Panoramica

La console di amministrazione Adobe consente a un amministratore di sistema di configurare i domini utilizzati per l’accesso tramite Federated ID per Single Sign-On (SSO). Una volta che la proprietà di un dominio è stata dimostrata tramite l’utilizzo di un token DNS, il dominio può essere configurato per consentire agli utenti di accedere a Creative Cloud. Gli utenti possono accedere usando gli indirizzi e-mail all’interno del dominio tramite un provider di identità (IdP). Il processo viene fornito come servizio software che viene eseguito all’interno della rete aziendale ed è accessibile tramite Internet o un servizio cloud ospitato da terzi che consente la verifica dei dettagli di accesso utente tramite la comunicazione protetta mediante il protocollo SAML.

Esempi di IdP sono Microsoft Active Directory Federation Services o AD FS. Per utilizzare AD FS, è necessario configurare un server accessibile dalle workstation su cui gli utenti accederanno e con accesso al servizio di directory all’interno della rete aziendale. Questo documento mira a descrivere il processo necessario per configurare la console di amministrazione di Adobe e un server Microsoft AD FS per poter accedere alle applicazioni Adobe Creative Cloud e ai siti web associati per Single Sign-On.

Non occorre che IdP sia accessibile dall’esterno della rete aziendale, ma se non lo è, solo le workstation all’interno della rete (o connesse tramite una VPN) saranno in grado di eseguire l’autenticazione per attivare la licenza o eseguire l’accesso dopo la disattivazione della sessione.

Prerequisiti

Prima della configurazione di un dominio per Single Sign-On tramite Microsoft AD FS, devono essere soddisfatti i seguenti requisiti:

  • Una directory approvata sul set della console di amministrazione di Adobe per il Federated ID in attesa di configurazione o precedentemente configurato per un altro IdP
  • Il dominio pertinente è stato richiesto nella directory federata
  • Un Microsoft Windows Server installato con Microsoft AD FS e gli ultimi aggiornamenti del sistema operativo.
  • Il server deve essere accessibile dalle workstation degli utenti (ad esempio, tramite HTTPS)
  • Certificato di sicurezza ottenuto dal server AD FS
  • Tutti gli account Active Directory da associare all'account Creative Cloud for Enterprise devono avere un indirizzo e-mail indicato all'interno di Active Directory.

Il processo di configurazione di una directory e la richiesta di un dominio al suo interno nella tua console di amministrazione sono entrambi descritti nella pagina di configurazione dell’identità. Una volta aggiunta, una directory può essere configurata per il Single Sign-On prima che venga richiesto un dominio, ma per poter creare utenti Federated ID è necessario richiedere il rispettivo nome di dominio.

Il nome della directory è arbitrario, ma il dominio collegato alla directory deve corrispondere completamente alla parte dell’indirizzo e-mail dopo il simbolo "@". Se desideri utilizzare anche sottodomini, essi devono essere richiesti separatamente.

Nota:

Le istruzioni e le schermate di questo documento sono per AD FS versione 3.0, ma gli stessi menu sono presenti in AD FS 2.0.

Download del certificato di firma token

  1. Apri l’applicazione Gestione ADFS sul server e all’interno della cartella ADFS -> Servizio -> Certificati, seleziona il certificato di firma token. Per aprire la finestra di proprietà del certificato, fai clic su Visualizza certificato.

    token_signing_certificate
  2. Nella scheda Dettagli , fai clic su Copia in file e utilizza la procedura guidata per salvare il certificato come Base-64 encoded X. 509 (.CER). Questo formato è equivalente a un certificato di formato PEM.

    02_-_certificateexportwizard

Configurazione della directory sulla console di amministrazione di Adobe

Per configurare il Single Sign-On per la tua directory, inserisci le informazioni richieste nella console di amministrazione di Adobe e scarica i metadati per configurare il tuo server Microsoft AD FS.

  1. Torna alla console di amministrazione e accedi a Impostazioni > Identità.

  2. Accedi alla scheda Directory.

  3. Fai clic su Configura accanto alla directory che desideri configurare.

    03_-_configure_directory
  4. Carica il certificato che hai salvato dal tuo server Microsoft AD FS.

  5. Seleziona HTTP - Redirect come binding IdP.

  6. Seleziona E-mail come impostazione di accesso utente.

  7. Sul server AD FS, nell’applicazione Gestione AD FS, seleziona la voce nella parte superiore dell’albero, AD FS e fai clic sull’opzione di modifica delle proprietà del servizio federazione. Nella scheda Generale della finestra a comparsa, copia l’identificatore del servizio federazione.

    Ad esempio, http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Incolla l’identificatore del servizio federativo che hai appena copiato nella console di amministrazione Adobe nel campo Emittente IDP.

    Nota:

    Il campo Emittente IdP viene utilizzato per identificare il server e non è un URL a cui gli utenti accedono durante la connessione al server. Per motivi di sicurezza, il tuo server AD FS dovrebbe essere accessibile solo tramite HTTPS, non tramite HTTP non sicuro.

  9. Ottieni il nome host del tuo server IdP (spesso corrisponde al nome del servizio federativo), anteponi il protocollo https:// e aggiungi il percorso /adfs/ls per creare l’URL di accesso IdP.

    Ad esempio, https://adfs.example/com/adfs/ls/

  10. Inserisci l’URL di accesso IdP nella console di amministrazione di Adobe.

  11. Fai clic su Salva.

    admin_console_-_adfs-configuredirectory
  12. Per salvare il file di metadati SAML XML sul computer, fai clic su Scarica metadati. Questo file verrà utilizzato per configurare una voce di attendibilità componente sul server AD FS nella parte rimanente di questo documento.

  13. Spunta la casella per mostrare che comprendi la necessità di completare la configurazione con il tuo provider di identità. Questa operazione verrà eseguita nei prossimi passaggi nel server AD FS.

    configure_directoryanddownloadmetadata
  14. Copia il file di metadati XML sul tuo server AD FS per poterlo importare nell’applicazione di gestione di AD FS.

  15. Fai clic su Completa per terminare la configurazione della directory.

Aggiunta di uno o più domini alla directory

  1. Nella console di amministrazione di Adobe, accedi a Impostazioni > Identità.

  2. Nella scheda Domini, fai clic su Aggiungi domini.

  3. Nella schermata Immetti domini inserisci un elenco di massimo 15 domini e fai clic su Aggiungi domini.

  4. Nella schermata Aggiungi domini, verifica l’elenco dei domini e fai clic su Aggiungi domini.

  5. I tuoi domini vengono ora aggiunti alla console di amministrazione. Tuttavia, devi ancora dimostrare la proprietà di questi domini.

  6. Nella pagina Domini, fai clic su Convalida dominio per qualsiasi dominio che richiede la convalida.

  7. Copia il token DNS visualizzato quando fai clic sull’opzione di copia del valore del record e, nella tua configurazione DNS, crea un record TXT contenente questo token nelle impostazioni per ciascun dominio aggiunto per convalidarlo.

    Questo token sarà lo stesso per tutti i domini aggiunti all’interno della console di amministrazione di Adobe, quindi può essere riutilizzato per altri domini aggiunti in una fase successiva.

    Il token non deve rimanere sul posto dopo che un dominio è stato convalidato.

    validate_domain_ownership
  8. È possibile verificare se un record TXT si è propagato ad altri server DNS online utilizzando un sito web come MXToolbox o dalla riga di comando utilizzando il comando nslookup su un sistema Windows, Linux o Mac OS come segue:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Nella schermata di convalida proprietà dominio, fai clic sull’opzione di convalida.

    Se il token DNS viene rilevato correttamente come record TXT rispetto al dominio, verrà convalidato e potrai iniziare a usarlo subito. I domini che non si convalidano inizialmente vengono controllati in background periodicamente e verranno convalidati una volta che il token DNS è stato correttamente convalidato.

Configura il server AD FS

Per configurare l’integrazione SAML con AD FS, esegui le operazioni indicate di seguito:

Attenzione:

Tutti i passaggi successivi devono essere ripetuti dopo qualsiasi modifica ai valori nella Console di amministrazione di Adobe per un dato dominio.

  1. Naviga all’interno dell’applicazione di gestione ADFS in AD FS -> Relazioni di trust -> Trust di terze parti e fai clic sull’opzione di aggiunta di una attendibilità componente per avviare la procedura guidata.

  2. Fai clic su Start e seleziona Importa dati di un componente da un file, quindi accedi alla posizione in cui sono stati copiati i metadati dalla console di amministrazione Adobe.

    08_-_import_metadata
  3. Assegna un nome all’affidabilità componente e inserisci eventuali note aggiuntive come richiesto.

    Fai clic su Avanti.

    09_-_name_relyingpartytrust
  4. Determina se è richiesta l’autenticazione a più fattori e seleziona l’opzione pertinente.

    Fai clic su Avanti.

  5. Determina se tutti gli utenti avranno la possibilità di accedere tramite ADFS o se verrà loro negato l’accesso.

    Fai clic su Avanti.

  6. Controlla le tue impostazioni.

    Fai clic su Avanti.

  7. L’attendibilità componente è stata aggiunta.

    Lascia selezionata l’opzione per aprire la finestra di dialogo Modifica regole attestazione per accedere rapidamente ai passaggi successivi.

    Fai clic su Chiudi.

  8. Se la procedura guidata Modifica regole attestazione non è stata aperta automaticamente, è possibile accedervi dall’applicazione di gestione AD FS in AD FS -> Relazioni di trust -> Attendibilità componente, selezionando l’attendibilità componente Adobe SSO e facendo clic su Modifica regole attestazione... sul lato destro.

  9. Fai clic su Aggiungi regola e configura una regola utilizzando il modello Inviare attributi LDAP come attestazioni per l’archivio attributi, mappando l’attributo LDAP Indirizzi e-mail al tipo attestazione in uscita Indirizzo e-mail.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Nota:

    Come mostrato nella schermata qui sopra, consigliamo di utilizzare l’indirizzo e-mail come identificatore principale. L’utilizzo del campo Nome principale utente (UPN) come attributo LDAP inviato in un’asserzione come indirizzo e-mail non è consigliato. Sebbene sia possibile utilizzare UPN come attributo LDAP, questa non è una configurazione ufficialmente supportata e comporta dei rischi.

    Spesso l’UPN non viene associato a un indirizzo e-mail e in molti casi sarà diverso. Questo molto probabilmente causerà problemi per le notifiche e la condivisione di risorse all’interno di Creative Cloud.

  10. Fai clic su Fine per completare l’aggiunta della regola di attestazione trasformazione.

  11. Anche in questo caso, se utilizzi la procedura guidata Modifica regole attestazione, aggiungi una regola utilizzando il modello Trasformare un’attestazione in ingresso per convertire le attestazioni in entrata del tipo Indirizzo e-mail con Tipo attestazione in uscita ID nome e formato ID nome in uscita E-mail, passando da un valore di attestazione all’altro.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Fai clic su Fine per completare l’aggiunta della regola di attestazione trasformazione.

  13. Tramite la procedura guidata Modifica regole attestazione, aggiungi una regola utilizzando il modello Inviare attestazioni mediante una regola personalizzata che contiene la regola seguente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Fai clic su Fine per completare la procedura guidata della regola personalizzata.

  15. Fai clic su OK nella finestra di dialogo Modifica regole attestazione per completare l’aggiunta di queste tre regole all’attendibilità componente.

    16_-_edit_claim_rules

    Nota:

    L’ordine delle regole di attestazione è importante; esse dovrebbero venire visualizzate come mostrato qui.

  16. Assicurati che venga selezionata la nuova attendibilità componente e fai clic su Proprietà sul lato destro della finestra. Seleziona la scheda Avanzate e assicurati che l’algoritmo hash sicuro sia impostato su SHA-1.

    17_-_relying_partytrustproperties

Prova di Single Sign-on

Crea un utente di prova con Active Directory, crea una voce nella console di amministrazione per questo utente e assegnagli una licenza, quindi prova a eseguire l’accesso ad Adobe.com per confermare che il software relativo sia elencato per il download.

È inoltre possibile eseguire il test effettuando l’accesso a Creative Cloud Desktop e da un’applicazione come Photoshop o Illustrator.

In caso di problemi, consulta il nostro documento di risoluzione dei problemi.

Per evitare problemi di connettività tra sistemi in cui l'orologio differisce di un piccolo valore, imposta lo sfasamento del tempo predefinito su 2 minuti. Per ulteriori informazioni sullo sfasamento del tempo, consulta il documento risoluzione degli errori.

Se è necessaria ulteriore assistenza per la configurazione Single Sign-On, accedi a Supporto nella Console di amministrazione Adobe, quindi apri un ticket.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online