Panoramica

1.setup-identity

La Adobe Admin Console consente a un amministratore di sistema di configurare i domini utilizzati per l’accesso tramite Federated ID per Single Sign-On (SSO). Una volta verificato il dominio, la directory contenente il dominio è configurata per consentire agli utenti di accedere a Creative Cloud. Gli utenti possono accedere usando gli indirizzi e-mail all’interno del dominio tramite un provider di identità (IdP). Il processo viene fornito come servizio software che viene eseguito all’interno della rete aziendale ed è accessibile tramite Internet o un servizio cloud ospitato da terzi che consente la verifica dei dettagli di accesso utente tramite la comunicazione protetta mediante il protocollo SAML.

Esempi di IdP sono Microsoft Active Directory Federation Services o AD FS. Per utilizzare AD FS, è necessario configurare un server accessibile dalle workstation su cui gli utenti accederanno e con accesso al servizio di directory all’interno della rete aziendale. Questo documento mira a descrivere il processo necessario per configurare la Adobe Admin Console e un server Microsoft AD FS per poter accedere alle applicazioni Adobe Creative Cloud e ai siti web associati per Single Sign-On.

Non occorre che IdP sia accessibile dall’esterno della rete aziendale, ma se non lo è, solo le workstation all’interno della rete (o connesse tramite una VPN) saranno in grado di eseguire l’autenticazione per attivare la licenza o eseguire l’accesso dopo la disattivazione della sessione.


Nota:

Le istruzioni e le schermate di questo documento sono per AD FS versione 3.0, ma gli stessi menu sono presenti in AD FS 2.0.

Prerequisiti

Prima della creazione di una directory per Single Sign-On tramite Microsoft AD FS, devono essere soddisfatti i seguenti requisiti:

  • Un Microsoft Windows Server installato con Microsoft AD FS e gli ultimi aggiornamenti del sistema operativo. Se si desidera che gli utenti utilizzino i prodotti Adobe con macOS, assicurarsi che il server supporti TLS versione 1.2 e Forward Secrecy.
  • Il server deve essere accessibile dalle workstation degli utenti (ad esempio, tramite HTTPS).
  • Certificato di sicurezza ottenuto dal server AD FS.
  • Tutti gli account Active Directory da associare all’account Creative Cloud for enterprise devono avere un indirizzo e-mail presente all’interno di Active Directory.

Creazione di una directory in Adobe Admin Console

Per configurare Single Sign-On per il tuo dominio, procedi come segue:

  1. Accedi ad Admin Console e inizia con la creazione di una directory Federated ID, selezionando Altri provider SAML come provider di identità. Copia i valori per ACS URL e ID entità dalla schermata Aggiungi profilo SAML.
  2. Configura AD FS specificando URL ACS e ID entità e scarica il file di metadati dell’IdP.
  3. Torna ad Adobe Admin Console, carica il file di metadati dell’IdP nella finestra Aggiungi profilo SAML e fai clic su Fine.

Configura il server AD FS

Per configurare l’integrazione SAML con AD FS, esegui le operazioni indicate di seguito:

Attenzione:

Tutti i passaggi successivi devono essere ripetuti dopo qualsiasi modifica ai valori nella Adobe Admin Console per un dato dominio.

  1. Naviga all’interno dell’applicazione di gestione AD FS in AD FS -> Relazioni di trust -> Trust di terze parti e fai clic sull’opzione di aggiunta di una attendibilità componente per avviare la procedura guidata.

  2. Fai clic su Start e seleziona Importa dati di un componente da un file, quindi accedi alla posizione in cui sono stati copiati i metadati da Adobe Admin Console.

    08_-_import_metadata
  3. Assegna un nome all’affidabilità componente e inserisci eventuali note aggiuntive come richiesto.

    Fai clic su Avanti.

    09_-_name_relyingpartytrust
  4. Determina se è richiesta l’autenticazione a più fattori e seleziona l’opzione pertinente.

    Fai clic su Avanti.

  5. Determina se tutti gli utenti possono accedere tramite AD FS.

    Fai clic su Avanti.

  6. Controlla le tue impostazioni.

    Fai clic su Avanti.

  7. L’attendibilità componente è stata aggiunta.

    Lascia selezionata l’opzione per aprire la finestra di dialogo Modifica regole attestazione per accedere rapidamente ai passaggi successivi.

    Fai clic su Chiudi.

  8. Se la procedura guidata Modifica regole attestazione non è stata aperta automaticamente, è possibile accedervi dall’applicazione di gestione AD FS in AD FS -> Relazioni di trust -> Attendibilità componente, selezionando l’attendibilità componente Adobe SSO e facendo clic su Modifica regole attestazione... sul lato destro.

  9. Fai clic su Aggiungi regola e configura una regola utilizzando il modello Inviare attributi LDAP come attestazioni per l’archivio attributi, mappando l’attributo LDAP Indirizzi e-mail al tipo attestazione in uscita Indirizzo e-mail.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Nota:

    Come mostrato nella schermata qui sopra, consigliamo di utilizzare l’indirizzo e-mail come identificatore principale. Puoi anche utilizzare il campo Nome principale utente (UPN) come attributo LDAP inviato in un’asserzione come indirizzo e-mail. Tuttavia, non consigliamo questa procedura per configurare la regola di attestazione.

    Spesso l’UPN non viene associato a un indirizzo e-mail e in molti casi sarà diverso. Questo molto probabilmente causerà problemi per le notifiche e la condivisione di risorse all’interno di Creative Cloud.

  10. Fai clic su Fine per completare l’aggiunta della regola di attestazione trasformazione.

  11. Anche in questo caso, se utilizzi la procedura guidata Modifica regole attestazione, aggiungi una regola utilizzando il modello Trasformare un’attestazione in ingresso per convertire le attestazioni in entrata del tipo Indirizzo e-mail con Tipo attestazione in uscita ID nome e formato ID nome in uscita E-mail, passando da un valore di attestazione all’altro.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Fai clic su Fine per completare l’aggiunta della regola di attestazione trasformazione.

  13. Tramite la procedura guidata Modifica regole attestazione, aggiungi una regola utilizzando il modello Inviare attestazioni mediante una regola personalizzata che contiene la regola seguente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Fai clic su Fine per completare la procedura guidata della regola personalizzata.

  15. Fai clic su OK nella finestra di dialogo Modifica regole attestazione per completare l’aggiunta di queste tre regole all’attendibilità componente.

    16_-_edit_claim_rules

    Nota:

    L’ordine delle regole di attestazione è importante; esse devono essere visualizzate come mostrato qui.

Per evitare problemi di connettività tra sistemi in cui l'orologio differisce di un piccolo valore, imposta lo sfasamento del tempo predefinito su 2 minuti. Per ulteriori informazioni sullo sfasamento del tempo, consulta il documento risoluzione degli errori.

Scarica il file di metadati AD FS

  1. Apri l’applicazione Gestione AD FS sul server e all’interno della cartella AD FS > Servizio > Endpoint seleziona i metadati di Federation.

    Posizione dei metadati
  2. Utilizza un browser per accedere all’URL fornito con i metadati di Federation e scarica il file. Ad esempio, https://<il tuo nome host AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Nota:

    Accetta eventuali avvisi, se richiesto.

Carica il file di metadati IdP su Adobe Admin Console

Per aggiornare il certificato più recente, torna ad Adobe Admin Console. Carica il file di metadati scaricato da AD FS nella schermata Aggiungi profilo SAML e fai clic su Fine.

Prova di Single Sign-on

Crea un utente di prova con Active Directory, crea una voce nella Admin Console per questo utente e assegnagli una licenza, quindi prova a eseguire l’accesso ad Adobe.com per confermare che il software relativo sia elencato per il download.

È inoltre possibile eseguire il test effettuando l’accesso a Creative Cloud Desktop e da un’applicazione come Photoshop o Illustrator.

In caso di problemi, consulta il nostro documento di risoluzione dei problemi. Se è necessaria ulteriore assistenza per la configurazione Single Sign-On, accedi a Supporto nella Adobe Admin console, quindi apri un ticket con l’Assistenza clienti.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online