Brukerveiledning Avbryt

Konfigurere Microsoft AD FS for bruk med Adobe SSO

Oversikt

Dokumentet fremhever prosessen for konfigurering av Adobe Admin Console med en Microsoft AD FS-server.

Identitetsleverandøren trenger ikke å være tilgjengelig fra utenfor bedriftsnettverket, men hvis den ikke er tilgjengelig, kan bare arbeidsstasjoner i nettverket (eller tilkoblet via VPN) utføre godkjenning for å aktivere en lisens eller logge på etter at økten deres er deaktivert.

Konfigurere SSO med Microsoft AD FS (video: 17 min.)
Merk:

Instruksjonene og skjermbildene i dette dokumentet gjelder AD FS-versjon 3.0, men de samme menyene finnes i AD FS 2.0.

Forutsetninger

Før du oppretter en katalog for enkel pålogging med Microsoft AD FS, må følgende krav være oppfylt:

  • En Microsoft Windows Server med Microsoft AD FS og de nyeste operativsystemoppdateringene. Hvis du vil at brukerne skal benytte Adobe-produkter med macOS, må du forsikre deg om at serveren støtter TLS-versjon 1.2 og forward secrecy. Du kan finne ut mer om AD FS i dokumentet om Microsoft-ID og -tilgang .
  • Serveren må være tilgjengelig fra brukernes arbeidsstasjoner (f.eks. via HTTPS).
  • Sikkerhetssertifikat anskaffet fra AD FS-serveren.
  • Alle Active Directory-kontoer som skal knyttes til en Creative Cloud for enterprise-konto, må ha en e-postadresse som er oppført i Active Directory.

Opprette en katalog i Adobe Admin Console

Hvis du vil konfigurere enkel pålogging for domenet ditt, må du gjøre følgende: 

  1. Logg på Admin Console og opprett en Federated ID-katalog. Velg Andre SAML-leverandører som identitetsleverandør. Last ned Adobe-metadatafilen fra Opprett katalog-veiviseren.
  2. Konfigurer AD FS, spesifiser ACS URL og Enhets-ID og last ned IdP-metadatafilen.
  3. Gå tilbake til Adobe Admin Console og last opp IdP-metadatafilen i Opprett katalog-veiviseren. Deretter velger du Neste, konfigurerer automatisk kontooppretting og velger Ferdig.

Følg hyperkoblingene for å få mer detaljert informasjon om hvert trinn.

Konfigurere AD FS-serveren

Hvis du vil konfigurere SAML-integrasjonen med AD FS, utfører du trinnene nedenfor:

Forsiktig!

Alle etterfølgende trinn må gjentas etter enhver endring av verdiene i Adobe Admin Console for et bestemt domene.

  1. Åpne AD FS Management-applikasjonen og naviger til AD FS -> Klareringsrelasjoner -> Tillit til part og klikk på Legg til tillit til part for å starte veiviseren.

  2. Klikk på Start og velg Importer data fra en ansvarlig part fra en fil, og bla deretter til stedet du kopierte metadataene til fra Adobe Admin Console.

  3. Navngi Tillit til part og legg eventuelt inn tilleggsmerknader.

    Klikk på Neste.

  4. Avgjør om det skal kreves flerfaktorautentisering og velg det aktuelle alternativet.

    Klikk på Neste.

  5. Bestem om alle brukere kan logge på via AD FS.

    Klikk på Neste.

  6. Gå gjennom innstillingene dine.

    Klikk på Neste.

  7. Tillit til part er lagt til.

    La alternativet være krysset av for å åpne dialogboksen Rediger kravgjøringsregler, der du raskt kan åpne de neste trinnene.

    Klikk på Lukk.

  8. Hvis veiviseren Rediger kravgjøringsregler ikke åpnes automatisk, kan du åpne den fra AD FS Management-applikasjonen under AD FS -> Klareringsrelasjoner -> Tillit til part ved å velge Adobe SSO-tillit til part og klikke på Rediger kravgjøringsregler... på høyre side.

  9. Klikk på Legg til regel og konfigurer en regel ved hjelp av malen Send LDAP-attributter som krav for attributtlageret ditt, som tilordner e-postadresser for LDAP-attributter til Utgående kravtype-e-postadresser.

    Merk:

    Som vist i skjermbildet ovenfor, foreslår vi at du bruker e-postadresse som primær identifikator. Du kan også bruke feltet User Principal Name (UPN) som LDAP-attributt sendt i en deklarasjon som e-postadresse. Dette er imidlertid ikke noe vi anbefaler for å konfigurere en kravregel.

    Ofte blir ikke UPN knyttet til en e-postadresse, og den vil i mange tilfeller være annerledes. Dette vil sannsynligvis skape problemer for varsler og deling av ressurser i Creative Cloud.

  10. Klikk på Fullfør for å legge til transformasjonsregelen for krav.

  11. Bruk veiviseren Rediger kravgjøringsregler for å legge til en regel ved hjelp av malen. Transformer et innkommende krav for å konvertere innkommende krav av typen e-postadresse med utgående kravtype Navne-ID-format som e-post, og gjennomgå alle kravverdier.

  12. Klikk på Fullfør for å legge til transformasjonsregelen for krav.

  13. Ved hjelp av veiviseren Rediger kravgjøringsregler, legger du til en regel ved hjelp av malen Send krav ved hjelp av en egendefinert regel som inneholder følgende regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", utsteder == "AD AUTHORITY"] => problem(store = "Active Directory", typer = ("Email", "FirstName", "LastName"), spørsmål = ";mail,givenName,sn;{0}", param = c.Value);

  14. Klikk på Fullfør for å fullføre veiviseren for egendefinerte regler.

  15. Klikk på OK i dialogboksen Rediger kravgjøringsregler for å legge til disse tre regler til Tillit til part.

    Merk:

    Rekkefølgen på kravgjøringsreglene er viktig. De skal se ut som vist her.

For å unngå tilkoblingsproblemer mellom systemer der klokken varierer litt, bør du angi en standard tidsforskyvning på 2 minutter. Du kan lese mer om tidsforskyvning i dokumentet Feilsøking av feil.

Laste ned AD FS-metadatafilen

  1. Åpne AD FS Management-applikasjonen på serveren din, gå til mappen AD FS > Service > Endepunkter og velg Forbundsmetadata.

    Plassering av metadata

  2. Bruk en nettleser for å navigere til nettadressen som er angitt for forbundsmetadata, og last ned filen. Det kan f.eks. være https://<ditt AD FS-vertsnavn>/FederationMetadata/2007-06/FederationMetadata.xml.

    Merk:
    • Godta eventuelle varsler.
    • Slik finner du Microsoft AD FS-vertsnavnet ditt i et Windows-operativsystem:
      Åpne Windows PowerShell > Kjør som administrator > Skriv Get-AdfsProperties > Trykk på Enter > Se etter vertsnavnet ditt på den detaljerte listen.

Laste opp IdP-metadatafilen til Adobe Admin Console

Hvis du vil oppdatere det nyeste sertifikatet, går du tilbake til Adobe Admin Console-vinduet. Last opp metadatafilen som ble lastet ned fra AD FS, til skjermbildet Legg til SAML-profil og klikk på Ferdig.

Neste trinn: Fullfør oppsett for å tildele apper til brukere

Når du har konfigurert katalogen din, gjør du følgende for å gi brukerne i organisasjonen tilgang til Adobe-apper og -tjenester:

  1. Legg til og konfigurer domener i Admin Console.
  2. Knytt domenene til AD FS-katalogen.
  3. (Valgfritt) Hvis domenene dine allerede er etablert i Admin Console i en annen katalog, overfører du dem direkte til den nylig opprettede AD FS-katalogen.
  4. Legg til produktprofiler for å finjustere bruken av planene du har kjøpt.
  5. Test SSO-oppsettet ditt ved å legge til en testbruker.
  6. Velg strategi og verktøy for brukeradministrasjon ut fra hva du trenger. Legg deretter til brukere i Admin Console og tilordne dem til produktprofiler for å hjelpe dem å komme i gang med Adobe-appene sine.

Se Sett opp identitet for å finne ut m er om andre identitetsrelaterte verktøy og teknikker.

Teste enkel pålogging

Opprett en testbruker med active directory. Opprett en oppføring i Admin Console for denne brukeren og tilordne den en lisens. Test deretter påloggingen på Adobe.com for å bekrefte at den relevante programvaren er oppført for nedlasting.

Du kan også teste ved å logge på Creative Cloud-skrivebordsprogrammet fra en applikasjon som for eksempel Photoshop eller Illustrator.

Hvis du støter på problemer, kan du se feilsøkingsdokumentet. Hvis du fortsatt trenger hjelp med konfigurasjonen av Okta enkel pålogging, kan du gå til Støtte i Adobe Admin Console, og åpne en forespørsel hos Kundestøtte.

Få hjelp raskere og enklere

Ny bruker?