New feature alert

本文說明適用於 Microsoft Azure AD 的舊版 SAML 型設定。

新設定建議使用  Azure AD Connector,此工具可在數分鐘內完成設定,並縮短網域宣告、SSO 設定和使用者同步等程序。


概觀

Adobe Admin Console 可讓系統管理員設定用於透過單一登入 (SSO) 適用之 Federated ID 進行登入作業的網域。驗證網域後,包含網域的目錄會設為允許使用者登入 Creative Cloud。使用者可以透過身分提供者 (IdP),使用該網域內的電子郵件地址登入。此流程會以在公司網路內執行的軟體服務的形式佈建,並且可從網際網路存取,或者以協力廠商代管的雲端服務的形式佈建,可利用 SAML 通訊協定透過安全通訊來驗證使用者的登入詳細資料。

Microsoft Azure 便是一種 IdP,可為提供安全身分管理功能的雲端服務。

Azure AD 使用 userPrincipalName 屬性,或允許您 (在自訂安裝中) 指定要在內部使用的屬性,做為 Azure AD 中的使用者主體名稱。如果 userPrincipalName 屬性的值無法與 Azure AD 中已驗證的網域相對應,則 Azure AD 會使用預設的 .onmicrosoft.com 值取代。

當使用者針對應用程式進行身分驗證時,Azure AD 會向應用程式發出一個 SAML 權杖,其中包含關於使用者的唯一識別資訊 (或宣告)。根據預設,此資訊包括使用者的使用者名稱、電子郵件地址、名字和姓氏。您可以查看或編輯位於「屬性」索引標籤下,發送到應用程式中 SAML Token 的宣告,並發佈使用者名稱的屬性。

使用 Azure 設定單一登入

若要為針對網域設定單一登入,請執行以下操作:

  1. 登入 Admin Console,先建立一個 Federated ID 目錄,並選取「其他 SAML 提供者」作為身分提供者。從「新增 SAML 描述檔」畫面複製「ACS URL」「實體 ID」的值。
  2. 設定 Azure,先指定「ACS URL」「實體 ID」,再下載 IdP 中繼資料檔案。
  3. 返回 Adobe Admin Console,並在「新增 SAML 描述檔」畫面中上傳 IdP 中繼資料檔案,然後按一下「完成」

在適用於 Adobe 的 Azure 中建立 SSO 應用程式

確認可存取 Microsoft Azure 控制面板,且您能以系統管理員身分登入並建立新的企業應用程式。

若要在 Azure 中設定 SSO 驗證,請執行以下步驟:

  1. 導覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後按一下「新增應用程式」

  2. 「從圖庫新增」下的搜尋欄位中輸入「Adobe Creative Cloud」

  3. 選取「Adobe Creative Cloud」,為連接器重新命名,然後按一下「新增」並等候程序完成。

    add_application
  4. 瀏覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後選取您的新 Adobe Creative Cloud 連接器應用程式,以移至「概觀」頁面。

  5. 選取「單一登入 > SAML」

    SAML
  6. 「基本 SAML 設定」中,輸入從 Adobe Admin Console 複製的實體 ID 和 ACS URL。接著按一下「儲存」

    基本 SAML 設定
  7. 若要設定 SAML Token 屬性格式,請按一下「編輯」按鈕並開啟「使用者屬性」對話方塊。接著,按一下「新增宣告」,以編輯「使用者屬性與宣告」頁面上的屬性,並將「命名空間」項目保留空白。

    名稱 命名空間
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. 當所有屬性的設定與下列值相符時,關閉「使用者屬性與宣告」頁面。

    使用者屬性

    註解:

    • 若要透過電子郵件驗證使用者,請將 UserIdentifier 設為 user.mail。若要透過 UserPrincipalName 驗證使用者,請將 UserIdentifier 設為 user.userprincipalname
    • 使用者必須具備有效的 Office 365 ExO 授權,才能在 SAML 回應中加入電子郵件宣告值。

  9. 「SAML 簽署憑證」區段中,下載「憑證 (Base64)」檔案,並將該檔案儲存至您的電腦。

    SAML 簽署憑證
  10. 接著,依您的需求從「設定<名稱>」區段複製適當的 URL。

    設定
  11. 按一下「X」關閉 Azure 入口網站的文件頁面,然後返回 Adobe SSO 連接器的「企業應用程式」設定視窗。

  12. 在「SAML 簽署憑證」區段中,按一下右側的「憑證 (base 64)」並下載憑證檔案。

將 IdP 中繼資料檔案上傳至 Adobe Admin Console

若要將最新版憑證更新至 Adobe Admin Console,請返回 Adobe Admin Console。將從 Azure 下載的憑證上傳至「新增 SAML 描述檔」畫面,然後按一下「完成」

透過 Azure 指派使用者

若要透過 Microsoft Azure 指派使用者,允許他們使用 Adobe Creative Cloud 連接器登入,請執行以下步驟。您也必須透過 Adobe Admin Console 指派授權。

  1. 導覽至「Azure Active Directory -> 企業應用程式 -> 所有應用程式」,然後選取您的 Adobe Creative Cloud 連接器應用程式。

  2. 按一下「使用者與群組」

  3. 按一下「新增使用者」,選取要指派到此連接器的使用者,以允許他們使用單一登入進行登入。

  4. 按一下「使用者」「群組」,然後選取一或多個使用者或群組,允許其登入 Creative Cloud,然後依序按一下「選取」「指派」

測試使用者存取

登入 Adobe 網站或 Creative Cloud 桌面應用程式,針對您已在專屬身分管理系統及 Adobe Admin Console 中定義的使用者,檢查其使用者存取權限。

如果發生問題,請參閱我們的疑難排解文件

若您需要單一登入設定的協助,請導覽至「Adobe Admin Console > 支援」聯絡我們。