Guide d'utilisation Annuler

Configuration de Microsoft AD FS pour une utilisation avec Adobe SSO

Présentation

Ce document met en évidence le processus de configuration d’Adobe Admin Console avec un serveur Microsoft AD FS.

Il n’est pas nécessaire que le fournisseur d’identité soit accessible de l’extérieur du réseau d’entreprise, mais s’il ne l’est pas, seuls les postes de travail au sein du réseau (ou connectés via VPN) pourront effectuer l’authentification pour activer une licence ou se connecter après la désactivation de leur session.

Configurer l’authentification unique avec Microsoft AD FS (Durée : 17 min)
Remarque :

Les instructions et les captures d’écran de ce document concernent AD FS version 3.0, mais AD FS 2.0 contient les mêmes menus.

Conditions préalables

Avant de créer un répertoire pour l’authentification unique avec Microsoft AD FS, les conditions suivantes doivent être réunies :

  • Un serveur Microsoft Windows installé avec Microsoft AD FS et les dernières mises à jour du système d’exploitation. Si vous souhaitez que les utilisateurs utilisent les produits Adobe avec macOS, assurez-vous que votre serveur prend en charge la version 1.2 de TLS et transfère le secret. Pour en savoir plus sur AD FS, consultez le document sur l’identité et l’accès Microsoft.
  • Le serveur doit être accessible depuis les postes de travail des utilisateurs (par exemple, via HTTPS).
  • Un certificat de sécurité a été obtenu à partir du serveur AD FS.
  • Tous les comptes Active Directory à associer à un compte Creative Cloud abonnement Entreprise doivent disposer d’une adresse e-mail répertoriée dans Active Directory.

Création d’un répertoire dans Adobe Admin Console.

Pour configurer l’authentification unique pour votre domaine, procédez comme suit : 

  1. Connectez-vous à Admin Console et commencez par créer un répertoire de Federated ID, en sélectionnant Autres fournisseurs SAML en tant que fournisseur d’identité. Téléchargez le fichier de métadonnées Adobe à partir de l’assistant Créer un répertoire.
  2. Configurez AD FS en spécifiant l’URL ACS et l’ID d’identité et téléchargez le fichier de métadonnées IdP.
  3. Retournez dans Adobe Admin Console et chargez le fichier de métadonnées du fournisseur d’identité dans l’assistant Créer un répertoire. Sélectionnez ensuite Suivant, configurez la création automatique de compte, puis sélectionnez Terminé.

Pour en savoir plus sur les détails de chaque étape, suivez les hyperliens.

Configuration du serveur AD FS

Pour configurer votre intégration SAML avec AD FS, procédez comme suit :

Attention :

Toutes les étapes suivantes doivent être réitérées après toute modification au niveau des valeurs d’un domaine donné dans Adobe Admin Console.

  1. Dans l’application AD FS Management, accédez à AD FS-> Relations de confiance-> Approbations de partie de confiance et cliquez sur Ajouter l’approbation de partie de confiance pour démarrer l’assistant.

  2. Cliquez sur Démarrer et sélectionnez Importer des données d’une partie de confiance à partir d’un fichier, puis accédez à l’emplacement où vous avez copié les métadonnées depuis votre Adobe Admin Console.

  3. Nommez votre approbation de partie de confiance et ajoutez des remarques si nécessaire.

    Cliquez sur Suivant.

  4. Déterminez si l’authentification multifacteur est requise et sélectionnez l’option appropriée.

    Cliquez sur Suivant.

  5. Déterminez si tous les utilisateurs peuvent se connecter via AD FS.

    Cliquez sur Suivant.

  6. Vérifiez vos paramètres.

    Cliquez sur Suivant.

  7. Votre approbation de partie de confiance a été ajoutée.

    Laissez l’option cochée pour ouvrir la boîte de dialogue Modifier les règles de revendication afin d’accéder rapidement aux étapes suivantes.

    Cliquez sur Fermer.

  8. Si l’assistant Modifier les règles de revendication ne s’ouvre pas automatiquement, vous pouvez y accéder depuis l’application AD FS Management sous AD FS -> Relations de confiance -> Approbation de partie de confiance, en sélectionnant votre approbation de partie de confiance Adobe SSO et en cliquant sur Modifier les règles de revendication... à droite.

  9. Cliquez sur Ajouter une règle et configurez une règle à l’aide du modèle Envoyer les attributs LDAP en tant que revendications pour votre magasin d’attributs, en mappant l’attribut LDAP Adresses e-mail sur le type de revendication sortante Adresse e-mail.

    Remarque :

    Comme indiqué dans la capture d’écran ci-dessus, nous vous suggérons d’utiliser l’adresse e-mail comme identifiant principal. Vous pouvez également utiliser le champ Nom d’utilisateur principal (UPN) comme attribut LDAP envoyé dans une assertion comme adresse e-mail. Cependant, nous ne recommandons pas de procéder de la sorte pour configurer la règle de revendication.

    Souvent, l’UPN ne correspond pas à une adresse e-mail et sera dans de nombreux cas différent. Cela entraînera très probablement des problèmes au niveau des notifications et du partage des ressources dans Creative Cloud.

  10. Cliquez sur Terminer pour terminer l’ajout de la règle de revendication de transformation.

  11. De nouveau, à l’aide de l’assistant Modifier les règles de revendication, ajoutez une règle avec le modèle Transformer une revendication entrante afin de convertir les revendications entrantes de type Adresses e-mail avec le type de revendication sortante ID de nom et le format d’ID de nom sortant E-mail, en transférant toutes les valeurs de revendication.

  12. Cliquez sur Terminer pour terminer l’ajout de la règle de revendication de transformation.

  13. À l’aide de l’assistant Modifier les règles de revendication, ajoutez une règle avec le modèle Envoyer les revendications en utilisant une règle personnalisée contenant la règle suivante :

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Cliquez sur Terminer pour quitter l’assistant de règle personnalisée.

  15. Cliquez sur OK dans la boîte de dialogue Modifier les règles de revendication pour terminer l’ajout de ces trois règles à votre approbation de partie de confiance.

    Remarque :

    L’ordre des règles de revendication est important ; elles doivent apparaître comme indiqué ici.

Pour éviter les problèmes de connectivité entre les systèmes où l’horloge diffère légèrement, définissez le décalage horaire par défaut sur 2 minutes. Pour plus d’informations sur le décalage temporel, consultez le document sur la résolution des erreurs.

Téléchargement du fichier de métadonnées AD FS

  1. Ouvrez l’application AD FS Management sur votre serveur et dans le dossier AD FS> Service > Points de terminaison, sélectionnez Métadonnées de la fédération.

    Emplacement des métadonnées

  2. Utilisez un navigateur pour accéder à l’URL fournie par rapport aux métadonnées de fédération et téléchargez le fichier. Par exemple, https://<votre nom d’hôte AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Remarque :
    • Acceptez tous les avertissements si vous y êtes invité.
    • Pour connaître votre nom d’hôte Microsoft AD FS sur un système d’exploitation Windows :
      ouvrez Windows PowerShell > Exécuter en tant qu’administrateur > saisissez Get-AdfsProperties > appuyez sur entrée > recherchez votre Nom d’hôte dans la liste détaillée.

Chargement du fichier de métadonnées IdP sur Adobe Admin Console

Pour mettre à jour le dernier certificat, revenez à la fenêtre Adobe Admin Console. Chargez le fichier de métadonnées téléchargé depuis AD FS sur l’écran Ajouter un profil SAML et cliquez sur Terminé.

Étapes suivantes : terminer la configuration pour affecter des applications aux utilisateurs

Une fois que vous avez configuré votre répertoire, procédez comme suit pour permettre aux utilisateurs de votre organisation d’utiliser les applications et services Adobe :

  1. Ajoutez et configurez des domaines dans Admin Console.
  2. Associez les domaines avec le répertoire AD FS.
  3. (Facultatif) Si vos domaines sont déjà établis dans Admin Console dans un autre répertoire, transférez-les directement vers le répertoire AD FS nouvellement créé.
  4. Ajoutez des profils de produits pour affiner l’utilisation des formules que vous avez achetées.
  5. Testez votre configuration SSO en ajoutant un utilisateur test.
  6. Choisissez une stratégie et des outils de gestion des utilisateurs en fonction de vos besoins. Ensuite, ajoutez des utilisateurs à Admin Console et affectez-les à des profils de produits pour permettre aux utilisateurs de démarrer avec leurs applications Adobe.

Pour en savoir plus sur les autres outils et techniques liés à l’identité, consultez la section Configuration des identités.

Test de l’authentification unique

Créez un utilisateur test avec Active Directory, créez une entrée dans Admin Console pour cet utilisateur et affectez-lui une licence, puis testez la connexion sur Adobe.com pour vous assurer que les logiciels appropriés sont pris en compte pour le téléchargement.

Vous pouvez également faire un test en vous connectant à l’application pour postes de travail Creative Cloud dans une application telle que Photoshop ou Illustrator.

En cas de problème, consultez notre document de dépannage. Si vous avez toujours besoin d’aide concernant la configuration de l’authentification unique, rendez-vous dans la section Assistance d’Adobe Admin Console et ouvrez un ticket auprès du service clientèle.

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?