Cet article décrit l’ancienne configuration SAML pour Microsoft Azure AD.
Pour les nouvelles configurations, il est recommandé d’utiliser Azure AD Connector, qui peut être configuré en quelques minutes et accélère le processus de demande de dépôt pour un domaine, de configuration du SSO et de synchronisation utilisateur.
Adobe Admin Console permet aux administrateurs système de configurer des domaines utilisés pour se connecter au moyen d’un Federated ID à des fins d’authentification unique (SSO). Une fois le domaine vérifié, le répertoire contenant le domaine est configuré pour permettre aux utilisateurs de se connecter à Creative Cloud avec leur adresse e-mail via un fournisseur d’identité (IdP). Le processus est réalisé soit avec un service logiciel exécuté sur le réseau de la société et accessible par Internet, soit avec un service de cloud hébergé par un tiers qui se charge de vérifier les identifiants de connexion des utilisateurs par le biais d’un système de communication sécurisé utilisant le protocole SAML.
Microsoft Azure est l’un de ces fournisseurs d’identité. Il s’agit d’un service basé dans le cloud qui permet de gérer les identités de manière sécurisée.
Azure AD utilise l’attribut userPrincipalName ou (dans le cadre d’une installation personnalisée) vous permet de spécifier l’attribut à employer sur site en tant que nom principal d’utilisateur dans Azure AD. Si la valeur de l’attribut userPrincipalName ne correspond pas à un domaine vérifié dans Azure AD, ce dernier la remplace par une valeur .onmicrosoft.com par défaut.
Lorsqu’un utilisateur s’authentifie dans l’application, Azure AD émet un jeton SAML à destination de celle-ci, qui contient des informations (ou des revendications) au sujet de l’utilisateur afin de l’identifier de manière unique. Par défaut, ces informations comprennent l’identifiant, l’adresse e-mail, le prénom et le nom de l’utilisateur. Vous pouvez consulter et modifier les revendications envoyées dans le jeton SAML à l’application dans l’onglet Attributs et publier l’attribut du nom d’utilisateur.
Pour configurer l’authentification unique pour votre domaine, procédez comme suit :
- Connectez-vous à Admin Console et commencez par créer un répertoire de Federated ID, en sélectionnant Autres fournisseurs SAML en tant que fournisseur d’identité. Copiez les valeurs pour l’URL ACS et pour l’ID d’entité à partir de l’écran Ajouter un profil SAML.
- Configurez Azure en spécifiant l’URL ACS et l’ID d’entité et téléchargez le fichier de métadonnées IdP.
- Retournez dans Adobe Admin Console et chargez le fichier de métadonnées IdP sur l’écran Ajouter un profil SAML, puis cliquez sur Terminé.
Assurez-vous que le tableau de bord Microsoft Azure est accessible et que vous êtes connecté en tant qu’administrateur pour pouvoir créer une nouvelle application d’entreprise.
Pour configurer l’authentification unique dans Azure, procédez comme suit :
-
Pour formater les attributs de jeton SAML, cliquez sur le bouton Modifier et ouvrez la boîte de dialogue Attributs utilisateur. Ensuite, cliquez sur Ajouter une nouvelle revendication pour modifier les attributs sur la page Attributs utilisateur et revendications comme suit, en laissant l’entrée Espace de noms vide.
-
Lorsque tous les attributs sont définis pour correspondre aux valeurs suivantes, fermez la page Attributs utilisateur et revendications.
Remarque :
- Pour authentifier les utilisateurs par e-mail, définissez UserIdentifier sur user.mail. Pour authentifier les utilisateurs par UserPrincipalName, définissez UserIdentifier sur user.userprincipalname.
- Les utilisateurs doivent disposer d’une licence Office 365 ExO valide pour que la valeur de revendication d’e-mail soit ajoutée dans la réponse SAML.
Pour mettre à jour le dernier certificat sur Adobe Admin Console, revenez à Adobe Admin Console. Chargez le certificat téléchargé depuis Azure sur l’écran Ajouter un profil SAML et cliquez sur Terminé.
Pour affecter des utilisateurs via Microsoft Azure pour leur permettre de se connecter à l’aide du connecteur Adobe Creative Cloud, procédez comme suit. Vous devez également affecter des licences via Adobe Admin Console.
Vérifiez les paramètres d’accès avec un utilisateur défini à la fois dans votre propre système de gestion des identités et dans Adobe Admin Console en vous connectant sur le site web Adobe ou dans l’application pour postes de travail Creative Cloud.
En cas de problème, consultez notre document de dépannage.
Si vous avez besoin d’aide concernant la configuration de l’authentification unique, accédez à Adobe Admin Console > Assistance pour nous contacter.