Visão geral

1.setup-identity

O documento destaca o processo de configuração do Adobe Admin Console com um servidor Microsoft AD FS.

O Provedor de identidade não precisa estar acessível fora da rede corporativa, mas se não estiver, somente as estações de trabalho dentro da rede (ou conectadas através da VPN) serão capazes de executar a autenticação para ativar uma licença ou fazer logon após desativar a sessão.


Observação:

As instruções e as capturas de tela neste documento são para a versão 3.0 do AD FS, mas os mesmos menus estão presentes no AD FS 2.0.

Pré-requisitos

Antes de criar um diretório para logon único usando o Microsoft AD FS, os seguintes requisitos devem ser atendidos:

  • Um Microsoft Windows Server instalado como o Microsoft AD FS as atualizações mais recentes do sistema operacional. Se você deseja que os usuários usem produtos da Adobe com o macOS, verifique se o seu servidor oferece suporte ao TLS versão 1.2 e a sigilo encaminhado (forward secrecy, FS). Para saber mais sobre o AD FS, consulte o documento de Identidade e Acesso da Microsoft.
  • O servidor deve ser acessível a partir de estações de trabalho de usuários (por exemplo, através de HTTPS).
  • Certificado de segurança obtido de um servidor AD FS.
  • Todas as contas do Active Directory a serem associadas à conta da Creative Cloud para empresas devem ter um endereço de e-mail listado no Active Directory.

Criar um diretório no Adobe Admin Console

Para configurar o logon único no seu domínio, execute as etapas abaixo:

  1. Entre no Admin Console e comece criando um diretório Federated ID, selecionando Outros provedores SAML como o provedor de identidade. Baixe o arquivo de metadados da Adobe na tela Adicionar perfil SAML.
  2. Configure o AD FS especificando o URL do ACS e a Entity ID e baixe o arquivo de metadados do IdP.
  3. Volte para o Adobe Admin Console e carregue o arquivo de metadados do IdP na tela Adicionar perfil SAML e clique em Concluído.

Para saber mais sobre os detalhes de cada etapa, siga os hiperlinks.

Configurar o servidor AD FS

Para configurar a integração de SAML com o AD FS, execute as etapas abaixo:

Cuidado:

Todas as etapas subsequentes devem ser repetidas após qualquer alteração dos valores no Adobe Admin Console para um determinado domínio.

  1. Navegue dentro do aplicativo AD FS Management para AD FS -> Relacionamentos confiáveis -> Terceiros confiáveis que apoiam e clique em Adicionar terceiros confiáveis que apoiam para iniciar o assistente.

  2. Clique em Iniciar e selecione Importar dados de uma parte confiável de um arquivo e, a seguir, navegue até o local no qual você copiou os metadados de seu Adobe Admin Console.

    08_-_import_metadata
  3. Nome sua parte confiável e insira quaisquer observações, como necessário.

    Clique em Avançar.

    09_-_name_relyingpartytrust
  4. Determine se a autenticação por múltiplos fatores é necessária, e selecione a opção relevante.

    Clique em Avançar.

  5. Determine se todos os usuários podem fazer logon via AD FS.

    Clique em Avançar.

  6. Reveja suas configurações.

    Clique em Avançar.

  7. Sua parte confiável foi adicionada.

    Deixe a opção marcada para abrir a caixa de diálogo Editar as regras de reivindicação para acessar rapidamente as próximas etapas.

    Clique em Fechar.

  8. Se o assistente Editar as regras de reivindicação não foi aberto automaticamente, você pode acessá-lo a partir do aplicativo em AD FS -> Relacionamentos confiáveis -> Terceiros confiáveis que apoiam, ao selecionar sua parte confiável do Adobe SSO e ao clicar em Editar as regras de reivindicação... no lado direito.

  9. Clique em Adicionar regra e configure a regra usando o modelo Enviar atributos LDAP como reinvindicações para seu armazenamento de atributo, mapeando o Atributo LDAP de Endereços de e-mail para Tipo de Reinvindicação de Saída de Endereço de e-mail.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Observação:

    Como mostrado na captura de tela acima, sugerimos usar o endereço de e-mail como identificador principal. Também é possível usar o campo Nome principal do usuário (UPN) como atributo LDAP enviado em uma declaração como o endereço de e-mail. No entanto, não é recomendado para configurar a Regra de declaração.

    Normalmente, o UPN não mapeia para um endereço de e-mail, e será diferente em muitos casos. Isso provavelmente causará problemas para notificações e para compartilhamento de ativos na Creative Cloud.

  10. Clique em Concluir para completar a adição da regra de reinvindicação de transformação.

  11. Novamente, usando o assistente Editar regras de declaração, adicione uma regra usando o modelo Transformar uma declaração de entrada para converter as declarações de entrada do tipo Endereço de e-mail com o tipo de declaração de saída: ID do nome ou Formato de ID do nome de saída passando através de todos os valores de declaração.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Clique em Concluir para completar a adição da regra de reinvindicação de transformação.

  13. Usando o assistente Editar regras de reivindicação, adicione uma regra usando o modelo Enviar reinvindicações usando um regra personalizada contendo a seguinte regra:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Clique em Concluir para completar o assistente de regra personalizada.

  15. Clique em OK na caixa de diálogo Editar regras de reinvindicação para completar a adição dessas três regras para sua parte confiável.

    16_-_edit_claim_rules

    Observação:

    A ordem das regras de reivindicação é importante. Elas devem ser exibidas conforme mostrado aqui.

Para evitar problemas de conectividade entre sistemas onde o relógio difere por um pequeno valor, defina o time-skew padrão para 2 minutos. Para obter mais informações sobre o time-skew, consulte o documento sobre solução de problemas de erros.

Baixar o arquivo de metadados do AD FS

  1. Abra o aplicativo AD FS Management em seu servidor e, dentro da pasta AD FS > Serviço > Endpoints, selecione Metadados de federação.

    Localização de metadados
  2. Use um navegador para navegar até a URL fornecida nos metadados da Federação e faça o download do arquivo. Por exemplo, https://<seu nome de host do AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Observação:

    Aceite todos os avisos, se solicitado.

Carregar arquivo de metadados do IdP no Adobe Admin Console

Para atualizar o certificado mais recente, volte para a janela do Adobe Admin Console. Carregue o arquivo de metadados baixado do AD FS para a tela Adicionar perfil SAML e clique em Concluído.

Próximas etapas: Concluir a configuração para atribuir aplicativos aos usuários

Depois de configurar seu diretório, faça o seguinte para permitir que os usuários de sua organização usem os aplicativos e serviços da Adobe:

  1. Adicione e configure domínios no Admin Console.
  2. Associe os domínios ao diretório AD FS.
  3. (Opcional) Se os domínios já estiverem estabelecidos no Admin Console em outro diretório, transfira-os diretamente para o diretório do AD FS recém-criado.
  4. Adicione perfis de produtos para ajustar o uso dos planos adquiridos.
  5. Teste a configuração do SSO adicionando um usuário de teste.
  6. Escolha sua estratégia e ferramentas de gerenciamento de usuários com base em seus requisitos. Em seguida, adicione usuários ao Admin Console e atribua-os aos perfis de produtos para que os usuários comecem a usar seus aplicativos da Adobe.

Para saber mais sobre outras ferramentas e técnicas relacionadas à identidade, consulte Configurar identidade.

Testar login único

Crie um usuário de teste com o Active Directory. Crie uma entrada no Admin Console para este usuário e atribua-lhe uma licença. A seguir, teste o login em Adobe.com para confirmar se o software relevante está listado para download.

Você também pode testar ao efetuar o login na Creative Cloud e de um aplicativo, como o Photoshop ou o Illustrator.

Se você tiver problemas, consulte nosso documento de solução de problemas. Se precisar de ajuda com a configuração do logon único, vá até Suporte no Adobe Admin Console e abra um ticket no Suporte ao cliente.