設定 Okta 以搭配 Adobe SSO 使用

總覽

Adobe Admin Console 可讓系統管理員設定用於透過 Federated ID 進行單一登入 (SSO) 的網域。使用 DNS 字符表明網域擁有權後,就可以設定網域以允許用戶透過身分提供者 (IdP) 使用屬於該網域的電子郵件地址登入 Creative Cloud;此身分提供者的形式若非軟體服務即是雲端服務,前者執行於公司網路,可從網際網路加以存取,而後者由協力廠商代管,允許透過採用 SAML 通訊協定的安全通訊驗證用戶的登入詳細資料。

例如,Okta 雲端服務即是其中一種 IdP,可協助進行安全身分管理。

先決條件

設定使用 Okta 做為 IdP 進行單一登入的網域之前,必須先符合下列需求︰

  • 已在 Adobe Admin Console 中申請該網域,其「網域狀態」欄為「作用中」
  • Okta 儀表板已設定且可透過上述網域的系統管理權限進行存取

組態設定

1. 一開始先填寫 Adobe Admin Console 中的身分設定,包含的預留位置資訊如下所示:

  • 請使用 Okta 針對任何設定程序所提供的任何 IdP 憑證。此資訊會在啟用服務前更換。
  • 將 IdP 發行者設定為 Okta
  • 將 IdP 登入 URL 設定為 https://www.adobe.com/tw
  • 保留原本的 IdP 繫結,即 HTTP-Post
  • 保留原本的用戶登入設定,即「電子郵件地址」
2. 儲存表單。

3. 在 Okta 儀表板的「應用程式 -> 新增應用程式」底下,按一下「建立新應用程式」。

4. 填寫下列一般設定:

  • 應用程式名稱:Adobe Creative Cloud
  • 應用程式可見度:
    • 選取「不對用戶顯示應用程式圖示」
    • 選取「不在 Okta 行動應用程式中顯示應用程式圖示」

6. 按一下「下一步」

7. 按一下「下載 Okta 憑證」

8. 將下載自 Okta 儀表板之憑證的副檔名變更為「.cer」,讓檔案可以上傳至 Adobe Admin Console。

9. 開啟 Adobe Admin Console https://adminconsole.adobe.com/enterprise,並瀏覽至「身分」索引標籤以及相關網域詳細資料。

10. 在「IDP 憑證」欄位中,上傳 Okta 憑證。

11. 儲存設定

 

12. 按一下「下載中繼資料」並儲存檔案

13. 回到 Okta 儀表板並完成「應用程式設定精靈」。依照以下範例螢幕擷取畫面,在網頁瀏覽器 (例如 Internet Explorer) 中開啟從 Adobe Admin Console 儲存的中繼資料,並複製下列欄位的值:

  • AssertionConsumerService
  • EntityID

14. 按一下「顯示進階設定」

15. 修改屬性陳述式,如下所示︰

  • FirstName = user.firstName
  • LastName = user.lastName
  • Email = user.email

16. 按一下「完成」並存取新建立的「Adobe Creative Cloud」應用程式。

17. 移至「登入 -> 檢視設定指示」

18. 取得下列資訊,以便取代先前在 Adobe Admin Console 中輸入的虛設值:

  • 身分提供者單一登入 URL
  • 身分提供者發行者
  • X.509 憑證

19. 按一下 Adobe Admin Console 中的「編輯設定」

20. 填入從 Okta 儀表板取得的資訊,如下所示︰

  • IDP 憑證 = X.509 憑證
  • IDP 發行者 = 身分提供者發行者
  • IDP 登入 URL = 身分提供者單一登入 URL

21. 儲存設定

22. 登入 https://www.adobe.com/tw/ 以及 Creative Cloud 桌面,以測試您在自己的身分管理系統和 Adobe Admin Console 中都有定義的用戶。

支援

如果依照本指南的步驟進行後,您還需要其他協助,請在 Adobe Admin Console 中的「支援」索引標籤上開啟票證。