Remarque :

Si vous déployez des licences pour la première fois pour vos utilisateurs finaux dans Microsoft Azure AD, utilisez le processus simplifié de la console d’administration pour configurer le SSO avec Microsoft Azure à l’aide de l’outil Connecteur Azure AD.

Présentation

La console d’administration Adobe permet à un administrateur système de configurer les domaines et répertoires utilisés pour la connexion par l’intermédiaire de Federated ID pour l’authentification unique (SSO). Une fois que la propriété d’un domaine est démontrée à l’aide d’un jeton DNS et qu’elle a été associée à un répertoire Federated ID, les utilisateurs ayant des adresses électroniques dans le domaine revendiqué peuvent se connecter à Creative Cloud via un système Identity Provider (IdP), une fois les comptes correspondants créés sur la console d’administration Adobe appropriée. Le processus est fourni en tant que service logiciel exécuté au sein du réseau de l’entreprise et accessible depuis Internet ou en temps que service cloud hébergé par un tiers qui autorise la vérification des informations de connexion utilisateur par le biais de la communication sécurisée à l’aide du protocole SAML.

Un tel IdP est Microsoft Azure, un service basé sur le cloud qui facilite la gestion des identités sécurisées.

Azure AD utilise l’attribut userPrincipalName ou vous permet de spécifier l’attribut (dans une installation personnalisée) à utiliser sur site en tant que nom principal d’utilisateur dans Azure AD. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans Azure AD, elle est remplacée par la valeur .onmicrosoft.com par défaut.

Lorsqu’un utilisateur s’authentifie sur l’application, Azure AD émet un jeton SAML à l’application qui contient des informations (ou revendications) concernant les utilisateurs qui les identifient de manière unique. Par défaut, ces informations incluent le nom d’utilisateur, l’adresse électronique, le prénom et le nom d’un utilisateur. Vous pouvez afficher ou modifier les demandes envoyées dans le jeton SAML à l’application dans l’onglet Attributs et libérer l’attribut de nom d’utilisateur.

Conditions préalables

Avant de configurer un domaine pour l’authentification unique à l’aide du fournisseur d’identité Microsoft Azure, les conditions suivantes doivent être réunies :

  • Un domaine approuvé qui correspond au domaine DNS dans lequel vos utilisateurs résident, qui est lié à un répertoire fédéré sur votre Adobe Admin Console. Pour plus d’informations, consultez notre documentation générale sur la configuration de l’identité.
  • Le tableau de bord Microsoft Azure est accessible et vous êtes connecté en tant qu’administrateur capable de créer une nouvelle application d’entreprise

Création de l’application SSO dans l’Azure pour Adobe

Pour configurer SSO dans Azure, suivez les étapes ci-dessous :

  1. Accédez à Azure Active Directory> Applications d’entreprise > Toutes les applications, puis cliquez sur Nouvelle application.

  2. Sous Ajouter à partir de la galerie, entrez « Adobe Creative Cloud » dans le champ de recherche

  3. Sélectionnez Adobe Creative Cloud, renommez votre connecteur, cliquez sur Ajouter et attendez la fin du processus.

    add_application
  4. Accédez à Azure Active Directory > Applications d’entreprise > Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud pour accéder à la page Présentation.

  5. Dans un onglet distinct de votre navigateur Web, connectez-vous à votre console d’administration Adobe. Accédez ensuite à Paramètres > Identité et cliquez sur le bouton Configurer en regard du répertoire que vous configurez pour accéder à sa page de configuration. Pour en savoir plus sur l’identité des utilisateurs et les répertoires, consultez Configurer l’identité.

    Configurer le répertoire
  6. Accédez à la fenêtre du portail Azure et sélectionnez Authentification unique > SAML.

    SAML
  7. Dans la Configuration SAML de base, ajoutez l’identifiant (ID de saisie) et définissez l’URL de connexion sur https://adobe.com. Cliquez ensuite sur Enregistrer.

    Config. SAML de base
  8. Pour formater les attributs de jeton SAML, cliquez sur le bouton Modifier et ouvrez la boîte de dialogue Attributs utilisateur. Cliquez ensuite sur Ajouter une nouvelle demande pour modifier les attributs sur la page Demandes et attributs utilisateur comme suit, en laissant l’entrée Espace de nom vide.

    NOM VALEUR ESPACE DE NOM
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  9. Lorsque tous les attributs sont définis pour correspondre aux valeurs suivantes, fermez la page Demandes et attributs utilisateur.

    Attribut utilisateur

    Remarque :

    • Pour authentifier les utilisateurs par courrier électronique, définissez UserIdentifier sur user.mail. Pour authentifier les utilisateurs par UserPrincipalName, définissez UserIdentifier sur user.userprincipalname.
    • Les utilisateurs doivent disposer d’une licence Office 365 ExO valide pour que la valeur de demande de courrier électronique soit ajoutée à la réponse SAML.

  10. Depuis la section Certificat de signature SAML, téléchargez le fichier Certificat (Base64) et enregistrez-le sur votre ordinateur.

    Certificat de signature SAML
  11. Copiez ensuite les URL appropriées de la section Configuration de <Name> selon vos besoins.

    Configuration
  12. Copiez l’ID d’entité SAML Azure AD à partir du portail Azure et collez-le dans le champ Émetteur de l’IdP de la page de configuration d’identité de votre domaine sur votre console d’administration Adobe.

  13. Copiez l’URL de service d’authentification unique Azure AD à partir du portail Azure et collez-la dans le champ URL de connexion de l’IdP de la page de configuration d’identité de votre domaine sur votre console d’administration Adobe.

  14. Cliquez sur le 'X' pour fermer la page de documentation sur le portail Azure et revenir à la fenêtre de configuration de l’application Enterprise pour votre connecteur Adobe SSO.

  15. Dans la section « Certificat de signature SAML », cliquez sur Certificat (base 64) sur le côté droit pour télécharger le fichier de certificat.

  16. Chargez le certificat obtenu à l’étape précédente sur votre console d’administration Adobe en tant que certificat IdP et enregistrez ces informations en cliquant sur configuration terminée. Cliquez ensuite sur Enregistrer.

    01_-_configure_saml
  17. Cochez la case pour confirmer que vous comprenez la nécessité de terminer la configuration avec votre fournisseur d’identité. Cette opération sera effectuée dans les prochaines étapes sur votre portail Azure.

  18. Enregistrez les paramètres de ce répertoire depuis votre console d’administration Adobe en cliquant sur le bouton Télécharger les métadonnées.

    Vous utiliserez ce fichier pour obtenir des attributs particuliers de la configuration.

    configure_directoryanddownloadmetadata
  19. Cliquez sur Terminer pour activer le répertoire.

  20. Ouvrez les métadonnées dans un éditeur de texte ou un navigateur Web et copiez les valeurs de EntityID et AssertionConsumerService sur votre portail Azure, respectivement dans les champs Identifier et ReplyURL, comme indiqué dans l’exemple de capture d’écran ci-dessous.

    metadata_example
    • Utilisez l’URL de l’EntityID à partir des métadonnées dans le champ Identifier de votre configuration Azure :
      cette adresse prend la forme suivante : https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Utilisez l’URL de AssertionConsumerService pour l’URL de réponse dans votre configuration Azure
      Cette adresse se présente comme suit : https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. Enregistrez ces paramètres sur votre portail Azure en utilisant le lien « Enregistrer » en haut de la page.

Affectation des utilisateurs par le biais d’Azure

Pour affecter des utilisateurs via Microsoft Azure afin de leur permettre de se connecter à l’aide du connecteur Adobe Creative Cloud, procédez comme suit. Notez que vous devrez toujours affecter des licences via la console d’administration Adobe.

  1. Accédez à Azure Active Directory -> Applications d’entreprise -> Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud.

  2. Cliquez sur Utilisateurs et groupes.

  3. Cliquez sur Ajouter un utilisateur pour sélectionner les utilisateurs à affecter à ce connecteur, ce qui leur permettra de se connecter via l’authentification unique.

  4. Cliquez sur Utilisateurs ou Groupes et sélectionnez un ou plusieurs utilisateurs ou groupes autorisés à se connecter à Creative Cloud, puis cliquez sur Sélectionner suivi de Affecter.

Test de l’accès utilisateur

Pour tester l’accès utilisateur, effectuez les étapes suivantes :

  1. En outre, veillez à ajouter des utilisateurs au sein de la console d’administration Adobe en tant que Federated ID et à les affecter à un groupe pour les droits.

  2. À ce stade, saisissez votre adresse électronique/UPN dans le formulaire de connexion Adobe et appuyez sur la touche Tab. Vous êtes alors fédéré sur Azure AD :

    • Dans un navigateur Web : www.adobe.com, cliquez sur Connexion dans le coin supérieur droit de la page.
    • Dans l’application de bureau Creative Cloud
    • À partir d’une application Adobe Creative Cloud telle que Photoshop ou Illustrator, dans le menu Aide > Connexion...

Si vous rencontrez des problèmes, consultez notre document de dépannage.

Si vous avez besoin d’aide supplémentaire avec la configuration de votre authentification unique, accédez à votre console administration Adobe, ouvrez la section Support et ouvrez un ticket, ou cliquez sur support sur le site Web d’Adobe.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne