Übersicht

1.setup-identity

In diesem Dokument wird beschrieben, wie Sie die Adobe Admin Console mit einem Microsoft AD FS-Server konfigurieren.

Der Identitätsanbieter muss zwar nicht von außerhalb des Firmennetzwerks zugänglich sein, dann können jedoch nur Workstations innerhalb des Netzwerks (oder über VPN verbundene Workstations) Authentifizierungen durchführen, um eine Lizenz zu aktivieren oder sich anzumelden, nachdem sie ihre Sitzung deaktiviert haben.


Einrichten von SSO mit Microsoft AD FS (Ansehen: 17 Min.)

Hinweis:

Anweisungen und Screenshots in diesem Dokument beziehen sich auf AD FS, Version 3.0, in AD FS 2.0 sind jedoch die gleichen Menüs vorhanden.

Voraussetzungen

Bevor Sie ein Verzeichnis für Single Sign-on mit Microsoft AD FS konfigurieren können, müssen die folgenden Anforderungen erfüllt sein:

  • Ein Microsoft Windows-Server mit Microsoft AD FS und den neuesten Betriebssystemupdates ist installiert. Wenn Benutzer Adobe-Produkte mit macOS verwenden sollen, stellen Sie sicher, dass Ihr Server TLS, Version 1.2, und Forward Secrecy unterstützt. Weitere Informationen über AD FS finden Sie im Microsoft-Dokument Active Directory-Verbunddienste (AD FS).
  • Die Workstations der Benutzer müssen auf den Server zugreifen können (z. B. über HTTPS).
  • Das Sicherheitszertifikat wurde vom AD FS-Server abgerufen.
  • Zu allen Active Directory-Konten, die einem Konto für Creative Cloud für Unternehmen zugeordnet werden sollen, muss in Active Directory eine E‑Mail-Adresse verzeichnet sein.

Verzeichnis in der Adobe Admin Console erstellen

Zum Konfigurieren von Single Sign-on für Ihre Domäne müssen Sie die folgenden Schritte ausführen: 

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, wobei Sie Andere SAML-Anbieter als Identitätsanbieter auswählen. Laden Sie die Adobe-Metadatendatei von der Seite SAML-Profil hinzufügen herunter.
  2. Konfigurieren Sie AD FS, indem Sie die ACS URL und die Entity ID angeben und die IdP-Metadatendatei herunterladen.
  3. Kehren Sie zur Adobe Admin Console zurück, um auf der Seite SAML-Profil hinzufügen die IdP-Metadatendatei hochzuladen. Klicken Sie dann auf Fertig.

Folgen Sie den Links, um Einzelheiten zu den einzelnen Schritten abzurufen.

AD FS-Server konfigurieren

Um die SAML-Integration mit AD FS zu konfigurieren, führen Sie die folgenden Schritte aus:

Vorsicht:

Alle folgenden Schritte müssen nach jeder Änderung an den Werten in der Adobe Admin Console für eine bestimmte Domäne erneut ausgeführt werden.

  1. Navigieren Sie in der AD FS-Verwaltungsanwendung zu AD FS > Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite und klicken Sie auf Vertrauensstellung der vertrauenden Seite hinzufügen, um den Assistenten zu starten.

  2. Klicken Sie auf Starten und wählen Sie Daten über die vertrauende Seite aus einer Datei importieren. Navigieren Sie dann zu dem Speicherort, an den Sie die Metadaten aus der Adobe Admin Console kopiert haben.

    08_-_import_metadata
  3. Legen Sie einen Namen für die Vertrauensstellung der vertrauenden Seite fest und geben Sie nach Bedarf zusätzliche Anmerkungen ein.

    Klicken Sie auf Weiter.

    09_-_name_relyingpartytrust
  4. Bestimmen Sie, ob Mehrstufige Authentifizierung erforderlich ist, und wählen Sie die entsprechende Option aus.

    Klicken Sie auf Weiter.

  5. Ermitteln Sie, ob sich alle Benutzer über AD FS anmelden können.

    Klicken Sie auf Weiter.

  6. Überprüfen Sie die Einstellungen.

    Klicken Sie auf Weiter.

  7. Die Vertrauensstellung der vertrauenden Seite wurde hinzugefügt.

    Lassen Sie die Option aktiviert, um das Dialogfeld Anspruchsregeln bearbeiten zu öffnen und schnell auf die nächsten Schritte zuzugreifen.

    Klicken Sie auf Schließen.

  8. Wenn der Assistent Anspruchsregeln bearbeiten nicht automatisch geöffnet wird, können Sie ihn über die AD FS-Verwaltungsanwendung unter AD FS > Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite aufrufen, indem Sie die Adobe SSO-Vertrauensstellung der vertrauenden Seite auswählen und auf der rechten Seite auf Anspruchsregeln bearbeiten klicken.

  9. Klicken Sie auf Regel hinzufügen und konfigurieren Sie eine Regel mit der Vorlage LDAP-Attribute als Ansprüche senden für Ihren Attributspeicher, wobei Sie das LDAP-Attribut „E-Mail-Addresses“ dem Typ des ausgehenden Anspruchs „E-Mail Address“ zuordnen.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Hinweis:

    Es wird empfohlen, wie im Screenshot oben die E-Mail-Adresse als primäre Kennung zu verwenden. Sie können auch den Benutzerprinzipalnamen (UPN) als LDAP-Attribut verwenden, das in einer Zusicherung als E-Mail-Adresse gesendet wird. Beim Konfigurieren der Anspruchsregel wird dies jedoch nicht empfohlen.

    Der UPN ist oft keiner E-Mail-Adresse zugeordnet und unterscheidet sich in vielen Fällen von dieser. Dies führt höchstwahrscheinlich zu Problemen bei der Benachrichtigung und Freigabe von Elementen in Creative Cloud.

  10. Klicken Sie auf Fertig stellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  11. Fügen Sie wiederum mit dem Assistenten Anspruchsregeln bearbeiten eine Regel mit der Vorlage Eingehenden Anspruch transformieren hinzu, um eingehende Ansprüche vom Typ „E-Mail-Adresse“ in den Typ des ausgehenden Anspruchs „Namens-ID“ und das ID-Format des ausgehenden Namens in „E-Mail“ umzuwandeln, wobei alle Anspruchswerte übergeben werden.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klicken Sie auf Fertig stellen, um das Hinzufügen der Transformationsanspruchsregel abzuschließen.

  13. Fügen Sie mit dem Assistenten Anspruchsregeln bearbeiten eine Regel mit der Vorlage Ansprüche mithilfe einer benutzerdefinierten Regel senden und der folgenden Regel hinzu:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klicken Sie auf Fertig stellen, um den Assistenten für benutzerdefinierte Regeln abzuschließen.

  15. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf OK, um das Hinzufügen dieser drei Regeln zur Vertrauensstellung der vertrauenden Seite abzuschließen.

    16_-_edit_claim_rules

    Hinweis:

    Die Reihenfolge der Anspruchsregeln ist wichtig und muss der Abbildung hier entsprechen.

Legen Sie den Standardzeitversatz auf 2 Minuten fest, um Verbindungsprobleme zwischen Systemen zu vermeiden, bei denen die Uhrzeiten geringfügig abweichen. Weitere Informationen zum Zeitversatz finden Sie im Dokument Fehlerbehebung.

AD FS-Metadatendatei herunterladen

  1. Öffnen Sie die AD FS-Verwaltungsanwendung auf Ihrem Server und wählen Sie im Ordner AD FS > Dienst > Endpunkte die Option Verbundmetadaten aus.

    Speicherort der Metadaten
  2. Verwenden Sie einen Browser, um zu der URL zu navigieren, die für Verbundmetadaten angegeben wurde, und laden Sie die Datei herunter. Beispiel: https://<Ihr AD FS-Hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Hinweis:

    • Akzeptieren Sie alle Warnungen, wenn Sie dazu aufgefordert werden.
    • So ermitteln Sie den Microrsoft AD FS-Hostname unter einem Windows-Betriebssystem:
      Öffnen Sie Windows PowerShell > Als Administrator ausführen > Geben Sie Get-AdfsProperties ein > Drücken Sie die Eingabetaste > Suchen Sie in der Liste mit Details nach Hostname.

IdP-Metadatendatei in die Adobe Admin Console hochladen

Um das neueste Zertifikat zu aktualisieren, kehren Sie zum Fenster der Adobe Admin Console zurück. Laden Sie die aus AD FS heruntergeladene Metadatendatei auf der Seite SAML-Profil hinzufügen hoch und klicken Sie auf Fertig.

Nächste Schritte: Einrichtung abschließen, um Benutzern Anwendungen zuzuweisen

Nachdem Sie das Verzeichnis eingerichtet haben, gehen Sie wie folgt vor, um den Benutzern Ihrer Organisation die Verwendung von Adobe-Anwendungen und -Services zu ermöglichen:

  1. In der Admin Console Domänen hinzufügen und einrichten
  2. Im AD FS-Verzeichnis Domänen zuordnen
  3. (Optional) Wenn Ihre Domänen in der Admin Console bereits in einem anderen Verzeichnis eingerichtet sind, übertragen Sie sie direkt an das neu erstellte AD FS-Verzeichnis.
  4. Produktprofile hinzufügen, um die Nutzung Ihrer gebuchten Abonnements zu optimieren
  5. SSO-Einrichtung testen, indem Sie einen Testbenutzer hinzufügen
  6. Wählen Sie die Benutzerverwaltungsstrategie und -Tools, die Ihren Anforderungen entsprechen. Fügen Sie dann Benutzer zur Admin Console hinzu und weisen Sie sie Produktprofilen zu, damit Benutzer ihre Adobe-Anwendungen verwenden können.

Weitere Informationen zu anderen Tools und Verfahren zur Identitätsverwaltung finden Sie unter Einrichten der Identität.

Single Sign-on testen

Erstellen Sie mit Active Directory einen Testbenutzer: Erstellen Sie in der Admin Console einen Eintrag für diesen Benutzer und weisen Sie ihm eine Lizenz zu. Testen Sie dann das Anmelden bei Adobe.com, um sich zu vergewissern, dass die relevante Software für den Download aufgelistet ist.

Sie können sich zum Testen auch aus einer Anwendung wie Photoshop oder Illustrator bei Creative Cloud Desktop anmelden.

Wenn Probleme auftreten, lesen Sie das Dokument zur Problembehandlung. Wenn Sie bei der Konfiguration von Single Sign-on weitere Hilfe benötigen, navigieren Sie in der Adobe Admin Console zu Support und erstellen Sie ein Support-Ticket.