Für Unternehmen.
In diesem Artikel wird die ältere SAML-basierte Konfiguration für Microsoft Azure AD beschrieben.
Für neue Konfigurationen sollten Sie den Azure AD-Connector verwenden, der in wenigen Minuten eingerichtet werden kann und die Beanspruchung von Domänen, die SSO-Einrichtung und die Benutzersynchronisation beschleunigt.
Mit der Adobe Admin Console können Systemadministratoren Domänen mit Federated ID-Anmeldung für Single Sign-on (SSO) konfigurieren. Sobald das Eigentum an einer Domäne bestätigt wurde, wird das Verzeichnis mit der Domäne so konfiguriert, dass Benutzer sich bei Creative Cloud anmelden können. Benutzer können sich mithilfe ihrer E-Mail-Adresse in dieser Domäne über einen Identitätsanbieter (Identity Provider, IdP) anmelden. Dieser Prozess wird entweder als Softwaredienst, der innerhalb des Unternehmensnetzwerks ausgeführt wird und über das Internet zugänglich ist, oder als Cloud Service bereitgestellt, wobei ein Drittanbieter das Hosting übernimmt. In diesem Fall werden die Anmeldeinformationen des Benutzers über eine sichere Verbindung mithilfe des SAML-Protokolls bestätigt.
Einer dieser IdP ist Microsoft Azure, ein Cloud-basierter Dienst, der eine sichere Identitätsverwaltung ermöglicht.
Azure AD verwendet das Attribut „userPrincipalName“ oder gibt Ihnen die Möglichkeit, das Attribut, das lokal als User Principal Name in Azure AD verwendet werden soll, selbst anzugeben (bei benutzerdefinierten Installationen). Wenn der Wert des Attributs „userPrincipalName“ keiner verifizierten Domäne in Azure AD entspricht, wird er durch den Standardwert .onmicrosoft.com ersetzt.
Wenn ein Benutzer die Applikation authentifiziert, gibt Azure AD ein SAML-Token für die App aus, das Informationen (oder Ansprüche) zu Benutzern enthält, mit denen diese eindeutig identifiziert werden. Standardmäßig enthalten diese Informationen den Benutzernamen, die E-Mail-Adresse sowie den Vor- und Nachnamen eines Benutzers. Sie können die im SAML-Token an die Applikation gesendeten Ansprüche auf der Registerkarte „Attribute“ anzeigen und bearbeiten und das Benutzernamenattribut freigeben.
Führen Sie zum Konfigurieren von Single Sign-on für Ihre Domäne die folgenden Schritte aus:
Stellen Sie sicher, dass Sie auf das Microsoft Azure-Dashboard zugreifen können und als Administrator angemeldet sind, um eine neue Unternehmensanwendung erstellen zu können.
Um SSO in Azure zu konfigurieren, führen Sie die folgenden Schritte aus:
Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und klicken Sie auf Neue Anwendung.
Geben Sie unter Aus Katalog hinzufügen im Suchfeld „Adobe Creative Cloud“ ein.
Wähle Adobe Identity Management (SAML), benenne deinen Connector um, wähle Hinzufügen aus und warte, bis der Prozess abgeschlossen ist.
Navigiere zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wähle deine neue Adobe Identity Management-Connector-Anwendung aus, um zur Seite Übersicht weitergeleitet zu werden.
Wählen Sie Single Sign-on > SAML aus.
Geben Sie unter Grundlegende SAML-Konfiguration die Entity ID und die ACS URL ein, die Sie aus der Adobe Admin Console kopiert haben. Klicken Sie anschließend auf Speichern.
Klicken Sie zum Formatieren der SAML-Token-Attribute auf die Schaltfläche Bearbeiten und öffnen Sie das Dialogfeld Benutzerattribute. Klicken Sie dann auf Neuen Anspruch hinzufügen, um die Attribute auf der Seite Benutzerattribute und Ansprüche wie folgt zu bearbeiten, wobei Sie den Eintrag Namespace leer lassen.
|
NAME |
WERT |
NAMESPACE |
|---|---|---|
|
FirstName |
user.givenname |
|
|
LastName |
user.surname |
|
|
|
user.mail |
|
Wenn alle Attribute so festgelegt sind, dass sie mit den folgenden Werten übereinstimmen, schließen Sie die Seite Benutzerattribute und Ansprüche.
Lade im Abschnitt SAML-Signaturzertifikat die Datei Verbundmetadaten-XML herunter und speichere sie auf deinem Computer.
Kopieren Sie dann die entsprechenden URLs aus dem Abschnitt <Name> einrichten nach Bedarf.
Klicken Sie auf das „X“, um die Dokumentationsseite im Azure-Portal zu schließen, und kehren Sie zum Konfigurationsfenster für Unternehmensanwendungen für Ihren Adobe SSO-Connector zurück.
Um das neueste Zertifikat in der Adobe Admin Console zu aktualisieren, kehren Sie zur Adobe Admin Console zurück. Laden Sie das aus Azure heruntergeladene Zertifikat auf der Seite SAML-Profil hinzufügen hoch und klicken Sie auf Fertig.
Führen Sie die folgenden Schritte aus, um Benutzer über Microsoft Azure zuzuweisen, damit sie sich über den Adobe Creative Cloud-Connector anmelden können. Sie müssen Lizenzen auch über die Adobe Admin Console zuweisen.
Navigieren Sie zu Azure Active Directory > Unternehmensanwendungen > Alle Anwendungen und wählen Sie die Adobe Creative Cloud-Connector-Anwendung aus.
Klicken Sie auf Benutzer und Gruppen.
Klicken Sie auf Benutzer hinzufügen, um Benutzer auszuwählen, die diesem Connector zugewiesen werden sollen, damit sie sich über Single Sign-on anmelden können.
Klicken Sie auf Benutzer oder Gruppen und wählen Sie mindestens einen Benutzer oder eine Gruppe aus, die sich bei Creative Cloud anmelden dürfen soll, und klicken Sie dann auf Auswählen und anschließend auf Zuweisen.
Überprüfen Sie den Benutzerzugriff für einen Benutzer, den Sie in Ihrem eigenen Identitätsverwaltungssystem und in der Adobe Admin Console definiert haben, indem Sie sich bei der Adobe-Website oder beim Creative Cloud-Client anmelden.
Wenn Probleme auftreten, lesen Sie das Dokument zur Problembehandlung.
Wenn Sie bei der Single Sign-on-Konfiguration Hilfe benötigen, navigieren Sie in der Adobe Admin Console zu Support, um mit uns Kontakt aufzunehmen.
