概觀

Adobe Admin Console 可讓系統管理員設定用於透過單一登入 (SSO) 適用之 Federated ID 進行登入作業的網域和目錄。使用 DNS Token 展示網域擁有權並將其連結至 Federated ID 目錄之後,只要相關 Adobe Admin Console 上已建立對應帳戶,則在已宣告網域中具有電子郵件地址的使用者即可透過身分提供者系統 (IdP) 登入 Creative Cloud。此流程會以在公司網路內執行的軟體服務的形式佈建,並且可從網際網路存取,或者以協力廠商代管的雲端服務的形式佈建,可利用 SAML 通訊協定透過安全通訊來驗證使用者的登入詳細資料。

Microsoft Azure 便是一種 IdP,可為提供安全身分管理功能的雲端服務。

Azure AD 使用 userPrincipalName 屬性,或允許您 (在自訂安裝中) 指定要在內部使用的屬性,做為 Azure AD 中的使用者主體名稱。如果 userPrincipalName 屬性的值無法與 Azure AD 中已驗證的網域相對應,則 Azure AD 會使用預設的 .onmicrosoft.com 值取代。

當使用者針對應用程式進行身分驗證時,Azure AD 會向應用程式發出一個 SAML 權杖,其中包含關於使用者的唯一識別資訊 (或宣告)。根據預設,此資訊包括使用者的使用者名稱、電子郵件地址、名字和姓氏。您可以查看或編輯位於「屬性」索引標籤下,發送到應用程式中 SAML Token 的宣告,並發佈使用者名稱的屬性。

先決條件

在使用 Microsoft Azure 做為 IdP 設定單一登入的網域前,必須符合下列要求:

  • Adobe Admin Console 上的現有目錄具有核准網域。Adobe Admin Console 中的目錄狀態必須為「需要設定」,或者可以是先前已完成設定的現有目錄。
  • 可存取 Microsoft Azure 控制面板,且您能以系統管理員身分登入並建立新的企業應用程式。

在適用於 Adobe 的 Azure 中建立 SSO 應用程式

若要在 Azure 中設定 SSO 驗證,請執行以下步驟:

  1. 導覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後按一下「新增應用程式」

  2. 「從圖庫新增」下的搜尋欄位中輸入「Adobe Creative Cloud」

  3. 選取「Adobe Creative Cloud」,為連接器命名,然後按一下「新增」並等候程序完成。

    add_application
  4. 導覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後選取您的新 Adobe Creative Cloud 連接器應用程式。

  5. 使用網頁瀏覽器的獨立標籤登入 Adobe Admin Console,並存取您要進行設定的網域頁面。依序按一下網域名稱和「設定 SSO」按鈕,即可在「設定 -> 身分」底下找到此頁面。

  6. 在 Azure 入口網站中按一下「單一登入」,然後選取「SAML 單一登入」做為此連接器應用程式的模式

  7. 按一下勾選方塊即可檢視和編輯所有其他使用者屬性

  8. 編輯下列 SAML Token 屬性,將每個項目的命名空間留空:

    名稱 命名空間
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    註解:

    如上方螢幕擷取畫面中所示,我們建議使用電子郵件地址做為主要識別碼。不建議將在聲明中以 LDAP 屬性傳送的使用者主體名稱 (UPN) 欄位做為電子郵件地址使用。雖然可將 UPN 做為 LDAP 屬性使用,但此方式並非官方支援的設定,因此您須自負風險。

    通常 UPN 不會對應到電子郵件地址,因此在許多方面都不相同。而這極有可能導致在 Creative Cloud 內通知或共用資產出現問題。

  9. 在含有您 Azure SSO 連接器名稱的頁面中,按一下最下方的連結,頁面左側隨即彈出適用於 Adobe 單一登入的 Microsoft 文件。

    quick_reference
  10. 從 Azure 入口網站複製 Azure AD SAML 實體 ID,然後到您在 Adobe Admin Console 的網域,在身分設定頁面的「IdP 簽發者」欄位中貼上此實體 ID。

  11. 從 Azure 入口網站複製 Azure AD 單一登入服務 URL,然後到您在 Adobe Admin Console 的網域,在身分設定頁面的「IdP 登入 URL」欄位中貼上此 URL。

  12. 按一下「X」關閉 Azure 入口網站的文件頁面,然後返回 Adobe SSO 連接器的「企業應用程式」設定視窗。

  13. 在「SAML 簽署憑證」區段中,按一下右側的「憑證 (base 64)」,以下載憑證檔案。

  14. 將上個步驟取得的憑證上傳到您的 Adobe Admin Console 做為 IdP 憑證,然後按一下「完成設定」即可儲存這些詳細資料。

    01_-_configure_saml
  15. 按一下「儲存」

  16. 勾選方塊以表示您瞭解需要完成身分提供者的設定。此設定會在 Azure 入口網站的後續步驟中進行。

  17. 按一下「下載中繼資料」按鈕,以從 Adobe Admin Console 儲存此目錄的設定。

    您稍後要使用此檔案取得有關設定的特定屬性。

    configure_directoryanddownloadmetadata
  18. 按一下「完成」以啟用目錄。

  19. 在文字編輯器或網頁瀏覽器中開啟中繼資料,複製 EntityID 和 AssertionConsumerService 的值,然後分別貼到 Azure 入口網站的「識別碼」和「回覆 URL」欄位中,如下方螢幕擷取畫面範例所示。

    metadata_example
    • 在 Azure 設定頁面的「識別碼」欄位中,填入取自中繼資料內 EntityID 的 URL。
      此位址格式如下: https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • 在 Azure 設定頁面的「回覆 URL」欄位中,填入 AssertionConsumerService 的 URL。
      此位址格式如下: https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  20. 使用頁面頂端的「儲存」連結,以在 Azure 入口網站儲存這些設定。

透過 Azure 指派使用者

若要透過 Microsoft Azure 指派使用者,允許他們使用 Adobe Creative Cloud 連接器登入,請執行以下步驟。請注意,您仍必須透過 Adobe Admin Console 指派授權。

  1. 導覽至「Azure Active Directory -> 企業應用程式 -> 所有應用程式」,然後選取您的 Adobe Creative Cloud 連接器應用程式。

  2. 按一下「使用者與群組」

  3. 按一下「新增使用者」,選取要指派到此連接器的使用者,以允許他們使用單一登入進行登入。

  4. 按一下「使用者」「群組」,然後選取一或多個使用者或群組,允許其登入 Creative Cloud,然後依序按一下「選取」「指派」

測試使用者存取

若要測試使用者存取權限,請執行下列步驟:

  1. 此外,請務必在 Adobe Admin Console 中以 Federated ID 身分來新增使用者,然後將他們指派至群組以設定權限。

  2. 此時,請在 Adobe 登入表單中輸入您的電子郵件地址/UPN,再按 Tab 鍵,您就能與 Azure AD 重新同盟:

    • 在網頁瀏覽器 (www.adobe.com) 中,按一下頁面右上角的「登入」
    • 使用 Creative Cloud 桌面應用程式
    • 從 Adobe Creative Cloud 應用程式 (如 Photoshop 或 Illustrator) 的選單「說明 > 登入...」

如果您需要 Azure 單一登入設定協助,請導覽至 Adobe Admin Console「支援」區段並開啟問題單,或按一下 Adobe 網站上的「支援」

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策