Opis ogólny

Adobe Admin Console umożliwia administratorowi systemu skonfigurowanie domen i katalogów używanych do logowania się przy użyciu identyfikatora Federated ID Single Sign-On (SSO). Po wykazaniu prawa własności do domeny przy użyciu tokena DNS i powiązaniu go z katalogiem identyfikacyjnym Federated ID, użytkownicy mający adresy e-mail w obrębie zgłoszonej domeny mogą logować się do usługi Creative Cloud za pośrednictwem systemu dostawcy tożsamości (IdP), po utworzeniu odpowiednich kont w odpowiedniej Adobe Admin Console. Proces jest dostarczony jako usługa oprogramowania działająca w sieci firmowej i jest dostępny przez Internet lub chmurę obsługiwaną przez inną firmę oraz pozwala na weryfikację danych logowania użytkowników poprzez bezpieczną komunikację opartej na protokole SAML.

Jednym z takich IdP jest oparta na chmurze usługa Microsoft Azure, pomagająca bezpiecznie zarządzać tożsamościami.

Usługa Azure AD używa atrybutu userPrincipalName lub umożliwia określenie atrybutu (w instalacji niestandardowej), który ma być używany lokalnie jako główna nazwa użytkownika w usłudze Azure AD. Jeśli wartość atrybutu userPrincipalName nie odpowiada zweryfikowanej domenie w usłudze Azure AD, zostanie zastąpiona przez domyślną wartość .onmicrosoft.com.

Gdy użytkownik jest uwierzytelniany w aplikacji, usługa Azure AD wystawia do aplikacji token SAML zawierający informacje (lub zgłoszenia) które jednoznacznie identyfikują użytkowników. Informacje te obejmują domyślnie nazwę użytkownika, adres e-mail, imię i nazwisko. Można wyświetlić lub edytować zgłoszenia przesłane w tokenie SAML do aplikacji na karcie Atrybuty i zwolnić atrybut nazwy użytkownika.

Wymagania wstępne

Przed skonfigurowaniem domeny na potrzeby Single Sign-On (SSO) przy użyciu serwera Microsoft Azure należy spełnić następujące wymagania.

  • Zatwierdzona domena odpowiadająca domenie DNS, w której przebywają użytkownicy, podłączonej do katalogu federacyjnego na Konsoli administratora Adobe. Więcej informacji można znaleźć w ogólnej dokumentacji na temat konfiguracji identyfikatorów.
  • Pulpit nawigacyjny usługi Microsoft Azure musi być dostępny a użytkownik musi być zalogowany jako administrator mogący utworzyć nową aplikację firmową

Tworzenie aplikacji SSO w usłudze Azure for Adobe

Aby Skonfigurować logowanie jednokrotne w usłudze Azure, wykonaj poniższe kroki:

  1. Przejdź do katalogu Azure Active Directory > Enterprise Applications > All Applications i kliknij przycisk Nowa aplikacja.

  2. Obok opcji Dodaj z galerii wpisz „Adobe Creative Cloud” w polu wyszukiwania

  3. Wybierz opcję Adobe Creative Cloud, nadaj nazwę łącznikowi i poczekaj na zakończenie procesu.

    add_application
  4. Przejdź do katalogu Azure Active Directory > Enterprise Applications > All Applications i nową aplikację łączącą Adobe Creative Cloud.

  5. Zaloguj się do Adobe admin console na oddzielnej karcie przeglądarki i przejdź do strony konfiguracji dla konfigurowanej domeny. Można ją znaleźć w lokalizacji ustawienia -> tożsamość po kliknięciu nazwy domeny a następnie przycisku Konfiguracja SSO

  6. W portalu Azure kliknij opcję Logowanie jednokrotne i wybierz tryb dla tej aplikacji łącznika „Logowanie jednokrotne oparte an SAML”

  7. Kliknij pole wyboru, aby Wyświetlić i edytować wszystkie inne atrybuty użytkownika

  8. Edytuj atrybuty tokena SAML w następujący sposób, pozostawiając pustą przestrzeń nazwa dla każdego wpisu:

    NAZWA WARTOŚĆ PRZESTRZEŃ NAZW
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    Uwaga:

    Aby uwierzytelnić użytkowników za pomocą wiadomości e-mail, ustaw opcję UserIdentifier na user.mail. Aby uwierzytelnić użytkowników za pomocą wartości UserPrincipalName, ustaw opcję UserIdentifier na user.userprincipalname.

  9. Kliknij strzałkę w dolnej części strony (oznaczoną jako krok 5), zawierającą nazwę łącznika Azure SSO (patrz zrzut ekranu), aby wyświetlić dokumentację firmy Microsoft dla Adobe Single Sign-On w lewej części strony.

    screen_shot_2018-05-08at085804
  10. W okienku, które się następnie wyświetli, pod dokumentacją, znajduje się sekcja „Porady i odnośniki”, zawierająca łącza do różnych punktów końcowych i certyfikat podpisywania. Te informacje są wykorzystywane w następnych sekcjach.

    screen_shot_2018-05-08at144856
  11. Skopiuj identyfikator Entity ID usługi Azure AD z portalu Azure i wklej go do pola Wystawca IdP na stronie Konfiguracja tożsamości domeny w Adobe Admin Console.

  12. Skopiuj adres URL usługi Single Sign-On Azure ID z portalu Azure i wklej go do pola adresu URL logowania strony Konfiguracji tożsamości domeny w Adobe Admin Console.

  13. Kliknij przycisk „X”, aby zamknąć stronę dokumentacji w portalu Azure i wrócić do okna konfiguracji aplikacji Enterprise dla łącznika Adobe SSO.

  14. W sekcji „Certyfikat podpisu SAML” kliknij przycisk Certyfikat (baza 64) po prawej stronie, by pobrać plik certyfikatu.

  15. Prześlij certyfikat uzyskany w poprzednim kroku do Adobe admin console jako certyfikat IdP i zapisz te szczegóły, klikając opcję zakończ konfigurację.

    01_-_configure_saml
  16. Kliknij przycisk Zapisz.

  17. Zaznacz to pole aby potwierdzić, że rozumiesz konieczność ukończenia konfiguracji u dostawcy tożsamości. Te czynności zostaną wykonane w następnych krokach w portalu Azure.

  18. Zapisz ustawienia tego katalogu w Adobe admin console, klikając przycisk Pobierz metadane.

    Ten plik będzie używany do uzyskania określonych atrybutów konfiguracji.

    configure_directoryanddownloadmetadata
  19. Kliknij przycisk Zakończ, aby aktywować katalog.

  20. Otwórz metadane w edytorze tekstu lub przeglądarce internetowej i skopiuj wartości EntityID i AssertionConsumerService do portalu Azure w polach Identyfikator i ReplyURL, jak pokazano na przykładowym zrzucie ekranu poniżej.

    metadata_example
    • Użyj adresu URL identyfikatora EntityID z metadanych w polu Identyfikator w konfiguracji usługi Azure:
      Adres ma następującą formę: https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Użyj adresu URL usługi AssertionConsumerService w polu Adres URL odpowiedzi w konfiguracji usługi Azure
      Adres ma następującą formę: https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. Zapisz te ustawienia w portalu Azure za pomocą przycisku „Zapisz” u góry strony.

Przypisywanie użytkowników za pomocą platformy Azure

Aby przypisać użytkowników za pośrednictwem usługi Microsoft Azure i umożliwić im logowanie się przy użyciu konektora Adobe Creative Cloud, wykonaj poniższe kroki. Pamiętaj, że nadal będzie trzeba przypisać licencje za pomocą Adobe admin console.

  1. Przejdź do katalogu Azure Active Directory > Enterprise Applications > All Applications i wybierz aplikację łączącą Adobe Creative Cloud.

  2. Kliknij opcję Użytkownicy i grupy

  3. Kliknij opcję Dodaj użytkownika, aby wybrać użytkowników przypisanych do tego łącznika, co pozwoli im na logowanie jednokrotne.

  4. Kliknij opcję Użytkownicy lub Grupy i wybierz jednego więcej użytkowników lub grup, którym chcesz pozwolić na zalogowanie się do usługi Creative Cloud, a następnie kliknij przycisk Wybierz oraz Przydziel.

Testowanie dostępu użytkownika

Aby przetestować dostęp użytkownika, wykonaj następujące kroki:

  1. Upewnij się także, że dodano użytkowników w Adobe Admin console jako identyfikatory Federated ID oraz przypisano ich do grupy w celu nadania uprawnień.

  2. Następnie wpisz adres email/upn w formularzu logowania firmy Adobe, naciśnij klawisz tab. Nastąpi ponowna federacja do Azure AD:

    • W przeglądarce internetowej: www.adobe.com kliknij przycisk zaloguj się w prawym górnym rogu strony
    • W aplikacji Creative Cloud na komputer
    • Z aplikacji Adobe Creative Cloud takiej, jak Photoshop lub Illustrator z menu Pomoc > Zaloguj się...

W razie problemów, zapoznaj się z naszym dokumentem rozwiązywania problemów.

Jeśli potrzebujesz dodatkowej pomocy w konfiguracji logowania jednokrotnego, przejdź do Konsoli administratora Adobe, otwórz sekcję Pomoc i wyślij zgłoszenie, lub kliknij łącze Pomoc w witrynie Adobe.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online