Обзор

С помощью консоли Adobe Admin Console системный администратор может настраивать домены, используемые для единого входа (SSO) посредством Federated ID. После того как владение доменом будет подтверждено с помощью маркера DNS, домен может быть настроен для входа в Creative Cloud. Пользователи могут войти в систему через поставщика удостоверений (IdP), используя адреса электронной почты в этом домене. Процесс подготавливается как программная служба, работающая в сети компании и доступная через Интернет или стороннюю облачную службу. В результате становится возможна проверка пользовательских данных для входа посредством защищенного канала с использованием протокола SAML.

Одним из таких IdP являются службы федерации Microsoft Active Directory или AD FS. Чтобы использовать AD FS, необходимо настроить доступ к серверу со стороны рабочих станций, которые будут использовать пользователи, и службы каталогов в корпоративной сети. В этом документе описывается процесс, необходимый для настройки консоли Adobe Admin Console и сервера Microsoft AD FS для единого входа в приложения Adobe Creative Cloud и на связанные веб-сайты.

IdP может быть недоступен из-за пределов корпоративной сети, но в этом случае только рабочие станции в сети (или подключенные через VPN) смогут выполнять аутентификацию для активации лицензии или входа после деактивации их сеанса.

Необходимые требования

Перед настройкой домена для единого входа с помощью Microsoft AD FS должны быть выполнены следующие условия:

  • Утвержденный каталог в консоли Adobe Admin Console, установленный для Federated ID, ожидает конфигурации либо уже настроен для другого IdP
  • Соответствующий домен утвержден в вашем интегрированном каталоге
  • В ОС Microsoft Windows Server установлены Microsoft AD FS и последние обновления.
  • Сервер должен быть доступен с рабочих станций пользователей (например, через HTTPS)
  • Сертификат безопасности получен с сервера AD FS
  • Все учетные записи Active Directory, связываемые с учетной записью Creative Cloud для предприятий, должны содержать адрес электронной почты, указанный в Active Directory.

Процесс настройки каталога и утверждения домена внутри него через консоль Admin Console описаны на странице Настройка идентификатора. После добавления каталог может быть настроен для единого входа до того, как домен будет утвержден, но для создания пользователей Federated ID необходимо указать доменное имя, в котором они существуют.

Имя каталога является произвольным, но домен, связанный с вашим каталогом, должен полностью соответствовать части адреса электронной почты после символа @. Если вы хотите также использовать поддомены, их необходимо утвердить отдельно.

Примечание.

Инструкции и снимки экрана в этом документе предназначены для AD FS версии 3.0, но аналогичные меню присутствуют и в AD FS 2.0.

Загрузка сертификата подписи маркера

  1. Откройте приложение управления AD FS на вашем сервере и в папке AD FS -> Сервис -> Сертификаты (AD FS -> Service -> Certificates), выберите Сертификат подписи маркера. Чтобы открыть окно свойств сертификата, нажмите Просмотр сертификата.

    token_signing_certificate
  2. На вкладке Сведения нажмите Копировать в файл и используйте мастер, чтобы сохранить сертификат как файл X.509 (.CER) в кодировке Base-64. Этот формат эквивалентен формату сертификатов PEM.

    02_-_certificateexportwizard

Настройка каталога в консоли Adobe Admin Console

Чтобы настроить единый вход для каталога, введите необходимую информацию в консоли Adobe Admin Console и загрузите метаданные для настройки сервера Microsoft AD FS.

  1. Войдите в консоль Admin Console и перейдите в раздел Настройки > Идентификация.

  2. Перейдите на вкладку Каталоги.

  3. Нажмите Настроить рядом с каталогом, который необходимо настроить.

    03_-_configure_directory
  4. Загрузите сертификат, полученный с вашего сервера Microsoft AD FS.

  5. Выберите HTTP - перенаправление в качестве привязки IdP.

  6. Выберите Электронную почту в качестве Параметра входа в систему.

  7. На вашем сервере AD FS в приложении управления AD FS выберите запись в верхней части дерева, AD FS, и нажмите Изменить параметры службы федерации. Во всплывающем окне на вкладке Общие скопируйте Идентификатор службы федерации.

    Например: http://adfs.example.com/adfs/services/trust.

    05_2_-_federationserviceproperties
  8. Вставьте скопированный Идентификатор службы федерации в консоли Adobe Admin Console в поле Издатель IdP.

    Примечание.

    Поле «Издатель IdP» используется для идентификации сервера и не является URL-адресом, доступ к которому осуществляется пользователями при подключении к серверу.Из соображений безопасности ваш сервер AD FS должен быть доступен только через протокол HTTPS, а не через небезопасный HTTP.

  9. Получите имя хоста вашего сервера IdP (оно часто совпадает с именем службы федерации), добавьте в начале протокол https://, а в конце путь /adfs/ls, чтобы создать URL-адрес для входа в IdP.

    Например: https://adfs.example/com/adfs/ls/

  10. Введите URL-адрес для входа в IdP в консоли Adobe Admin Console.

  11. Нажмите Сохранить.

    admin_console_-_adfs-configuredirectory
  12. Чтобы сохранить файл метаданных XML SAML на компьютере, нажмите Загрузить метаданные. Этот файл будет использоваться для настройки доверия проверяющей стороны на сервере AD FS в оставшейся части документа.

  13. Отметьте поле, чтобы подтвердить, что вы понимаете необходимость выполнения настройки с помощью поставщика удостоверений. Это будет сделано в рамках следующих действий на вашем сервере AD FS.

    configure_directoryanddownloadmetadata
  14. Скопируйте файл метаданных XML на сервер FS AD, чтобы иметь возможность импортировать его в приложение управления FS AD.

  15. Нажмите Завершить, чтобы завершить настройку вашего каталога.

Добавление одного или нескольких доменов в ваш каталог

  1. В консоли Adobe Admin Console перейдите в раздел Настройки > Идентификация.

  2. На вкладке Домены нажмите Добавить домены.

  3. На экране Введите домены укажите до 15 доменов и нажмите Добавить домены.

  4. На экране Добавить домены проверьте список доменов и нажмите Добавить домены.

  5. Теперь ваши домены добавлены в консоль Admin Console. Однако вам по-прежнему нужно подтверждать владение этими доменами.

  6. На странице Домены нажмите проверить домен напротив любого домена, который требует проверки.

  7. Скопируйте отображаемый маркер DNS, нажав копировать значение записи, и в конфигурации DNS создайте запись TXT, содержащую этот маркер, для параметров для всех добавленных доменов, чтобы проверить их.

    Этот маркер будет одинаковым для всех доменов, добавленных в консоли Adobe Admin Console, поэтому его можно повторно использовать для других доменов, добавленных в будущем.

    Маркер необязательно сохранять после проверки домена.

    validate_domain_ownership
  8. Вы можете проверить, была ли запись TXT распространена на другие DNS-серверы, на веб-сайте, например MXToolbox, или в командной строке с помощью команды nslookup в системе Windows, Linux или Mac OS следующим образом:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. На экране Проверка владения доменом нажмите Проверить.

    Если маркер DNS правильно обнаружен как запись TXT напротив домена, он будет проверен, и вы сразу сможете начать его использование. Домены, не прошедшие проверку, периодически проверяются в фоновом режиме, и их подлинность подтверждается после правильной проверки маркера DNS.

Настройка сервера AD FS

Чтобы настроить интеграцию SAML с AD FS, выполните следующие действия:

Внимание.

Все следующие действия необходимо повторять после любого изменения значений в консоли Adobe Admin Console для определенного домена.

  1. Перейдите в приложении управления AD FS в раздел AD FS -> Отношения доверия -> Отношения доверия проверяющей стороны и нажмите Добавить отношение доверия проверяющей стороны, чтобы запустить мастер.

  2. Нажмите Пуск и выберите Импорт данных проверяющей стороны из файла, затем перейдите в папку, в которую копировали метаданные из консоли Adobe Admin Console.

    08_-_import_metadata
  3. Укажите имя отношений доверия проверяющей стороны и при необходимости введите дополнительные примечания.

    Нажмите Далее.

    09_-_name_relyingpartytrust
  4. Укажите, требуется ли многофакторная аутентификация, и выберите подходящий вариант.

    Нажмите Далее.

  5. Укажите, будет ли у всех пользователей возможность входа в систему через AD FS, или в доступе будет отказано.

    Нажмите Далее.

  6. Просмотрите свои настройки.

    Нажмите Далее.

  7. Отношения доверия проверяющей стороны добавлены.

    Оставьте параметр отмеченным, чтобы открыть диалоговое окно Изменение правил утверждения и быстро получить доступ к следующим действиям.

    Выберите «Закрыть».

  8. Если мастер Изменение правил утверждения не открылся автоматически, вы можете получить к нему доступ из приложения управления AD FS в разделе AD FS -> Отношения доверия -> Отношения доверия проверяющей стороны, выбрав отношения доверия проверяющей стороны Adobe SSO и нажав Изменить правила утверждения... справа.

  9. Нажмите Добавить правило и настройте правило с помощью шаблона Отправка атрибутов LDAP в качестве утверждений для своего хранилища атрибутов, сопоставляя адреса электронной почты атрибутов LDAP с типом исходящего утверждения «Адрес электронной почты».

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Примечание.

    Как показано на снимке экрана выше, рекомендуется использовать адрес электронной почты в качестве основного идентификатора. Использовать Основное имя пользователя (UPN) в качестве атрибута LDAP, отправляемого в утверждении в качестве адреса электронной почты, не рекомендуется. Несмотря на то что UPN возможно использовать в качестве атрибуте LDAP, это не является официально поддерживаемой конфигурацией. Все изменения вносятся на страх и риск пользователя.

    UPN часто не сопоставляется с адресом электронной почты и во многих случаях будет отличаться. С большой долей вероятности это приведет к проблемам с уведомлениями и совместным использованием ресурсов в Creative Cloud.

  10. Нажмите Готово, чтобы завершить добавление правила преобразования утверждения.

  11. Используя мастер Изменение правил утверждения, добавьте правило, используя шаблон Преобразование входящего утверждения, чтобы преобразовать входящие утверждения типа «Адрес электронной почты» с типом исходящего утверждения «Идентификатор имени» и исходящим форматом идентификатор имени «Адрес электронной почты», проходящие через все требуемые значения утверждения.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Нажмите Готово, чтобы завершить добавление правила преобразования утверждения.

  13. Используя мастер Изменение правил утверждения, добавьте правил с помощью шаблона Отправка утверждений с помощью пользовательского правила, содержащего следующее правило:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Нажмите Готово для завершения работы мастера пользовательских правил.

  15. Нажмите ОК в диалоговом окне Изменение правил утверждения, чтобы добавить эти три правила к отношениям доверия проверяющей стороны.

    16_-_edit_claim_rules

    Примечание.

    Порядок правил утверждения играет важную роль; они должны отображаться в указанном здесь порядке.

  16. Убедитесь, что выбраны новые Отношения доверия проверяющей стороны, и нажмите Свойства в правой части окна. Откройте вкладку Дополнительно и убедитесь, что для алгоритма SHA выбрано значение SHA-1.

    17_-_relying_partytrustproperties

Тестирование единого входа

Создайте тестового пользователя Active Directory, добавьте запись для этого пользователя в Admin Console и назначьте ему лицензию. Затем попробуйте войти на сайт Adobe.com, чтобы убедиться, что соответствующее программное обеспечение доступно для загрузки.

Вы также можете протестировать единый вход, войдя в Creative Cloud для настольных ПК, а также из приложения, например Photoshop или Illustrator.

Если у вас возникли проблемы, см. наш документ по устранению неполадок.

Чтобы избежать проблем с подключением в системах с небольшой разницей во времени, установите временное смещение по умолчанию на 2 минуты. Для получения дополнительной информации о временном смещении см. документ устранение ошибок.

Если вам требуется помощь в настройке единого входа, перейдите в раздел Поддержка в Adobe Admin Сonsole и откройте заявку.

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет