Guida utente Annulla

Configurare Microsoft AD FS per l’utilizzo con Adobe SSO

Panoramica

Il documento evidenzia il processo per configurare Adobe Admin Console con un server AD FS Microsoft.

Il provider di identità non deve necessariamente essere accessibile al di fuori della rete aziendale, ma se non lo è, solo i computer all'interno della rete (o connessi tramite VPN) potranno autenticarsi per attivare una licenza o accedere dopo aver disattivato la sessione.

Configurazione SSO con Microsoft AD FS (Guarda: 17 min)
Nota:

Le istruzioni e le schermate in questo documento sono per AD FS versione 3.0, ma gli stessi menu sono presenti in AD FS 2.0.

Prerequisiti

Prima di creare una directory per l'accesso unico utilizzando Microsoft AD FS, devono essere soddisfatti i seguenti requisiti:

  • Un Microsoft Windows Server installato con Microsoft AD FS e gli ultimi aggiornamenti del sistema operativo. Se desideri che gli utenti utilizzino i prodotti Adobe con macOS, assicurati che il tuo server supporti TLS versione 1.2 e il forward secrecy. Per ulteriori informazioni su AD FS, consulta il documento Microsoft relativo a identità e accesso .
  • Il server deve essere accessibile dalle workstation degli utenti (ad esempio, tramite HTTPS).
  • Il certificato di protezione è stato ottenuto dal server AD FS.
  • Tutti gli account Active Directory da associare all'account Creative Cloud for enterprise devono avere un indirizzo e-mail elencato in Active Directory.

Creazione di una directory in Adobe Admin Console

Per configurare l'accesso unico per il dominio, devi procedere come segue: 

  1. Accedi ad Admin Console e inizia con la creazione di una directory di Federated ID, selezionando Altri fornitori SAML come provider di identità. Scarica il file dei metadati di Adobe dalla procedura guidata Crea directory.
  2. Configura AD FS specificando l'ACS URL e l'Entity ID e scarica il file dei metadati IdP.
  3. Torna ad Adobe Admin Console e carica il file di metadati dell'IdP nella procedura guidata Crea directory. Quindi, seleziona Avanti, imposta Creazione automatica dell'account e seleziona Fine.

Per ulteriori informazioni sui dettagli di ogni passaggio, segui i collegamenti ipertestuali.

Configurare il server AD FS

Per configurare l’integrazione SAML con AD FS, effettua le operazioni riportate di seguito:

Attenzione:

Tutti i passaggi successivi devono essere ripetuti se modifichi i valori per un dato dominio in Adobe Admin Console.

  1. Navigare all'interno dell'applicazione di gestione di ADFS ad AD FS ->Relazioni affidabili ->Attendibilità del componente e fare clic su Aggiungi Attendibilità del componente per avviare la procedura guidata.

  2. Fare clic su Inizio e selezionare l'opzione di importazione dati da un componente attendibile da un file, quindi selezionare la posizione in sono stati copiati i metadati da Adobe Admin Console.

  3. Assegnare un nome al componente attendibile e inserire eventuali note aggiuntive come necessario.

    Fare clic su Avanti.

  4. Determinare se è richiesta l'autenticazione a più fattori e selezionare l'opzione pertinente.

    Fare clic su Avanti.

  5. Determinare se tutti gli utenti possono accedere tramite AD FS.

    Fai clic su Avanti.

  6. Esaminare le impostazioni

    Fare clic su Avanti.

  7. Il componente attendibile è stato aggiunto.

    Lasciare l'opzione selezionata per aprire la finestra di dialogo Modifica regole attestazione per accedere rapidamente ai passaggi successivi.

    Fare clic su Chiudi.

  8. Se la procedura guidata Modifica regole attestazione non si è aperta automaticamente, è possibile accedervi dall'applicazione di gestione di ADFS in AD FS -> Relazioni affidabili ->Attendibilità del componente, selezionando l'attendibilità del componente Adobe SSO e facendo clic su Modifica regole attestazione... sul lato destro.

  9. Fare clic su Aggiungi regola e configura una regola utilizzando il modello Inviare attributi LDAP come attestazioni per l'archivio attributi, mappando l'attributo LDAP E-Mail-Addresses su Outgoing Claim Type E-Mail Address.

    Nota:

    Come mostrato nella schermata precedente, suggeriamo di utilizzare l'indirizzo e-mail come identificativo primario. Puoi anche utilizzare il campo Nome entità principale utente (UPN) come attributo LDAP inviato in un'asserzione come indirizzo e-mail. Tuttavia, sconsigliamo questa procedura per configurare la regola di attestazione.

    Spesso l'UPN non viene mappato a un indirizzo e-mail e in molti casi sarà diverso. Ciò probabilmente causerà problemi per le notifiche e la condivisione delle risorse all'interno di Creative Cloud.

  10. Fare clic su Fine per completare l'aggiunta della regola di attestazione di trasformazione.

  11. Utilizzare nuovamente la procedura guidata Modifica regole attestazione e aggiungi una regola utilizzando il modello. Trasformare un’attestazione in ingresso per convertire le attestazioni in ingresso del tipo Indirizzo e-mail con Tipo di attestazione in uscita uguale a ID nome e Formato ID nome in uscita uguale a E-mail; selezionare quindi Pass-through di tutti i valori attestazione.

  12. Fare clic su Fine per completare l'aggiunta della regola di attestazione di trasformazione.

  13. Utilizzare la procedura guidata Modifica regole attestazione utilizzando il modello Inviare attestazioni mediante una regola personalizzata per aggiungere la regola seguente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Fare clic su Fine per completare la procedura guidata per le regole personalizzate.

  15. Fare clic su OK nella finestra di dialogo Modifica regole attestazione per completare l'aggiunta di queste tre regole al componente attendibile.

    Nota:

    L'ordine delle regole di attestazione è importante; devono apparire come mostrato qui.

Per evitare problemi di connettività tra sistemi in cui l'orologio differisce di poco, impostare lo sfasamento dell'ora predefinito su 2 minuti. Per ulteriori informazioni sullo sfasamento temporale, consulta il documento di risoluzione degli errori.

Scaricare il file di metadati AD FS

  1. Aprire l'applicazione di gestione di ADFS sul server e all'interno della cartella AD FS> Servizio> Endpoint, selezionare i metadati della federazione.

    Posizione dei metadati

  2. Utilizza un browser per accedere all'URL fornito con i metadati della federazione e scaricare il file. Ad esempio, https://<il nome host AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Nota:
    • Accetta eventuali avvisi se richiesto.
    • Per conoscere il nome host di Microsoft AD FS su un sistema operativo Windows:
      Apri Windows PowerShell > Esegui come amministratore > Digita Get-AdfsProperties > Premi Invio > Cerca il Nome host nell'elenco dettagliato.

Caricare i file dei metadati IdP in Adobe Admin Console

Per aggiornare il certificato più recente, torna alla finestra di Adobe Admin Console. Carica il file di metadati scaricato da AD FS nella schermata Aggiungi profilo SAML e fai clic su Fine.

Passaggi successivi: completare la configurazione per assegnare le app agli utenti

Dopo aver configurato la directory, effettuare le seguenti operazioni per consentire agli utenti dell'organizzazione di utilizzare le app e i servizi Adobe:

  1. Aggiungere e configurare i domini in Admin Console.
  2. Associare i domini con la directory AD FS.
  3. (Facoltativo) Se i tuoi domini sono già stabiliti in Admin Console in un'altra directory, trasferiscili direttamente alla directory AD FS appena creata.
  4. Aggiungere i profili di prodotto per ottimizzare l'utilizzo dei piani acquistati.
  5. Verificare la configurazione SSO aggiungendo un utente di prova.
  6. Scegliere strategia e strumenti per la gestione degli utenti in base alle proprie esigenze. Quindi, aggiungere gli utenti ad Admin Console e assegnarli ai profili di prodotto per farli iniziare a utilizzare le app Adobe.

Per ulteriori informazioni su altri strumenti e tecniche relativi all'identità, consultare Configurazione dell'identità.

Verificare l'accesso unico

Crea un utente di prova con Active Directory. Crea una voce in Admin Console per questo utente e assegnali una licenza. Prova quindi ad accedere ad Adobe.com per verificare che il software pertinente sia disponibile per il download.

Puoi anche eseguire il test accedendo a Creative Cloud Desktop e da un'applicazione come Photoshop o Illustrator.

In caso di problemi, consulta il nostro documento per la risoluzione dei problemi. Se hai bisogno di ulteriore assistenza con la configurazione dell'accesso unico, seleziona Supporto in Adobe Admin Console e apri un ticket con l'Assistenza clienti.

Ottieni supporto in modo più facile e veloce

Nuovo utente?