Verwalten von SAML-basiertem SSO für Microsoft Azure

Suchen
Enterprise & Teams Benutzerhandbuch

Auf dieser Seite

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

New feature alert

Dieser Artikel beschreibt das ältere SAML-basierte Setup für Microsoft Azure AD.

Für neue Konfigurationen ist es empfehlenswert, den Azure AD Connector zu verwenden, der innerhalb von Minuten eingestellt werden kann und den Prozess des Domain Claims, SSO-Setup und Benutzer-Sync verkürzen kann.


Übersicht

Adobe Admin Console ermöglicht einem Systemadministrator, Domänen zu konfigurieren, die für die Anmeldung über Federated ID für SSO verwendet werden.  Sobald die Domäne verifiziert ist, wird das Verzeichnis, das die Domäne enthält, so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mit E-Mail-Adressen innerhalb dieser Domäne über einen Identity Provider (IdP) anmelden. Der Prozess wird entweder als Softwaredienst bereitgestellt, der im Unternehmensnetzwerk ausgeführt wird und auf den vom Internet aus zugegriffen werden kann, oder als Cloud-Dienst, der von einem Drittanbieter gehostet wird, wobei die Überprüfung von Benutzeranmeldedetails über eine sichere Kommunikation mit dem SAML-Protokoll zugelassen wird.

Eine derartige IdP ist Microsoft Azure, ein cloudbasierter Dienst, der eine sichere Identitätsverwaltung ermöglicht

Azure AD verwendet das userPrincipalName-Attribut oder lässt zu, dass Sie das Attribut (in einer benutzerdefinierten Installation) angeben, das von Benutzern vor Ort als Benutzername in Azur AD verwendet werden soll. Wenn der Wert des Attributs userPrincipalName keiner verifizierten Domäne in Azure AD entspricht, wird er durch einen Standardwert von .onmicrosoft.com ersetzt.

Wenn ein Benutzer sich bei der Anwendung authentifiziert, gibt Azure AD ein SAML-Token an die App aus, das Informationen (oder Ansprüche) über den Benutzer enthält, mit dem er eindeutig identifiziert werden kann. Standardmäßig umfasst dies den Benutzernamen, die E-Mail-Adresse, den Vornamen und Nachnamen des Benutzers. Sie können die Ansprüche, die im SAML-Token an die Anwendung auf der Registerkarte „Attribute“ gesendet wurden, anzeigen oder bearbeiten und das Attribut „Benutzername“ veröffentlichen.

Konfigurieren Sie die einmalige Anmeldung mit Azure

Gehen Sie wie folgt vor, um Single Sign-On für Ihre Domäne zu konfigurieren:

  1. Melden Sie sich bei der Admin Console an und beginnen Sie mit dem Erstellen eines Federated ID-Verzeichnisses, indem Sie Andere SAML-Anbieter as Identitätsanbieter auswählen. Kopieren Sie die Werte für die ACS-URL und die Entitäts-ID aus dem Bildschirm SAML-Profil hinzufügen.
  2. Konfigurieren Sie Azure geben Sie die ACS URL  ein und Entitäts-ID und laden Sie die IdP-Metadaten-Datei herunter.
  3. Kehren Sie zur Adobe Admin Console zurück, laden Sie die IdP-Metadatendatei im Fenster SAML Profil hinzufügen hoch und klicken Sie auf Fertig.

Erstellen von SSO-Anwendung in Azure für Adobe

Stellen Sie sicher, dass das Microsoft Azure Dashboard zugänglich ist und Sie als Administrator angemeldet sind, um eine neue Unternehmensanwendung erstellen zu können.

Führen Sie die folgenden Schritte aus, um SSO in Azure zu konfigurieren:

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen> Alle Anwendungen und klicken Sie auf Neue Anwendung.

  2. Unter Hinzufügen aus der Galerie geben Sie „Adobe Creative Cloud“ in das Suchfeld ein

  3. Wählen Sie Adobe Creative Cloud und klicken Sie auf Hinzufügen und warten Sie bis der Vorgang abgeschlossen ist.

    add_application

  4. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie Ihre neue Adobe Creative Cloud Connector-Anwendung aus, um zur Seite Übersicht zu navigieren.

  5. Wählen Sie Single Sign-On > SAML.

    SAML

  6. Geben Sie in der Einfachen SAML-Konfiguration die Entitäts-ID und die ACS-URL ein, die von der Adobe Admin Console kopiert wurden. Klicken Sie anschließend auf Speichern.

    Grundlegende SAML-Konfiguration

  7. Um die SAML-Token-Attribute zu formatieren, klicken Sie auf Bearbeiten und öffnen Sie die das Dialogfeld Benutzerattribute. licken Sie anschließend auf Neuen Claim hinzufügen, um die Attribute auf der Seite Benutzerattribute und -ansprüche wie folgt zu bearbeiten, und lassen Sie den Eintrag Namespace leer.

    NAME WERT NAMESPACE
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

  8. Wenn alle Attribute auf die folgenden Werte eingestellt sind, schließen Sie die Seite Benutzerattribute und -ansprüche.

    Benutzerattribut

    Hinweis:

    • Um Benutzer per E-Mail zu authentifizieren, setzen Sie UserIdentifier auf user.mail. Zur Authentifizierung von Benutzern durch Userprincipalname setzen Sie UserIdentifier auf user.userprincipalname.
    • Benutzer müssen über eine gültige Office 365 ExO-Lizenz verfügen, damit der E-Mail-Anspruchswert in der SAML-Antwort hinzugefügt werden kann.

  9. Laden Sie im Abschnitt SAML-Signaturzertifikat die Datei Certificate (Base64) herunter und speichern Sie sie auf Ihrem Computer.

    SAML-Signaturzertifikat

  10. Kopieren Sie dann die entsprechenden URLs gemäß Ihren Anforderungen aus dem Abschnitt Einrichten<Name> .

    Einrichten

  11. Klicken Sie auf das X, um die Dokumentationsseite im Azure-Portal zu schließen und zum Konfigurationsfenster von Enterprise Application für Ihren Adobe SSO-Connector zurückzukehren.

  12. Klicken Sie im Abschnitt „SAML Signing Certificate“ auf der rechten Seite auf Zertifikate (Basisklasse 64), um die Zertifikatsdatei herunterzuladen.

Laden Sie die IdP-Metadatendatei in die Adobe Admin Console hoch

Kehren Sie zur Adobe Admin Console zurück, um das neueste Zertifikat für die Adobe Admin Console zu aktualisieren. Laden Sie das von Azure heruntergeladene Zertifikat in den Bildschirm SAML-Profil hinzufügen hoch und klicken Sie auf Fertig.

Benutzer über Azure zuweisen

Führen Sie die folgenden Schritte aus, um Benutzern über Microsoft Azure die Anmeldung über den Adobe Creative Cloud-Connector zu ermöglichen. Sie müssen Lizenzen auch über die Adobe Admin Console zuweisen.

  1. Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie Ihre Adobe Creative Cloud Connector-Anwendung aus.

  2. Klicken Sie auf Benutzer und Gruppen.

  3. Klicken Sie auf Benutzer hinzufügen, um Benutzer auszuwählen, die diesem Connector zugewiesen werden sollen, damit sie sich über Single Sign-On anmelden können.

  4. Klicken Sie auf Benutzer oder Gruppen und wählen Sie einen oder mehrere Benutzer oder Gruppen aus, um sich bei Creative Cloud anzumelden. Klicken Sie anschließend auf Auswählen und dann auf Zuweisen.

Benutzerzugriff testen

Testen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsmanagementsystem und in der Adobe Admin Console definiert haben, indem Sie sich auf der Adobe-Website oder bei der Creative Cloud Desktop-Applikation anmelden.

Wenn Sie auf Probleme stoßen, lesen Sie bitte unser Dokument zur Fehlerbehebung.

Wenn Sie Unterstützung bei Ihrer Single Sign-On-Konfiguration benötigen, navigieren Sie zu Adobe Admin Console > Support , um Kontakt mit uns aufzunehmen.