Oversikt

Med Adobes administrasjonskonsoll kan en systemadministrator konfigurere domener som brukes til pålogging via Federated ID, for enkel pålogging (SSO).Når eierskapet til et domene vises ved hjelp av en DNS-token, kan domenet konfigureres slik at brukerne kan logge på Creative Cloud. Brukere kan logge på ved å bruke e-postadresser innenfor dette domenet via en identitetsleverandør (IdP). Prosessen leveres enten som en programvaretjeneste som kjører på bedriftsnettverket og er tilgjengelig fra Internett eller en skytjeneste som driftes av en tredjepart som tillater kontroll av brukerpåloggingsinformasjon via sikker kommunikasjon med SAML-protokollen.

En slik IdP er Microsoft Active Directory Federation Services, eller AD FS. Du må konfigurere en server for å bruke AD FS. Den må være tilgjengelig fra arbeidsstasjoner som brukerne logger på fra, og ha tilgang til katalogtjenesten i bedriftsnettverket. Dette dokumentet beskriver hvordan du konfigurerer Adobes administrasjonskonsoll og en Microsoft AD FS-server til å logge på Adobe Creative Cloud-programmer og tilknyttede webområder for Enkel pålogging.

IdP-en trenger ikke å være tilgjengelig utenfor bedriftsnettverket. Hvis den ikke er det, kan kun arbeidsstasjoner på nettverket (eller de som er tilkoblet via et VPN) utføre autentisering for å aktivere lisenser eller logge på etter at økten er avsluttet.

Forutsetninger

Før du kan konfigurere et domene for enkel pålogging med Microsoft AD FS må følgende krav være oppfylt:

  • En godkjent katalog på Adobes administratorkonsoll som er konfigurert for Federated ID, venter enten på konfigurasjon eller har allerede vært konfigurert for en annen IdP
  • Det relevante domenet er konfigurert i den forente katalogen
  • En Microsoft Windows-server er installert med Microsoft AD FS og de nyeste operativsystemoppdateringene. Hvis du vil at brukerne skal bruke Adobe-produkter med macOS, må du kontrollere at serveren støtter TLS versjon 1.2 og Forward Secrecy.
  • Serveren må være tilgjengelig fra brukernes arbeidsstasjoner (for eksempel via HTTPS)
  • Et sikkerhetssertifikat fra AD FS-serveren
  • Alle Active Directory-kontoer som skal tilknyttes en konto for Creative Cloud for Enterprise, må ha en e-postadresse i Active Directory.

Du finner ut hvordan du konfigurerer en katalog og oppretter et domene i den, på administrasjonskonsollen på siden Konfigurer identitet. Når en katalog er lagt til, kan du konfigurere den for Enkel pålogging før et domene velges. Hvis du derimot vil opprette Federated ID-brukere, må du velge domenenavnet der de holder til.

Navnet på katalogen er vilkårlig, men domenet som er koblet til katalogen, må samsvare helt med den delen av e-postadressen som står etter @-symbolet. Hvis du også vil bruke underdomener, må de velges separat.

Merk:

Instruksjoner og skjermbilder i dette dokumentet er beregnet på AD FS versjon 3.0, men de samme menyene er finnes også i AD FS 2.0.

Last ned signeringssertifikatet for tokener

  1. Åpne programmet AD FS Management på serveren. Gå til mappen AD FS -> Tjeneste -> Sertifikater og velg signeringssertifikatet for tokenet.

    Merk:

    Signeringssertifikatet for tokenet utløper på den angitte utløpsdatoen. Når det utløper, må du fornye sertifikatet, laste det ned og deretter laste det opp til administrasjonskonsollen i Adobe igjen.

  2. Klikk på Vis sertifikat for å åpne vinduet for sertifikategenskaper.

    token_signing_certificate
  3. Fra fanen Detaljer klikker du på Kopier til fil og bruker veiviseren til å lagre sertifikatet som Base-64-kodet X.509 (.CER). Dette formatet tilsvarer et sertifikat i PEM-format.

    02_-_certificateexportwizard

Konfigurere katalogen på Adobes administratorkonsoll

Når du skal konfigurere enkel pålogging for katalogen, angir du den nødvendige informasjonen på Adobes administrasjonskonsoll og laster ned metadataene for å konfigurere Microsoft AD FS-serveren.

  1. Logg på administrasjonskonsollen og naviger til Innstillinger > Identitet.

  2. Gå til fanen Kataloger.

  3. Klikk på Konfigurer ved siden av katalogen du vil konfigurere.

    03_-_configure_directory
  4. Last opp sertifikatet som du lagret fra Microsoft AD FS-serveren.

  5. Velg HTTP-omdirigering som IdP-binding.

  6. Velg E-post som Brukerens påloggingsinnstilling.

  7. På AD FS-serveren i programmet AD FS Management velger du oppføringen øverst på treet, AD FS, og klikker på Rediger Federation Service-egenskaper. På Generelt-fanen i popup-vinduet kopierer du Federation Service-identifikator.

    Eksempel: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Lim inn Federation Service-identifikatoren som du har kopiert til administrasjonskonsollen i Adobe, i feltet IdP-utgiver.

    Merk:

    Feltet IdP-utgiver brukes til å identifisere serveren og er ikke en URL-adresse som brukere benytter når de kobler til serveren.Av sikkerhetshensyn bør AD FS-serveren bare være tilgjengelig via HTTPS, ikke via en usikker HTTP-protokoll.

  9. Hent vertsnavnet til IdP-serveren (dette er ofte det samme som Federation Service-navnet), legg til protokollprefikset https:// og legg til bansuffikset /adfs/ls for å lage URL-adressen for IdP-pålogging.

    Eksempel: https://adfs.example/com/adfs/ls/

  10. Angi URL-adressen for IDP-pålogging i Adobes administrasjonskonsoll.

  11. Klikk på Lagre.

    admin_console_-_adfs-configuredirectory
  12. Klikk på Last ned metadata hvis du vil lagre metadatafilen for SAML XML på datamaskinen. Denne filen brukes til å konfigurere en beroende part på AD FS-serveren i resten av dette dokumentet.

  13. Merk av i boksen for å bekrefte at du er klar over at du må fullføre konfigurasjonen med identitetsleverandøren. Dette gjøres på de neste trinnene på AD FS-serveren.

    configure_directoryanddownloadmetadata
  14. Kopier XML-metadatafilen til AD FS-serveren for å importere den til programmet AD FS Management.

  15. Klikk på Fullfør for å fullføre konfigurasjonen av katalogen.

Legge til et eller flere domener i katalogen

  1. Fra Adobes administrasjonskonsoll navigerer du til Innstillinger > Identitet.

  2. På fanen Domener klikker du på Legg til domener.

  3. På skjermen Angi domener legger du inn en liste over opptil 15 domener og klikker på Legg til domener.

  4. På skjermen Legg til domener kontrollerer du listen over domener og klikker på Legg til domener.

  5. Domenene dine er nå lagt til på administrasjonskonsollen. Du må imidlertid fortsatt vise eierskap for disse domenene.

  6. På siden Domener klikker du på Valider domene for et vilkårlig domene som krever validering.

  7. Kopier DNS-tokenet som vises, ved å klikke på kopier oppføringsverdi. Deretter går du til DNS-konfigurasjonen og oppretter en TXT-oppføring som inneholder dette tokenet, i innstillingene for hvert domene du har lagt til, for å validere dem.

    Dette tokenet vil være det samme for alle domener som er lagt til i Adobes administrasjonskonsoll, slik at det kan brukes på nytt for andre domener som legges til senere.

    Tokenet trenger ikke å være der når et domene er validert.

    validate_domain_ownership
  8. Du kan sjekke om en TXT-oppføring er overført til andre DNS-servere på nettet ved hjelp av et nettsted som MXToolbox, eller fra kommandolinjen ved hjelp av kommandoen nslookup på et Windows-, Linux eller Mac-operativsystem som følger:

    $ nslookup
    > angi TYPE=TXT
    > example.com
    [..]
    example.com     tekst = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. På skjermen Valider domenets eierskap klikker du på Valider nå.

    Hvis DNS-tokenen er riktig identifisert som en TXT-oppføring mot domenet, blir den validert, og du kan straks begynne å bruke den. Domener som ikke godkjennes i utgangspunktet, kontrolleres periodisk i bakgrunnen, og valideres når DNS-tokenet er riktig validert.

Konfigurere AD FS-serveren

Slik konfigurerer du SAML-integrasjon med AD FS:

Forsiktig!

Alle påfølgende trinn må gjentas etter at du har endret verdiene på Adobes administrasjonskonsoll for et gitt domene.

  1. I programmet AD FS Management navigerer du til AD FS -> Trust Relationships (Tillitsforhold) -> Relying Party Trusts (Beroende parter) og klikker på Add Relying Party Trust (Legg til beroende part) for å starte veiviseren.

  2. Klikk på Start og velg Importer data fra en beroende part fra en fil. Deretter blar du til plasseringen der du kopierte metadataene fra Adobes administrasjonskonsoll.

    08_-_import_metadata
  3. Oppgi navnet til den beroende parten og skriv inn flere merknader etter behov.

    Klikk på Neste.

    09_-_name_relyingpartytrust
  4. Bestem om du vil bruke multifaktorautentisering og velg det relevante alternativet.

    Klikk på Neste.

  5. Bestem om alle brukere kan logge på via AD FS.

    Klikk på Neste.

  6. Se gjennom innstillingene dine.

    Klikk på Neste.

  7. Den beroende parten er lagt til.

    Merk av for alternativet for å åpne dialogboksen Redigere kravregler og få rask tilgang til de neste trinnene.

    Klikk på Lukk.

  8. Hvis veiviseren Redigering av kravreglerfor ikke åpnes automatisk, kan du få tilgang til den fra programmet AD FS Management under AD FS -> Trust Relationships (Tillitsforhold) -> Relying Party Trusts (Beroende parter), ved å velge din beroende part for Adobe SSO og klikke på Rediger kravregler... til høyre på skjermen.

  9. Klikk på Legg til regel og konfigurer en regel ved hjelp av malen Send LDAP-attributter som krav til attributtbutikken. Det gjør du ved å tilordne e-postadressene for LDAP-attributter til e-postadressen for utgående kravtype.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Merk:

    Som vist på skjermbildet ovenfor foreslår vi at du bruker e-postadressen som den primære identifikatoren. Vi anbefaler ikke at du bruker feltet Brukerhovednavn (UPN) som LDAP-attributtet som sendes i en deklarasjon som e-postadressen. Selv om det er mulig å bruke UPN som LDAP-attributtet, er ikke dette en konfigurasjon som støttes offisielt, og du gjør det på egen risiko.

    Ofte er ikke UPN tilordnet en e-postadresse og vil i mange tilfeller være forskjellig. Dette vil mest sannsynlig føre til problemer for varsler og deling av ressurser i Creative Cloud.

  10. Klikk på Fullfør for å fullføre tilføyelsen av regelen om transformeringskrav.

  11. Overfør alle kravverdier ved å bruke veiviseren Rediger kravregler til å legge til en regel ved hjelp av malen Transformer innkommende krav hvis du vil konvertere Innkommende krav av typen E-postadresse til Navn-ID for utgående kravtype og Utgående format for navn-ID som e-post.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klikk på Fullfør for å fullføre tilføyelsen av regelen om transformeringskrav.

  13. Bruk veiviseren Rediger kravregler til å legge til en regel ved hjelp av malen Send krav ved hjelp av tilpasset regel, som inneholder følgende regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klikk på Fullfør for å fullføre veiviseren for tilpasset regel.

  15. Klikk på OK i dialogboksen Rediger kravregler for å fullføre tilføyelsen av disse tre reglene til den beroende parten.

    16_-_edit_claim_rules

    Merk:

    Kravreglenes rekkefølge er viktig. De skal vises som illustrert her.

  16. Sørg for at din nye Klarering for beroende part er valgt, og klikk på Egenskaper til høyre i vinduet. Velg fanen Avansert og kontroller at SHA (Secure Hash Algorithm) er satt til SHA-1.

    17_-_relying_partytrustproperties

    Merk:

    For å unngå tilkoblingsproblemer mellom systemer der klokken varierer litt, må du angi at standardtiden avviker med 2 minutter. Hvis du vil vite mer om tidsforskyvninger, ser du dokumentet feilsøkingsfeil.

Teste Enkel pålogging

Opprett en testbruker med Active directory. Opprett en oppføring på administrasjonskonsollen for denne brukeren og tilordne den en lisens. Prøv deretter å logge på Adobe.com for å bekrefte at den aktuelle programvaren er oppført for nedlasting.

Du kan også teste det ved å logge på Creative Cloud-skrivebordet fra et program som Photoshop eller Illustrator.

Hvis det oppstår problemer, ser du feilsøkingsdokumentet vårt.Hvis du trenger hjelp med å konfigurere Enkel pålogging, går du til Kundestøtteadministrasjonskonsollen i Adobe og åpner en tjenesteforespørsel hos Kundestøtte.

Dette produktet er lisensiert i henhold til Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Innlegg på Twitter™ og Facebook dekkes ikke av Creative Commons-vilkår.

Juridiske merknader   |   Regler for personvern på nettet