Руководство пользователя Отмена

Настройка служб федерации Microsoft Active Directory для использования в сочетании с сервисом единого входа Adobe SSO

Обзор

В документе описывается процесс настройки Adobe Admin Console с сервером Microsoft AD FS.

Поставщик удостоверений не должен быть обязательно доступен за пределами корпоративной сети, но если он не доступен, только рабочие станции в сети (или подключенные через VPN) смогут выполнять проверку подлинности, чтобы активировать лицензию или войти после завершения их сеанса.

Настройка SSO с помощью Microsoft AD FS (видеоролик: 17 мин.)
Примечание.

Инструкции и снимки экрана в этом документе относятся к версии 3.0 AD FS, но те же меню присутствуют в AD FS 2.0.

Необходимые условия

Перед созданием каталога для единого входа с использованием служб федерации Microsoft AD FS необходимо обеспечить выполнение следующих требований:

  • Сервер Microsoft Windows, установленный с Microsoft AD FS и последними обновлениями операционной системы. Если требуется, чтобы пользователи использовали продукты Adobe с macOS, убедитесь, что ваш сервер поддерживает TLS версии 1.2 и обеспечивает конфиденциальность пересылки. Чтобы узнать больше относительно AD FS, см. документ Microsoft «Удостоверения и доступ».
  • Сервер должен быть доступен с рабочих станций пользователей (например, через HTTPS).
  • Сертификат безопасности, полученный с сервера служб федерации AD FS.
  • Все учетные записи Active Directory, связываемые с учетной записью Creative Cloud для организаций, должны иметь адрес электронной почты, указанный в Active Directory.

Создание каталога в Adobe Admin Console

Чтобы настроить функцию единого входа для домена, выполните действия, описанные ниже: 

  1. Войдите в Admin Console и создайте каталог Federated ID, выбрав Другие поставщики SAML в качестве поставщика удостоверений. Загрузите файл метаданных Adobe с помощью мастера создания каталога.
  2. Настройте AD FS, указав URL-адрес ACS и Идентификатор объекта, и загрузите файл метаданных IdP.
  3. Вернитесь в Adobe Admin Console, передайте файл метаданных IdP с помощью мастера создания каталога. Затем нажмите Далее, выберите автоматическое создание учетной записи и нажмите «Готово».

Чтобы узнать подробную информацию по каждому шагу, перейдите по гиперссылкам.

Настройка сервера служб федерации Active Directory

Чтобы настроить интеграцию SAML со службами федерации Active Directory, выполните следующие действия:

Внимание.

Все последующие действия необходимо повторять после внесения любых изменений в значения в Adobe Admin Console для данного домена.

  1. В приложении управления AD FS откройте AD FS -> Доверительные отношения -> Отношение доверия с проверяющей стороной и нажмите Добавить отношение доверия с проверяющей стороной для запуска мастера.

  2. Нажмите Пуск и выберите Импортировать данные проверяющей стороны из файла, затем перейдите в папку, в которую были скопированы метаданные из Adobe Admin Console.

  3. Дайте название отношению доверия с проверяющей стороной и при необходимости введите любые дополнительные примечания.

    Нажмите кнопку Далее.

  4. Установите, требуется ли многофакторная аутентификация и выберите соответствующий вариант.

    Нажмите кнопку Далее.

  5. Определите, все ли пользователи могут входить в систему с помощью AD FS.

    Нажмите кнопку Далее.

  6. Проверьте свои настройки.

    Нажмите кнопку Далее.

  7. Отношение доверия с проверяющей стороной добавлено.

    Оставьте флажок в поле для открытия диалогового окна Изменение правил утверждений для быстрого доступа к следующим шагам.

    Нажмите кнопку Закрыть.

  8. Если мастер Изменить правила утверждений не открывается автоматически, доступ к нему можно получить из приложения управления AD FS, открыв AD FS -> Доверительные отношения -> Отношения доверия с проверяющей стороной, выбрав соответствующее отношение доверия с проверяющей стороной Adobe SSO и нажав Изменить правила утверждений... с правой стороны.

  9. Нажмите Добавить правило и настройте правило, используя шаблон Отправка атрибутов LDAP как утверждений для хранилища атрибутов, сопоставив адреса электронной почты для атрибутов LDAP с адресом электронной почты для типа исходящего утверждения.

    Примечание.

    Как показано на снимке экрана выше, мы предлагаем использовать адрес электронной почты в качестве основного идентификатора. Кроме того, можно использовать поле имени участника-пользователя (UPN) в качестве атрибута LDAP, отправляемого в утверждении в качестве адреса электронной почты. Однако это не рекомендуется делать для настройки правила утверждения.

    Часто UPN не сопоставляется с адресом электронной почты и во многих случаях может отличаться. Это, скорее всего, вызовет проблемы с уведомлениями и совместным использованием ресурсов в Creative Cloud.

  10. Нажмите Завершить для завершения добавления правила утверждения преобразования.

  11. Как и в предыдущем случае, с помощью мастера Изменить правила утверждений добавьте правило, используя шаблон Преобразование входящего утверждения, чтобы преобразовать входящие утверждения с типом «Адрес электронной почты», где для параметра «Тип исходящего утверждения» выбрано значение «ИД имени», а для параметра «Формат ИД исходящего имени» — «Эл. почта», установив флажок «Пройти по всем значениям утверждений».

  12. Нажмите Завершить для завершения добавления правила утверждения преобразования.

  13. С помощью мастера Изменить правила утверждений добавьте правило, используя шаблон Отправка утверждений с помощью настраиваемого правила, содержащий следующее правило:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Нажмите Завершить для завершения работы мастера настраиваемых правил.

  15. Нажмите ОК в диалоговом окне Изменение правил утверждений, чтобы завершить добавление этих трех правил в отношение доверия с проверяющей стороной.

    Примечание.

    Порядок правил утверждений важен (он должен выглядеть так, как показано здесь).

Во избежание проблем с подключением между системами, в которых время немного отличается, установите временной сдвиг по умолчанию равным 2 минутам. Для получения дополнительной информации о временном сдвиге см. документ Поиск и устранение ошибок.

Загрузка файла метаданных AD FS

  1. Откройте приложение управления службами федерации AD FS на своем сервере и в папке AD FS> Сервис > Конечные точки выберите Метаданные федерации.

    Расположение метаданных

  2. С помощью браузера перейдите по URL-адресу, указанному для метаданных федерации, и загрузите файл. Например, https://<your AD FS hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Примечание.
    • При появлении примите любые предупреждения.
    • Чтобы узнать имя хоста Microsoft AD FS в операционной системе Windows,
      откройте Windows PowerShell > Запуск от имени администратора > введите Get-AdfsProperties > нажмите Enter > найдите соответствующее Имя хоста в открывшемся списке.

Загрузка файла метаданных поставщика удостоверений в Adobe Admin Console

Чтобы обновить самый последний сертификат, вернитесь в окно Adobe Admin Console. Загрузите файл метаданных, скачанный из AD FS, на экране Добавление профиля SAML и нажмите Готово.

Следующие шаги: завершение настройки для назначения приложений пользователям

После настройки каталога выполните действия, описанные ниже, для того чтобы пользователи вашей организации могли использовать приложения и службы Adobe.

  1. Добавьте и настройте домены в Admin Console.
  2. Свяжите домены с каталогом AD FS.
  3. (Дополнительно) Если домены уже созданы в Admin Console в другом каталоге, перенесите их непосредственно в недавно созданный каталог AD FS.
  4. Добавьте профили продуктов для точной настройки использования приобретенных вами планов.
  5. Проверьте настройку SSO, добавив тестового пользователя.
  6. Выберите стратегию и инструменты управления пользователями, исходя из своих требований. Затем добавьте пользователей в Admin Console и назначьте их профилям продуктов, чтобы пользователи могли начать работу со своими приложениями Adobe.

Чтобы узнать больше о других инструментах и методах, связанных с удостоверениями, см. раздел Настройка удостоверений.

Проверка единого входа

Создайте тестового пользователя с Active Directory. Создайте запись в Admin Console для данного пользователя и назначьте ему лицензию. Затем протестируйте вход на сайт Adobe.com, чтобы убедиться, что соответствующее программное обеспечение указано в списке для загрузки.

Выполнить тестирование также можно, войдя в Creative Cloud для настольных ПК и из такого приложения, как Photoshop или Illustrator.

При возникновении проблем см. наш документ для устранения неполадок. Если все еще требуется помощь с настройкой единого входа, перейдите в раздел Поддержка в консоли Adobe Admin Console и откройте заявку в службе технической поддержки клиентов.

Получайте помощь быстрее и проще

Новый пользователь?