此文件強調使用 Microsoft AD FS 伺服器設定 Adobe Admin Console 的程序。
身分提供者不需要具備可從公司網路外部存取的功能,但如果沒有這項功能,就只有網路內部 (或透過 VPN 連線) 的工作站能夠在停用其工作階段之後,執行驗證以啟用授權或登入。
此文件強調使用 Microsoft AD FS 伺服器設定 Adobe Admin Console 的程序。
身分提供者不需要具備可從公司網路外部存取的功能,但如果沒有這項功能,就只有網路內部 (或透過 VPN 連線) 的工作站能夠在停用其工作階段之後,執行驗證以啟用授權或登入。
此文件中的指示和螢幕截圖適用於 AD FS 3.0 版,但 AD FS 2.0 中有提供相同的選單。
在建立使用 Microsoft AD FS 進行單一登入的目錄之前,必須先符合下列需求︰
若要為您的網域設定單一登入,您需要執行下列步驟:
若要深入了解每個步驟的詳細資訊,請連上此超連結以取得資訊。
若要設定 SAML 與 AD FS 的整合,請執行下列步驟:
在您針對指定的網域對 Adobe Admin Console 中的值進行任何變更之後,所有後續步驟都必須再重複執行一次。
在 AD FS 管理應用程式中,瀏覽至「AD FS -> 信任關係 -> 信賴憑證者信任」,然後按一下「新增信賴憑證者信任」以啟動精靈。
為您的信賴憑證者信任命名,並視需要輸入其他任何註解。
按一下「下一步」。
判斷是否需要多重要素驗證,並選取相關選項。
按一下「下一步」。
判斷是否所有使用者都可以透過 AD FS 登入。
按一下「下一步」。
檢閱您的設定。
按一下「下一步」。
已新增您的信賴憑證者信任。
維持勾選此選項,以開啟「編輯宣告規則」對話框來快速存取後續步驟。
按一下「關閉」。
如果「編輯宣告規則」精靈未自動開啟,您可以從 AD FS 管理應用程式的「AD FS -> 信任關係 -> 信賴憑證者信任」底下存取此精靈,存取方式為選取您的 Adobe SSO 信賴憑證者信任,然後按一下右側的「編輯宣告規則...」。
按一下「新增規則」,並使用範本「以宣告方式傳送 LDAP 屬性」為您的屬性存放區設定規則,將 LDAP 屬性電子郵件地址對應至傳出宣告類型電子郵件地址。
如上面的螢幕擷圖所示,我們建議使用電子郵件地址當做主要識別碼。您也可以使用在聲明中以 LDAP 屬性傳送的「使用者主體名稱」(UPN) 欄位當做電子郵件地址。但是,我們不建議為此設定宣告規則。
通常 UPN 不會對應到電子郵件地址,而且在許多情況下會有所不同。這很可能會導致 Creative Cloud 中的通知和資產共用發生問題。
按一下「完成」即可完成轉換宣告規則的新增。
再次使用「編輯宣告規則」精靈,根據範本「傳輸傳入宣告」新增規則,以便將包含傳出宣告類型名稱識別碼和傳出名稱識別碼格式的傳入宣告類型電子郵件地址轉換成電子郵件,並傳遞所有宣告值。
按一下「完成」即可完成轉換宣告規則的新增。
使用「編輯宣告規則」精靈,根據包含下列規則的範本「傳送使用自訂規則的宣告」新增一項規則:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);
按一下「完成」即可完成自訂規則精靈。
在「編輯宣告規則」對話框上按一下「確定」,即可完成將這三條規則新增至您的信賴憑證者信任。
宣告規則的順序很重要;它們必須依照這裡的順序顯示。
為避免時鐘差異很小的系統之間的連線問題,請將預設時間誤差設定為 2 分鐘。如需時間誤差的詳細資訊,請參閱錯誤疑難排解文件。
在您的伺服器上開啟 AD FS 管理應用程式,並在「AD FS > 服務 > 端點」資料夾中選取「聯盟中繼資料」。
使用瀏覽器瀏覽至針對同盟中繼資料所提供的 URL,並下載檔案。例如,https://<您的 AD FS 主機名稱>/FederationMetadata/2007-06/FederationMetadata.xml。
若要更新最新的憑證,請返回 Adobe Admin Console 視窗。將從 AD FS 下載的中繼資料檔案上傳到「新增 SAML 設定檔」畫面,然後按一下「完成」。
當您設定目錄後,請執行以下操作,好讓貴組織的使用者能夠使用 Adobe 應用程式和服務:
若要深入了解其他身分相關的工具和技術,請參閱「設定身分」。