Descripción general

1.setup-identity

La Adobe Admin Console permite que un administrador de sistemas configure los dominios que se utilizarán para el acceso a través de la identificación federada para inicio de sesión único (SSO). Una vez que se verifica el dominio, se configura el directorio que lo contiene para permitir que los usuarios inicien sesión en Creative Cloud. Los usuarios pueden iniciar sesión usando direcciones de correo electrónico dentro de ese dominio a través de un proveedor de identidad (IdP). El proceso se suministra como servicio de software que se ejecuta en la red de la empresa y se accede a él desde Internet o desde un servicio en la nube alojado por terceros que permite la verificación de los detalles de inicio de sesión del usuario a través de la comunicación segura usando el protocolo SAML.

Uno de estos IdP es Microsoft Active Directory Federation Services o AD FS. Para utilizar AD FS, se debe configurar un servidor al que se pueda acceder desde las estaciones de trabajo en las que inician sesión los usuarios y que tenga acceso al servicio de directorio en la red de la empresa. Este documento pretende describir el proceso necesario para configurar la Adobe Admin Console y un servidor AD FS, para poder acceder a las aplicaciones de Adobe Creative Cloud y a las páginas web asociadas para inicio de sesión único.

No hace falta poder acceder al IdP desde fuera de la red de la empresa; ahora bien, si no es así, las estaciones de trabajo de la red (o conectadas por VPN) serán las únicas aptas para efectuar la autenticación a fin de activar una licencia o de iniciar sesión tras desactivar su sesión.


Nota:

Las instrucciones y las capturas de pantalla de este documento son para AD FS versión 3.0, pero los mismos menús están presentes en AD FS 2.0.

Requisitos previos

Antes de crear un directorio para el inicio de sesión único mediante Microsoft AD FS, deben cumplirse los requisitos siguientes:

  • Se ha instalado una instancia de Microsoft Windows Server con Microsoft AD FS y las actualizaciones más recientes en el sistema operativo. Si desea que los usuarios utilicen los productos de Adobe con macOS, asegúrese de que el servidor admita la versión 1.2 de TLS y la confidencialidad directa.
  • Se debe poder acceder al servidor desde estaciones de trabajo de los usuarios, por ejemplo a través de HTTPS.
  • El certificado de seguridad se obtiene desde el servidor AD FS.
  • Todas las cuentas de Active Directory que se vayan a asociar con una cuenta de Creative Cloud para empresas deben tener una dirección de correo electrónico incluida en Active Directory.

Crear un directorio en Adobe Admin Console

Para configurar el inicio de sesión único de su dominio, siga estos pasos:

  1. Inicie sesión en Admin Console y empiece por la creación de un directorio de Federated ID, seleccionando Otros proveedores SAML como proveedor de identidades. En la pantalla Añadir perfil SAML, copie los valores de URL de ACS e ID de entidad.
  2. Configure AD FS especificando los valores de ACS URL y Entity ID, y descargue el archivo de metadatos de IdP.
  3. Regrese a Adobe Admin Console y cargue el archivo de metadatos de IdP en la pantalla Añadir perfil SAML; a continuación, haga clic en Hecho.

Configurar el servidor AD FS

Para configurar la integración de SAML con AD FS, siga estos pasos:

Precaución:

Todos los pasos posteriores deben repetirse después de cualquier cambio en los valores de la Adobe Admin Console para un dominio específico.

  1. Navegue en la aplicación Administración de AD FS hasta AD FS -> Relaciones de confianza -> Veracidades de usuarios de confianza y haga clic en Agregar veracidad del usuario de confianza para iniciar el asistente.

  2. Haga clic en Inicio y seleccione Importar datos sobre el usuario de confianza de un archivo; a continuación, acceda a la ubicación donde ha copiado los metadatos en la Adobe Admin Console.

    08_-_import_metadata
  3. Asigne un nombre a la entrada de relación de confianza; a continuación, escriba notas adicionales si es preciso.

    Haga clic en Siguiente.

    09_-_name_relyingpartytrust
  4. Determine si hace falta autenticación multifactor y seleccione la opción pertinente.

    Haga clic en Siguiente.

  5. Determine si todos los usuarios pueden iniciar sesión a través de AD FS.

    Haga clic en Siguiente.

  6. Revise la configuración.

    Haga clic en Siguiente.

  7. La entrada de relación de confianza se ha añadido.

    Deje sin marcar la opción para abrir el cuadro de diálogo Editar reglas de notificación para acceder con rapidez a los pasos siguientes.

    Haga clic en Cerrar.

  8. Si el asistente Editar reglas de notificación no se ha abierto automáticamente, se puede acceder desde la aplicación Administración de AD FS en AD FS -> Relaciones de confianza -> Veracidades de usuarios de confianza, seleccionando la entrada de relación de confianza del inicio de sesión único de Adobe y haciendo clic en Editar reglas de notificación... en el lado derecho.

  9. Haga clic en Añadir regla y configure una regla con la plantilla Enviar atributos LDAP como notificaciones para el almacén de atributos, y asigne el atributo LDAP Direcciones de correo electrónico al tipo de notificación saliente Dirección de correo electrónico.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Nota:

    Como se muestra en la captura de pantalla anterior, recomendamos el uso de la dirección de correo electrónico como identificador principal. También se puede utilizar el campo Nombre principal de usuario como atributo LDAP enviado a una aserción como dirección de correo electrónico. Sin embargo, esta opción no se recomienda para configurar la regla de notificación.

    Con frecuencia, el nombre principal de usuario no se asigna a una dirección de correo electrónico; en muchos casos, será diferente. Eso causará problemas con toda probabilidad en las notificaciones y el uso compartido de recursos en Creative Cloud.

  10. Haga clic en Finalizar para completar la adición de la regla de transformación de notificación.

  11. Una vez más, con el asistente Editar reglas de notificación, añada una regla con la plantilla. Transforme una notificación entrante para convertir las notificaciones entrantes del tipo Dirección de correo electrónico con el tipo de notificación saliente Id. de nombre y el formato de Id. de nombre saliente como Correo electrónico, y transferir todos los valores de notificación.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Haga clic en Finalizar para completar la adición de la regla de transformación de notificación.

  13. Con el asistente Editar reglas de notificación, añada una regla utilizando la plantilla Enviar notificaciones con una regla personalizada, que contiene la regla siguiente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Haga clic en Finalizar para completar el asistente para personalización de reglas.

  15. Haga clic en Aceptar en el cuadro de diálogo Editar reglas de notificación para finalizar la adición de estas tres reglas a la entrada de relación de confianza.

    16_-_edit_claim_rules

    Nota:

    El orden de las reglas de notificación es importante; deben aparecer como se muestra aquí.

Para evitar problemas de conectividad entre sistemas en los que el reloj difiere en una cantidad pequeña, establezca el sesgo del tiempo predeterminado en 2 minutos. Para obtener más información sobre el sesgo de tiempo, consulte el documento Solución de problemas de errores.

Descargar el archivo de metadatos de AD FS

  1. Abra la aplicación AD FS Management en el servidor. En la carpeta AD FS > Service > Endpoints, seleccione los metadatos de federación.

    Ubicación de los metadatos
  2. Mediante un navegador, acceda a la URL proporcionada en relación con los metadatos de federación y descargue el archivo. Por ejemplo, https://<Nombre de host de AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Nota:

    Acepte cualquier advertencia si aparece.

Descargar el archivo de metadatos de IdP en Adobe Admin Console

Para actualizar el certificado más reciente, regrese a Adobe Admin Console. Cargue el certificado descargado de AD FS en la pantalla Añadir perfil SAML y haga clic en Hecho.

Probar el inicio de sesión único

Cree un usuario de prueba con directorio activo, cree una entrada en la Admin Console para este usuario y asígnele una licencia; después, pruebe el inicio de sesión en Adobe.com para confirmar que el software correspondiente está enumerado para la descarga.

También puede hacer una prueba iniciando sesión en la aplicación de escritorio de Creative Cloud y en una aplicación como Photoshop o Illustrator.

Si tiene problemas, consulte nuestro documento de resolución de problemas. Si tiene problemas con la configuración de inicio de sesión único, vaya a Asistencia en Adobe Admin Console y abra un ticket para Asistencia al cliente.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea