Présentation

Adobe Admin Console permet aux administrateurs système de configurer des domaines utilisés pour se connecter au moyen d’un Federated ID à des fins d’authentification unique (SSO). Une fois que la propriété d’un domaine a été démontrée à l’aide d’un jeton DNS, ce domaine peut être configuré de façon à ce que les utilisateurs puissent se connecter à Creative Cloud avec leur adresse e-mail via un fournisseur d’identité (IdP), soit avec un logiciel installé sur un serveur et accessible par Internet, soit avec un service de cloud hébergé par un tiers qui se charge de vérifier les identifiants de connexion des utilisateurs par le biais d’un système de communication sécurisé utilisant le protocole SAML.

Microsoft Active Directory Federation Services, ou AD FS, est l’un de ces fournisseurs d’identité. Pour utiliser AD FS, il convient de configurer un serveur accessible par Internet et ayant accès aux services d’annuaire dans le réseau de l’entreprise. Ce document décrit le processus nécessaire pour configurer Adobe Admin Console et un serveur Microsoft AD FS, afin de pouvoir se connecter aux applications Adobe Creative Cloud et aux sites web associés dotés de la fonction d’authentification unique.

L’accès au fournisseur d’identité se fait généralement à travers un réseau distinct, pour lequel des règles spécifiques sont configurées de manière à n’autoriser que certains types de communications entre les serveurs et le réseau interne et externe (on parle alors souvent de DMZ ou zone démilitarisée). La configuration du système d’exploitation sur ce serveur et la topologie de ce genre de réseau ne sont pas traitées dans ce document.

Conditions requises

Avant de configurer un domaine pour l’authentification unique avec Microsoft AD FS, les conditions suivantes doivent être réunies :

  • Le domaine a été déposé dans Adobe Admin Console, le montrant comme « Actif » dans la colonne « Statut du domaine ».
  • Un serveur AD FS est installé avec une version compatible de Microsoft Windows Server et les dernières mises à jour du système d’exploitation, et accessible en externe (par exemple, via HTTPS).
  • Un certificat de sécurité a été obtenu à partir du serveur AD FS.
  • Tous les comptes Active Directory à associer à un compte Creative Cloud abonnement Entreprise doivent disposer d’une adresse e-mail répertoriée dans Active Directory.

Configuration

Pour configurer Adobe Admin Console, comme illustré dans la capture d’écran ci-dessus, effectuez les étapes suivantes :

Chargement d’un certificat dans la console

  1. Dans la vue « Certificates » (Certificats) de l’application AD FS 2.0 Management, sélectionnez le certificat Token Signing (Signature de jeton) et cliquez sur « View Certificate... » (Afficher le certificat...) pour ouvrir la fenêtre de propriétés du certificat.
  2. Dans l’onglet Details (Détails), cliquez sur « Copy to file... » (Copier vers fichier...) et utilisez l’assistant pour enregistrer le certificat sous le nom « Base-64 encoded X. 509 (.CER) » (équivaut à un certificat au format PEM).
  3. Chargez le fichier de certificat enregistré dans Adobe Admin Console.

Définition des valeurs de configuration du serveur AD FS

  1. Copiez l’URL d’émetteur IDP depuis la fenêtre Federation Service Properties (Propriétés du service de fédération) sur le serveur AD FS, dans le champ « Federation Service Identifier » (Identifiant du service de fédération (attention, la valeur doit être parfaitement exacte), par exemple http://adfs.example.com/adfs/services/trust. Il n’est pas nécessaire que cette adresse soit accessible en externe.
  2. Déterminez l’URL de connexion IDP ; pour Microsoft AD FS, cette adresse se présente par défaut sous la forme suivante : https://adfs.example.com/adfs/ls/
  3. Sélectionnez HTTP-REDIRECT comme liaison IDP.
  4. Conservez le paramètre « Email address » (Adresse e-mail) comme identifiant de connexion de l’utilisateur.

Copie des métadonnées sur le serveur AD FS

REMARQUE : Cette étape et toutes les suivantes doivent être réitérées après toute modification au niveau des valeurs d’un domaine donné dans Adobe Admin Console.

  1. Téléchargez le fichier de métadonnées depuis Adobe Admin Console.
  2. Copiez le fichier sur le serveur AD FS.
  3. Créez une nouvelle approbation de partie de confiance (Relying Party Trust) sur le serveur AD FS à l’aide du fichier de métadonnées fourni par la console (voir capture d’écran).

Configuration des règles de revendication sur le serveur AD FS

  1. À l’aide de l’assistant « Edit Claim Rules » (Modifier les règles de revendication), ajoutez une règle avec le modèle « Send LDAP Attributes as Claims » (Envoyer les attributs LDAP en tant que revendications) pour votre magasin d’attributs, en mappant l’attribut LDAP « E-Mail-Addresses » (Adresses e-mail) sur le type de revendication sortante « E-Mail Address » (Adresse e-mail) (voir capture d’écran).
  1. De nouveau, à l’aide de l’assistant « Edit Claim Rules » (Modifier les règles de revendication), ajoutez une règle avec le modèle « Transform an incoming claim » (Transformer une revendication entrante) afin de convertir les revendications entrantes de type « E-mail Address » avec le type de revendication sortante « Name ID » (ID de nom) et le format d’ID de nom sortant « Email » (E-mail), en transférant toutes les valeurs de revendication.
  1. À l’aide de l’assistant « Edit Claim Rules » (Modifier les règles de revendication), ajoutez une règle avec le modèle « Send Claims Using a Custom Rule » (Envoyer les revendications en utilisant une règle personnalisée) contenant la règle suivante :

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

Configuration de l’algorithme de hachage

  1. Modifiez les propriétés de votre entrée « Relying Party Trust » (Approbation de partie de confiance) pour le domaine que vous utilisez avec Adobe Admin Console et, dans l’onglet « Advanced » (Avancé), sélectionnez l’algorithme de hachage sécurisé SHA-1.

Test de l’authentification unique

  1. Créez un utilisateur test avec Active Directory, créez une entrée dans Adobe Admin Console pour cet utilisateur et affectez-lui une licence, puis testez la connexion sur http://www.adobe.com/fr/ pour vous assurer que les logiciels appropriés sont pris en compte pour le téléchargement.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne