Gestion de l’authentification unique basée sur SAML pour Microsoft Azure
New feature alert

Cet article décrit l’ancienne configuration SAML pour Microsoft Azure AD.

Pour les nouvelles configurations, il est recommandé d’utiliser Azure AD Connector, qui peut être configuré en quelques minutes et accélère le processus de demande de dépôt pour un domaine, de configuration du SSO et de synchronisation utilisateur.


Présentation

Adobe Admin Console permet aux administrateurs système de configurer des domaines utilisés pour se connecter au moyen d’un Federated ID à des fins d’authentification unique (SSO). Une fois le domaine vérifié, le répertoire contenant le domaine est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud avec leur adresse e-mail via un fournisseur d’identité (IdP). Le processus est réalisé soit avec un service logiciel exécuté sur le réseau de la société et accessible par Internet, soit avec un service de cloud hébergé par un tiers qui se charge de vérifier les identifiants de connexion des utilisateurs par le biais d’un système de communication sécurisé utilisant le protocole SAML.

Microsoft Azure est l’un de ces fournisseurs d’identité. Il s’agit d’un service basé dans le cloud qui permet de gérer les identités de manière sécurisée.

Azure AD utilise l’attribut userPrincipalName ou (dans le cadre d’une installation personnalisée) vous permet de spécifier l’attribut à employer sur site en tant que nom principal d’utilisateur dans Azure AD. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans Azure AD, ce dernier la remplace par une valeur .onmicrosoft.com par défaut.

Lorsqu’un utilisateur s’authentifie dans l’application, Azure AD émet un jeton SAML à destination de celle-ci, qui contient des informations (ou des revendications) au sujet de l’utilisateur afin de l’identifier de manière unique. Par défaut, ces informations comprennent l’identifiant, l’adresse e-mail, le prénom et le nom de l’utilisateur. Vous pouvez consulter et modifier les revendications envoyées dans le jeton SAML à l’application dans l’onglet Attributs et publier l’attribut du nom d’utilisateur.

Configuration de l’authentification unique à l’aide d’Azure

Pour configurer l’authentification unique pour votre domaine, procédez comme suit :

  1. Connectez-vous à Admin Console et commencez par créer un répertoire de Federated ID, en sélectionnant Autres fournisseurs SAML en tant que fournisseur d’identité. Copiez les valeurs pour l’URL ACS et pour l’ID d’entité à partir de l’écran Ajouter un profil SAML.
  2. Configurez Azure en spécifiant l’URL ACS et l’ID d’entité et téléchargez le fichier de métadonnées IdP.
  3. Retournez dans Adobe Admin Console et chargez le fichier de métadonnées IdP sur l’écran Ajouter un profil SAML, puis cliquez sur Terminé.

Création d’une application SSO dans Azure pour Adobe

Assurez-vous que le tableau de bord Microsoft Azure est accessible et que vous êtes connecté en tant qu’administrateur pour pouvoir créer une nouvelle application d’entreprise.

Pour configurer l’authentification unique dans Azure, procédez comme suit :

  1. Accédez à Azure Active Directory > Applications d’entreprise > Toutes les applications et cliquez sur Nouvelle application.

  2. Sous Ajouter depuis la galerie, saisissez « Adobe Creative Cloud » dans le champ de recherche

  3. Sélectionnez Adobe Creative Cloud, renommez votre connecteur et cliquez sur Ajouter, puis attendez que le processus se termine.

    add_application
  4. Accédez à Azure Active Directory> Applications d’entreprise> Toutes les applications et sélectionnez votre nouvelle application de connecteur Adobe Creative Cloud pour passer à la page Aperçu.

  5. Sélectionnez Authentification unique > SAML.

    SAML
  6. Dans la configuration SAML de base, entrez l’ID d’entité et l’URL ACS copiés à partir d’Adobe Admin Console. Cliquez ensuite sur Enregistrer.

    Configuration SAML de base
  7. Pour formater les attributs de jeton SAML, cliquez sur le bouton Modifier et ouvrez la boîte de dialogue Attributs utilisateur. Ensuite, cliquez sur Ajouter une nouvelle revendication pour modifier les attributs sur la page Attributs utilisateur et revendications comme suit, en laissant l’entrée Espace de noms vide.

    NOM VALEUR ESPACE DE NOMS
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. Lorsque tous les attributs sont définis pour correspondre aux valeurs suivantes, fermez la page Attributs utilisateur et revendications.

    Attribut utilisateur

    Remarque :

    • Pour authentifier les utilisateurs par e-mail, définissez UserIdentifier sur user.mail. Pour authentifier les utilisateurs par UserPrincipalName, définissez UserIdentifier sur user.userprincipalname.
    • Les utilisateurs doivent disposer d’une licence Office 365 ExO valide pour que la valeur de revendication d’e-mail soit ajoutée dans la réponse SAML.

  9. Dans la section Certificat de signature SAML, téléchargez le fichier Certificate (Base64) et enregistrez-le sur votre ordinateur.

    Certificat de signature SAML
  10. Ensuite, copiez les URL appropriées à partir de la section Configurer <Nom> selon vos exigences.

    Configuration
  11. Cliquez sur le « X » pour fermer la page de documentation sur le portail Azure et revenir à la fenêtre de configuration de l’application d’entreprise pour votre connecteur Adobe SSO.

  12. Dans la section « Certificat de signature SAML », cliquez sur Certificat (Base 64) à droite pour télécharger le fichier de certificat.

Chargement du fichier de métadonnées IdP sur Adobe Admin Console

Pour mettre à jour le dernier certificat sur Adobe Admin Console, revenez à Adobe Admin Console. Chargez le certificat téléchargé depuis Azure sur l’écran Ajouter un profil SAML et cliquez sur Terminé.

Affectation d’utilisateurs via Azure

Pour affecter des utilisateurs via Microsoft Azure pour leur permettre de se connecter à l’aide du connecteur Adobe Creative Cloud, procédez comme suit. Vous devez également affecter des licences via Adobe Admin Console.

  1. Accédez à Azure Active Directory -> Applications d’entreprise -> Toutes les applications, et sélectionnez votre application de connecteur Adobe Creative Cloud.

  2. Cliquez sur Utilisateurs et groupes.

  3. Cliquez sur Ajouter un utilisateur pour sélectionner les utilisateurs à affecter à ce connecteur, ce qui leur permettra de se connecter via l’authentification unique.

  4. Cliquez sur Utilisateurs ou sur Groupes et sélectionnez un ou plusieurs utilisateurs ou groupes autorisés à se connecter à Creative Cloud, puis cliquez sur Sélectionner, puis Affecter.

Test des accès utilisateur

Vérifiez les paramètres d’accès avec un utilisateur défini à la fois dans votre propre système de gestion des identités et dans Adobe Admin Console en vous connectant sur le site web Adobe ou dans l’application pour postes de travail Creative Cloud.

En cas de problème, consultez notre document de dépannage.

Si vous avez besoin d’aide concernant la configuration de l’authentification unique, accédez à Adobe Admin Console > Assistance pour nous contacter.