Visão geral

1.setup-identity

O documento destaca o processo de configuração do Adobe Admin Console com um servidor Microsoft AD FS.

O provedor de identidade não precisa ser acessível fora da rede corporativa, mas se não for, apenas as estações de trabalho dentro da rede (ou conectadas por meio de VPN) poderão ser autenticadas para ativar uma licença ou fazer logon depois de desativar sua sessão.


Configurar o SSO com o Microsoft AD FS (Assista: 17 min)

Observação:

As instruções e capturas de tela deste documento se aplicam à versão 3.0 do AD FS, mas os mesmos menus estão presentes no AD FS 2.0.

Pré-requisitos

Antes de criar um diretório para Single Sign-On usando o Microsoft AD FS, os seguintes requisitos devem ser atendidos:

  • Um Microsoft Windows Server instalado com o Microsoft AD FS e as atualizações mais recentes do sistema operacional. Se você deseja que os usuários usem produtos da Adobe com macOS, verifique se seu servidor oferece suporte a TLS versão 1.2 e forward secrecy. Para saber mais sobre o AD FS, consulte o documento de identidade e acesso da Microsoft.
  • O servidor deve estar acessível por meio das estações de trabalho dos usuários (por exemplo, via HTTPS).
  • Certificado de segurança obtido do servidor AD FS.
  • Todas as contas do Active Directory que serão associadas a uma conta da Creative Cloud para empresas devem ter um endereço de email listado no Active Directory.

Criar um diretório no Adobe Admin Console

Para configurar o Single Sign-On para seu domínio, você precisa fazer o seguinte: 

  1. Faça logon no Admin Console e comece criando um diretório de Federated ID e selecionando Outros provedores de SAML como o provedor de identidade. Baixe o arquivo de metadados da Adobe na tela Adicionar o perfil SAML.
  2. Configure o AD FS especificando o URL do ACS e a ID da entidade e baixe o arquivo de metadados do IdP.
  3. Volte para o Adobe Admin Console e faça upload do arquivo de metadados do IdP na tela Adicionar o perfil SAML e clique em Concluído.

Para saber mais sobre os detalhes de cada etapa, siga os hiperlinks.

Configurar o servidor AD FS

Para configurar a integração do SAML com o AD FS, siga as etapas abaixo:

Cuidado:

Todas as etapas subsequentes devem ser repetidas após qualquer alteração nos valores no Adobe Admin Console para um domínio específico.

  1. No aplicativo Gerenciamento do AD FS, navegue até AD FS -> Relações de confiança -> Objetos de confiança de terceira parte confiável e clique em Adicionar objeto de confiança de terceira parte confiável para iniciar o assistente.

  2. Clique em Iniciar e selecione Importar dados de uma terceira parte de um arquivo e navegue até o local no qual você copiou os metadados do Adobe Admin Console.

    08_-_import_metadata
  3. Nomeie seu objeto de confiança de terceira parte confiável e insira qualquer observação adicional, conforme necessário.

    Clique em Avançar.

    09_-_name_relyingpartytrust
  4. Determine se a autenticação de vários fatores é necessária e selecione a opção relevante.

    Clique em Avançar.

  5. Determine se todos os usuários podem fazer logon por meio de AD FS.

    Clique em Avançar.

  6. Revise suas configurações.

    Clique em Avançar.

  7. Sua confiança de objeto de confiança de terceira parte confiável foi adicionada.

    Deixe a opção marcada para abrir a caixa de diálogo Editar regras de declaração para acessar rapidamente as próximas etapas.

    Clique em Fechar.

  8. Se o assistente Editar regras de declaração não foi aberto automaticamente, é possível acessá-lo por meio do aplicativo Gerenciamento do AD FS em AD FS -> Relações de confiança -> Objetos de confiança de terceira parte confiável, selecionando o objeto de confiança de terceira parte confiável do SSO da Adobe e clicando em Editar regras de declaração... no lado direito.

  9. Clique em Adicionar regra e configure uma regra usando o modelo Enviar atributos LDAP como declarações para seu repositório de atributos, mapeando o atributo LDAP Endereços de email para o tipo de declaração de saída Endereço de email.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Observação:

    Conforme mostrado na captura de tela acima, sugerimos usar o endereço de email como o identificador principal. Você também pode usar o campo User Principal Name (UPN) como o atributo LDAP enviado em uma declaração como o endereço de email. No entanto, não recomendamos isso para configurar a regra de declaração.

    Geralmente, o UPN não mapeia para um endereço de email e, em muitos casos, será diferente. Isso provavelmente causará problemas para notificações e compartilhamento de ativos na Creative Cloud.

  10. Clique em Concluir para concluir a adição da regra de declaração de transformação.

  11. Novamente, no assistente Editar regras de declaração, adicione uma regra usando o modelo Transformar uma declaração de entrada para converter declarações de entrada do tipo Endereço de email com o tipo de declaração de saída ID do nome e Formato de ID do nome de saída como email, passando por todos os valores de declaração.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Clique em Concluir para concluir a adição da regra de declaração de transformação.

  13. No assistente Editar regras de declaração, adicione uma regra usando o modelo Enviar declarações usando uma regra personalizada contendo a seguinte regra:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Clique em Concluir para concluir o assistente de regra personalizada.

  15. Clique em OK na caixa de diálogo Editar regras de declaração para concluir a adição dessas três regras ao seu objeto de confiança de terceira parte confiável.

    16_-_edit_claim_rules

    Observação:

    A ordem das regras de declaração é importante; elas devem aparecer conforme mostrado aqui.

Para evitar problemas de conectividade entre sistemas em que o relógio difere um pouco, defina o desvio de tempo padrão para 2 minutos. Para obter mais informações sobre o desvio de tempo, consulte o documento Solução de erros.

Baixar o arquivo de metadados do AD FS

  1. Abra o aplicativo Gerenciamento do AD FS no seu servidor e, dentro da pasta AD FS > Service > Endpoints, selecione Federation Metadata.

    Local dos metadados
  2. Use um navegador para acessar o URL fornecido em Federation Metadata e baixe o arquivo. Por exemplo, https://<nome do servidor do AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Observação:

    • Aceite todos os avisos exibidos.
    • Para saber seu nome de host do Microrsoft AD FS em um sistema operacional Windows:
      Abra Windows PowerShell > Executar como administrador > Texto Get-AdfsProperties > Pressione Enter > Procure o seu Nome do host na lista detalhada.

Fazer upload do arquivo de metadados do IdP no Adobe Admin Console

Para atualizar o certificado mais recente, retorne à janela do Adobe Admin Console. Faça upload do arquivo de metadados baixado do AD FS na tela Adicionar o perfil SAML e clique em Concluído.

Próximas etapas: Concluir a configuração para atribuir aplicativos aos usuários

Depois de configurar seu diretório, faça o seguinte para permitir que os usuários de sua organização usem aplicativos e serviços da Adobe:

  1. Adicione e configure domínios no Admin Console.
  2. Associe os domínios com o diretório do AD FS.
  3. (Opcional) Se os seus domínios já estiverem estabelecidos no Admin Console em outro diretório, transfira-os diretamente para o diretório do AD FS recém-criado.
  4. Adicione perfis de produto para ajustar o uso de seus planos adquiridos.
  5. Teste sua configuração de SSO adicionando um usuário de teste.
  6. Escolha sua estratégia e ferramentas de gerenciamento de usuários com base em seus requisitos. Em seguida, adicione usuários ao Admin Console e atribua-os a perfis de produto para que os usuários iniciem seus aplicativos da Adobe.

Para saber mais sobre outras ferramentas e técnicas relacionadas à identidade, consulte Configurar identidade.

Testar o Single Sign-On

Crie um usuário de teste com o Active Directory. Crie uma entrada no Admin Console para este usuário e atribua-lhe uma licença. Em seguida, faça logon em Adobe.com para confirmar que o software relevante está listado para download.

Você também pode testar fazendo logon no aplicativo de desktop da Creative Cloud e em um aplicativo como o Photoshop ou o Illustrator.

Se você encontrar problemas, consulte nossa solução de problemas de documentos. Se você ainda precisar de ajuda com a configuração de Single Sign-On, navegue até Suporte no Adobe Admin Console e abra um chamado com o Suporte ao cliente.