Microsoft Azuren SAML-pohjaisen SSO:n hallinta
New feature alert

Tässä artikkelissa kuvataan Microsoft Azure AD:n vanhempi SAML-pohjainen kokoonpano.

Uusien kokoonpanojen tapauksessa suosittelemme, että käytät Azure AD Connectoria, joka voidaan ottaa käyttöön muutamassa minuutissa ja joka lyhentää toimialueen varauksen, SSO:n määrityksen ja käyttäjien synkronoinnin prosessia.


Yleiskatsaus

Adobe Admin Consolen avulla järjestelmänvalvoja voi määrittää toimialueet, joita käytetään Federated ID:llä Single Sign-On (SSO) ‑kirjautumiseen.  Kun toimialue on vahvistettu, toimialueen sisältävä hakemisto määritetään sallimaan, että käyttäjät kirjautuvat Creative Cloudiin. Käyttäjät voivat kirjautua sisään kyseisellä toimialueella olevilla sähköpostiosoitteillaan tunnistetietojen toimittajan (IdP) kautta. Prosessi voi olla ohjelmistopalvelu, joka toimii yrityksen verkossa ja on käytettävissä Internetissä, kuten myös kolmannen osapuolen ylläpitämä pilvipalvelu, joka mahdollistaa käyttäjätietojen vahvistamisen SAML-protokollaan perustuvan suojatun tietoliikenteen välityksellä.

Yksi tällainen tunnistetietojen toimittaja on Microsoft Azure, pilvipohjainen palvelu, joka tukee suojattua tunnistetietojen hallintaa.

Azure AD käyttää userPrincipalName-määritettä tai antaa sinun määrittää (mukautetussa asennuksessa) määritteen, jota käytetään toimipisteessä käyttäjän ensisijaisena nimenä Azure AD:ssä. Jos userPrincipalName-määritteen arvo ei vastaa vahvistettua toimialuetta Azure AD:ssä, se korvataan oletusarvoisella .onmicrosoft.com-arvolla.

Kun käyttäjä todentaa sovelluksen, Azure AD myöntää sovellukselle SAML-tunnuksen, joka sisältää käyttäjien yksilölliseen tunnistamiseen tarkoitettuja tietoja (tai väitteitä). Nämä tiedot sisältävät oletusarvoisesti käyttäjän käyttäjänimen, sähköpostiosoitteen, etunimen ja sukunimen. Voit tarkastella tai muokata sovellukselle SAML-tunnuksessa lähetettyjä väitteitä Attributes (Määritteet) ‑välilehdessä ja julkaista käyttäjänimen määritteen.

Kertakirjautumisen määrittäminen Azurella

Voit määrittää kertakirjautumisen toimialueellesi seuraavasti:

  1. Kirjaudu Admin Consoleen ja luo ensin Federated ID ‑hakemisto, valitsemalla sen tunnistetietojen toimittajaksi Muut SAML-palveluntarjoajat. Kopioi ACS:n URL-osoitteen ja entiteettitunnuksen arvot Lisää SAML-profiili ‑näytöstä.
  2. Määritä Azure antamalla ACS:n URL-osoite ja entiteettitunnus ja lataa IdP-metatietotiedosto.
  3. Palaa Adobe Admin Consoleen, lähetä IdP-metatietotiedosto Lisää SAML-profiili ‑näytössä ja valitse Valmis.

SSO-sovelluksen luonti Azuressa Adobea varten

Varmista, että Microsoft Azure ‑koontinäyttö on käytettävissä ja että olet kirjautunut sisään järjestelmänvalvojana, jotta voit luoda uuden yrityssovelluksen.

Voit määrittää SSO:n Azuressa toimimalla seuraavien ohjeiden mukaan:

  1. Valitse Azure Active Directory > Enterprise Applications > All Applications (Azure Active Directory > Yrityssovellukset > Kaikki sovellukset) ja sitten New Application (Uusi sovellus).

  2. Kirjoita Add from the gallery (Lisää galleriasta) ‑kohdassa ”Adobe Creative Cloud” hakukenttään.

  3. Valitse Adobe Creative Cloud, nimeä yhdistin uudelleen, valitse Add (Lisää) ja odota, kunnes prosessi on suoritettu loppuun.

    add_application
  4. Valitse Azure Active Directory > Enterprise Applications > All Applications (Azure Active Directory > Yrityssovellukset > Kaikki sovellukset) ja sitten Overview (Yleiskatsaus) ‑sivulle siirrettävä uusi Adobe Creative Cloud ‑yhdistinsovellus.

  5. Valitse Single sign-on > SAML (Kertakirjautuminen > SAML).

    SAML
  6. Anna Basic SAML Configuration (SAML-peruskokoonpano) ‑kohdassa Adobe Admin Consolesta kopioitu entiteettitunnus ja ACS:n URL-osoite. Valitse sitten Save (Tallenna).

    SAML-peruskokoonpano
  7. Jos haluat muotoilla SAML-tunnuksen määritteet, napsauta Edit (Muokkaa) ‑painiketta ja avaa User Attributes (Käyttäjän määritteet) ‑valintaikkuna. Valitse sitten Add new claim (Lisää uusi vaatimus), jotta voit muokata seuraavia User Attributes & Claims (Käyttäjän määritteet ja vaatimukset) ‑sivun määritteitä, ja jätä Namespace (Nimitila) ‑merkintä tyhjäksi.

    NIMI ARVO NIMITILA
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. Kun kaikki määritteet on määritetty vastaamaan seuraavia arvoja, sulje User Attributes & Claims (Käyttäjän määritteet ja vaatimukset) ‑sivu.

    Käyttäjän määrite

    Huomautus:

    • Jos haluat todentaa käyttäjät sähköpostitse, määritä UserIdentifier-määritteen arvoksi user.mail. Jos haluat todentaa käyttäjät UserPrincipalName-parametrilla, määritä UserIdentifier-määritteen arvoksi user.userprincipalname.
    • Käyttäjillä on oltava voimassa oleva Office 365 ExO ‑käyttöoikeus, jotta sähköpostivaatimuksen arvo voidaan lisätä SAML-vasteeseen.

  9. Lataa SAML Signing Certificate (SAML-allekirjoitusvarmenne) ‑osiosta Certificate (Base64) ‑tiedosto ja tallenna se tietokoneeseen.

    SAML-allekirjoitusvarmenne
  10. Kopioi sitten asianmukaiset URL-osoitteet Set up <Name> (Määritä <Nimi>) ‑osiosta vaatimustesi mukaisesti.

    Käyttöönotto
  11. Sulje Azure-portaalin dokumentaatiosivu napsauttamalla X-kuvaketta ja palaa Adobe SSO ‑yhdistimen Enterprise Application (Yrityssovellus) ‑kokoonpanoikkunaan.

  12. Lataa varmennetiedosto valitsemalla SAML Signing Certificate (SAML-allekirjoitusvarmenne) ‑osion oikealla puolella Certificate (base 64) (Varmenne (base 64)).

IdP-metatietotiedoston lähettäminen Adobe Admin Consoleen

Jos haluat päivittää uusimman varmenteen Adobe Admin Consoleen, palaa Adobe Admin Consoleen. Lähetä Azuresta ladattu varmenne Lisää SAML-profiili ‑näyttöön ja valitse Valmis.

Käyttäjien määritys Azurella

Jos haluat määrittää käyttäjät Mizrosoft Azurella, jotta he voivat kirjautua sisään käyttämällä Adobe Creative Cloud ‑yhdistintä, suorita alla olevat toimet. Sinun on myös määritettävä käyttöoikeudet Adobe Admin Consolen kautta.

  1. Valitse Azure Active Directory -> Enterprise Applications -> All Applications (Azure Active Directory -> Yrityssovellukset -> Kaikki sovellukset) ja sitten Adobe Creative Cloud ‑yhdistinsovellus.

  2. Valitse Käyttäjät ja ryhmät.

  3. Napsauta Lisää käyttäjä ‑painiketta ja valitse käyttäjät, jotka haluat määrittää tähän yhdistimeen, jolla he voivat kirjautua sisään kertakirjautumalla.

  4. Napsauta Käyttäjät- tai Ryhmät-painiketta, valitse yksi tai useampi käyttäjä tai ryhmä, jotka voivat kirjautua Creative Cloudiin, napsauta Valitse-painiketta ja napsauta lopuksi Määritä-painiketta.

Käyttäjien käyttöoikeuksien testaus

Tarkista määrittämäsi käyttäjän käyttöoikeudet sekä omassa tunnistetietojen hallintajärjestelmässäsi että Adobe Admin Consolessa kirjautumalla Adoben sivustoon tai Creative Cloud ‑tietokonesovellukseen.

Jos kohtaat ongelmia, perehdy vianmääritysdokumenttiimme.

Jos tarvitset apua kertakirjautumisen määritykseen, siirry Adobe Admin Consolen Tuki-välilehteen ja ota yhteyttä.