New feature alert

Este artículo explica la configuración más antigua basada en SAML para Microsoft Azure AD.

En el caso de configuraciones nuevas, se recomienda utilizar Azure AD Connector, el cual se configura en cuestión de minutos y acorta el proceso de reclamación de dominio, configuración de inicio de sesión único y sincronización de usuario.


Descripción general

La Adobe Admin Console permite que un administrador de sistemas configure los dominios que se utilizarán para el acceso a través de la identificación federada para inicio de sesión único (SSO). Una vez que se verifica el dominio, se configura el directorio que lo contiene para permitir que los usuarios inicien sesión en Creative Cloud. Los usuarios pueden iniciar sesión usando direcciones de correo electrónico dentro de ese dominio a través de un proveedor de identidad (IdP). El proceso se suministra como servicio de software que se ejecuta en la red de la empresa y se accede a él desde Internet o desde un servicio en la nube alojado por terceros que permite la verificación de los detalles de inicio de sesión del usuario a través de la comunicación segura usando el protocolo SAML.

Uno de estos proveedores de identidades es Microsoft Azure, un servicio en la nube que facilita la gestión de identidades seguras.

Azure AD utiliza el atributo userPrincipalName o permite especificar el atributo (en una instalación personalizada) para que se utilice in situ como nombre principal en Azure AD. Si el valor del atributo userPrincipalName no se corresponde con un dominio verificado de Azure AD, Azure AD lo sustituirá por un valor predeterminado de .onmicrosoft.com.

Cuando un usuario se autentica en la aplicación, Azure AD emite un token de SAML para la aplicación que contiene o reclama información de los usuarios que los identifica de manera exclusiva. De forma predeterminada, la información incluye un nombre de usuario, una dirección de correo electrónico, un nombre y un apellido. Puede ver o editar las reclamaciones enviadas en el token de SAML a la aplicación en la ficha de atributos y liberar el atributo del nombre de usuario.

Configurar el inicio de sesión único mediante Azure

Para configurar el inicio de sesión único de su dominio, siga estos pasos:

  1. Inicie sesión en Admin Console y empiece por la creación de un directorio de Federated ID, seleccionando Otros proveedores SAML como proveedor de identidades. En la pantalla Añadir perfil SAML, copie los valores de URL de ACS e ID de entidad.
  2. Configure Azure especificando los valores de ACS URL y Entity ID, y descargue el archivo de metadatos de IdP.
  3. Regrese a Adobe Admin Console y cargue el archivo de metadatos de IdP en la pantalla Añadir perfil SAML; a continuación, haga clic en Hecho.

Crear la aplicación SSO en Azure para Adobe

Asegúrese de que se pueda acceder al tablero de Microsoft Azure y de que haya iniciado sesión como administrador capaz de crear una aplicación empresarial.

Para configurar SSO en Azure, realice los siguientes pasos:

  1. Vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones y haga clic en Nueva aplicación.

  2. En Agregar una aplicación de la galería, indique "Adobe Creative Cloud" en el campo de búsqueda.

  3. Seleccione Adobe Creative Cloud; a continuación, cambie el nombre del conector y haga clic en Añadir, y espere a que finalice el proceso.

    add_application
  4. Vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones, y seleccione la nueva aplicación del conector de Adobe Creative Cloud para pasar a la página Descripción general.

  5. Seleccione Inicio de sesión único > SAML.

    SAML
  6. En Configuración SAML básica, indique los valores de ID de entidad y URL de ACS que ha copiado de Adobe Admin Console. A continuación, haga clic en Guardar.

    Configuración SAML básica
  7. Para dar formato a los atributos del token de SAML, haga clic en el botón Editar y abra el cuadro de diálogo Atributos del usuario. A continuación, haga clic en Añadir nueva reclamación para editar los atributos de la página Atributos y reclamaciones del usuario, dejando la entrada Namespace en blanco.

    NOMBRE VALOR ESPACIO DE NOMBRE
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. Cuando todos los atributos se hayan configurado con los valores siguientes, cierre la página Atributos y reclamaciones del usuario.

    Atributo del usuario

    Nota:

    • Para autenticar usuarios por correo electrónico, configure UserIdentifier en user.mail. Para autenticar usuarios por UserPrincipalName, defina UserIdentifier en user.userprincipalname.
    • Los usuarios deben tener una licencia válida de Office 365 ExO para añadir un valor de reclamo por correo electrónico en la respuesta de SAML.

  9. En la sección Certificado de firma de SAML, descargue el archivo Certificado (Base64) y guárdelo en el equipo.

    Certificado de firma de SAML
  10. A continuación, copie las direcciones URL de la sección Configuración<Name>, según sea necesario.

    Configuración
  11. Haga clic en 'X' para cerrar la página de documentación del portal de Azure y volver a la ventana de configuración de la aplicación empresarial del conector de inicio de sesión único de Adobe.

  12. En la sección Certificado de firma de SAML, haga clic en Certificado (base 64) en el lado derecho para descargar el archivo de certificado.

Descargar el archivo de metadatos de IdP en Adobe Admin Console

Para actualizar el último certificado en Adobe Admin Console, vuelva a Adobe Admin Console. Cargue el certificado descargado de Azure en la pantalla Añadir perfil SAML y haga clic en Hecho.

Asignar usuarios a través de Azure

Para asignar usuarios a través de Microsoft Azure a fin de permitirles iniciar sesión con el conector de Adobe Creative Cloud, efectúe los pasos que se indican a continuación. También debe asignar licencias mediante Adobe Admin Console.

  1. Vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones y seleccione la nueva aplicación del conector de Adobe Creative Cloud.

  2. Haga clic en Usuarios y Grupos..

  3. Haga clic en Añadir usuario para seleccionar usuarios que asignar a este conector que les permitirá iniciar sesión mediante el inicio de sesión único.

  4. Haga clic en Usuarios o en Grupos; a continuación, seleccione uno o más usuarios o grupos a los que se permita iniciar sesión en Creative Cloud, y haga clic en Seleccionar seguido de Asignar.

Probar el acceso de usuario

Pruebe el acceso de un usuario que haya definido en su propio sistema de gestión de identidades y en Adobe Admin Console iniciando sesión en el sitio web de Adobe o la aplicación de escritorio de Creative Cloud.

Si tiene problemas, consulte nuestro documento de resolución de problemas.

Si necesita ayuda con la configuración del inicio de sesión único, vaya a Adobe Admin Console > Asistencia para ponerse en contacto con nosotros.