Dotyczy przedsiębiorstw.
W tym artykule opisano starszą konfigurację SAML stosowaną w przypadku rozwiązania Microsoft Azure AD.
W przypadku nowych konfiguracji zaleca się skorzystanie z konektora Azure AD, który można skonfigurować w ciągu kilku minut. Konektor ten przyspiesza proces uzyskiwania przypisania domeny, definiowania konfiguracji SSO oraz synchronizacji użytkowników.
Administrator może skonfigurować w serwisie Adobe Admin Console domeny, które będą umożliwiać pojedyncze logowanie (SSO) z użyciem identyfikatora Federated ID. Po zweryfikowaniu domeny katalog ją zawierający zostanie skonfigurowany tak, aby umożliwić użytkownikom logowanie się do usługi Creative Cloud. Użytkownicy mogą korzystać z usługi IdP (dostawcy tożsamości), aby logować się z użyciem adresów e-mail należących do tej domeny. Proces ten jest obsługiwany przez usługę programową uruchomioną w sieci korporacyjnej i dostępną z Internetu albo przez usługę w chmurze udostępnianą przez firmę zewnętrzną, która umożliwia weryfikację danych logowania użytkownika przez bezpieczne połączenie nawiązywane z użyciem protokołu SAML.
Jedną z takich usług dostawcy tożsamości (IdP) jest Microsoft Azure. Jest to usługa w chmurze, która ułatwia bezpieczne zarządzanie identyfikatorami.
Usługa Azure AD wykorzystuje atrybut userPrincipalName, a w przypadku instalacji niestandardowej umożliwia także samodzielne wybranie atrybutu używanego przy logowaniu z systemów lokalnych jako główna nazwa użytkownika w katalogu Azure AD. Jeśli wartość atrybutu userPrincipalName nie odpowiada żadnej ze zweryfikowanych domen w usłudze Azure AD, to zostanie zastąpiona domyślną wartością .onmicrosoft.com.
Gdy użytkownik podejmuje próbę uwierzytelnienia się w aplikacji, usługa Azure AD przekazuje aplikacji token SAML zawierający informacje (lub oświadczenia) pozwalające jednoznacznie identyfikować tego użytkownika. Informacje te obejmują domyślnie nazwę konta, adres e-mail, imię i nazwisko użytkownika. Na karcie Atrybuty można wyświetlać i edytować oświadczenia wysyłane do aplikacji w tokenie SAML oraz zwolnić atrybut nazwy użytkownika.
Aby skonfigurować logowanie SSO w swojej domenie, wykonaj następujące czynności:
Sprawdź, czy konsola Microsoft Azure jest dostępna i czy logujesz się jako administrator, ponieważ będzie to wymagane w celu utworzenia nowej aplikacji korporacyjnej.
Aby skonfigurować pojedyncze logowanie SSO w usłudze Azure, wykonaj następujące czynności:
Otwórz ekran Azure Active Directory > Aplikacje korporacyjne > Wszystkie aplikacje i kliknij opcję Nowa aplikacja.
W sekcji Dodaj z galerii, wpisz w polu wyszukiwania „Adobe Creative Cloud”.
Wybierz Adobe Identity Management (SAML), zmień nazwę łącznika na Dodaj i poczekaj na zakończenie procesu.
Przejdź do Azure Active Directory > Aplikacje korporacyjne > Wszystkie aplikacje i wybierz nową aplikację łącznika Adobe Identity Management, aby przejść do strony Przegląd.
Wybierz opcje Logowanie jednokrotne > SAML.
Na ekranie Podstawowa konfiguracja SAML wprowadź wartości Entity ID oraz ACS URL skopiowane z serwisu Adobe Admin Console. Następnie kliknij przycisk Zapisz.
Aby sformatować atrybuty tokenu SAML, kliknij przycisk Edytuj i otwórz okno dialogowe Atrybuty użytkownika. Następnie kliknij opcję Dodaj nowe oświadczenie i zmodyfikuj w następujący sposób atrybuty na stronie Atrybuty i oświadczenia użytkowników. Pole Przestrzeń nazw pozostaw puste.
|
NAZWA |
WARTOŚĆ |
PRZESTRZEŃ NAZW |
|---|---|---|
|
FirstName |
user.givenname |
|
|
LastName |
user.surname |
|
|
|
user.mail |
|
Gdy wszystkie atrybuty zostaną ustawione zgodnie z następującymi wartościami, zamknij stronę Atrybuty i oświadczenia użytkowników.
Z sekcji Certyfikat podpisywania SAML pobierz plik Federation Metadata XML i zapisz go na swoim komputerze.
Następnie skopiuj odpowiednie adresy URL z sekcji Skonfiguruj <nazwa> zgodnie z własnymi wymaganiami.
Kliknij przycisk „X”, aby zamknąć stronę dokumentacji w portalu Azure i powrócić do okna konfiguracji aplikacji korporacyjnej konektora Adobe SSO.
Wróć do serwisu Adobe Admin Console, aby przesłać najnowszą wersję certyfikatu. Na ekranie Dodaj profil SAML prześlij certyfikat pobrany z portalu Azure i kliknij przycisk Gotowe.
Aby przypisać użytkowników za pośrednictwem usługi Microsoft Azure, tak aby mogli logować się za pomocą konektora Adobe Creative Cloud, wykonaj poniższe czynności. Musisz także przypisać użytkownikom licencje w serwisie Adobe Admin Console.
Otwórz ekran Azure Active Directory -> Aplikacje korporacyjne -> Wszystkie aplikacje i wybierz aplikację konektora Adobe Creative Cloud.
Kliknij opcję Użytkownicy i grupy.
Kliknij opcję Dodaj użytkownika, aby wybrać użytkowników, których chcesz przypisać do tego konektora, co umożliwi im logowanie się za pomocą mechanizmu SSO.
Wybierz opcję Użytkownicy lub Grupy. Wybierz użytkowników lub grupy, którym chcesz zezwolić na logowanie się do usługi Creative Cloud. Kliknij opcję Wybierz, a potem opcję Przypisz.
Przetestuj dostęp użytkowników, logując się w serwisie Adobe lub programie Creative Cloud Desktop z użyciem konta użytkownika zdefiniowanego zarówno we własnym systemie zarządzania identyfikatorami, jak i w serwisie Adobe Admin Console.
Jeśli wystąpią problemy, zapoznaj się z dokumentacją dotyczącą ich rozwiązywania.
Jeśli potrzebna jest dalsza pomoc w konfigurowaniu logowania SSO, przejdź na stronę Adobe Admin Console > Pomoc techniczna i skontaktuj się z nami.
