Genel Bakış

Adobe Yönetici Konsolu bir sistem yöneticisinin Tek Oturum Açma (SSO) için Federated ID ile oturum açmak üzere kullanılan etki alanlarını yapılandırmasına imkan tanır. Bir etki alanının sahipliği bir DNS simgesi kullanılarak sergilendiğinde etki alanı, kullanıcıların Creative Cloud'da oturum açmasına imkan tanıyacak şekilde yapılandırılabilir. Kullanıcılar söz konusu etki alanındaki e-posta adreslerini kullanarak bir Kimlik Sağlayıcısı (IdP) aracılığıyla oturum açabilir. İşlem, şirket ağı dahilinde çalışan ve İnternet'ten erişilebilen bir yazılım hizmeti olarak veya SAML protokolünü kullanarak güvenli iletişim üzerinden kullanıcı oturum açma bilgilerinin doğrulanmasına imkan tanıyan üçüncü taraflarca barındırılan bir bulut hizmeti olarak sağlanır.

Bu IdP'lerden biri Microsoft Active Directory Federasyon Hizmetleri veya AD FS'dir. AD FS'nin kullanılması için, kullanıcıların oturum açacağı iş istasyonlarından erişilebilen ve kurumsal ağ üzerindeki dizin hizmetine erişimi olan bir sunucu yapılandırılmalıdır. Bu belge, Adobe Creative Cloud uygulamalarında ve ilişkili web sitelerinde Tek Oturum Açma ile oturum açabilecek şekilde Adobe Yönetici Konsolunu ve Microsoft AD FS sunucusunu yapılandırmak için gereken işlemi açıklamayı amaçlamaktadır.

IdP'ye kurumsal ağın dışından erişilmesi gerekmez ancak erişilemiyorsa, bir lisansı etkinleştirmek veya oturumu devre dışı bıraktıktan sonra giriş yapmak için yalnızca ağın içindeki (veya VPN aracılığıyla bağlanmış) iş istasyonları, kimlik doğrulaması gerçekleştirebilir.

Ön koşullar

Bir etki alanını, Microsoft AD FS kullanarak tek oturum açma için yapılandırmadan önce aşağıdaki gereksinimler karşılanmalıdır:

  • Adobe Yönetici Konsolunuzda, yapılandırma bekleyen veya daha önce başka bir IdP'ye yönelik olarak yapılandırılan, Federated ID için ayarlanmış onaylı bir dizin olmalıdır
  • İlgili etki alanı, federated dizininizde talep edilmiş olmalıdır
  • Microsoft AD FS ve en yeni işletim sistemi güncelleştirmeleriyle bir Microsoft Windows Server yüklü olmalıdır.
  • Sunucuya kullanıcıların iş istasyonlarından (örneğin, HTTPS üzerinden) erişilebilmelidir
  • AD FS sunucusundan güvenlik sertifikası edinilmiş olmalıdır
  • İşletmeler için Creative Cloud hesabı ile ilişkilendirilecek tüm Active Directory hesaplarının Active Directory'de belirtilen bir e-posta adresine sahip olması gerekir.

Dizin ayarlama ve Yönetici Konsolunuzda bu dizin içinden bir etki alanı talep etme süreçleri Kimlik ayarları sayfasında açıklanmaktadır. Bir dizin eklendikten sonra, etki alanı talep edilmeden önce tek oturum açma için yapılandırılabilir ancak Federated ID kullanıcıları oluşturmak için kullanıcıların mevcut olduğu etki alanı adını talep etmeniz gerekir.

Dizinin adı rastgele oluşturulur ancak dizininize bağlı olan etki alanı, e-posta adresinin "@" sembolünden sonraki kısmıyla tam olarak eşleşmelidir. Alt etki alanları da kullanmak istiyorsanız bunların ayrı olarak talep edilmesi gerekir.

Not:

Bu belgedeki talimatlar ve ekran görüntüleri AD FS sürüm 3.0'a yöneliktir ancak bu menülerin aynıları AD FS 2.0'da da mevcuttur.

Simge İmzalama Sertifikasını indirme

  1. Sunucunuzda AD FS Yönetimi uygulamasını açın ve AD FS -> Hizmet -> Sertifikalar klasöründe Simge İmzalama sertifikasını seçin. Sertifika özellikleri penceresini açmak için Sertifikayı Görüntüle'ye tıklayın.

    token_signing_certificate
  2. Ayrıntılar sekmesinden Dosyaya Kopyala'ya tıklayın ve sertifikayı Base-64 kodlu X. 509 (.CER) olarak kaydetmek için sihirbazı kullanın. Bu biçim PEM biçimi sertifikasına eş değerdir.

    02_-_certificateexportwizard

Adobe Yönetici Konsolu'nda Dizininizi yapılandırma

Dizininiz için tek oturum açmayı yapılandırmak üzere Adobe Yönetici Konsolunuza gerekli bilgileri girin ve Microsoft AD FS sunucunuzu yapılandırmaya yönelik meta verileri indirin.

  1. Yönetici Konsolunuza giriş yapın ve Ayarlar > Kimlik bölümüne gidin.

  2. Dizinler sekmesine gidin.

  3. Yapılandırmak istediğiniz dizinin yanındaki Yapılandır seçeneğine tıklayın.

    03_-_configure_directory
  4. Microsoft AD FS sunucunuzdan kaydettiğiniz sertifikayı yükleyin.

  5. IdP bağı olarak HTTP - Yeniden Yönlendirme'yi seçin.

  6. Kullanıcı oturum açma ayarı olarak E-posta'yı seçin.

  7. AD FS Yönetimi uygulamasındaki AD FS sunucunuzda ağacın en üstündeki giriş olan AD FS'yi seçin ve Federasyon Hizmeti Özelliklerini Düzenle'ye tıklayın. Açılır pencerenin Genel sekmesinde Federasyon Hizmeti Tanımlayıcısını kopyalayın.

    Örneğin, http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. Kopyaladığınız Federasyon Hizmeti Tanımlayıcısını Adobe Yönetici Konsolunuzdaki IdP Düzenleyici alanına yapıştırın.

    Not:

    IdP Düzenleyici alanı, sunucunun tanımlanması için kullanılır ve kullanıcılar tarafından sunucuya bağlanılırken erişilen bir URL değildir. Güvenlik nedenleriyle AD FS sunucunuza güvenli olmayan HTTP üzerinden değil, yalnızca HTTPS üzerinden erişilmelidir.

  9. IdP sunucunuzun ana bilgisayar adını edinin (bu, genellikle Federasyon Hizmeti adıyla aynıdır), bunun başına https:// protokolünü ve sonuna IdP oturum açma URL'sini oluşturmak için /adfs/ls yolunu ekleyin.

    Örneğin: https://adfs.example/com/adfs/ls/

  10. IdP oturum açma URL'sini Adobe Yönetici Konsolunuza girin.

  11. Kaydet'e tıklayın.

    admin_console_-_adfs-configuredirectory
  12. SAML XML Meta Veri dosyasını bilgisayarınıza kaydetmek için Meta Verileri İndir'e tıklayın. Bu belgenin kalan kısmında bu dosya, AD FS sunucunuzda güvenen taraf güveni yapılandırmak için kullanılacaktır.

  13. Yapılandırmanın kimlik sağlayıcınızla tamamlanması gerekliliğini anladığınızı göstermek için kutuyu işaretleyin. Bu, AD FS sunucunuzda sonraki adımlarda gerçekleştirilecektir.

    configure_directoryanddownloadmetadata
  14. XML meta veri dosyasını AD FS Yönetimi uygulamasına içe aktarabilmek için AD FS sunucunuza kopyalayın.

  15. Dizininizin yapılandırmasını tamamlamak için Tamamlandı'ya tıklayın.

Dizininize bir veya daha fazla etki alanı ekleme

  1. Adobe Yönetici Konsolunuzda Ayarlar > Kimlik bölümüne gidin.

  2. Etki Alanları sekmesinde Etki Alanı Ekle'ye tıklayın.

  3. Etki Alanlarını Girin ekranında en fazla 15 etki alanından oluşan bir liste girin ve Etki Alanı Ekle'ye tıklayın.

  4. Etki Alanı Ekle ekranında etki alanları listesini doğrulayın ve Etki Alanı Ekle'ye tıklayın.

  5. Etki alanlarınız artık Yönetici Konsolu'na eklenmiştir. Ancak, yine de bu etki alanlarına sahip olduğunuzu göstermeniz gerekir.

  6. Etki Alanları sayfasında doğrulama gerektiren tüm etki alanları için etki alanını doğrula seçeneğine tıklayın.

  7. Kayıt değerini kopyala'ya tıklayarak, görüntülenen DNS simgesini kopyalayın ve eklediğiniz etki alanlarını doğrulamak için DNS yapılandırmanızda her etki alanına yönelik olarak bu simgeyi içeren bir TXT kaydı oluşturun.

    Bu simge, Adobe Yönetici Konsolunuzda eklenen tüm etki alanları için aynı olacağından sonraki aşamalarda diğer etki alanları için yeniden kullanılabilir.

    Etki alanı doğrulandıktan sonra simgenin yerinde kalması gerekmez.

    validate_domain_ownership
  8. MXToolbox gibi bir web sitesini kullanarak veya bir Windows, Linux veya Mac OS sisteminde aşağıdaki gibi bir nslookup komutunu kullanarak komut satırından, bir TXT kaydının diğer DNS sunucularına yayılıp yayılmadığını kontrol edebilirsiniz:

    $ nslookup
    > TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. Etki Alanı Sahipliğini Doğrula ekranında Şimdi Doğrula'ya tıklayın.

    DNS simgesi, etki alanına yönelik bir TXT kaydı olarak doğru şekilde algılanırsa doğrulanır ve bunu hemen kullanmaya başlayabilirsiniz. Başlangıçta doğrulanmamış etki alanları düzenli aralıklarla arka planda kontrol edilir ve DNS simgesi doğru şekilde doğrulandıktan sonra doğrulanır.

AD FS sunucusunu yapılandırma

AD FS ile SAML entegrasyonunu yapılandırmak için aşağıdaki adımları izleyin:

Dikkat:

Belirli bir etki alanı için Adobe Yönetici Konsolu'ndaki değerlerde gerçekleşen tüm değişikliklerden sonra adımların tamamı tekrarlanmalıdır.

  1. AD FS Yönetimi uygulamasında AD FS -> Trust Relationships (Güven İlişkileri) -> Relying Party Trusts (Güvenen Taraf Güvenleri) bölümüne gidin ve sihirbazı başlatmak için Add Relying Party Trust (Güvenen Taraf Güveni Ekle) seçeneğine tıklayın.

  2. Start'a (Başlat) tıklayın ve Import data from a relying party from a file (Bir dosyadaki güvenen taraftan verileri içe aktar) seçeneğini belirleyin, ardından Adobe Yönetici Konsolunuzdan meta verileri kopyalayıp yapıştırdığınız konuma göz atın.

    08_-_import_metadata
  3. Güvenen taraf güveninizi adlandırın ve gerektiği şekilde tüm ek notları girin.

    Next'e (İleri) tıklayın.

    09_-_name_relyingpartytrust
  4. Çok faktörlü kimlik doğrulamasının gerekli olup olmadığını belirleyin ve uygun seçeneği belirleyin.

    Next'e (İleri) tıklayın.

  5. Kullanıcıların tamamının AD FS aracılığıyla oturum açma yetkisine mi sahip olmasını yoksa erişimlerinin engellenmesini mi istediğinize karar verin.

    Next'e (İleri) tıklayın.

  6. Ayarlarınızı inceleyin.

    Next'e (İleri) tıklayın.

  7. Güvenen taraf güveniniz eklendi.

    Sonraki adımlara hızla erişmek için Edit Claim Rules (Talep Kurallarını Düzenle) iletişim kutusunu açmak üzere seçeneği işaretli halde bırakın.

    Close'a (Kapat) tıklayın.

  8. Edit Claim Rules (Talep Kurallarını Düzenle) sihirbazı otomatik olarak açılmamışsa buna AD FS Yönetimi uygulamasından AD FS -> Trust Relationships (Güven İlişkileri) -> Relying Party Trusts (Güvenen Taraf Güvenleri) bölümünde Adobe SSO güvenen taraf güveninizi seçip sağ taraftaki Edit Claim Rules (Kurallarını Düzenle)... seçeneğine tıklayarak erişebilirsiniz.

  9. Add rule (Kural ekle) seçeneğine tıklayın ve LDAP Özniteliği E-posta Adreslerini Giden Talep Türü E-posta Adresi ile eşleyerek öznitelik deponuz için Send LDAP attributes as Claims (Talep olarak LDAP öznitelikleri gönder) şablonu ile bir kuralı yapılandırın.

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    Not:

    Yukarıdaki ekran görüntüsünde gösterildiği gibi birincil tanımlayıcı olarak e-posta adresinin kullanılmasını öneririz. Bir önermede e-posta adresi olarak gönderilen LDAP özniteliği şeklinde User Principal Name (Kullanıcı Asıl Adı) (UPN) alanının kullanılması önerilmez. LDAP özniteliği olarak UPN'yi kullanmak mümkün olsa da bu, resmi olarak desteklenen bir yapılandırma değildir ve riski size aittir.

    UPN genellikle bir e-posta adresiyle eşlenmez ve çoğu durumda farklı olur. Bu, Creative Cloud'da bildirimler ve varlıkların paylaşımı konusunda sorunlara neden olabilir.

  10. Dönüştürme talebi kuralını eklemeyi tamamlamak için Finish'e (Bitti) tıklayın.

  11. Aynı şekilde, tüm talep değerlerinden geçip, Giden Talep Türü Ad Kimliği ve E-posta Olarak Giden Ad Kimliği Biçimi ile E-posta Adresi türündeki Gelen talepleri dönüştürmek için Edit Claim Rules (Talep Kurallarını Düzenle) sihirbazını kullanarak Transform an incoming claim (Gelen bir talebi dönüştür) şablonuyla kural ekleyin.

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. Dönüştürme talebi kuralını eklemeyi tamamlamak için Finish'e (Bitti) tıklayın.

  13. Edit Claim Rules (Talep Kurallarını Düzenle) sihirbazını kullanarak aşağıdaki kuralı içeren Send Claims Using a Custom Rule (Özel Kural Kullanarak Talep Gönder) şablonu ile kural ekleyin:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. Özel kural sihirbazını tamamlamak için Finish'e (Bitti) tıklayın.

  15. Bu üç kuralı güvenen taraf güveninize eklemeyi tamamlamak için Edit Claim Rules (Talep Kurallarını Düzenle) iletişim kutusunda OK (Tamam) seçeneğine tıklayın.

    16_-_edit_claim_rules

    Not:

    Talep kurallarının sırası önemlidir, burada gösterildiği şekilde görünmelidir.

  16. Yeni Güvenen Taraf Güveninizin seçildiğinden emin olun ve pencerenin sağ tarafındaki Properties'e (Özellikler) tıklayın. Advanced (Gelişmiş) sekmesini seçin ve Secure hash algorithm (Güvenli karma algoritması) seçeneğinin SHA-1 olarak ayarlandığından emin olun.

    17_-_relying_partytrustproperties

Tek Oturum Açmayı test etme

Etkin dizinle bir test kullanıcısı oluşturun. Bu kullanıcı için Yönetici Konsolu'nda bir giriş oluşturun ve buna bir lisans atayın. Daha sonra Adobe.com'da oturum açarak ilgili yazılımın indirme listesinde bulunup bulunmadığını test edin.

Ayrıca Creative Cloud Desktop'a giriş yaparak ve Photoshop veya Illustrator gibi bir uygulamadan da bunu test edebilirsiniz.

Bir sorunla karşılaşırsanız lütfen sorun giderme belgemize göz atın.

Saatin az miktarda farklılık gösterdiği sistemler arasındaki bağlantı sorunlarından kaçınmak için varsayılan süreyi 2 dakikaya ayarlayın. Zaman eğrileri hakkında daha fazla bilgi için hata giderme belgesine bakın.

Hala tek oturum açma yapılandırmanızla ilgili yardıma ihtiyacınız varsa, Adobe Yönetici konsolunda Desteğe gidin ve bir talep açın.

Bu çalışma Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License kapsamında lisanslanmıştır  Creative Commons şartları, Twitter™ ve Facebook sitelerinde paylaşılanları kapsamaz.

Yasal Uyarılar   |   Çevrimiçi Gizlilik İlkesi