Visão geral

O Adobe Admin Console permite que o administrador de sistema configure os domínios usados para logon por meio de Federated ID para Single Sign-On (SSO). Uma vez que a propriedade de um domínio foi demonstrada pelo uso de um token DNS, o domínio pode ser configurado para permitir que os usuários façam logon na Creative Cloud usando endereços de email com aquele domínio por meio de um provedor de identidade (IdP), software instalado em um servidor acessível pela Internet ou como um serviço em nuvem hospedado por terceiros que permite a verificação dos detalhes do login do usuário por meio de comunicação segura usando o protocolo SAML.

O Microsoft Active Directory Federation Services ou AD FS é um IdP. Para usar o AD FS, é necessário configurar um servidor acessível pela Internet e que tenha acesso aos serviços de diretório na rede corporativa. O objetivo deste documento é descrever o processo necessário para configurar o Adobe Admin Console e um servidor Microsoft AD FS para ser possível fazer logon nos aplicativos da Adobe Creative Cloud e sites associados por meio de Single Sign-On.

O acesso ao IdP normalmente é feito usando uma rede separada para a qual regras específicas são configuradas para permitir acesso apenas a certos tipos de comunicação entre os servidores e as redes interna e externa, geralmente denominado DMZ ou zona desmilitarizada. A configuração do sistema operacional no servidor e a topologia da rede não estão no escopo deste documento.

Pré-requisitos

Antes de configurar um domínio para Single Sign-On usando o Microsoft AD FS, os seguintes requisitos devem ser atendidos:

  • O domínio foi reivindicado no Adobe Admin Console, e está como “Ativo” na coluna “Status do domínio”.
  • Um servidor AD FS está instalado com uma versão compatível do Microsoft Windows Server, acessível externamente (por exemplo, por HTTPS) e com as atualizações de sistema operacional mais recentes.
  • Certificado de segurança obtido do servidor AD FS.
  • Todas as contas do Active Directory que serão associadas a uma conta da Creative Cloud para empresas devem ter um endereço de email listado no Active Directory.

Configuração

Para configurar o Adobe Admin Console, como demonstrado na captura de tela acima, siga estas etapas:

Fazer upload do certificado no console

  1. Na exibição “Certificados” do aplicativo Gerenciamento do AD FS 2.0, selecione o certificado de autenticação de token e clique em “Exibir certificado…” para abrir a janela de propriedades do certificado.
  2. Na guia Detalhes, clique em “Copiar para arquivo…” e use o assistente para salvar o certificado como “ X.509 codificado na Base 64 (.CER)” (é equivalente ao certificado em formato PEM).
  3. Faça upload do arquivo de certificado salvo no Adobe Admin Console.

Definir valores de configuração do servidor AD FS

  1. Copie o URL do emissor de IDP da janela das propriedades do serviço de federação no servidor AD FS, no campo “Identificador do serviço de federação” (observe que o campo deve ser exatamente o mesmo), por exemplo, http://adfs.example.com/adfs/services/trust – esse endereço não precisa ser acessível externamente.
  2. Determine o URL de logon de IDP, que tem o seguinte formato padrão no Microsoft AD FS: https://adfs.example.com/adfs/ls/.
  3. Selecione HTTP-REDIRECT como o vínculo de IDP.
  4. Deixe a configuração de logon do usuário como “Endereço de email”.

Copiar metadados para o servidor AD FS

OBSERVAÇÃO: essa etapa e todas as subsequentes devem ser repetidas após qualquer alteração nos valores no Adobe Admin Console para um domínio específico.

  1. Baixe o arquivo de metadados do Adobe Admin Console.
  2. Copie o arquivo para o servidor AD FS.
  3. Crie um novo objeto de confiança de terceira parte confiável no servidor AD FS usando o arquivo de metadados obtido no console (veja captura de tela).

Configurar regras de declaração no servidor AD FS

  1. Usando o assistente “Editar regras de declaração”, adicione uma regra usando o modelo “Enviar atributos LDAP como declarações” para seu repositório de atributos, mapeando o atributo LDAP “Endereços de email” para o tipo de declaração de saída “Endereço de email” (veja a captura de tela).
  1. Novamente, usando o assistente “Editar regras de declaração”, adicione uma regra usando o modelo “Transformar uma declaração de entrada” para converter declarações de entrada do tipo “Endereço de email” com o tipo de declaração de saída “ID do nome” e formato de ID do nome de saída como “Email”, passando por todos os valores de declaração.
  1. Usando o assistente “Editar regras de declaração”, adicione uma regra usando o modelo “Enviar declarações usando uma regra personalizada” contendo a seguinte regra:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

Configurar o algoritmo de hash

  1. Altere as propriedades da entrada do objeto de confiança de terceira parte confiável para o domínio que você está usando com o Adobe Admin Console e, na guia “Avançado”, selecione o algoritmo hash seguro SHA-1.

Testar o Single Sign-On

  1. Crie um usuário de teste com o Active Directory, crie uma entrada no Adobe Admin Console para o usuário, atribua a ele uma licença e teste o logon em http://www.adobe.com/br/ para confirmar que o software relevante está listado para download.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online