Обзор

С помощью консоли Adobe Admin Console системный администратор может настраивать домены и каталоги, используемые для Single Sign-On (SSO) посредством Federated ID. После того как владение доменом подтверждено с помощью маркера DNS и связано с каталогом Federated ID, пользователи, у которых есть адреса электронной почты в утвержденном домене, смогут войти в Creative Cloud через систему поставщика удостоверений (IdP), когда соответствующие учетные записи будут созданы в консоли Adobe Admin Console. Процесс подготавливается как программная служба, работающая в сети компании и доступная через Интернет или стороннюю облачную службу. В результате становится возможна проверка пользовательских данных для входа посредством защищенного канала с использованием протокола SAML.

Одним из таких IdP является Microsoft Azure, облачная служба, которая обеспечивает безопасное управление идентификационной информацией.

Azure AD использует атрибут userPrincipalName или позволяет указать атрибут (при пользовательской установке), который будет использоваться в локальной настройке как основное имя пользователя в Azure AD. Если значение атрибута userPrincipalName не соответствует проверенному домену в Azure AD, оно будет заменено значением по умолчанию .onmicrosoft.com.

Когда пользователь аутентифицируется в приложении, Azure AD выдает маркер SAML приложению, которое содержит информацию (или утверждения) о пользователях, которая позволяет однозначно идентифицировать их. По умолчанию эта информация включает имя пользователя, адрес электронной почты, имя и фамилию. Вы можете просмотреть или изменить утверждения, отправленные в маркере SAML приложению, на вкладке Атрибуты и освободить атрибут имени пользователя.

Необходимые требования

Перед настройкой домена для single sign-on(SSO) с помощью Microsoft Azure в качестве IdP должны быть выполнены следующие условия:

  • Утвержденный домен, соответствующий DNS-домену, на котором находятся ваши пользователи и связанный с интегрированным каталогом вашей административной консоли Adobe. Дополнительные сведения см. в общей документации по настройке идентификации.
  • Информационная панель Microsoft Azure доступна, и вы вошли в систему как администратор, способный создать новое корпоративное приложение

Создание приложения единого в Azure для Adobe

Чтобы настроить единый вход в Azure, выполните следующие действия:

  1. Перейдите в раздел Azure Active Directory > Корпоративные приложения > Все приложения и нажмите Новое приложение.

  2. В разделе Добавить из галереи, введите «Adobe Creative Cloud» в поле поиска

  3. Выберите Adobe Creative Cloud, дайте имя связующему приложению, нажмите «Добавить» и дождитесь окончания процесса.

    add_application
  4. Перейдите в раздел Azure Active Directory > Корпоративные приложения > Все приложения и выберите новое связующее приложение Adobe Creative Cloud.

  5. На отдельной вкладке веб-браузера войдите в консоль Adobe Аdmin Сonsole и перейдите на страницу конфигурации домена, который вы настраиваете. Ее можно найти в разделе Настройки -> Идентификация, нажав имя домена, а затем кнопку Настройка SSO

  6. На портале Azure нажмите «Единый вход» и выберите режим для этого связующего приложения «Единый вход на основе SAML»

  7. Установите флажок для просмотра и редактирования всех других пользовательских атрибутов

  8. Измените атрибуты маркера SAML следующим образом, оставив пространство имен пустым для каждой записи:

    ИМЯ ЗНАЧЕНИЕ ПРОСТРАНСТВО ИМЕН
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    Примечание.

    Для идентификации пользователей по адресу электронной почты выберите для параметра UserIdentifier значение user.mail. Для идентификации пользователей по атрибуту UserPrincipalName выберите для параметра UserIdentifier значение user.userprincipalname.

  9. Нажмите на стрелку в нижней части страницы (см. шаг 5), которая содержит имя вашего соединителя Azure для SSO, чтобы открыть документацию Microsoft по единому входу в Adobe в левой части страницы.

    screen_shot_2018-05-08at085804
  10. На отобразившейся панели, ниже списка документации находится раздел «Быстрые ссылки» (Quick Reference), который содержит ссылки на различные конечные точки и сертификат подписи. Эта информация используется в следующих разделах.

    screen_shot_2018-05-08at144856
  11. Скопируйте ID объекта Azure AD SAML с портала Azure и вставьте его в поле «Издатель IdP» на странице конфигурации Identity вашего домена в консоли Adobe Admin Console.

  12. Скопируйте URL-адрес службы Single Sign-On Azure AD с портала Azure и вставьте его в поле URL-адреса для входа в IdP на странице конфигурации Identity вашего домена в консоли Adobe Admin Console.

  13. Нажмите «X», чтобы закрыть страницу документации на портале Azure, и вернитесь в окно конфигурации корпоративного приложения для вашего соединителя Adobe SSO.

  14. В разделе «Сертификат подписи SAML», нажмите Сертификат (base 64) в правой части, чтобы загрузить файл сертификата.

  15. Загрузите сертификат, полученный на предыдущем этапе, в Adobe Admin Console в качестве сертификата IdP и сохраните эти данные, нажав Завершить настройку.

    01_-_configure_saml
  16. Нажмите Сохранить.

  17. Отметьте поле, чтобы подтвердить, что вы понимаете необходимость выполнения настройки с помощью поставщика удостоверений. Это будет сделано в рамках следующих действий на вашем портале Azure.

  18. Сохраните настройки этого каталога в консоли Adobe Admin Console, нажав кнопку Загрузить метаданные.

    Вы будете использовать этот файл для получения определенных атрибутов конфигурации.

    configure_directoryanddownloadmetadata
  19. Нажмите Завершить, чтобы активировать каталог.

  20. Откройте метаданные в текстовом редакторе или веб-браузере и скопируйте значения EntityID и AssertionConsumerService на ваш портал Azure в поля «Идентификатор» и «URL-адрес ответа» соответственно, как показано на снимке экрана ниже.

    metadata_example
    • Используйте URL-адрес EntityID из метаданных в поле «Идентификатор» в вашей конфигурации Azure:
      Этот адрес имеет следующую форму: https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • Используйте URL-адрес AssertionConsumerService в поле «URL-адрес ответа» в вашей конфигурации Azure:
      Этот адрес имеет следующую форму: https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. Сохраните эти настройки на портале Azure с помощью ссылки «Сохранить» в верхней части страницы.

Назначение пользователей через Azure

Для назначения пользователей через Microsoft Azure, чтобы они могли входить в систему с помощью соединителя Adobe Creative Cloud, выполните следующие действия. Обратите внимание, что вам все равно придется назначить лицензии через Adobe Аdmin Сonsole.

  1. Перейдите в раздел Azure Active Directory > Корпоративные приложения > Все приложения и выберите ваше связующее приложение Adobe Creative Cloud.

  2. Нажмите Пользователи и группы.

  3. Нажмите Добавить пользователя, чтобы выбрать пользователей для назначения этому соединителю, который позволит им войти в систему с помощью Single Sign-On.

  4. Нажмите Пользователи или Группы и выберите одного или несколько пользователей или групп, которые получат разрешение на вход в Creative Cloud, а затем нажмите Выбрать и Назначить.

Тестирование доступа пользователя

Для тестирования доступа пользователя выполните следующие действия:

  1. Также убедитесь, что вы добавили пользователей в консоли Adobe Admin Сonsole в качестве Federated ID и назначить их группе для получения прав.

  2. Далее введите свой адрес электронной почты/UPN в форму входа в Adobe, нажмите вкладку, и вы вернетесь обратно в Azure AD:

    • В веб-браузере откройте веб-сайт www.adobe.com/ru и нажмите Войти в верхнем правом углу страницы
    • В приложении Creative Cloud для настольных компьютеров
    • В приложении Adobe Creative Cloud, например Photoshop или Illustrator, в меню Справка > Войти...

Если у вас возникли проблемы, см. документ по устранению неполадок.

Если вам требуется помощь в настройке единого входа Azure, перейдите в Adobe Admin Console и откройте раздел Поддержка для открытия заявки, или нажмите Поддержка на веб-сайте Adobe.

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет