使用手冊 取消

設定 Microsoft AD FS 以搭配 Adobe SSO 使用

  1. Adobe 企業和團隊:管理指南
  2. 規劃部署
    1. 基本概念
      1. 授權
      2. 身分
      3. 用戶管理
      4. 應用程式部署
      5. Admin Console 總覽
      6. 管理員角色
    2. 部署指南
      1. 指名用戶部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署適用於教育的 Creative Cloud
      1. 部署指南
      2. 在 Google Classroom 中啟用 Adobe Express
      3. 與畫布 LMS 整合
      4. 與 Blackboard Learn 整合
      5. 為學區入口網站和 LMS 設定 SSO
      6. 透過 Roster Sync 新增用戶
      7. Kivuto 常見問答
      8. 主要和次要機構資格指南
  3. 設定您的組織
    1. 身分類型 | 總覽
    2. 設定身分 | 總覽
    3. 使用 Enterprise ID 設定組織
    4. 設定 Azure AD 聯盟和同步
      1. 透過 Microsoft Azure OIDC 設定 SSO
      2. 將 Azure Sync 新增到您的目錄
      3. Azure Connector 常見問答
    5. 設定 Google Federation 與同步
      1. 使用 Google 聯盟設定 SSO
      2. 將 Google Sync 新增到您的目錄
      3. Google 聯盟常見問答
    6. 使用 Microsoft ADFS 設定組織
    7. 為學區入口網站和 LMS 設定組織
    8. 使用其他身分提供者設定組織
      1. 建立目錄
      2. 確認網域的所有權
      3. 將網域新增至目錄
    9. SSO 常見問題和疑難排解
      1. SSO 常見問題
      2. SSO 疑難排解
      3. 教育常見問題
  4. 管理您的組織設定
    1. 管理現有網域和目錄
    2. 啟用自動建立帳戶
    3. 透過目錄信任設定組織
    4. 遷移到新的驗證提供者 
    5. 資產設定
    6. 驗證設定
    7. 隱私權與安全聯絡人
    8. 主控台設定
    9. 管理加密  
  5. 管理產品和權利
    1. 管理用戶
      1. 總覽
      2. 管理角色
      3. 用戶管理技術
        1. 個別管理用戶   
        2. 管理多位用戶 (大量 CSV)
        3. 用戶同步工具 (UST)
        4. Microsoft Azure Sync
        5. Google Federation Sync
      4. 變更用戶身分類型
      5. 管理用戶群組
      6. 管理目錄用戶
      7. 管理開發人員
      8. 將現有的用戶轉換到 Adobe Admin Console
      9. 將用戶管理轉換到 Adobe Admin Console
    2. 管理產品和產品描述檔
      1. 管理產品
      2. 管理企業用戶的產品描述檔
      3. 管理自動指派規則
      4. 審查產品請求
      5. 管理自助服務政策
      6. 管理應用程式整合
      7. 在 Admin Console 中管理產品權限  
      8. 針對產品設定檔啟用/停用服務
      9. 單一應用程式 | 適用於企業的 Creative Cloud
      10. 選用服務
    3. 管理共用裝置授權
      1. 新增功能
      2. 部署指南
      3. 建立套件
      4. 復原授權
      5. 從裝置授權轉換
      6. 管理描述檔
      7. 授權工具組
      8. 共用裝置授權常見問答
  6. 管理儲存空間和資產
    1. 儲存
      1. 管理企業儲存空間
      2. Adobe Creative Cloud:儲存空間更新
      3. 管理 Adobe 儲存空間
    2. 資產遷移
      1. 自動化資產遷移
      2. 自動化資產遷移常見問答  
      3. 管理傳輸的資產
    3. 向用戶收回資產
    4. 學生資產遷移 | 僅限 EDU
      1. 自動學生資產遷移
      2. 遷移您的資產
  7. 管理服務
    1. Adobe Stock
      1. Adobe Stock 團隊專用點數包
      2. 適用於企業的 Adobe Stock
      3. 使用適用於企業的 Adobe Stock
      4. Adobe Stock 授權核准
    2. 自訂字型
    3. Adobe Asset Link
      1. 總覽
      2. 建立用戶群組
      3. 設定 Adobe Experience Manager Assets
      4. 設定和安裝 Adobe Asset Link
      5. 管理資產
      6. 適用於 XD 的 Adobe Asset Link
    4. Adobe Acrobat Sign
      1. 建立適用於企業或團隊的 Adobe Acrobat Sign
      2. Adobe Acrobat Sign - 團隊功能管理員
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. 適用於企業的 Creative Cloud – 免費會籍
      1. 總覽
      2. 快速入門
  8. 部署應用程式和更新
    1. 總覽
      1. 部署及提供應用程式和更新
      2. 規劃部署
      3. 準備部署
    2. 建立套件
      1. 經由 Admin Console 提供的套件應用程式
      2. 建立指名用戶授權套件
      3. Adobe 套件範本
      4. 管理套件
      5. 管理裝置授權
      6. 序號授權
    3. 自訂套件
      1. 自訂 Creative Cloud 桌面應用程式
      2. 在您的套件中包含延伸功能
    4. 部署套件 
      1. 部署套件
      2. 使用 Microsoft Intune 部署 Adobe 套件
      3. 使用 SCCM 部署 Adobe 套件
      4. 使用 ARD 部署 Adobe 套件
      5. 安裝 Exceptions 檔案夾中的產品
      6. 解除安裝 Creative Cloud 產品
      7. 使用 Adobe Provisioning Toolkit 企業版
      8. Adobe Creative Cloud 授權識別碼
    5. 管理更新
      1. Adobe 企業和團隊客戶的變更管理
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 總覽
      2. 設定內部更新伺服器
      3. 維護內部更新伺服器
      4. AUSST 的常見使用案例   
      5. 內部更新伺服器的疑難排解
    7. Adobe Remote Update Manager (RUM)
      1. 使用 Adobe Remote Update Manager
      2. 與 Adobe Remote Update Manager 搭配使用的通道 ID
      3. 解決 RUM 錯誤
    8. 疑難排解
      1. 疑難排解 Creative Cloud 應用程式安裝和解除安裝錯誤
      2. 查詢用戶端電腦以檢查是否已部署套件
      3. Creative Cloud 套件「安裝失敗」錯誤訊息
    9. 使用 Creative Cloud Packager 來建立套件 (CC 2018 或更早期的應用程式)
      1. 關於 Creative Cloud Packager
      2. Creative Cloud Packager 版本注意事項
      3. 應用程式封裝
      4. 使用 Creative Cloud Packager 建立套件
      5. 建立指名的授權套件
      6. 使用裝置授權建立套件
      7. 建立授權套件
      8. 建立包含序號授權的套件
      9. Packager 自動化
      10. 封裝非 Creative Cloud 產品
      11. 編輯及儲存配置
      12. 指定系統層級的地區設定
  9. 管理您的帳戶
    1. 管理您的團隊帳戶
      1. 總覽
      2. 更新付款詳細資料
      3. 管理發票
      4. 變更合約所有者
      5. 變更經銷商
    2. 指定授權給一位新的團隊用戶
    3. 新增產品和授權
    4. 續約
      1. 團隊會籍:續約
      2. VIP 中的企業: 續約及規範
    5. ETLA 合約的自動到期階段
    6. 在現有 Adobe Admin Console 中切換合約類型
    7. 購買請求規範
    8. 中國的 Value Incentive Plan (VIP)
    9. VIP Select 說明
  10. 報告和記錄
    1. 稽核記錄
    2. 作業報告
    3. 內容記錄
  11. 取得協助
    1. 聯絡 Adobe 客戶服務
    2. 團隊帳戶的支援選項
    3. 企業帳戶的支援選項
    4. Experience Cloud 的支援選項

總覽

此文件強調使用 Microsoft AD FS 伺服器設定 Adobe Admin Console 的程序。

身分提供者不需要具備可從公司網路外部存取的功能,但如果沒有這項功能,就只有網路內部 (或透過 VPN 連線) 的工作站能夠在停用其工作階段之後,執行驗證以啟用授權或登入。

使用 Microsoft AD FS 設定 SSO (觀看時間:17 分鐘)
註解:

此文件中的指示和螢幕截圖適用於 AD FS 3.0 版,但 AD FS 2.0 中有提供相同的選單。

先決條件

在建立使用 Microsoft AD FS 進行單一登入的目錄之前,必須先符合下列需求︰

  • 與 Microsoft AD FS 一起安裝的 Microsoft Windows Server 及最新的作業系統更新。如果您希望使用者搭配 macOS 使用 Adobe 產品,請確定您的伺服器有支援 TLS 1.2 版和轉寄密碼。若要了解更多有關 AD FS 的資訊,請參閱 Microsoft 身分和存取文件
  • 伺服器必須可以從使用者的工作站進行存取 (例如,透過 HTTPS)。
  • 已從 AD FS 伺服器取得安全性憑證。
  • 所有要與適用於企業的 Creative Cloud 帳戶建立關聯的 Active Directory 帳戶都必須擁有列在 Active Directory 中的電子郵件地址。

在 Adobe Admin Console 中建立目錄

若要為您的網域設定單一登入,您需要執行下列步驟:

  1. 登入 Admin Console,並開始建立 Federated ID 目錄,選取其他 SAML 提供者當做身分提供者。從「建立目錄」精靈下載 Adobe 中繼資料檔案。
  2. 設定 AD FS,指定 ACS URL實體 ID,並下載 IdP 中繼資料檔案
  3. 返回 Adobe Admin Console,並在「建立目錄」精靈中上傳 IdP 中繼資料檔案。然後,選取「下一步」,設定自動建立帳戶,然後選取「完成」。

若要深入了解每個步驟的詳細資訊,請連上此超連結以取得資訊。

設定 AD FS 伺服器

若要設定 SAML 與 AD FS 的整合,請執行下列步驟:

注意:

在您針對指定的網域對 Adobe Admin Console 中的值進行任何變更之後,所有後續步驟都必須再重複執行一次。

  1. 在 AD FS 管理應用程式中,瀏覽至「AD FS -> 信任關係 -> 信賴憑證者信任」,然後按一下「新增信賴憑證者信任」以啟動精靈。

  2. 按一下「啟動」並選取「從檔案匯入信賴憑證者的相關資料」,然後瀏覽至您從 Adobe Admin Console 複製中繼資料的目的位置。

  3. 為您的信賴憑證者信任命名,並視需要輸入其他任何註解。

    按一下「下一步」。

  4. 判斷是否需要多重要素驗證,並選取相關選項。

    按一下「下一步」。

  5. 判斷是否所有使用者都可以透過 AD FS 登入。

    按一下「下一步」。

  6. 檢閱您的設定。

    按一下「下一步」。

  7. 已新增您的信賴憑證者信任。

    維持勾選此選項,以開啟「編輯宣告規則」對話框來快速存取後續步驟。

    按一下「關閉」。

  8. 如果「編輯宣告規則」精靈未自動開啟,您可以從 AD FS 管理應用程式的「AD FS -> 信任關係 -> 信賴憑證者信任」底下存取此精靈,存取方式為選取您的 Adobe SSO 信賴憑證者信任,然後按一下右側的「編輯宣告規則...」。

  9. 按一下「新增規則」,並使用範本「以宣告方式傳送 LDAP 屬性」為您的屬性存放區設定規則,將 LDAP 屬性電子郵件地址對應至傳出宣告類型電子郵件地址。

    註解:

    如上面的螢幕擷圖所示,我們建議使用電子郵件地址當做主要識別碼。您也可以使用在聲明中以 LDAP 屬性傳送的「使用者主體名稱」(UPN) 欄位當做電子郵件地址。但是,我們不建議為此設定宣告規則。

    通常 UPN 不會對應到電子郵件地址,而且在許多情況下會有所不同。這很可能會導致 Creative Cloud 中的通知和資產共用發生問題。

  10. 按一下「完成」即可完成轉換宣告規則的新增。

  11. 再次使用「編輯宣告規則」精靈,根據範本「傳輸傳入宣告」新增規則,以便將包含傳出宣告類型名稱識別碼和傳出名稱識別碼格式的傳入宣告類型電子郵件地址轉換成電子郵件,並傳遞所有宣告值。

  12. 按一下「完成」即可完成轉換宣告規則的新增。

  13. 使用「編輯宣告規則」精靈,根據包含下列規則的範本「傳送使用自訂規則的宣告」新增一項規則:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. 按一下「完成」即可完成自訂規則精靈。

  15. 在「編輯宣告規則」對話框上按一下「確定」,即可完成將這三條規則新增至您的信賴憑證者信任。

    註解:

    宣告規則的順序很重要;它們必須依照這裡的順序顯示。

為避免時鐘差異很小的系統之間的連線問題,請將預設時間誤差設定為 2 分鐘。如需時間誤差的詳細資訊,請參閱錯誤疑難排解文件。

下載 AD FS 中繼資料檔案

  1. 在您的伺服器上開啟 AD FS 管理應用程式,並在「AD FS > 服務 > 端點」資料夾中選取「聯盟中繼資料」。

    中繼資料位置

  2. 使用瀏覽器瀏覽至針對同盟中繼資料所提供的 URL,並下載檔案。例如,https://<您的 AD FS 主機名稱>/FederationMetadata/2007-06/FederationMetadata.xml。

    註解:
    • 如果有提示任何警告,請接受。
    • 若要得知 Windows 作業系統上的 Microrsoft AD FS 主機名稱:
      開啟 Windows PowerShell > 以系統管理員身分執行 > 輸入 Get-AdfsProperties > 按 輸入 > 在詳細清單中尋找您的主機名稱

將 IdP 中繼資料檔案上傳到 Adobe Admin Console

若要更新最新的憑證,請返回 Adobe Admin Console 視窗。將從 AD FS 下載的中繼資料檔案上傳到「新增 SAML 設定檔」畫面,然後按一下「完成」。

後續步驟:完成設定以將應用程式指派給使用者

當您設定目錄後,請執行以下操作,好讓貴組織的使用者能夠使用 Adobe 應用程式和服務:

  1. 新增及設定網域 (在 Admin Console 內進行)。
  2. 將網域與 AD FS 目錄建立關聯
  3. (選擇性) 如果您已在 Admin Console 中的另一個目錄內建立網域,請直接將其轉移到新建的 AD FS 目錄
  4. 新增產品描述檔以微調您購買的計劃的使用情況。
  5. 測試您的 SSO 設定 - 藉由新增測試使用者。
  6. 根據您的需求選擇您的使用者管理策略和工具。然後將使用者新增到 Admin Console,並且將其指派給產品描述檔,好讓使用者開始使用他們的 Adobe 應用程式。

若要深入了解其他身分相關的工具和技術,請參閱「設定身分」。

測試單一登入

使用 Active Directory 建立測試使用者。在 Admin Console 上建立此使用者的項目,並指派授權給該使用者。然後,測試登入 Adobe.com 以確認相關軟體是否列出以供下載。

您也可以登入 Creative Cloud 桌面應用程式並從 Photoshop 或 Illustrator 等應用程式內進行測試。

如果您遇到問題,請參閱我們的疑難排解文件。如果您仍然需要單一登入設定的相關協助,請瀏覽至 Adobe Admin Console 中的「支援」,然後建立一個給客戶支援的服務支援單。

Adobe 標誌

登入您的帳戶