Opis ogólny

Konsola administratora Adobe umożliwia administratorowi systemu skonfigurowanie domen używanych do logowania się przy użyciu identyfikatora Federated ID logowania jednokrotnego. Po udowodnieniu własności domeny za pomocą tokena DNS można skonfigurować domenę w celu pozwolenia użytkownikom na logowanie się do usługi Creative Cloud. Użytkownicy mogą logować się za pomocą adresów e-mail wewnątrz domeny poprzez Dostawcę tożsamości (IdP). Proces jest dostarczony jako usługa oprogramowania działająca w sieci firmowej i jest dostępny przez Internet lub chmurę obsługiwaną przez inną firmę oraz pozwala na weryfikację danych logowania użytkowników poprzez bezpieczną komunikację opartej na protokole SAML.

Jednym z takich dostawców tożsamości jest usługa Microsoft Active Directory Federation Services lub AD FS. Aby korzystać z usługi AD FS należy skonfigurować serwer dostępny z Internetu, który jednocześnie ma dostęp do usług katalogowych w sieci firmowej. W niniejszym dokumencie opisano proces niezbędny do skonfigurowania Konsoli administratora Adobe i serwera usługi Microsoft AD FS w celu logowania jednokrotnego się w aplikacjach Adobe Creative Cloud i powiązanych witrynach.

IdP nie musi być dostępny spoza sieci firmowej, ale jeśli tak nie jest, tylko stacje robocze znajdujące się w sieci (lub połączone przez sieć VPN) będą mogły wykonywać uwierzytelnianie, aby aktywować licencję lub zalogować się po dezaktywacji swojej sesji.

Wymagania wstępne

Przed skonfigurowaniem domeny na potrzeby logowania jednokrotnego przy użyciu serwera usługi Microsoft AD FS należy spełnić następujące wymagania:

  • Zatwierdzony katalog w Konsoli administratora Adobe ustawiony na identyfikator Federated ID oczekujący na konfigurację lub wcześniej skonfigurowany na inny IdP
  • Domena została zgłoszona w katalogu federacyjnym
  • Serwer Microsoft Windows Server zainstalowany z usługą Microsoft AD FS i najnowszymi aktualizacjami systemu operacyjnego.
  • Serwer musi być dostępny ze stacji roboczych użytkowników (na przykład za pośrednictwem protokołu HTTPS)
  • Certyfikat bezpieczeństwa uzyskany z serwera AD FS
  • Wszystkie aktywne konta Active Directory, które mają być powiązane z kontem usługi Creative Cloud dla przedsiębiorstw, muszą mieć adresy e-mail zarejestrowane w usłudze Active Directory.

Proces konfiguracji katalogu i zgłaszanie domeny wewnątrz niego w Konsoli administratora są opisane na stronie Konfiguracja tożsamości. Dodany katalog można skonfigurować w celu logowania jednokrotnego przed zgłoszeniem domeny, ale do tworzenia użytkowników z identyfikatorami Federated ID potrzebne jest zgłoszenie domeny, do której należą.

Nazwa katalogu jest dowolna, ale domena powiązana z katalogiem musi w pełni odpowiadać części adresu e-mail po symbolu „@”. Aby korzystać z subdomen należy je zgłosić osobno.

Uwaga:

Instrukcje i zrzuty ekranu w niniejszym dokumencie dotyczą wersji 3.0 usługi AD FS, ale te same ekrany menu są obecne w wersji AD FS 2.0.

Pobieranie certyfikatu podpisującego tokeny

  1. Otwórz aplikację AD FS Management na serwerze i w folderze AD FS -> Usługa -> Certyfikaty wybierz Certyfikat podpisu tokenów. Aby otworzyć okno właściwości certyfikatów kliknij opcję Wyświetl certyfikat.

    token_signing_certificate
  2. Na karcie Szczegóły kliknij przycisk Kopiuj do pliku i użyj kreatora, by zapisać certyfikat jako Baze-64 kodowany jako X.509 (.CER). Ten format jest równoważny certyfikatowi formatu PEM.

    02_-_certificateexportwizard

Konfiguracja katalogu w Konsoli administratora Adobe

Aby skonfigurować logowanie jednokrotne do katalogu, wprowadź wymagane informacje w Konsoli administratora Adobe i pobierz metadane dotyczące konfiguracji serwera usługi Microsoft AD FS.

  1. Zaloguj się w Konsoli administratora i przejdź do lokalizacji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Kliknij przycisk Konfiguruj przy katalogu, który chcesz skonfigurować.

    03_-_configure_directory
  4. Prześlij certyfikat zapisany serwera usługi Microsoft AD FS.

  5. Wybierz opcję HTTP - Przekierowanie jako Powiązanie IdP.

  6. Zaznacz Email jako Dane logowania użytkownika.

  7. Na serwerze usługi AD FS w aplikacji AD FS Management wybierz element u góry drzewa, AD FS, i kliknij opcję Edytuj właściwości usługi federacyjnej. Na karcie Ogólne w wyskakującym oknie skopiuj Identyfikator usługi federacyjnej.

    Na przykład: http://adfs.example.com/adfs/services/trust.

    05_2_-_federationserviceproperties
  8. Wklej skopiowany Identyfikator usługi federacyjnej do Konsoli administratora Adobe w polu Wystawca IdP.

    Uwaga:

    Pole Wystawca IdP służy do rozpoznania serwera i nie jest adresem URL, do którego uzyskują dostęp użytkownicy łączący się z serwerem. Ze względów bezpieczeństwa serwer AD FS powinien być dostępny tylko za pośrednictwem protokołu HTTPS, a nie za pośrednictwem niezabezpieczonego protokołu HTTP.

  9. Uzyskaj nazwę swojego serwera IdP (ma on często tę samą nazwę, co Usługa federacyjna), dodaj na początku https:// i dodaj ścieżkę /adfs/ls, aby utworzyć adres URL logowania IdP.

    Na przykład: https://adfs.example/com/adfs/ls/

  10. Prowadź adres URL logowania w Konsoli administratora Adobe.

  11. Kliknij przycisk Zapisz.

    admin_console_-_adfs-configuredirectory
  12. Aby zapisać plik metadanych SAML XML na komputerze, kliknij opcję Pobierz metadane. Plik zostanie użyty do konfiguracji zaufania strony przekazującej na serwerze AD FS w pozostałej części dokumentu.

  13. Zaznacz to pole aby potwierdzić, że rozumiesz konieczność ukończenia konfiguracji u dostawcy tożsamości. Te czynności zostaną wykonane w następnych krokach na serwerze AD FS.

    configure_directoryanddownloadmetadata
  14. Skopiuj plik metadanych XML na serwer AD FS, by móc go zaimportować do aplikacji AD FS Management.

  15. Kliknij przycisk Zakończ, aby zakończyć konfigurację katalogu.

Dodaj jedną lub więcej domen do katalogu

  1. W Konsoli administratora Adobe przejdź do lokalizacji Ustawienia > Tożsamość.

  2. Na karcie Domeny kliknij opcję Dodaj domeny.

  3. Na ekranie Wprowadź domeny wprowadź listę maksymalnie 15 domen i kliknij przycisk Dodaj domeny.

  4. Na ekranie Dodaj domeny sprawdź listę domen i kliknij przycisk Dodaj domeny.

  5. Domeny zostaną dodane do Konsoli administratora. Nadal jednak musisz udowodnić prawo własności tych domen.

  6. Na stronie Domeny kliknij przycisk weryfikuj domenę przy każdej domenie wymagającej weryfikacji.

  7. Skopiuj token DNS wyświetlany po kliknięciu polecenia kopiuj wartość rekordu i utwórz rekord w formacie TXT zawierający ten token w konfiguracji DNS dla każdej dodanej domeny, by je zweryfikować.

    Token będzie identyczny dla wszystkich domen dodanych w Konsoli administratora Adobe, a więc można użyć go w domenach dodanych później.

    Token nie musi tam pozostać po zweryfikowaniu domeny.

    validate_domain_ownership
  8. Można sprawdzić, czy rekord w formacie TXT został skopiowany do innych serwerów DNS za pomocą witryny takiej, jak MXToolbox lub z wiersza poleceń za pomocą polecenia nslookup w systemie Windows, Linux lub Mac OS, jak opisano poniżej:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Na ekranie Zweryfikuj własność domeny kliknij przycisk Weryfikuj teraz.

    Jeśli token DNS zostanie poprawie wykryty jako rekord w formacie TXT w domenie, zostanie ona zatwierdzona i można natychmiast zacząć jej używać. Domeny, których nie da się od razu zweryfikować, są sprawdzane od czasu do czasu w tle i zostaną zweryfikowane, gdy uda się poprawnie zweryfikować token DNS.

Konfiguracja serwera AD FS

Aby skonfigurować integrację SAML z AD FS, wykonaj następujące kroki:

Uwaga:

Wszystkie kolejne kroki należy powtórzyć po każdej zmianie wartości w Konsoli administratora Adobe dla danej domeny.

  1. Przejdź a aplikacji AD FS Management do opcji AD FS -> Relacje zaufania -> Zaufania strony przekazującej i kliknij opcję Dodaj zaufanie strony przekazującej, by uruchomić kreator.

  2. Kliknij przycisk Start i wybierz opcję Importuj dane ze strony przekazującej z pliku, an następnie przejdź do lokalizacji, do której skopiowano medatane z Konsoli adminsitratora Adobe.

    08_-_import_metadata
  3. Nazwij zaufanie strony przekazującej i wprowadź dodatkowe uwagi w razie konieczności.

    Kliknij przycisk Dalej.

    09_-_name_relyingpartytrust
  4. Zdecyduj, czy wymagane jest uwierzytelnianie wieloskładnikowe i zaznacz odpowiednią opcję.

    Kliknij przycisk Dalej.

  5. Zdecyduj, czy wszyscy użytkownicy będą mogli się zalogować za pomocą AD FS, czy nie będą mieli dostępu.

    Kliknij przycisk Dalej.

  6. Sprawdź ustawienia.

    Kliknij przycisk Dalej.

  7. Dodano zaufanie strony przekazującej.

    Pozostaw zaznaczenie opcji, by otworzyć okno dialogowe Edytuj zasady zgłaszania i szybko uzyskać dostęp do następnych kroków.

    Kliknij przycisk Zamknij.

  8. Jeśli kreator Edytuj reguły zgłaszania nie otworzył się automatycznie, możesz uzyskać do niego dostęp z aplikacji AD FS Management w sekcji AD FS -> Relacje zaufania -> Zaufania strony przekazującej, zaznaczając zaufanie strony przekazującej Adobe SSO i klikając przycisk Edytuj zasady zgłaszania... po prawej stronie.

  9. Kliknij przycisk Dodaj regułę i skonfiguruj regułę za pomocą szablonu Wyślij atrybuty LDAP jako zgłoszenia do magazynu atrybutów, odwzorowując adresy e-mail atrybutów LDAP na wychodzące adresy e-mail typu zgłoszenia.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Uwaga:

    Jak pokazano na powyższym zrzucie ekranu, sugerujemy użycie adresu e-mail jako głównego identyfikatora. Użycie pola Główna nazwa użytkownika (UPN) jako atrybutu LDAP wysłanego w asercji jako adresu e-mail nie jest zalecane. Choć możliwe jest użycie nazwy UPN jako atrybutu LDAP, nie jest to oficjalnie obsługiwana konfiguracja, a więc użytkownik używa jej na własne ryzyko.

    Nazwa UPN często nie odpowiada adresowi e-mail i może być w wielu przypadkach inna. Spowoduje to prawdopodobnie problemy z powiadomieniami i udostępnianiem zasobów w usłudze Creative Cloud.

  10. Kliknij przycisk Zakończ, aby zakończyć dodawanie zasady zmiany zgłoszenia.

  11. Użyj kreatora Edytuj zasady zgłoszeń, by ponownie dodać zasadę za pomocą szablonu Zmień istniejące zgłoszenie, aby przekonwertować przychodzące zgłoszenia typu Adresy E-mail z Name ID typu Wychodzące zgłoszenie i formatem wychodzącym jako E-mail, przechodząc przez wszystkie wartości zgłoszenia.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Kliknij przycisk Zakończ, by ukończyć dodawania reguły zmiany zgłoszenia.

  13. Za pomocą kreatora Edytuj reguły zgłoszeń dodaj zasadę korzystającą z szablonu Wyślij zgłoszenia przy pomocy niestandardowej zasady i zawierającą poniższą regułę:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Kliknij przycisk Zakończ, by ukończyć kreator niestandardowej reguły.

  15. Kliknij przycisk OK w oknie dialogowym Edytuj reguły zgłoszeń, aby ukończyć dodawanie tych trzech zasad do zaufania strony przekazującej.

    16_-_edit_claim_rules

    Uwaga:

    Kolejność reguł zgłoszeń jest ważna; powinny wyglądać jak pokazano tutaj.

  16. Upewnij się, że wybrano nowe Zaufanie strony przekazującej i kliknij przycisk Właściwości po prawej stronie okna. Wybierz kartę Zaawansowane i upewnij się, że algorytm Bezpiecznego skrótu jest ustawiony jako SHA-1.

    17_-_relying_partytrustproperties

Test logowania jednokrotnego

Utwórz użytkownika testowego w usłudze Active Directory, w Konsoli administratora utwórz dla niego wpis i przypisz mu licencję. Następnie przetestuj procedurę logowania w witrynie Adobe.com aby upewnić się, że odpowiednie oprogramowanie jest dostępne do pobrania.

Można także przetestować logowanie się do aplikacji Creative Cloud na komputer i wewnątrz aplikacji takiej, jak Photoshop lub Illustrator.

W razie problemów, zapoznaj się z naszym dokumentem rozwiązywania problemów.

Aby uniknąć problemów z łącznością między systemami, w których zegar różni się nieznacznie, ustaw domyślny czas różnicy na 2 minuty. Więcej informacji na temat skracania czasu znajduje się w dokumencie Rozwiązywanie problemów.

Jeśli wciąż potrzebujesz pomocy w konfiguracji logowania jednokrotnego w usłudze, przejdź do sekcji Pomoc w Konsoli administratora Adobe i otwórz zgłoszenie.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online