Yleistä

1.setup-identity

Tämä dokumentti kuvaa Adobe Admin Consolen ja Microsoft Active Directory -liittoutumispalveluiden (AD FS) palvelimen määrittämismenetelmän.

Tunnistustietojen tarjoajan ei tarvitse olla tavoitettavissa yritysverkon ulkopuolelta, mutta jos se ei ole, vain verkon (tai VPN:n kautta) yhteyden muodostavat työasemat pystyvät suorittamaan todentamisen käyttöoikeuden aktivointia varten tai kirjautumiseen istunnon keskeyttämisen jälkeen.


Huomautus:

Tässä asiakirjassa olevat ohjeet ja kuvakaappaukset ovat AD FS -versiolle 3.0, mutta AD FS 2.0:ssa on samat valikot.

Edellytykset

Ennen kuin Microsoft AD FS:llä tapahtuvaa kertakirjautumista varten luodaan hakemisto, seuraavien vaatimusten tulee täyttyä:

  • Microsoft Windows Server, Microsoft Active Directory -liittoutumispalvelut ja käyttöjärjestelmän uusimmat päivitykset on asennettu. Jos haluat, että Adoben tuotteita käytetään macOS-käyttöjärjestelmässä, varmista, että palvelimesi tukee TLS 1.2:a ja forward secrecy -salausta. Lisätietoa Active Directory -liittoutumispalveluista saat Microsoftin Identity and access (Käyttäjätiedot ja käyttöoikeudet) -dokumentista.
  • Palvelimen on oltava käytettävissä käyttäjien työasemilta (esimerkiksi HTTPS:n kautta).
  • AD FS ‑palvelimelta on hankittava suojausvarmenne.
  • Kaikkien Creative Cloud for enterprise -versioon liitettävien Active Directory -tilien sähköpostiosoite tulee löytyä Active Directory -hakemistosta.

Luo hakemisto Adobe Admin Consolessa

Määritä kertakirjautuminen toimialueellesi seuraavasti:

  1. Kirjaudu Admin Console ja aloita luomalla Federated ID -hakemisto ja valitsemalla tunnistetietopalveluksi Other SAML Providers (Muut SAML-palveluntarjoajat). Lataa Adoben metadatatiedosto Add SAML Profile (Lisää SAML-profiili) -näytöstä.
  2. Määritä Active Directory -liittoutumispalvelut määrittämällä ACS URL ja Entity ID (Entiteetin tunnus) -arvot ja lataamalla IdP-metatietotiedosto.
  3. Palaa Adobe Admin Consoleen, lataa IdP-metadatatiedosto Add SAML Profile (Lisää SAML-profiili) -ikkunassa ja napsauta Done (Valmis).

Lisätietoja kustakin vaiheesta saat hyperlinkeistä.

AD FS -palvelimen määrittäminen

Jos haluat määrittää SAML-integroinnin AD FS:ään, suorita seuraavat vaiheet:

Varoitus:

Kaikki myöhemmät vaiheet on toistettava sen jälkeen, kun toimialueen arvoihin on tehty muutoksia Adobe Admin Console.

  1. Siirry AD FS -hallintasovelluksessa kohtaan AD FS -> Trust Relationships (Luottamussuhteet) -> Relying Party Trusts (Luottavan osapuolen luottamukset) ja valitse Add Relying Party Trust (Lisää luottavan osapuolen luottamus) käynnistääksesi ohjatun toiminnon.

  2. Napsauta Start (Käynnistä) ja valitse Import data from a relying party from a file (Tuo luottavan osapuolen tiedot tiedostosta) ja siirry sitten sijaintiin, johon kopioit metatiedot Adobe Admin Console.

    08_-_import_metadata
  3. Nimeä luottavan osapuolen luottamus ja kirjoita tarvittavat lisätiedot.

    Valitse Next (Seuraava).

    09_-_name_relyingpartytrust
  4. Määritä, tarvitaanko monimenetelmäinen todentaminen ja valitse haluamasi vaihtoehto.

    Valitse Next (Seuraava).

  5. Määritä, voivatko kaikki käyttäjät kirjautua AD FS:n kautta.

    Valitse Next (Seuraava).

  6. Tarkista asetukset.

    Valitse Next (Seuraava).

  7. Luottavan osapuolen luottamus on lisätty.

    Jätä vaihtoehto merkityksi, jotta voit avata Edit Claim Rules (Muokkaa väitesääntöjä) -valintaikkunan päästäksesi nopeasti seuraaviin vaiheisiin.

    Valitse Close (Sulje).

  8. Jos ohjattu Edit Claim Rules (Muokkaa väitesääntöjä) -toiminto ei ole avautunut automaattisesti, voit avata sen AD FS -hallintasovelluksen kohdassa AD FS -> Trust Relationships -> Relying Party Trusts (AD FS -> Luottamussuhteet -> Luottavan osapuolen luottamukset) valitsemalla Adobe SSO:n luottavan osapuolen luottamuksen ja napsauttamalla Edit Claim Rules... (Muokkaa väitesääntöjä...) oikealla puolella.

  9. Valitse Add rule (Lisää sääntö) ja määritä sääntö käyttäen mallia Send LDAP attributes as Claims (Lähetä LDAP-määritteet väitteinä) määritetallennukselle ja määritä LDAP-määrite-sähköpostiosoitteet lähtevän väitteen tyypin sähköpostiosoitteeseen.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Huomautus:

    Kuten edellä olevassa kuvakaappauksessa esitetään, suosittelemme sähköpostiosoitteen käyttämistä ensisijaisena tunnisteena. Voit myös käyttää Täydellinen käyttäjätunnus (UPN) -kenttää LDAP-määritteenä, joka lähetetään vahvistuksessa sähköpostiosoitteena. Tätä ei kuitenkaan suositella väitesäännön määrittämiseen.

    UPN ei usein vastaa sähköpostiosoitetta ja eroaa siitä monessa tapauksessa. Tämä aiheuttaa todennäköisesti ongelmia Creative Cloudin ilmoituksissa ja resurssien jakamisessa.

  10. Napsauta Finish (Lopeta) lopettaaksesi muunnosväitesäännön lisäämisen.

  11. Lisää sääntö ohjatun Edit Claim Rules (Muokkaa väitesääntöjä) -toiminnon Transform an incoming claim (Muunna saapuva väite) -mallilla, jossa voit valita saapuvan väitteen tyypiksi Email Address (Sähköpostiosoite), lähtevän väitteen tyypiksi Name ID (Nimitunnus) ja lähtevän nimitunnusmuodon tyypiksi Email ja hyväksyä kaikki väitearvot.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Napsauta Finish (Lopeta) lopettaaksesi muunnosväitesäännön lisäämisen.

  13. Lisää ohjatulla Edit Claim Rules (Muokkaa väitesääntöjä) -toiminnolla sääntö käyttäen mallia Send Claims Using a Custom Rule (Lähetä väitteet käyttäen mukautettua sääntöä), joka sisältää seuraavan säännön:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Lopeta mukautetun säännön ohjattu toiminto napsauttamalla Finish (Lopeta).

  15. Napsauta OK Edit Claim Rules (Muokkaa väitesääntöjä) -valintaikkunassa, jotta voit lisätä nämä kolme sääntöä luottavan osapuolen luottamukseen.

    16_-_edit_claim_rules

    Huomautus:

    Väitesääntöjen järjestys on tärkeä, joten niiden tulee esiintyä tässä esitetyssä järjestyksessä.

Jos haluat välttää yhteysongelmia järjestelmien välillä, joiden kellonajat poikkeavat toisistaan hieman, aseta oletusaikapoikkeama kahdeksi minuutiksi. Lisätietoja aikapoikkeamasta löytyy Vianmääritysvirheet-asiakirjasta.

AD FS -metatietotiedoston lataaminen

  1. Käynnistä Active Directory -liittoutumispalvelujen hallintasovellus palvelimella ja valitse AD FS -> Service -> Endpoints (AD FS -> Palvelu -> Päätteet) -kansiosta Federation Metadata (Liittoutumismetatiedot).

    Metatietojen sijainti
  2. Siirry selaimella liittoutumismetatietojen mukaiseen URL-osoitteeseen ja lataa tiedosto. Osoite voi olla esimerkiksi https://<AD FS -isäntänimi>/FederationMetadata/2007-06/FederationMetadata.xml.

    Huomautus:

    Hyväksy varoitukset pyydettäessä.

IdP-metatietotiedoston lataaminen Adobe Admin Consoleen

Palaa Adobe Admin Console -ikkunaan päivittääksesi uusimman varmenteen. Lataa AD FS:stä ladattu metatietotiedosto Add SAML profile (Lisää SAML-profiili) -näyttöön ja napsauta Done (Valmis).

Seuraavat vaiheet: Määritysten viimeistely ja sovellusten määrittäminen käyttäjille

Kun hakemisto on määritetty, anna organisaation käyttäjille Adobe-sovellusten ja -palvelujen käyttöoikeus seuraavasti:

  1. Lisää ja määritä toimialueita Admin Consolessa.
  2. Liitä toimialueet Active Directory -liittoutumispalvelujen hakemistoon.
  3. (Valinnainen) Jos toimialueet on jo määritetty Admin Consolen toisessa hakemistossa, siirrä ne suoraan uuteen AD FS -hakemistoon.
  4. Lisää tuoteprofiileja, joilla ostettujen sopimusten käyttöä voi säätää.
  5. Testaa kertakirjautumisen määritys lisäämällä testikäyttäjä.
  6. Valitse käyttäjienhallintastrategia ja -työkalut tarpeidesi mukaan. Lisää sitten käyttäjät Admin Consoleen ja määritä heille tuoteprofiilit, jotta he voivat aloittaa Adobe-sovellusten käytön.

Lisätietoja muista käyttäjätietoihin liittyvistä työkaluista ja tekniikoista saat kohdasta Tunnistetietojen määritys.

Kertakirjautumisen testaaminen

Luo testikäyttäjä, joka on Active Directory -hakemistossa. Luo Admin Console kohta tälle käyttäjälle ja määritä käyttäjälle käyttöoikeus. Testaa sen jälkeen kirjautumista sivustolle Adobe.com varmistaaksesi, että tarvittava ohjelmisto on latausluettelossa.

Voit testata toiminnan myös kirjautumalla Creative Cloudin työpöytäversioon ja käynnistämällä esimerkiksi Photoshopin tai Illustratorin.

Jos sinulla on ongelmia, tutustu vianmääritysohjeeseen. Jos yhä tarvitset apua Oktan kertakirjautumisen määrittämisessä, siirry Adobe Admin Consolen kohtaan Support (Tuki) ja avaa tukipyyntö asiakastuessa.