Gerenciar SSO baseado em SAML para o Microsoft Azure
New feature alert

Este artigo descreve a configuração baseada em SAML mais antiga para o Microsoft Azure AD.

Para novas configurações, é recomendado usar o conector do Azure AD, que pode ser configurado em minutos e encurta o processo de reivindicação de domínio, configuração de SSO e sincronização de usuário.


Visão geral

O Adobe Admin Console permite que um administrador do sistema configure os domínios usados para logon por meio de Federated ID para Single Sign-On (SSO). Após a verificação do domínio, o diretório que o contém é configurado para permitir que os usuários façam logon na Creative Cloud. Os usuários podem fazer logon usando endereços de email nesse domínio por meio de um provedor de identidade (IdP). O processo é fornecido como um serviço de software que é executado na rede da empresa e é acessível pela internet ou como um serviço em nuvem hospedado por terceiros que permite a verificação de detalhes de logon do usuário por meio de comunicação segura usando o protocolo SAML.

O Microsoft Azure é um IdP, um serviço em nuvem que facilita o gerenciamento de identidades seguras.

O Azure AD usa o atributo userPrincipalName ou permite que você especifique o atributo (em uma instalação personalizada) a ser usado no local como o nome principal do usuário no Azure AD. Se o valor do atributo userPrincipalName não corresponder a um domínio verificado no Azure AD, ele será substituído pelo valor padrão .onmicrosoft.com.

Quando um usuário se autentica no aplicativo, o Azure AD emite um token SAML ao aplicativo que contém as informações (ou as reivindicações) sobre os usuários que os identificam exclusivamente. Por padrão, essas informações incluem o nome de usuário, o endereço de email, o nome e o sobrenome de um usuário. Exiba ou edite as reivindicações enviadas no token SAML ao aplicativo na guia Atributos e libere o atributo de nome do usuário.

Configurar Single Sign-On usando Azure

Para configurar o Single Sign-On para seu domínio, siga estas etapas:

  1. Faça logon no Admin Console e comece criando um diretório de Federated ID e selecionando Outros provedores de SAML como o provedor de identidade. Copie os valores de URL do ACS e ID da entidade da tela Adicionar o perfil SAML.
  2. Configure o Azure especificando o URL do ACS e a ID da entidade e baixe o arquivo de metadados do IdP.
  3. Volte para o Adobe Admin Console e faça upload do arquivo de metadados do IdP na tela Adicionar o perfil SAML e clique em Concluído.

Criar um aplicativo SSO no Azure para Adobe

Verifique se o painel do Microsoft Azure está acessível e se você está conectado como administrador para poder criar um aplicativo corporativo.

Para configurar SSO no Azure, siga as etapas abaixo:

  1. Navegue até Azure Active Directory > Aplicativos corporativos > Todos os aplicativos e clique em Novo aplicativo.

  2. Em Adicionar da galeria, digite “Adobe Creative Cloud” no campo de pesquisa

  3. Selecione Adobe Creative Cloud, renomeie seu conector e clique em Adicionar e aguarde a conclusão do processo.

    add_application
  4. Navegue até Azure Active Directory > Aplicativos corporativos > Todos os aplicativos e selecione seu novo aplicativo de conector da Adobe Creative Cloud para acessar a página Visão geral.

  5. Selecione Single Sign-On > SAML.

    SAML
  6. Na Configuração SAML básica, insira a ID da entidade e o URL do ACS copiados do Adobe Admin Console. Em seguida, clique em Salvar.

    Configuração SAML básica
  7. Para formatar os atributos do token SAML, clique no botão Editar e abra a caixa de diálogo Atributos de usuário. Depois, clique em Adicionar nova reivindicação para editar os atributos na página Atributos e reivindicações do usuário da seguinte forma, deixando a entrada Namespace em branco.

    NOME VALOR NAMESPACE
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. Quando todos os atributos estiverem definidos para corresponder aos seguintes valores, feche a página Atributos e reivindicações do usuário.

    Atributo do usuário

    Observação:

    • Para autenticar usuários por email, defina UserIdentifier como user.mail. Para autenticar usuários por UserPrincipalName, defina UserIdentifier como user.userprincipalname.
    • Os usuários devem ter uma licença válida do Office 365 ExO para o valor da reivindicação de email a ser adicionado à resposta SAML.

  9. Na seção Certificado de assinatura SAML, baixe o arquivo Certificado (Base64) e salve-o em seu computador.

    Certificado de assinatura SAML
  10. Em seguida, copie os URLs apropriados da seção Configurar <Nome> de acordo com sua exigência.

    Instalação
  11. Clique no “X” para fechar a página de documentação no portal do Azure e retornar à janela de configuração do Aplicativo corporativo para seu conector de SSO da Adobe.

  12. Na seção “Certificado de assinatura SAML”, clique em Certificado (base 64) no lado direito para baixar o arquivo de certificado.

Fazer upload do arquivo de metadados do IdP no Adobe Admin Console

Para atualizar o certificado mais recente para o Adobe Admin Console, volte para o Adobe Admin Console. Faça upload do certificado baixado do Azure na tela Adicionar o perfil SAML e clique em Concluído.

Atribuir usuários por meio do Azure

Para atribuir usuários por meio do Microsoft Azure e permitir que façam logon usando o conector da Adobe Creative Cloud, execute as etapas abaixo. Você também deve atribuir licenças por meio do Adobe Admin Console.

  1. Navegue até Azure Active Directory -> Aplicativos corporativos -> Todos os aplicativos e selecione seu novo aplicativo de conector da Adobe Creative Cloud.

  2. Clique em Usuários e grupos.

  3. Clique em Adicionar usuário para selecionar usuários a serem atribuídos ao conector, o que permitirá que façam logon por meio do Single Sign-On.

  4. Clique em Usuários ou Grupos e selecione um ou mais usuários ou grupos com permissão para fazer logon na Creative Cloud e clique em Selecionar seguido de Atribuir.

Testar o acesso do usuário

Verifique o acesso do usuário para um usuário que você definiu em seu próprio sistema de gerenciamento de identidade e no Adobe Admin Console, fazendo logon no site da Adobe ou no aplicativo de desktop da Creative Cloud.

Se você encontrar problemas, consulte nossa solução de problemas de documentos.

Se precisar de ajuda com a configuração de Single Sign-On, navegue até Adobe Admin Console > Suporte para entrar em contato conosco.