Descripción general

1.setup-identity

El documento destaca el proceso para configurar la ventana de Adobe Admin Console con un servidor Microsoft AD FS.

No hace falta poder acceder al Proveedor de Identidad desde fuera de la red de la empresa; ahora bien, si no es así, las estaciones de trabajo de la red (o conectadas por VPN) serán las únicas aptas para efectuar la autenticación a fin de activar una licencia o de iniciar sesión tras desactivar su sesión.


Nota:

Las instrucciones y las capturas de pantalla de este documento son para AD FS versión 3.0, pero los mismos menús están presentes en AD FS 2.0.

Requisitos previos

Antes de crear un directorio para el inicio de sesión único mediante Microsoft AD FS, deben cumplirse los requisitos siguientes:

  • Se ha instalado una instancia de Microsoft Windows Server con Microsoft AD FS y las actualizaciones más recientes en el sistema operativo. Si desea que los usuarios utilicen los productos de Adobe con macOS, asegúrese de que el servidor admita la versión 1.2 de TLS y la confidencialidad directa. Para obtener más información sobre AD FS, consulte el documento de Identidad y Acceso de Microsoft.
  • Se debe poder acceder al servidor desde estaciones de trabajo de los usuarios, por ejemplo a través de HTTPS.
  • El certificado de seguridad se obtiene desde el servidor AD FS.
  • Todas las cuentas de Active Directory que se van a asociar con una cuenta de Creative Cloud para empresas deben tener una dirección de correo electrónico que se encuentre dentro de Active Directory.

Crear un directorio en Adobe Admin Console

Para configurar el inicio de sesión único para su dominio, debe hacer lo siguiente:

  1. Inicie sesión en Admin Console y empiece por la creación de un directorio de Federated ID, seleccionando Otros proveedores SAML como proveedor de identidades. Descargue el archivo de metadatos de Adobe de la pantalla Añadir perfil SAML.
  2. Configure AD FS especificando los valores de ACS URL y Entity ID , y descargue el archivo de metadatos de IdP.
  3. Regrese a Adobe Admin Console y cargue el archivo de metadatos de IdP en la pantalla Añadir perfil SAML; a continuación, haga clic en Hecho.

Para obtener más información sobre los detalles de cada paso, siga los hipervínculos.

Configurar el servidor AD FS

Para configurar la integración de SAML con AD FS, siga estos pasos:

Precaución:

Todos los pasos posteriores deben repetirse después de cualquier cambio en los valores de la Adobe Admin Console para un dominio específico.

  1. Navegue en la aplicación Administración de AD FS hasta AD FS -> Relaciones de confianza -> Veracidades de usuarios de confianza y haga clic en Agregar veracidad del usuario de confianza para iniciar el asistente.

  2. Haga clic en Inicio y seleccione Importar datos sobre el usuario de confianza de un archivo; a continuación, acceda a la ubicación donde ha copiado los metadatos en la Adobe Admin Console.

    08_-_import_metadata
  3. Asigne un nombre a la entrada de relación de confianza; a continuación, escriba notas adicionales si es preciso.

    Haga clic en Siguiente.

    09_-_name_relyingpartytrust
  4. Determine si hace falta autenticación multifactor y seleccione la opción pertinente.

    Haga clic en Siguiente.

  5. Determine si todos los usuarios pueden iniciar sesión a través de AD FS.

    Haga clic en Siguiente.

  6. Revise la configuración.

    Haga clic en Siguiente.

  7. La entrada de relación de confianza se ha añadido.

    Deje sin marcar la opción para abrir el cuadro de diálogo Editar reglas de notificación para acceder con rapidez a los pasos siguientes.

    Haga clic en Cerrar.

  8. Si el asistente Editar reglas de notificación no se ha abierto automáticamente, se puede acceder desde la aplicación Administración de AD FS en AD FS -> Relaciones de confianza -> Veracidades de usuarios de confianza, seleccionando la entrada de relación de confianza del inicio de sesión único de Adobe y haciendo clic en Editar reglas de notificación... en el lado derecho.

  9. Haga clic en Añadir regla y configure una regla con la plantilla Enviar atributos LDAP como notificaciones para el almacén de atributos, y asigne el atributo LDAP Direcciones de correo electrónico al tipo de notificación saliente Dirección de correo electrónico.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Nota:

    Como se muestra en la captura de pantalla anterior, recomendamos el uso de la dirección de correo electrónico como identificador principal. También se puede utilizar el campo Nombre principal de usuario como atributo LDAP enviado a una aserción como dirección de correo electrónico. Sin embargo, esta opción no se recomienda para configurar la regla de notificación.

    Con frecuencia, el nombre principal de usuario no se asigna a una dirección de correo electrónico; en muchos casos, será diferente. Eso causará problemas con toda probabilidad en las notificaciones y el uso compartido de recursos en Creative Cloud.

  10. Haga clic en Finalizar para completar la adición de la regla de transformación de notificación.

  11. Una vez más, con el asistente Editar reglas de notificación, añada una regla con la plantilla. Transforme una notificación entrante para convertir las notificaciones entrantes del tipo Dirección de correo electrónico con el tipo de notificación saliente Id. de nombre y el formato de Id. de nombre saliente como Correo electrónico, y transferir todos los valores de notificación.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Haga clic en Finalizar para completar la adición de la regla de transformación de notificación.

  13. Con el asistente Editar reglas de notificación, añada una regla utilizando la plantilla Enviar notificaciones con una regla personalizada, que contiene la regla siguiente:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Haga clic en Finalizar para completar el asistente para personalización de reglas.

  15. Haga clic en Aceptar en el cuadro de diálogo Editar reglas de notificación para finalizar la adición de estas tres reglas a la entrada de relación de confianza.

    16_-_edit_claim_rules

    Nota:

    El orden de las reglas de notificación es importante; deben aparecer como se muestra aquí.

Para evitar problemas de conectividad entre sistemas en los que el reloj difiere en una cantidad pequeña, establezca el sesgo del tiempo predeterminado en 2 minutos. Para obtener más información sobre el sesgo de tiempo, consulte el documento Solución de problemas de errores.

Descargar el archivo de metadatos de AD FS

  1. Abra la aplicación AD FS Management en el servidor. En la carpeta AD FS > Service > Endpoints, seleccione los metadatos de federación.

    Ubicación de los metadatos
  2. Mediante un navegador, acceda a la URL proporcionada en relación con los metadatos de federación y descargue el archivo. Por ejemplo, https://<Nombre de host de AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Nota:

    Acepte cualquier advertencia si aparece.

Descargar el archivo de metadatos de IdP en Adobe Admin Console

Para actualizar el certificado más reciente, regrese a la ventana de Adobe Admin Console. Cargue el certificado descargado de AD FS en la pantalla Añadir perfil SAML y haga clic en Hecho.

Próximos pasos: configuración completa para asignar aplicaciones a los usuarios

Una vez que haya configurado su directorio, haga lo siguiente para permitir que los usuarios de su organización utilicen las aplicaciones y servicios de Adobe:

  1. Agregue y configure los dominios de la Admin Console.
  2. Asocie los dominios con el directorio AD FS.
  3. (Opcional) Si sus dominios ya están establecidos dentro de la Admin Console en otro directorio, transfiéralos directamente al directorio de AD FS recién creado.
  4. Agregue perfiles de producto para ajustar el uso de sus planes adquiridos.
  5. Ponga a prueba su configuración de SSO agregando un usuario de prueba.
  6. Elija su estrategia y herramientas de gestión de usuarios según sus requisitos. Luego, agregue usuarios a la Admin Console y asígnelos a perfiles de productos para que los usuarios comiencen a usar sus aplicaciones de Adobe.

Para obtener más información sobre otras herramientas y técnicas relacionadas con la identidad, consulte Establecer identidad.

Probar el inicio de sesión único

Cree un usuario de prueba con directorio activo, cree una entrada en la Admin Console para este usuario y asígnele una licencia; después, pruebe el inicio de sesión en Adobe.com para confirmar que el software correspondiente está enumerado para la descarga.

También puede hacer una prueba iniciando sesión en la aplicación de escritorio de Creative Cloud y en una aplicación como Photoshop o Illustrator.

Si tiene problemas, consulte nuestro documento de resolución de problemas.Si tiene problemas con la configuración de inicio de sesión único, vaya a Asistencia en Adobe Admin Console y abra un ticket para Asistencia al cliente.