Översikt

1.setup-identity

I dokumentet framhävs processen att konfigurera Adobe administratörskonsol med en Microsoft AD FS-server.

Identitetsleverantören måste inte vara tillgänglig utanför företagets nätverk, men om den inte är det kan bara arbetsstationer inom nätverket (eller som är anslutna via VPN) utföra autentisering för att aktivera en licens eller logga in efter inaktivering av sessioner.


Obs!

Anvisningar och skärmbilder i dokumentet gäller för AD FS-version 3.0, men samma menyer finns även i AD FS 2.0.

Förutsättningar

Innan du skapar en katalog för Single Sign-On med Microsoft AD FS måste följande krav vara uppfyllda:

  • En Microsoft Windows Server finns installerad med Microsoft AD FS och de senaste operativsystemsuppdateringarna. Om du vill att användarna ska använda Adobe-produkter med macOS ska du säkerställa att servern har stöd för TLS version 1.2 och framåtsekretess. Mer information om AD FS finns i Microsofts dokument om identitet och åtkomst.
  • Servern måste vara tillgänglig från användarnas arbetsstationer (till exempel via HTTPS).
  • Säkerhetscertifikat som erhållits från AD FS-servern.
  • Till varje Active Directory-konto som ska kopplas till ett Creative Cloud for enterprise-konto måste en e-postadress vara listad i Active Directory.

Skapa en katalog ii Adobe administratörskonsol

Om du vill konfigurera enkel inloggning för domänen måste du göra följande: 

  1. Logga in på Admin Console och börja med att skapa en Federated ID-katalog där du väljer Annan SAML-leverantör som identitetsleverantör. Hämta Adobes metadatafil från skärmen Lägg till SAML-profil.
  2. Konfigurera AD FS genom att specificera ACS URL och Enhets-ID, och hämta IdP-metadatafilen.
  3. Gå tillbaka till Adobe administratörskonsol och ladda upp IdP-metadatafilen på skärmen Lägg till SAML-profil och klicka på Klart.

Följ hyperlänkarna för mer information om detaljerna i varje steg.

Konfigurera AD FS-servern

Så här konfigurerar du SAML-integrationen med AD FS:

Viktigt:

Alla efterföljande steg måste upprepas efter eventuella ändringar av värdena i Adobe Admin Console för en given domän.

  1. Navigera inom programmet AD FS Management till AD FS -> Betrodda relationer -> Parter att förlita sig på och klicka på Lägg till parter att förlita sig på för att starta guiden.

  2. Klicka på Start och välj Importera data från en betrodd part från en fil, bläddra sedan till platsen där du kopierade metadata från Adobe Admin Console.

    08_-_import_metadata
  3. Namnge din partner som du har förtroende för och ange ytterligare anteckningar efter behov.

    Klicka på Nästa.

    09_-_name_relyingpartytrust
  4. Bestäm om flerfaktorautentisering är nödvändig och välj det relevanta alternativet.

    Klicka på Nästa.

  5. Bestäm om alla användare kan logga in via AD FS.

    Klicka på Nästa.

  6. Granska dina inställningar.

    Klicka på Nästa.

  7. Din part att förlita sig på har lagts till.

    Lämna alternativet markerat för att öppna dialogen Redigera anspråksregler för att snabbt komma åt de följande stegen.

    Klicka på Stäng.

  8. Om guiden Redigera anspråksregler inte öppnas automatiskt kan du komma åt den från programmet AD FS Management under AD FS -> Betrodda relationer -> Parter att förlita sig på genom att välja din part att förlita sig på gällande Adobe SSO och klicka på Redigera anspråksregler... på höger sida.

  9. Klicka på Lägg till regel och konfigurera en regel genom att använda mallen Skicka LDAP-attribut som anspråk till din attributlagring, mappa e-postadresserna för LDAP-attribut till utgående e-post av anspråkstyp.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Obs!

    Som visas på skärmbilden ovan föreslår vi att du använder e-postadressen som den primära identifieraren. Du kan också använda UPN-fältet (User Principal Name) som LDAP-attribut som skickas som en kontroll som e-postadressen. Vi rekommenderar dock inte detta för att konfigurera anspråksregeln.

    Ofta mappar inte UPN till en e-postadress och kommer i många fall att vara annorlunda. Detta kommer troligen att orsaka problem för meddelanden och delning av resurser inom Creative Cloud.

  10. Klicka på Slutför för att slutföra tillägget av den transformerade anspråksregeln.

  11. Återigen, med hjälp av guiden Redigera anspråksregler kan du lägga till en regel genom att använda mallen Transformera ett inkommande anspråk för att konvertera inkommande anspråk av typen e-postadress med utgående anspråkstypen namn-ID och utgående namn-ID-format som e-post som passerar genom alla anspråksvärden.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klicka på Slutför för att slutföra tillägget av den transformerade anspråksregeln.

  13. Med hjälp av guiden Redigera anspråksregler kan du lägga till en regel genom att använda mallen Skicka anspråk med hjälp av en anpassad regel som innehåller följande regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klicka på Slutför för att slutföra guiden för anpassade regler.

  15. Klicka på OK i dialogen Redigera anspråksregler för att slutföra tillägget av dessa tre regler till din part att förlita sig på.

    16_-_edit_claim_rules

    Obs!

    Ordningen för anspråksregeln är viktig, de måste framträda som de visas här.

För att undvika anslutningsproblem mellan system där klockan skiljer sig åt lite grann, ställer du in skevet för standardtiden till 2 minuter. För mer information om tidsskvev, se dokumentet för felsökning av fel.

Hämta AD FS-metadatafilen

  1. Öppna programmet AD FS Management på servern, och i mappen AD FS > Tjänst > Slutpunkter väljer du Federation-metadata.

    Metadataplats
  2. Använd en webbläsare för att gå till den URL som tillhandahålls mot Federation-metadata och hämta filen. Till exempel: https://<ditt AD FS-värdnamn>/FederationMetadata/2007-06/FederationMetadata.xml.

    Obs!

    Acceptera eventuella varningar om du uppmanas till det.

Ladda upp IdP-metadatafil till Adobe Admin Console

Gå tillbaka till fönstret Adobe administratörskonsol för att uppdatera det senaste certifikatet. Ladda upp metadatafilen som hämtats från AD FS till skärmen Lägg till SAML-profilen och klicka på Klart.

Nästa steg: Slutför installationen för att tilldela appar till användare

När du har konfigurerat katalogen gör du följande för att aktivera organisationens användare så att de kan använda Adobe-program och -tjänster:

  1. Lägg till och konfigurera domäner inom administratörskonsolen.
  2. Koppla domänerna till AD FS-katalogen.
  3. (Valfritt) Om domänerna redan är etablerade i administratörskonsolen i en annan katalog överför du dem direkt till den nyskapade AD FS-katalogen.
  4. Lägg till produktprofiler för att finjustera användningen av de köpta planerna.
  5. Testa SSO-konfigurationen genom att lägga till en testanvändare.
  6. Välj användarhanteringsstrategi och verktyg baserat på dina krav. Lägg sedan till användare i administratörskonsolen och tilldela dem till produktprofilerna för att få användarna att komma igång med Adobe-programmen.

Se Konfigurera identitet om du vill ha mer information om andra identitetsrelaterade verktyg och tekniker.

Testa Single Sign-On

Skapa en testanvändare med Active Directory. Skapa en post i Admin Console för denna användare och tilldela den en licens. Testa sedan att logga in på Adobe.com för att bekräfta att relevant programvara finns tillgänglig för nedladdning.

Du kan även testa genom att logga in på datorprogrammet Creative Cloud och från ett program, t.ex. Photoshop eller Illustrator.

Se vårt felsökningsdokument om du stöter på problem. Om du fortfarande behöver hjälp med att konfigurera enkel inloggning kan du gå till Support i Adobe administratörskonsol och öppna ett ärende hos Kundsupport.