概觀

Adobe Admin Console 可讓系統管理員設定用於透過單一登入 (SSO) 適用之 Federated ID 進行登入作業的網域。在使用 DNS Token 來展示網域擁有權後,就能設定網域,讓使用者登入 Creative Cloud。使用者可以透過身分提供者 (IdP),使用該網域內的電子郵件地址登入。此流程會以在公司網路內執行的軟體服務的形式佈建,並且可從網際網路存取,或者以協力廠商代管的雲端服務的形式佈建,可利用 SAML 通訊協定透過安全通訊來驗證使用者的登入詳細資料。

Microsoft Active Directory Federation Services (又稱為 AD FS) 便是一種 IdP。若要使用 AD FS,伺服器必須設定為可從使用者用以登入的工作站存取,且該工作站可以在企業網路中存取目錄服務。本文件旨在說明設定 Adobe Admin Console 和 Microsoft AD FS 伺服器的必要流程,以便登入 Adobe Creative Cloud 應用程式和單一登入適用的相關網站。

IdP 未必要能夠從企業網路外存取,但若無法,則僅有網路內的工作站 (或透過 VPN 連線) 才可執行驗證以啟用授權或在停用其工作階段後登入。

先決條件

在使用 Microsoft AD FS 設定單一登入的網域前,您必須符合下列要求:

  • Adobe Admin Console 已為 Federated ID 設定核准目錄,此 ID 可能是正在等候設定或先前已為其他 IdP 設定的 Federated ID。
  • 已在同盟目錄中宣告相關網域
  • 已安裝 Microsoft AD FS 和最新作業系統更新的 Microsoft Windows Server。
  • 伺服器必須可從使用者的工作站存取 (例如透過 HTTPS)
  • 從 AD FS 伺服器取得的安全性憑證
  • 所有與適用於企業的 Creative Cloud 帳戶相關聯的 Active Directory 帳戶都必須有 Active Directory 內所列的電子郵件地址。

「設定身分」頁面會詳述如何在 Admin Console 上設定目錄並宣告網域的相關資訊。加入之後,可先為目錄設定單一登入,再宣告網域;但若要建立 Federated ID 使用者,您必須宣告該使用者所在的網域名稱。

目錄名稱可任意輸入,但連結到目錄的網域必須與電子郵件地址中「@」符號之後的部分完全相符。如果您也想要使用子網域,必須個別宣告。

註解:

雖然本文件的說明和螢幕擷取畫面以 AD FS 3.0 版為範例,但其中顯示的選單與 AD FS 2.0 的相同。

下載「Token 簽署憑證」

  1. 在伺服器上開啟 AD FS Management 應用程式後,前往「AD FS -> 服務 -> 憑證」,然後選取「Token 簽署憑證」。若要開啟憑證屬性視窗,請按一下「檢視憑證」

    token_signing_certificate
  2. 「詳細資料」標籤上按一下「複製到檔案」,然後並使用精靈將憑證另存為 Base-64 編碼 X. 509 (.CER)。此格式等同於 PEM 格式憑證。

    02_-_certificateexportwizard

在 Adobe Admin Console 上設定 Directory

若要為目錄設定單一登入,請在 Adobe Admin Console 中輸入必要資料,然後下載中繼資料以設定 Microsoft AD FS 伺服器

  1. 登入 Admin Console 後導覽至「設定 > 身分」

  2. 前往「目錄」標籤。

  3. 找到要設定的目錄,按一下目錄旁的「設定」

    03_-_configure_directory
  4. 將您從 Microsoft AD FS 伺服器儲存的憑證上傳

  5. 「IdP 繫結」設為「HTTP - Redirect」

  6. 「使用者登入設定」選取「電子郵件」

  7. 在 AD FS 伺服器的 AD FS Management 應用程式中選取樹狀結構頂端的項目「AD FS」,然後按一下「編輯 Federation Service 內容」。在快顯視窗的「一般」標籤中,複製「Federation Service 識別碼」欄位的值。

    例如: http://adfs.example.com/adfs/services/trust

    05_2_-_federationserviceproperties
  8. 將您複製的 Federation Service 識別碼貼上到 Adobe Admin Console 的「IdP 簽發者」欄位中。

    註解:

    IdP 簽發者欄位用於識別伺服器,而非指使用者連線至伺服器時存取的 URL。基於安全考量,您的 AD FS 伺服器應僅能透過 HTTPS 存取,不得使用不安全的 HTTP。

  9. 取得 IdP 伺服器的主機名稱 (通常和 Federation Service 名稱相同),並將通訊協定 https:// 附加於開頭,然後再加上路徑 /adfs/ls,即可構成 IdP 登入 URL。

    例如: https://adfs.example/com/adfs/ls/

  10. 在 Adobe Admin Console 上輸入 IdP 登入 URL。

  11. 按一下「儲存」

    admin_console_-_adfs-configuredirectory
  12. 若要在電腦上儲存 SAML XML 中繼資料檔案,請按「下載中繼資料」。本文件的其餘部分會需要您使用此檔案,來設定 AD FS 伺服器的信賴憑證者信任。

  13. 勾選方塊以表示您瞭解需要完成身分提供者的設定。此設定會在 AD FS 伺服器的後續步驟中進行。

    configure_directoryanddownloadmetadata
  14. XML 中繼資料檔案複製到您的 AD FS 伺服器,以便匯入到 AD FS Management 應用程式中。

  15. 按一下「完成」,即可完成目錄設定。

新增一或多個網域到您的目錄

  1. Adobe Admin Console 上導覽至「設定 > 身分」

  2. 「網域」標籤中按一下「新增網域」

  3. 「輸入網域」畫面中,輸入最多包含 15 個網域的清單,然後按一下「新增網域」

  4. 「新增網域」畫面中,確認網域清單正確無誤,然後按一下「新增網域」

  5. 您的網域現在已加到 Admin Console 中。不過,您還是要展示這些網域的擁有權。

  6. 「網域」頁面中,對需要驗證的網域按一下「驗證網域」

  7. 按一下「複製記錄值」以複製 DNS Token,然後在您的 DNS 設定中,為您已加入的每個網域建立含有此 Token 的 TXT 記錄設定,即可進行驗證。

    所有加入 Adobe Admin Console 網域皆使用這個相同的 Token,如此也可重複用於稍後加入的其他網域。

    一旦網域通過驗證後,Token 就無需繼續運作。

    validate_domain_ownership
  8. 若要確認 TXT 記錄是否已傳播到其他 DNS 伺服器,您可以使用網站 (如: MXToolbox) 線上查詢,或透過命令列使用 nslookup 命令在 Windows、Linux 或 Mac OS 系統中查詢,命令的詳細內容如下:

    $ nslookup
    > set TYPE=TXT
    > example.com
    [..]
    example.com     text = "adobe-idp-site-verification=36092476-3439-42b7-a3d0-8ba9c9c38a6d"

  9. 「驗證網域擁有權」畫面中,按一下「立即驗證」

    如果 DNS Token 已正確偵測為網域的 TXT 記錄,表示該網域已通過驗證,而您便可直接使用。對於一開始未驗證的網域,系統會定期在背景中執行檢查;一旦 DNS Token 正確驗證後,網域即視為已驗證。

設定 AD FS 伺服器

若要設定 SAML 與 AD FS 的整合,請執行下列步驟:

注意:

針對特定網域,對 Adobe Admin Console 中的值進行任何變更之後,都必須重複進行所有後續步驟。

  1. 在 AD FS Management 應用程式中導覽至「AD FS -> 信任關係 -> 信賴憑證者信任」,然後按一下「新增信賴憑證者信任」以開啟精靈。

  2. 按一下「開始」並選取「透過信賴憑證者從檔案匯入資料」,然後瀏覽至您在 Adobe Admin Console 複製中繼資料的位置。

    08_-_import_metadata
  3. 為「信賴憑證者信任」命名,然後視需要輸入其他附註。

    按一下「下一步」

    09_-_name_relyingpartytrust
  4. 判斷是否需要使用多重因素驗證,並選取相關選項。

    按一下「下一步」

  5. 判斷是否所有使用者都可透過 AD FS 登入,還是會遭拒絕存取。

    「下一步」

  6. 檢閱設定。

    「下一步」

  7. 您的信賴憑證者信任現已新增。

    將選項保持勾選,即可開啟「編輯宣告規則」對話方塊以快速存取後續步驟。

    按一下「關閉」

  8. 如果「編輯宣告規則」精靈未自動開啟,請從 AD FS Management 應用程式選取 Adobe SSO 信賴憑證者信任,然後按一下右側的「編輯宣告規則...」,即可在「AD FS -> 新任關係 -> 信賴憑證者信任」底下存取。

  9. 按一下「新增規則」,然後使用屬性存放區的「以宣告方式傳送 LDAP 屬性」 範本設定規則,將「LDAP 屬性電子郵件地址」對應至「傳出宣告類型電子郵件地址」

    10_-_add_transformationclaimrule
    11_-_map_ldap_attributestooutgoingclaimtype

    註解:

    如上方螢幕擷取畫面中所示,我們建議使用電子郵件地址做為主要識別碼。不建議將在聲明中以 LDAP 屬性傳送的使用者主體名稱 (UPN) 欄位做為電子郵件地址使用。雖然可將 UPN 做為 LDAP 屬性使用,但此方式並非官方支援的設定,因此您須自負風險。

    通常 UPN 不會對應到電子郵件地址,因此在許多方面都不相同。而這極有可能導致在 Creative Cloud 內通知或共用資產出現問題。

  10. 按一下「完成」,即可完成新增轉換宣告規則的程序。

  11. 再次使用「編輯宣告規則」精靈,新增使用「轉換連入宣告」範本的規則,以藉由「傳出宣告類型名稱識別碼」來轉換「電子郵件地址」類型的傳入宣告,以及將「傳出名稱識別碼格式」轉換為電子郵件,通過所有宣告值。

    12_-_transform_anincomingclaim
    13_-_transform_incomingclaim
  12. 按一下「完成」,即可完成新增轉換宣告規則的程序。

  13. 使用「編輯宣告規則」精靈,新增使用「傳送使用自訂規則宣告」範本的規則,其包含下列規則:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("Email", "FirstName", "LastName"), query = ";mail,givenName,sn;{0}", param = c.Value);

    14_-_add_custom_rule
    15_-_custom_claimrule
  14. 按一下「完成」以完成自訂規則精靈的設定程序。

  15. 按一下「編輯宣告規則」對話方塊中的「確定」,即可完成將這三個規則新增到信賴憑證者信任的程序。

    16_-_edit_claim_rules

    註解:

    宣告規則的順序很重要;請依照這裡顯示的順序進行。

  16. 確定您已選取新的信賴憑證者信任,然後按一下視窗右側的「內容」。選取「進階」標籤,然後確保雜湊演算法已設為 SHA-1

    17_-_relying_partytrustproperties

測試單一登入

以 Active Directory 建立測試使用者。在 Admin Console 中建立此使用者的項目並為其指派一份授權。然後測試登入 Adobe.com 以確認列出相關軟體以供下載。

您也可以登入 Creative Cloud 桌面,並從 Photoshop 或 Illustrator 等應用程式進行測試。

如果發生問題,請參閱我們的疑難排解文件

若要避免系統間時鐘略有不同造成的連線問題,請將預設時間偏移設為 2 分鐘。如需時間偏移的詳細資訊,請參閱疑難排解錯誤文件。

若您仍需要單一登入設定的相關協助,請導覽至 Adobe Admin Console「支援」,並開啟問題單。

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策