Användarhandbok Avbryt

Konfigurera Microsoft AD FS för Adobe SSO

Översikt

I dokumentet visas hur du konfigurerar Adobe Admin Console med en Microsoft AD FS-server.

Identitetsleverantören måste inte vara tillgänglig utanför företagets nätverk, men om den är inte det kan bara arbetsstationer i nätverket (eller som är anslutna via VPN) utföra autentisering för att aktivera en licens eller inloggning efter att en session har inaktiverats.

Konfigurera SSO med Microsoft AD FS (Titta: 17 min)
Obs!

Instruktioner och skärmbilder i det här dokumentet gäller AD FS version 3.0, men samma menyer finns i AD FS 2.0.

Förutsättningar

Innan du skapar en katalog för enkel inloggning med Microsoft AD FS måste följande krav vara uppfyllda:

  • En Microsoft Windows Server där Microsoft AD FS och de senaste operativsystemuppdateringarna är installerade. Om du vill att användarna ska använda Adobe-produkter med macOS kontrollerar du att servern stöder TLS version 1.2 och framtidssekretess (forward secrecy). Vill du läsa mer om AD FS kan du titta i Microsofts dokument om identitet och åtkomst.
  • Servern måste vara tillgänglig från användarnas arbetsstationer (till exempel via HTTPS).
  • Säkerhetscertifikat som hämtats från AD FS-servern.
  • Alla Active Directory-konton som ska associeras med ett Creative Cloud for enterprise-konto måste ha en e-postadress som listas i Active Directory.

Skapa en katalog i Adobe Admin Console

Du måste göra följande för att konfigurera enkel inloggning (SSO) för domänen: 

  1. Logga in på Admin Console och börja genom att skapa en Federated ID-katalog och välj Andra SAML-leverantörer som identitetsleverantör. Hämta Adobe-metadatafilen från guiden för Skapa katalog.
  2. Konfigurera AD FS och ange Webbadress för ACS och Enhets-ID och hämta IdP-metadatafilen.
  3. Gå tillbaka till Adobe Admin Console och överför IdP-metadatafilen i guiden för Skapa katalog. Välj sedan Nästa, konfigurera automatiskt kontoskapande och välj sedan Klar.

Följ hyperlänkarna om du vill läsa mer om varje steg.

Konfigurera AD FS-servern

Utför följande steg för att konfigurera SAML-integration med AD FS:

Viktigt:

Alla efterföljande steg måste upprepas efter eventuella ändringar av värdena på Adobe Admin Console för en viss domän.

  1. I AD FS-hanteringsprogrammet går du till AD FS -> Förtroenderelationer -> Förlitande part-förtroende och klickar på Lägg till förlitande part-förtroende för att starta guiden.

  2. Klicka på Starta och välj Importera information om den förlitande parten från en fil. Bläddra sedan till den plats dit du kopierade metadata från Adobe Admin Console.

  3. Namnge ditt förlitande part-förtroende och ange ytterligare anteckningar om så behövs.

    Klicka på Nästa.

  4. Bestäm om multifaktorautentisering behövs och välj lämpligt alternativ.

    Klicka på Nästa.

  5. Bestäm om alla användare kan logga in via AD FS.

    Klicka på Nästa.

  6. Granska inställningarna.

    Klicka på Nästa.

  7. Ditt förlitande part-förtroende har lagts till.

    Lämna alternativet markerat för att öppna dialogrutan Redigera anspråksregler och snabbt få åtkomst till nästa steg.

    Klicka på Stäng.

  8. Om guiden Redigera anspråksregler inte öppnas automatiskt kan du få tillgång till den från AD FS-hanteringsprogrammet under AD FS -> Förtroenderelationer -> Förlitande part-förtroende genom att välja ditt förlitande part-förtroende för Adobe SSO och klicka på Redigera anspråksregler... till höger.

  9. Klicka på Lägg till regel och konfigurera en regel med hjälp av mallen Skicka LDAP-attribut som anspråk för ditt attributarkiv och mappa LDAP-attributet E-Mail-Addresses till E-postadress för typ av utgående anspråk.

    Obs!

    I skärmbilden ovan föreslår vi att du använder e-postadress som primär identifierare. Du kan också använda fältet User Principal Name (UPN) som LDAP-attribut som skickas i en försäkran som e-postadress. Vi rekommenderar dock inte det för att konfigurera anspråksregeln.

    Ofta mappas inte UPN till en e-postadress, och namnet är i många fall ett annat. Det här kommer troligen att orsaka problem för aviseringar och delning av resurser i Creative Cloud.

  10. Klicka på Slutför för att slutföra tillägget av anspråksregeln för transformering.

  11. Använd guiden Redigera anspråksregler igen och lägg till en regel med hjälp av mallen Transformera ett inkommande anspråk för att omvandla inkommande anspråk av typen E-postadress med Namn-ID som typ av utgående anspråk och Namn-ID-format för utgående anspråk som E-post, släpp igenom alla anspråksvärden.

  12. Klicka på Slutför för att slutföra tillägget av anspråksregeln för transformering.

  13. Lägg med hjälp av guiden Redigera anspråksregler till en regel med mallen Skicka anspråk med en anpassad regel som innehåller följande regel:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

  14. Klicka på Slutför för att slutföra guiden för anpassad regel.

  15. Klicka på OK i dialogrutan Redigera anspråksregler för att slutföra tillägget av de här tre reglerna till ditt förlitande part-förtroende.

    Obs!

    Ordningen för anspråksreglerna är viktig; de måste visas som i den här bilden.

För att undvika anslutningsproblem mellan system där klockan kan visa lite olika tid, ställer du in standardtidsförskjutningen på 2 minuter. Mer information om tidsförskjutning finns i dokumentet om att felsöka.

Hämta AD FS-metadatafilen

  1. Öppna AD FS-hanteringsprogrammet på servern och gå till mappen AD FS > Tjänst > Slutpunkter där du väljer Federationsmetadata.

    Plats för metadata

  2. Använd en webbläsare för att gå till den URL som angetts vid Federationsmetadata och hämta filen. Exempel: https://<värdnamn för din AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Obs!
    • Acceptera alla varningar om du ombeds göra det.
    • Ta reda på ditt Microsoft AD FS-värdnamn från Windows:
      Öppna Windows PowerShell > Kör som administratör > Ange Get-AdfsProperties > Tryck på Retur > Leta reda på ditt värdnamn i den detaljerade listan.

Överför IdP-metadatafilen till Adobe Admin Console

Gå tillbaka till Adobe Admin Console-fönstret för att uppdatera det senaste certifikatet. Överför metadatafilen som hämtats från AD FS till skärmen Lägg till SAML-profil och klicka på Klart.

Nästa steg: Slutför konfigurationen och tilldela användare program

När du har konfigurerat katalogen gör du följande för att göra det möjligt för organisationens användare att använda Adobes program och tjänster:

  1. Lägg till och konfigurera domäner i Admin Console.
  2. Koppla domänerna till AD FS-katalogen.
  3. (Valfritt) Om domänerna redan är upprättade i Admin Console i en annan katalog, överför du dem direkt till AD FS-katalogen som skapades nyss.
  4. Lägg till produktprofiler för att finjustera användningen av de köpta planerna.
  5. Testa SSO-konfigurationen genom att lägga till en testanvändare.
  6. Välj strategi och verktyg för användarhantering utifrån dina behov. Lägg sedan till användare i Admin Console och tilldela produktprofiler dem så att de kan komma igång med Adobe-programmen.

Mer information om andra verktyg och tekniker som rör identitet finns i Konfigurera identitet.

Testa enkel inloggning

Skapa en testanvändare med Active Directory. Skapa en post på Admin Console för den här användaren och tilldela den en licens. Testa sedan att logga in på Adobe.com för att bekräfta att det aktuella programmet visas för hämtning.

Du kan också testa genom att logga in på Creative Cloud-datorprogrammet eller i ett program som Photoshop eller Illustrator.

Om du stöter på problem kan du titta i felsökningsdokumentet. Om du fortfarande behöver hjälp med konfigurationen för enkel inloggning går du till Support i Adobe Admin Console och skapar ett supportärende.

Få hjälp snabbare och enklare

Ny användare?