Översikt

Med Adobe Admin Console kan en systemadministratör konfigurera domäner som sedan används för inloggning via Federated ID för Single Sign-On (SSO).När äganderätten för en domän demonstreras med en DNS-token kan denna konfigureras för att tillåta att användare loggar in på Creative Cloud. Användare kan logga in med hjälp av e-postadresser inom denna domän via en identitetsleverantör (IdP). Processen tillhandahålls antingen som en programvarutjänst som körs inom företagets nätverk och går att komma åt från internet eller en molntjänst från tredje part som möjliggör verifiering av användarnas inloggningsuppgifter genom säker kommunikation med SAML-protokollet.

En sådan IdP är Microsoft Active Directory Federation Services, eller AD FS. För att använda AD FS måste en server med åtkomst till katalogtjänster i företagets nätverk, och som går att komma åt från arbetsstationer där användare loggar in, konfigureras. Syftet med det här dokumentet är att beskriva den procedur som krävs för att konfigurera Adobe Admin Console och en Microsoft AD FS-server för att göra det möjligt att logga in till Adobe Creative Cloud-program och förknippade webbplatser med Single Sign-On.

IdP:en måste inte vara tillgänglig utanför företagets nätverk, men om den inte är det kan bara arbetsstationer inom nätverket (eller som är anslutna via VPN) som kan utföra autentisering för att aktivera en licens eller logga in efter inaktivering av sessioner.

Förutsättningar

Innan du konfigurerar en domän för Single Sign-On med Microsoft AD FS måste följande uppfyllas:

  • En godkänd katalog på din Adobe Admin Console som är inställd på Federated ID som antingen inväntar konfiguration eller som tidigare konfigurerats för en annan IdP.
  • Den relevanta domänen har gjort anspråk på inom din externa katalog
  • En Microsoft Windows Server finns installerad med Microsoft AD FS och de senaste operativsystemsuppdateringarna. Om du vill att användarna ska använda Adobe-produkter med macOS ska du säkerställa att servern har stöd för TLS version 1.2 och framåtsekretess.
  • Servern måste vara tillgänglig från användarnas arbetsstationer (till exempel via HTTPS)
  • Säkerhetscertifikat som erhållits från AD FS-servern
  • Till varje Active Directory-konto som ska kopplas till ett Creative Cloud för företag-konto måste en e-postadress vara listad i Active Directory.

Processen för att installera en katalog och göra anspråk på en domän inom den på din Admin Console beskrivs på sidan Installera identitet. När den har lagts till kan katalogen konfigureras för enkel inloggning innan du gör anspråk på en domän, men för att skapa Federated ID-användare måste du göra anspråk på domännamnet som de finns i.

Namnet på katalogen är godtyckligt men domänen som är länkad till din katalog måste till fullo matcha den del av e-postadressen som är efter symbolen @. Om du även vill använda underdomäner måste du göra anspråk på dessa separat.

Obs!

Anvisningar och skärmbilder i detta dokument gäller för AD FS-version 3.0, men samma menyer finns även i AD FS 2.0.

Hämta token-signeringscertifikatet

  1. Öppna programmet AD FS Management på din server och i mappen AD FS > Tjänst > Certifikat ska du välja Token-signeringscertifikat.

    Obs!

    Token-signeringscertifikatet löper ut vid angivet utgångsdatum. När det har löpt ut förnyar du certifikatet, hämtar det och laddar upp det till Adobe Admin Console igen.

  2. För att öppna fönstret med certifikatsegenskaper ska du klicka på Visa certifikat.

    token_signing_certificate
  3. Från fliken Detaljer ska du klicka på Kopiera till fil och använda guiden för att spara certifikatet som Base-64 encoded X. 509 (.CER). Detta format motsvarar ett PEM-formatscertifikat.

    02_-_certificateexportwizard

Konfigurera din katalog på Adobe Admin Console

För att konfigurera enkel inloggning för din katalog ska du skriva in den nödvändiga informationen i din Adobe Admin Console och hämta metadata för att konfigurera din Microsoft AD FS-server.

  1. Logga in på din Admin Console och gå till Inställningar > Identitet.

  2. Gå till fliken Kataloger.

  3. Klicka på Konfigurera bredvid den katalog som du vill konfigurera.

    03_-_configure_directory
  4. Ladda upp certifikatet som du sparade från Microsoft AD FS-servern.

  5. Välj HTTP - Omdirigera som IdP-bindning.

  6. Välj E-post som Inställningar för användarinloggning.

  7. På din AD FS-server i programmet AD FS Management ska du välja posten överst i trädet, AD FS, och klicka på Redigera Federation Services-egenskaper. På fliken Allmänt i pop-upfönstret ska du kopiera Federation Services-identifieraren.

    Till exempel: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Klistra in Federation Services-identifieraren som du kopierade in i Adobe Admin Console i fältet IdP-utfärdare.

    Obs!

    Fältet IdP-utfärdare används för att identifiera servern och är inte någon URL som användare kan komma åt när de ansluter till servern. Av säkerhetsskäl får din AD FS-server endast gå att komma åt via HTTPS, inte via osäkra HTTP.

  9. Erhåll värdnamnet för din IdP-server (detta är ofta samma som Federation Service-namnet), lägg till prefixet https:// i protokollet och lägg till suffixet /adfs/ls i slutet av sökvägen för att konstruera URL för IdP-inloggningen.

    Till exempel: https://adfs.example/com/adfs/ls/

  10. Ange URL för IdP-inloggning på Adobe Admin Console.

  11. Klicka på Spara.

    admin_console_-_adfs-configuredirectory
  12. För att spara SAML XML Metadata-filen på din dator ska du klicka på Hämta metadata. Den här filen används för att konfigurera förtroende för part på din AD FS-server i återstoden av detta dokument.

  13. Markera kryssrutan för att visa att du förstår behovet av att slutföra konfigurationen med din identitetsleverantör. Detta görs i nästa steg på AD FS-servern.

    configure_directoryanddownloadmetadata
  14. Kopiera metadatafilen XML till AD FS-servern för att kunna importera den till programmet AD FS Management.

  15. Klicka på Slutför för att avsluta konfigurationen av din katalog.

Lägg till en eller fler domäner till din katalog

  1. På din Adobe Admin Console ska du gå till Inställningar > Identitet.

  2. Under fliken Domäner ska du klicka på Lägg till domäner.

  3. På skärmen Ange domäner ska du mata in en lista på upp till 15 domäner och klicka på Lägg till domäner.

  4. På skärmen Ange domäner ska du verifiera listan över domäner och klicka på Lägg till domäner.

  5. Dina domäner läggs nu till i Admin Console. Men du måste fortfarande kunna visa upp äganderätt till dessa domäner.

  6. På sidan Domäner ska du klicka på validera domän mot alla domäner som kräver validering.

  7. Kopiera den DNS-token som visas genom att klicka på kopiera registervärde, och på din DNS-konfiguration ska du skapa ett TXT-register som innehåller denna token för inställningarna för varje domän som du har lagt till för att validera dem.

    Denna token är samma för alla tillagda domäner inom Adobe Admin Console, så den kan återanvändas för andra domäner som läggs till vid ett senare tillfälle.

    Denna token måste inte vara på plats när en domän väl har validerats.

    validate_domain_ownership
  8. Du kan kontrollera om ett TXT-register har spridits till de andra DNS-servrarna online med hjälp av en webbplats som MXToolbox, eller från kommandoraden som använder kommandot nslookup på Windows, Linux eller Mac OS-system enligt följande:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. På skärmen Validera äganderätt för domän ska du klicka på Validera nu.

    Om DNS-token är korrekt identifierat som ett TXT-register mot domänen valideras den och du kan börja använda den direkt. Domäner som inte valideras initialt kontrolleras i bakgrunden regelbundet och blir validerade så snart DNS-token kan valideras korrekt.

Konfigurera AD FS-servern

Så här konfigurerar du SAML-integrationen med AD FS:

Viktigt:

Alla efterföljande steg måste upprepas efter eventuella ändringar av värdena i Adobe Admin Console för en given domän.

  1. Navigera inom programmet AD FS Management till AD FS -> Betrodda relationer -> Parter att förlita sig på och klicka på Lägg till parter att förlita sig på för att starta guiden.

  2. Klicka på Start och välj Importera data från en betrodd part från en fil, bläddra sedan till platsen där du kopierade metadata från Adobe Admin Console.

    08_-_import_metadata
  3. Namnge din partner som du har förtroende för och ange ytterligare anteckningar efter behov.

    Klicka på Nästa.

    09_-_name_relyingpartytrust
  4. Bestäm om flerfaktorautentisering är nödvändig och välj det relevanta alternativet.

    Klicka på Nästa.

  5. Bestäm om alla användare kan logga in via AD FS.

    Klicka på Nästa.

  6. Granska dina inställningar.

    Klicka på Nästa.

  7. Din part att förlita sig på har lagts till.

    Lämna alternativet markerat för att öppna dialogen Redigera anspråksregler för att snabbt komma åt de följande stegen.

    Klicka på Stäng.

  8. Om guiden Redigera anspråksregler inte öppnas automatiskt kan du komma åt den från programmet AD FS Management under AD FS -> Betrodda relationer -> Parter att förlita sig på genom att välja din part att förlita sig på gällande Adobe SSO och klicka på Redigera anspråksregler... på höger sida.

  9. Klicka på Lägg till regel och konfigurera en regel genom att använda mallen Skicka LDAP-attribut som anspråk till din attributlagring, mappa e-postadresserna för LDAP-attribut till utgående e-post av anspråkstyp.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Obs!

    Som visas på skärmbilden ovan föreslår vi att du använder e-postadressen som den primära identifieraren. Användning av UPN-fältet (User Principal Name) som LDAP-attribut som skickas som en kontroll eftersom e-postadressen inte är rekommenderad. Även om det är möjligt att använda UPN som LDAP-attribut är detta inte någon officiellt stödd konfiguration och du gör det på egen risk.

    Ofta mappar inte UPN till en e-postadress och kommer i många fall att vara annorlunda. Detta kommer troligen att orsaka problem för meddelanden och delning av resurser inom Creative Cloud.

  10. Klicka på Slutför för att slutföra tillägget av den transformerade anspråksregeln.

  11. Återigen, med hjälp av guiden Redigera anspråksregler kan du lägga till en regel genom att använda mallen Transformera ett inkommande anspråk för att konvertera inkommande anspråk av typen e-postadress med utgående anspråkstypen namn-ID och utgående namn-ID-format som e-post som passerar genom alla anspråksvärden.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Klicka på Slutför för att slutföra tillägget av den transformerade anspråksregeln.

  13. Med hjälp av guiden Redigera anspråksregler kan du lägga till en regel genom att använda mallen Skicka anspråk med hjälp av en anpassad regel som innehåller följande regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Klicka på Slutför för att slutföra guiden för anpassade regler.

  15. Klicka på OK i dialogen Redigera anspråksregler för att slutföra tillägget av dessa tre regler till din part att förlita sig på.

    16_-_edit_claim_rules

    Obs!

    Ordningen för anspråksregeln är viktig, de måste framträda som de visas här.

  16. Säkerställ att din nya Part att förlita sig på är markerad och klicka på Egenskaper på fönstrets högra sida. Välj fliken Avancerat och kontrollera att den säkra hash-algoritmen är inställd på SHA-1.

    17_-_relying_partytrustproperties

    Obs!

    För att undvika anslutningsproblem mellan system där klockan skiljer sig åt lite grann, ställer du in skevet för standardtiden till 2 minuter. För mer information om tidsskvev, se dokumentet för felsökning av fel.

Testa Single Sign-On

Skapa en testanvändare med Active Directory. Skapa en post i Admin Console för denna användare och tilldela den en licens. Testa sedan att logga in på Adobe.com för att bekräfta att relevant programvara finns tillgänglig för nedladdning.

Du kan även testa genom att logga in på datorprogrammet Creative Cloud och från ett program, t.ex. Photoshop eller Illustrator.

Om du stöter på problem, se vårt felsökningsdokument. Om du fortfarande behöver hjälp med att konfigurera enkel inloggning kan du gå till Support i Adobe Admin Console och öppna ett ärende hos Kundsupport.

Denna produkt är licensierad enligt en Creative Commons Erkännande-Ickekommersiell-Dela Lika 3.0 Unported-licens  Twitter™- och Facebook-inlägg omfattas inte av villkoren i Creative Commons-licensen.

Juridiska meddelanden   |   Onlinesekretesspolicy