Información general

La Adobe Admin Console permite a un administrador del sistema configurar los dominios que se utilizan para iniciar sesión a través de Federated ID para el inicio de sesión único (SSO). Una vez que la titularidad de un dominio se ha demostrado por medio de un token de DNS, el dominio se puede configurar para permitir que los usuarios inicien sesión en Creative Cloud mediante direcciones de correo electrónico pertenecientes a ese dominio a través de un proveedor de identidades (IdP), un software instalado en un servidor al que se puede acceder a través de Internet o un servicio en la nube alojado por terceros que permite la verificación de los datos de inicio de sesión del usuario a través de la comunicación segura mediante el protocolo de SAML.

Uno de estos IdP es Servicios de federación de Active Directory o AD FS de Microsoft. Para utilizar AD FS debe configurarse un servidor al que se pueda acceder desde Internet y que tenga acceso a los servicios de directorio desde la red de la empresa. Este documento tiene como objetivo describir el proceso necesario para configurar la Adobe Admin Console y un servidor AD FS de Microsoft para poder iniciar sesión en las aplicaciones de Adobe Creative Cloud y en las páginas web asociadas para el inicio de sesión único.

El acceso al IdP se logra habitualmente a través de una red diferente para la cual se han configurado reglas específicas para permitir solamente determinados tipos de comunicación entre los servidores y las redes interna y externa, normalmente designadas como DMZ o zona desmilitarizada. La configuración del sistema operativo en este servidor y la topología de esta red quedan fuera del alcance y el propósito de este documento.

Requisitos previos

Antes de configurar un dominio para el inicio de sesión único con Microsoft AD FS, deben cumplirse los siguientes requisitos:

  • Se ha reivindicado el dominio en la Adobe Admin Console mostrándolo como “Activo” en la columna “Estado del dominio”
  • Se ha instalado el servidor AD FS con una versión compatible de Microsoft Windows Server y las últimas actualizaciones del sistema operativo y se puede acceder a este de forma externa (por ejemplo, mediante HTTPS)
  • Certificado de seguridad obtenido desde el servidor AD FS
  • Todas las cuentas de Active Directory que se vayan a asociar con una cuenta de Creative Cloud para empresas deben tener una dirección de correo electrónico incluida en Active Directory.

Configuración

Para configurar la Adobe Admin Console, tal como se muestra en la captura de pantalla que aparece arriba, realice los pasos siguientes:

Cargue el certificado en la consola

  1. En la vista “Certificados” de la aplicación de administración de AD FS 2.0, seleccione el certificado de inicio de sesión mediante token y haga clic en “Ver certificado…” para abrir la ventana propiedades del certificado.
  2. En la pestaña Detalles, haga clic en “Copiar en archivo…” y utilice el asistente para guardar el certificado como "Base-64 encoded X. 509 (.CER)" (esto equivale a un certificado en formato PEM).
  3. Cargue el archivo de certificado guardado en la Adobe Admin Console.

Establezca los valores de configuración del servidor AD FS

  1. Copie la URL del emisor de IDP desde la ventana de propiedades del servicio de federación en el servidor AD FS en el campo “Identificador del servicio de federación” (tenga en cuenta que el campo debe coincidir exactamente), por ejemplo: http://adfs.example.com/adfs/services/trust (no es necesario que se pueda acceder a esta dirección de forma externa)
  2. Determine la URL de inicio de sesión de IDP, de forma predeterminada para Microsoft AD FS esta dirección adoptará la forma https://adfs.example.com/adfs/ls/
  3. Seleccione HTTP-REDIRECT como enlace de IDP
  4. Deje la configuración de inicio de sesión del usuario como “Dirección de correo electrónico”

Copie los metadatos en el servidor AD FS

NOTA: este paso y todos los pasos posteriores deben repetirse después de cualquier cambio en los valores de la Adobe Admin Console para un dominio dado

  1. Descargue el archivo de metadatos desde la Adobe Admin Console
  2. Copie el archivo en el servidor AD FS
  3. Cree una nueva Relación de confianza para usuario autenticado en el servidor AD FS mediante el archivo de metadatos obtenido en la consola (consulte la captura de pantalla)

Configure reglas de reivindicación en el servidor AD FS

  1. Con el asistente para “Editar reglas de reivindicación”, añada una regla con la plantilla “Enviar atributos de LDAP como reivindicaciones” para el almacén de atributos, asignando el atributo LDAP “Direcciones de correo electrónico” al tipo reivindicación de salida “Dirección de correo electrónico” (consulte la captura de pantalla)
  1. De nuevo, con el asistente para “Editar reglas de reivindicación”, añada una regla con la plantilla “Transformar una reivindicación de entrada” para convertir las reivindicaciones entrantes del tipo “Dirección de correo electrónico” con el tipo de reivindicación de salida “ID de nombre" y el formato ID de nombre de salida como "Correo electrónico”, pasando por todos los valores de reivindicación.
  1. Con el asistente para “Editar reglas de reivindicación”, añada una regla con la plantilla “Enviar reivindicaciones con una regla personalizada” que incluya la siguiente regla:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

Configure el algoritmo hash

  1. Modifique las propiedades de su entrada de Relación de confianza para usuario autenticado para el dominio que esté utilizando con la Adobe Admin Console y en la pestaña “Avanzadas”, seleccione un algoritmo hash seguro de SHA-1

Pruebe el inicio de sesión único

  1. Cree un usuario de prueba con Active Directory, cree una entrada en la Adobe Admin Console para ese usuario y asígnele una licencia. A continuación pruébelo abriendo una sesión en http://www.adobe.com/es/ para confirmar que el software en cuestión aparece para su descarga.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea