Administrar SSO basado en SAML para Microsoft Azure
New feature alert

En este artículo se describe la configuración anterior basada en SAML para Microsoft Azure AD.

Para nuevas configuraciones, se recomienda utilizar Azure AD Connector, que se puede configurar en minutos y acorta el proceso de reivindicación de dominio, configuración de SSO y sincronización de usuarios.


Información general

Adobe Admin Console permite a un administrador del sistema configurar los dominios que se utilizan para iniciar sesión a través de Federated ID para el inicio de sesión único (SSO). Una vez que se verifica el dominio, se configura el directorio que contiene el dominio para permitir que los usuarios inicien sesión en Creative Cloud. Los usuarios pueden iniciar sesión con direcciones de correo electrónico de ese dominio a través de un proveedor de identidades (IdP). El proceso se suministra, o bien como un servicio de software que se ejecuta dentro de la red de la empresa y es accesible desde Internet, o bien como un servicio en la nube alojado por terceros que permite la verificación de los detalles del inicio de sesión a través de la comunicación segura con el protocolo de SAML.

Uno de estos proveedores de identidades es Microsoft Azure, un servicio basado en la nube que facilita la administración segura de identidades.

Azure AD utiliza el atributo userPrincipalName o permite especificar el atributo (en una instalación personalizada) que se utilizará localmente como el nombre principal del usuario en Azure AD. Si el valor del atributo userPrincipalName no corresponde a un dominio verificado en Azure AD, este lo sustituirá por un valor .onmicrosoft.com predeterminado.

Cuando un usuario se autentica en la aplicación, Azure AD emite un token SAML a la aplicación que contiene información (o reivindicaciones) sobre usuarios que les identifica de forma exclusiva. De forma predeterminada, esta información incluye el nombre de usuario, su dirección de correo electrónico, el nombre y el apellido. Puede ver o editar las reivindicaciones enviadas en el token SAML a la aplicación en la ficha Atributos y emitir el atributo de nombre de usuario.

Configurar el inicio de sesión único con Azure

Para configurar el inicio de sesión único para su dominio, haga lo siguiente:

  1. Inicie sesión en Admin Console y empiece por crear un directorio Federated ID, seleccionando Otros proveedores de SAML como proveedor de identidades. Copie los valores de URL de ACS y el ID de entidad de la pantalla Agregar perfil SAML.
  2. Configure Azure especificando la URL de ACS y el ID de entidad y descargue el archivo de metadatos de IdP.
  3. Regrese a Adobe Admin Console y cargue el archivo de metadatos de IdP en la pantalla Agregar perfil SAML y haga clic en Hecho.

Creación de la aplicación SSO en Azure para Adobe

Asegúrese de que el panel de Azure Microsoft esté accesible y de haber iniciado sesión como administrador para poder crear una nueva aplicación empresarial.

Para configurar el inicio de sesión único en Azure, siga los pasos que se indican a continuación:

  1. Vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones y haga clic en Nueva aplicación.

  2. En Añadir desde la galería, introduzca "Adobe Creative Cloud" en el campo de búsqueda.

  3. Seleccione Adobe Creative Cloud, cambie el nombre de su conector y haga clic en Añadir y espere a que se complete el proceso.

    add_application
  4. Vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones y seleccione su nueva aplicación de conector de Adobe Creative Cloud para pasar a la página Información general.

  5. Seleccione Inicio de sesión único > SAML.

    SAML
  6. En Configuración básica de SAML, introduzca el ID de entidad y la URL de ACS copiada de Adobe Admin Console. A continuación, haga clic en Guardar.

    Configuración básica de SAML
  7. Para formatear los atributos del token de SAML, haga clic en el botón Editar y abra el diálogo Atributos de usuario. Luego, haga clic en Añadir nueva reivindicación para editar los atributos en la página Atributos y reivindicaciones de usuario como se indica a continuación, dejando la entrada Espacio de nombre en blanco.

    NOMBRE VALOR ESPACIO DE NOMBRE
    FirstName usuario.nombrefacilitado  
    LastName usuario.apellido  
    Email usuario.correo  
  8. Cuando todos los atributos estén configurados para que coincidan con los siguientes valores, cierre la página Atributos y reivindicaciones de usuario.

    Atributo de usuario

    Nota:

    • Para autenticar usuarios por correo electrónico, configure UserIdentifier como usuario.correo. Para autenticar usuarios por UserPrincipalName, configure UserIdentifier como usuario.nombreprincipalusuario.
    • Los usuarios deben tener una licencia ExO válida de Office 365 para que se agregue el valor de reivindicación por correo electrónico en la respuesta de SAML.

  9. Desde la sección Certificado de firma de SAML, descargue el archivo Certificado (Base64) y guárdelo en su equipo.

    Certificado de firma de SAML
  10. Luego, copie las URL apropiadas desde la sección Configurar <Nombre> según se requiera.

    Configuración
  11. Haga clic en la 'X' para cerrar la página de documentación en el portal de Azure y vuelva a la ventana de configuración de Aplicación empresarial para su conector SSO de Adobe.

  12. Dentro de la sección "Certificado de firma de SAML", haga clic en Certificado (base 64) en el lado derecho para descargar el archivo de certificado.

Cargue el archivo de metadatos IdP en Adobe Admin Console

Para actualizar el certificado más reciente en Adobe Admin Console, vuelva a Adobe Admin Console. Cargue el certificado descargado de Azure, en la pantalla Agregar perfil SAML y haga clic en Hecho.

Asignación de usuarios a través de Azure

Para asignar usuarios a través de Microsoft Azure para permitirles iniciar sesión utilizando el conector de Adobe Creative Cloud, siga los pasos que se incluyen a continuación. También debe asignar licencias a través de Adobe Admin Console.

  1. Vaya a Azure Active Directory > Aplicaciones empresariales > Todas las aplicaciones y seleccione su aplicación de conector de Adobe Creative Cloud.

  2. Haga clic en Usuarios y grupos.

  3. Haga clic en Añadir usuario para seleccionar usuarios para asignarlos a este conector, lo que les permitirá iniciar sesión a través de Inicio de sesión único.

  4. haga clic en Usuarios o Grupos y seleccione uno o más usuarios o grupos para que se les permita iniciar sesión en Creative Cloud, luego haga clic en Seleccionar seguido de Asignar.

Prueba de acceso de los usuarios

Compruebe el acceso de los usuarios con un usuario que haya definido tanto en su propio sistema de administración de identidades como en Adobe Admin Console iniciando sesión en el sitio web de Adobe o en la aplicación de escritorio de Creative Cloud.

Si tiene problemas, consulte nuestro documento de solución de problemas.

Si necesita ayuda con la configuración del inicio de sesión único, vaya a Adobe Admin Console > Asistencia técnica para ponerse en contacto con nosotros.