML-protokollalla.

Yksi tällainen IdP on Microsoft Active Directory -liittoutumispalvelu (AD FS). AD FS:n käyttö edellyttää, että määritetään palvelin, jota voidaan käyttää työasemilta, joille käyttäjät kirjautuvat, ja jolla on pääsy hakemistopalveluihin yrityksen verkossa. Tämä dokumentti kuvaa tarvittavan menettelyn Adoben hallintakonsolin ja Microsoft AD FS -palvelimen määrittämiseen, jolloin voidaan kertakirjautua Adobe Creative Cloud -sovelluksiin ja niihin liittyviin verkkosivustoihin.

IdP:n ei tarvitse olla tavoitettavissa yritysverkon ulkopuolelta, mutta jos se ei ole, vain verkon (tai VPN:n kautta) yhteyden muodostavat työasemat pystyvät suorittamaan todentamisen käyttöoikeuden aktivointia varten tai kirjautumiseen istunnon keskeyttämisen jälkeen.

Edellytykset

Ennen kuin toimialue määritetään mahdollistamaan kertakirjautuminen Microsoft AD FS:llä, seuraavien vaatimusten tulee täyttyä:

  • Adoben hallintakonsolissa on hyväksytty Federated ID:tä käyttävä hakemisto, joka joko odottaa määrityksiä tai joka on aiemmin määritetty käyttämään toista IdP:tä.
  • Toimialue on otettu käyttöön liitetyssä hakemistossa.
  • Microsoft Windows Server, Microsoft AD FS ja käyttöjärjestelmän uusimmat päivitykset on asennettu.
  • Palvelimen on oltava käytettävissä käyttäjien työasemilta (esimerkiksi HTTPS:n kautta).
  • AD FS -palvelimelta on saatu suojausvarmenne.
  • Kaikkien Creative Cloudin yritysversioon liitettävien Active Directory -tilien sähköpostiosoite tulee löytyä Active Directory -hakemistosta.

Ohjeita hakemiston luomiseen ja toimialueen käyttöönottamiseen hallintakonsolissa kerrotaan sivulla Tunnistetietojen määritys. Kun hakemisto on lisätty, se voidaan määrittää käyttämään kertakirjautumista ennen toimialueen ottamista käyttöön, mutta Federated ID -käyttäjien luomista varten on otettava käyttöön toimialue, johon heidät määritetään.

Hakemiston nimi on mielivaltainen, mutta hakemistoon linkitetyn toimialueen on vastattava täysin sähköpostiosoitteen @-merkin jälkeistä osaa. Jos haluat käyttää myös alitoimialueita, ne on otettava käyttöön erikseen.

Huomautus:

Tässä asiakirjassa olevat ohjeet ja kuvakaappaukset ovat AD FS -versiolle 3.0, mutta AD FS 2.0:ssa on samat valikot.

Tunnuksen allekirjoitusvarmenteen lataaminen

  1. Käynnistä AD FS -hallintasovellus palvelimella, ja valitse AD FS -> Service -> Certificates (AD FS -> Palvelu -> Varmenteet) -kansiossa Token Signing certificate (Tunnuksen allekirjoitusvarmenne). Avaa varmenteen ominaisuusikkuna valitsemalla View Certificate (Näytä varmenne).

    token_signing_certificate
  2. Valitse Details (Tiedot) -välilehdeltä Copy to File (Kopioi tiedostoon) ja tallenna varmenne ohjatun toiminnon avulla muotoon Base-64 encoded X.509 (.CER) (Base-64 koodattu X.509 (.CER)). Tämä muoto vastaa PEM-muotoista varmennetta.

    02_-_certificateexportwizard

Hakemiston määrittäminen Adoben hallintakonsolissa

Jos haluat määrittää hakemistolle kertakirjautumisen, anna tarvittavat tiedot Adoben hallintakonsolissa ja lataa metatiedot Microsoft AD FS -palvelimen määrittämiseen.

  1. Kirjaudu hallintakonsoliin ja siirry kohtaan Settings (Asetukset) > Identity (Tunnistetiedot).

  2. Siirry Directories (Hakemistot) -välilehdelle.

  3. Valitse määritettävän hakemiston vierestä Configure (Määritä).

    03_-_configure_directory
  4. Lataa varmenne, jonka latasit Microsoft AD FS -palvelimelta.

  5. Valitse IdP binding (IdP-sidonta) -kohdassa HTTP - Redirect.

  6. Valitse User login setting (Käyttäjän kirjautumisasetus) -kohdassa Email (Sähköposti).

  7. Valitse AD FS -palvelimen AD FS -hallintasovelluksessa puun yläosassa oleva AD FS ja napsauta Edit Federation Service Properties (Muokkaa liittoutumispalvelun ominaisuuksia). Kopioi ponnahdusikkunan General (Yleiset) -välilehdeltä Federation Service Identifier (Liittoutumispalvelun tunniste).

    Esimerkiksi http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Liitä juuri kopioimasi liittoutumispalvelun tunniste Adoben hallintakonsolin IdP Issuer (IdP-toimittaja) -kenttään.

    Huomautus:

    IdP-toimittaja-kenttää käytetään palvelimen tunnistamiseen, eikä se ole URL-osoite, jota käyttäjät käyttävät palvelinyhteyden muodostamiseen. Turvallisuussyistä AD FS -palvelimesi tulee olla käytettävissä vain HTTPS-yhteyden kautta, ei suojaamattoman HTTP-yhteyden kautta.

  9. Hanki IdP-palvelimen isäntänimi (tämä on yleensä sama kuin liittoutumispalvelun nimi), liitä eteen protokolla https:// lisää loppuun polku /adfs/ls muodostaaksesi IdP:n kirjautumis-URL-osoitteen.

    Esimerkiksi https://adfs.example/com/adfs/ls/

  10. Anna Adoben hallintakonsolissa IdP:n kirjautumis-URL.

  11. Valitse Save (Tallenna).

    admin_console_-_adfs-configuredirectory
  12. Tallenna SAML XML -metatietotiedosto tietokoneellesi valitsemalla Download Metadata (Lataa metatiedot). Tätä tiedostoa käytetään tämän asiakirjan loppuosassa luottavan osapuolen luottamuksen määrittämiseen AD FS -palvelimella.

  13. Merkitse valintaruutu osoittaaksesi, että ymmärrät, että määrittely on viimeisteltävä tunnistetietojen tarjoajan kanssa. Tämä tehdään AD FS -palvelimella seuraavissa vaiheissa.

    configure_directoryanddownloadmetadata
  14. Kopioi XML-metatietotiedosto AD FS -palvelimelle, jotta sen voi tuoda AD FS -hallintasovellukseen.

  15. Napsauta Complete (Valmis) lopettaaksesi hakemiston määrittelyn.

Yhden tai useamman toimialueen lisääminen hakemistoon

  1. Siirry Adoben hallintakonsolissa kohtaan Settings (Asetukset) > Identity (Tunnistetiedot).

  2. Valitse Domains (Toimialueet) -välilehdellä Add Domains (Lisää toimialueita).

  3. Luettele Enter Domains (Anna toimialueet) -näytöllä enintään 15 toimialuetta ja valitse Add Domains (Lisää toimialueita).

  4. Tarkista Add Domains (Lisää toimialueita) -näytön toimialueluettelo ja valitse Add Domains (Lisää toimialueita).

  5. Toimialueet lisätään nyt hallintakonsoliin. Sinun on kuitenkin osoitettava näiden toimialueiden omistajuus.

  6. Napsauta Domains (Toimialueet) -sivulla validate domain (vahvista toimialue) kaikkien vahvistusta tarvitsevien toimialueiden kohdalla.

  7. Kopioi DNS-tunnus, joka näkyy napsauttamalla copy record value (kopioi tietueen arvo) ja vahvista toimialueet luomalla DNS-määrityksissä TXT-tietue, joka sisältää tämän tunnuksen kullekin toimialueelle, jonka olet lisännyt.

    Tämä tunnus on kaikkien Adoben hallintakonsolissa lisättyjen toimialueiden kohdalla sama, joten sitä voidaan käyttää uudelleen muille myöhemmin lisättäville toimialueille.

    Tunnuksen ei tarvitse pysyä samana, kun toimialue on vahvistettu.

    validate_domain_ownership
  8. Voit tarkistaa, onko TXT-tietue lisätty muille DNS-palvelimille, käyttämällä esimerkiksi MXToolbox-sivustoa tai Windows-, Linux- tai Mac OS -tietokoneilla komentorivin komentoa nslookup seuraavasti:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Valitse Validate Domain Ownership (Vahvista toimialueen omistajuus) -näytössä Validate Now (Vahvista nyt).

    Jos DNS-tunniste tunnistetaan oikein toimialueen TXT-tietueeksi, se vahvistetaan ja sen käyttö voidaan aloittaa heti. Toimialueet, joita ei heti vahvisteta, tarkastetaan taustalla ajoittain ja vahvistetaan, kun DNS-tunniste vahvistetaan oikein.

AD FS -palvelimen määrittäminen

Jos haluat määrittää SAML-integroinnin AD FS:ään, suorita seuraavat vaiheet:

Varoitus:

Kaikki myöhemmät vaiheet on toistettava sen jälkeen, kun toimialueen arvoihin on tehty muutoksia Adoben hallintakonsolissa.

  1. Siirry AD FS -hallintasovelluksessa kohtaan AD FS -> Trust Relationships (Luottamussuhteet) -> Relying Party Trusts (Luottavan osapuolen luottamukset) ja valitse Add Relying Party Trust (Lisää luottavan osapuolen luottamus) käynnistääksesi ohjatun toiminnon.

  2. Napsauta Start (Käynnistä) ja valitse Import data from a relying party from a file (Tuo luottavan osapuolen tiedot tiedostosta) ja siirry sitten sijaintiin, johon kopioit metatiedot Adoben hallintakonsolista.

    08_-_import_metadata
  3. Nimeä luottavan osapuolen luottamus ja kirjoita tarvittavat lisätiedot.

    Valitse Next (Seuraava).

    09_-_name_relyingpartytrust
  4. Määritä, tarvitaanko monimenetelmäinen todentaminen ja valitse haluamasi vaihtoehto.

    Valitse Next (Seuraava).

  5. Määritä, onko kaikilla käyttäjillä mahdollisuus kirjautua AD FS:n kautta vai ei.

    Valitse Next (Seuraava).

  6. Tarkista asetukset.

    Valitse Next (Seuraava).

  7. Luottavan osapuolen luottamus on lisätty.

    Jätä vaihtoehto merkityksi, jotta voit avata Edit Claim Rules (Muokkaa väitesääntöjä) -valintaikkunan päästäksesi nopeasti seuraaviin vaiheisiin.

    Valitse Close (Sulje).

  8. Jos ohjattu Edit Claim Rules (Muokkaa väitesääntöjä) -toiminto ei ole avautunut automaattisesti, voit avata sen AD FS -hallintasovelluksen kohdassa AD FS -> Trust Relationships -> Relying Party Trusts (AD FS -> Luottamussuhteet -> Luottavan osapuolen luottamukset) valitsemalla Adobe SSO:n luottavan osapuolen luottamuksen ja napsauttamalla Edit Claim Rules... (Muokkaa väitesääntöjä...) oikealla puolella.

  9. Valitse Add rule (Lisää sääntö) ja määritä sääntö käyttäen mallia Send LDAP attributes as Claims (Lähetä LDAP-määritteet väitteinä) määritetallennukselle ja määritä LDAP-määrite-sähköpostiosoitteet lähtevän väitteen tyypin sähköpostiosoitteeseen.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Huomautus:

    Kuten yllä olevassa kuvakaappauksessa esitetään, suosittelemme sähköpostiosoitteen käyttämistä ensisijaisena tunnisteena. Täydellinen käyttäjätunnus (UPN) -kentän käyttämistä LDAP-määritteenä, joka lähetetään vahvistuksessa sähköpostiosoitteena, ei suositella. Vaikka UPN:ää voi käyttää LDAP-määritteenä, tätä ei tueta virallisesti ja teet niin omalla vastuulla.

    UPN ei usein vastaa sähköpostiosoitetta ja eroaa siitä monessa tapauksessa. Tämä aiheuttaa todennäköisesti ongelmia Creative Cloudin ilmoituksissa ja resurssien jakamisessa.

  10. Napsauta Finish (Lopeta) lopettaaksesi muunnosväitesäännön lisäämisen.

  11. Käytä ohjattua Edit Claim Rules (Muokkaa väitesääntöjä) -toimintoa lisätäksesi säännön käyttäen mallia Transform an incoming claim (Muunna saapuva väite) muuntaaksesi saapuvat väitteet, jotka ovat tyyppiä sähköpostiosoite, ja lähtevät väitteet, jotka ovat tyyppiä nimitunnus ja lähtevä nimitunnusmalli sähköpostina, hyväksyen kaikki väitearvot.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Napsauta Finish (Lopeta) lopettaaksesi muunnosväitesäännön lisäämisen.

  13. Lisää ohjatulla Edit Claim Rules (Muokkaa väitesääntöjä) -toiminnolla sääntö käyttäen mallia Send Claims Using a Custom Rule (Lähetä väitteet käyttäen mukautettua sääntöä), joka sisältää seuraavan säännön:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Lopeta mukautetun säännön ohjattu toiminto napsauttamalla Finish (Lopeta).

  15. Napsauta OK Edit Claim Rules (Muokkaa väitesääntöjä) -valintaikkunassa, jotta voit lisätä nämä kolme sääntöä luottavan osapuolen luottamukseen.

    16_-_edit_claim_rules

    Huomautus:

    Väitesääntöjen järjestys on tärkeä, joten niiden tulee esiintyä tässä esitetyssä järjestyksessä.

  16. Varmista, että uusi luottavan osapuolen luottamus on valittu ja valitse ikkunan oikealla puolella Properties (Ominaisuudet). Valitse Advanced (Lisäasetukset) -välilehti ja varmista, että Secure hash -algoritmiksi on asetettu SHA-1.

    17_-_relying_partytrustproperties

Kertakirjautumisen testaaminen

Luo testikäyttäjä, joka on Active Directory -hakemistossa. Luo hallintakonsoliin kohta tälle käyttäjälle ja määritä käyttäjälle käyttöoikeus. Testaa sen jälkeen kirjautumista sivustolle Adobe.com varmistaaksesi, että tarvittava ohjelmisto on latausluettelossa.

Voit testata toiminnan myös kirjautumalla Creative Cloudin työpöytäversioon ja käynnistämällä esimerkiksi Photoshopin tai Illustratorin.

Jos sinulla on ongelmia, tutustu vianmääritysasiakirjaan.

Jos haluat välttää yhteysongelmia järjestelmien välillä, joiden kellonajat poikkeavat toisistaan hieman, aseta oletusaikapoikkeama kahdeksi minuutiksi. Lisätietoja aikapoikkeamasta löytyy Vianmääritysvirheet-asiakirjasta.

Jos yhä tarvitset apua Oktan kertakirjautumisen määrittämisessä, siirry Adoben hallintakonsolissa kohtaan Support (Tuki) ja avaa tukipyyntö.

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö