Podręcznik użytkownika Anuluj

Konfigurowanie usługi Microsoft AD FS na potrzeby logowania SSO do rozwiązań Adobe

Omówienie

W tym dokumencie przedstawiono proces konfigurowania serwera Microsoft AD FS w serwisie Adobe Admin Console.

Usługa IdP nie musi być dostępna spoza sieci korporacyjnej, jednak w takim przypadku tylko stacje robocze z sieci korporacyjnej (lub połączone z nią przez sieć VPN) będą mieć możliwość aktywowania licencji lub zalogowania się po wygaśnięciu sesji.

Konfigurowanie logowania SSO z użyciem programu Microsoft AD FS (film: 17 min)
Uwaga:

Instrukcje i ilustracje ekranów w tym dokumencie dotyczą wersji AD FS 3.0, ale opcje menu w wersji AD FS 2.0 są takie same.

Wymagania wstępne

Zanim będzie można utworzyć katalog na potrzeby logowania SSO z użyciem Microsoft AD FS jako usługi IdP, muszą zostać spełnione następujące wymagania:

  • Musi być skonfigurowany serwer Microsoft Windows z zainstalowanym programem z Microsoft AD FS i najnowszymi aktualizacjami systemu operacyjnego.Jeśli chcesz, aby użytkownicy korzystali z produktów Adobe w systemie macOS, upewnij się, że serwer obsługuje protokół TLS w wersji 1.2 i tryb forward secrecy (utajnienie przekazywania). Więcej informacji na temat programu AD FS zawiera dokumentacja firmy Microsoft dotycząca identyfikatorów i dostępu.
  • Serwer musi być dostępny ze stacji roboczych użytkowników (na przykład w protokole HTTPS).
  • Z serwera AD FS musi zostać pobrany certyfikat zabezpieczeń.
  • Wszystkie konta Active Directory, które zostaną powiązane z kontem Creative Cloud dla przedsiębiorstw, muszą mieć w katalogu Active Directory zdefiniowane adresy e-mail.

Tworzenie katalogu w serwisie Adobe Admin Console

Aby skonfigurować logowanie SSO w swojej domenie, należy wykonać następujące czynności:

  1. Zaloguj się w serwisie Admin Console i rozpocznij tworzenie katalogu Federated ID. Jako usługę IdP wybierz opcję Inni dostawcy SAML. Pobierz plik metadanych Adobe z kreatora Utwórz katalog.
  2. Skonfiguruj usługę AD FS, podając wartości ACS URL (adres URL usługi ACS) oraz Entity ID (identyfikator podmiotu). Następnie pobierz plik metadanych usługi IdP.
  3. Wróć do konsoli Adobe Admin Console i wgraj plik metadanych IdP w kreatorze Utwórz folder . Następnie wybierz Dalej, skonfiguruj automatyczne tworzenie konta i wybierz Zakończ.

Kliknij hiperłącza, aby wyświetlić dodatkowe informacje dotyczące poszczególnych etapów.

Konfigurowanie serwera AD FS

Aby skonfigurować integrację z usługą AD FS z użyciem protokołu SAML, wykonaj następujące kroki:

Uwaga:

Wszystkie poniższe kroki trzeba powtórzyć po każdej zmianie wartości podanych w serwisie Adobe Admin Console dla określonej domeny.

  1. W aplikacji Zarządzanie programem AD FS otwórz ekran AD FS -> Relacje zaufania -> Zaufania strony uzależnionej i kliknij opcję Dodaj zaufanie jednostki uzależnionej, aby uruchomić kreator.

  2. Kliknij przycisk Rozpocznij i wybierz opcję Zaimportuj dane o jednostce uzależnionej z pliku, a następnie przejdź do lokalizacji, do której skopiowano metadane z serwisu Adobe Admin Console.

  3. Nadaj nazwę relacji zaufania strony uzależnionej i w razie potrzeby dodaj notatki.

    Kliknij przycisk Dalej.

  4. Określ, czy wymagane jest uwierzytelnianie wieloskładnikowe i wybierz odpowiednią opcję.

    Kliknij przycisk Dalej.

  5. Sprawdź, czy wszyscy użytkownicy mogą logować się za pośrednictwem usług AD FS.

    Kliknij przycisk Dalej.

  6. Przejrzyj wprowadzone ustawienia.

    Kliknij przycisk Dalej.

  7. Relacja zaufania strony uzależnionej została dodana.

    Nie usuwaj zaznaczenia tej opcji, aby ułatwić sobie szybkie otwarcie okna dialogowego Edytuj reguły dotyczące oświadczeń, które będzie potrzebne na kolejnych etapach tej procedury.

    Kliknij przycisk Zamknij.

  8. Jeśli kreator Edytuj reguły dotyczące oświadczeń nie został otwarty automatycznie, można go otworzyć z aplikacji Zarządzanie programem AD FS Management, wybierając polecenia AD FS -> Relacje zaufania -> Zaufania strony uzależnionej, wybierając Adobe SSO jako relację zaufania i klikając opcję Edytuj reguły dotyczące oświadczeń... po prawej stronie.

  9. Kliknij opcję Dodaj regułę i skonfiguruj regułę, używając jako magazynu atrybutów szablonu Wysyłaj atrybuty LDAP jako oświadczenia. Utwórz odwzorowanie między atrybutem LDAP „E-Mail-Addresses” a opcją Typ oświadczenia wychodzącego: Adres e-mail.

    Uwaga:

    Adobe sugeruje użycie adresu e-mail jako podstawowego identyfikatora, jak to przedstawiono na powyższym zrzucie ekranu. Można również użyć pola UPN (Główna nazwa użytkownika) jako atrybutu LDAP wysyłanego w asercji jako adres e-mail. Adobe nie zaleca jednak takiej konfiguracji reguł oświadczeń.

    Nazwa UPN często nie jest mapowana na adres e-mail i w wielu przypadkach będzie się od niego różnić. Z dużym prawdopodobieństwem doprowadzi to do problemów z powiadomieniami i udostępnianiem zasobów w ramach usługi Creative Cloud.

  10. Kliknij przycisk Zakończ, aby zakończyć dodawanie reguły przekształcania dotyczącej oświadczeń.

  11. Nadal pracując w kreatorze Edytuj reguły dotyczące oświadczeń, dodaj regułę z użyciem szablonu Przekształcaj oświadczenie przychodzące w celu przekształcania oświadczeń przychodzących typu „E-Mail Address” na oświadczenia wychodzące o typie „Name ID” i formacie identyfikatora nazwy wychodzącej równym „Email”; wszystkie wartości z oświadczenia powinny być przekazywane bez zmian.

  12. Kliknij przycisk Zakończ, aby zakończyć dodawanie reguły przekształcania dotyczącej oświadczeń.

  13. W kreatorze Edytuj reguły dotyczące oświadczeń dodaj następującą regułę z użyciem szablonu Wysyłaj oświadczenia przy użyciu reguły niestandardowej:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Kliknij przycisk Zakończ, aby zakończyć pracę kreatora reguł niestandardowych.

  15. Kliknij przycisk OK w oknie dialogowym Edytuj reguły dotyczące oświadczeń, aby zakończyć dodawanie tych trzech reguł do relacji zaufania strony uzależnionej.

    Uwaga:

    Istotna jest kolejność reguł dotyczących oświadczeń — muszą one znajdować się w przedstawionym tutaj porządku.

Aby uniknąć problemów z łącznością między systemami, w których występują nieznaczne różnice wskazań zegara, ustaw domyślne opóźnienie na 2 minuty. Więcej informacji o opcjach opóźnienia podano w tym dokumencie dotyczącym rozwiązywania problemów.

Pobieranie pliku metadanych usługi AD FS

  1. Otwórz aplikację Zarządzanie programem AD FS na serwerze. W folderze AD FS > Usługa > Punkty końcowe wybierz opcję Metadane federacji.

    Lokalizacja metadanych

  2. Użyj przeglądarki, aby przejść do adresu URL podanego w metadanych federacji i pobrać plik. Na przykład: https://<nazwa używanego hosta AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Uwaga:
    • Jeśli zostaną wyświetlone ostrzeżenia, zaakceptuj je.
    • Aby poznać nazwę hosta usługi Microrsoft AD FS w systemie operacyjnym Windows:
      Otwórz okno Windows PowerShell > Uruchom jako administrator i wpisz Get-AdfsProperties. Naciśnij klawisz Enter i odszukaj nazwę hosta na liście szczegółowych danych.

Przesyłanie pliku metadanych usługi IdP do serwisu Adobe Admin Console

Aby przesłać zaktualizowany certyfikat, wróć do serwisu Adobe Admin Console. Na ekranie Dodaj profil SAML prześlij plik metadanych pobrany z programu AD FS i kliknij przycisk Gotowe.

Kolejne kroki: Finalizowanie konfiguracji, aby przypisać użytkownikom aplikacje

Po skonfigurowaniu katalogu wykonaj następujące czynności, aby umożliwić użytkownikom w organizacji korzystanie z aplikacji i usług Adobe:

  1. Dodaj i skonfiguruj domeny w serwisie Admin Console.
  2. Powiąż domeny z katalogiem AD FS.
  3. (Opcjonalnie) Jeśli domeny te są już wykorzystywane w serwisie Admin Console w innym katalogu, przenieś je bezpośrednio do nowo utworzonego katalogu AD FS.
  4. Dodaj profile produktowe, aby dostosować sposób wykorzystania zakupionych planów.
  5. Przetestuj konfigurację logowania SSO, dodając użytkownika testowego.
  6. Określ strategię i narzędzia zarządzania użytkownikami odpowiednio do swoich wymagań. Następnie dodaj użytkowników w serwisie Admin Console i przypisz ich do profili produktowych, tak aby mogli zacząć korzystać z aplikacji Adobe.

Więcej informacji o innych narzędziach i technikach związanych z identyfikatorami podano w artykule Konfigurowanie identyfikatorów.

Testowanie pojedynczego logowania

Utwórz użytkownika testowego w usłudze Active Directory. Utwórz dla tego użytkownika wpis w serwisie Admin Console i przypisz mu licencję. Następnie zaloguj się testowo w serwisie Adobe.com i sprawdź, czy odpowiednie oprogramowanie jest widoczne jako dostępne do pobrania.

Można to również przetestować, logując się do programu Creative Cloud Desktop albo korzystając z aplikacji takiej jak Photoshop lub Illustrator.

Jeśli wystąpią problemy, zapoznaj się z dokumentacją dotyczącą ich rozwiązywania. Jeśli potrzebna jest dalsza pomoc w konfigurowaniu logowania SSO, przejdź do sekcji Pomoc techniczna w serwisie Adobe Admin Console i utwórz zgłoszenie pomocy.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?