概觀

Adobe Admin Console 可讓系統管理員設定用於透過單一登入 (SSO) 適用之 Federated ID 進行登入作業的網域和目錄。使用 DNS Token 展示網域擁有權並將其連結至 Federated ID 目錄之後,只要相關 Adobe Admin Console 上已建立對應帳戶,則在已宣告網域中具有電子郵件地址的使用者即可透過身分提供者系統 (IdP) 登入 Creative Cloud。此流程會以在公司網路內執行的軟體服務的形式佈建,並且可從網際網路存取,或者以協力廠商代管的雲端服務的形式佈建,可利用 SAML 通訊協定透過安全通訊來驗證使用者的登入詳細資料。

Microsoft Azure 便是一種 IdP,可為提供安全身分管理功能的雲端服務。

Azure AD 使用 userPrincipalName 屬性,或允許您 (在自訂安裝中) 指定要在內部使用的屬性,做為 Azure AD 中的使用者主體名稱。如果 userPrincipalName 屬性的值無法與 Azure AD 中已驗證的網域相對應,則 Azure AD 會使用預設的 .onmicrosoft.com 值取代。

當使用者針對應用程式進行身分驗證時,Azure AD 會向應用程式發出一個 SAML 權杖,其中包含關於使用者的唯一識別資訊 (或宣告)。根據預設,此資訊包括使用者的使用者名稱、電子郵件地址、名字和姓氏。您可以查看或編輯位於「屬性」索引標籤下,發送到應用程式中 SAML Token 的宣告,並發佈使用者名稱的屬性。

先決條件

在使用 Microsoft Azure 做為 IdP 設定單一登入的網域前,必須符合下列要求:

  • 與您使用者所在 DNS 網域相對應的已核准網域需連結至 Adobe Admin Console 的同盟目錄。如需詳細資訊,請參閱我們的設定身分一般文件
  • 可存取 Microsoft Azure 控制面板,且您能以系統管理員身分登入並建立新的企業應用程式。

在適用於 Adobe 的 Azure 中建立 SSO 應用程式

若要在 Azure 中設定 SSO 驗證,請執行以下步驟:

  1. 導覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後按一下「新增應用程式」

  2. 「從圖庫新增」下的搜尋欄位中輸入「Adobe Creative Cloud」

  3. 選取「Adobe Creative Cloud」,為連接器命名,然後按一下「新增」並等候程序完成。

    add_application
  4. 導覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後選取您的新 Adobe Creative Cloud 連接器應用程式。

  5. 使用網頁瀏覽器的獨立標籤登入 Adobe Admin Console,並存取您要進行設定的網域頁面。依序按一下網域名稱和「設定 SSO」按鈕,即可在「設定 -> 身分」底下找到此頁面。

  6. 在 Azure 入口網站中按一下「單一登入」,然後選取「SAML 單一登入」做為此連接器應用程式的模式

  7. 按一下勾選方塊即可檢視和編輯所有其他使用者屬性

  8. 編輯下列 SAML Token 屬性,將每個項目的命名空間留空:

    名稱 命名空間
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  

    註解:

    若要透過電子郵件驗證使用者,請將 UserIdentifier 設為 user.mail。若要透過 UserPrincipalName 驗證使用者,請將 UserIdentifier 設為 user.userprincipalname

  9. 在含有您 Azure SSO 連接器 (請參閱螢幕擷取畫面) 名稱的頁面 (標記為步驟 5) 中,按一下底部的箭頭,頁面左側會隨即彈出適用於 Adobe 單一登入的 Microsoft 文件。

    screen_shot_2018-05-08at085804
  10. 隨後出現的窗格中,文件下方會顯示「快速參照」區段,提供各種端點與簽署憑證的連結。下一節會使用此資訊。

    screen_shot_2018-05-08at144856
  11. 從 Azure 入口網站複製 Azure AD SAML 實體 ID,然後到您在 Adobe Admin Console 的網域,在身分設定頁面的「IdP 簽發者」欄位中貼上此實體 ID。

  12. 從 Azure 入口網站複製 Azure AD 單一登入服務 URL,然後到您在 Adobe Admin Console 的網域,在身分設定頁面的「IdP 登入 URL」欄位中貼上此 URL。

  13. 按一下「X」關閉 Azure 入口網站的文件頁面,然後返回 Adobe SSO 連接器的「企業應用程式」設定視窗。

  14. 在「SAML 簽署憑證」區段中,按一下右側的「憑證 (base 64)」,以下載憑證檔案。

  15. 將上個步驟取得的憑證上傳到您的 Adobe Admin Console 做為 IdP 憑證,然後按一下「完成設定」即可儲存這些詳細資料。

    01_-_configure_saml
  16. 按一下「儲存」

  17. 勾選方塊以表示您瞭解需要完成身分提供者的設定。此設定會在 Azure 入口網站的後續步驟中進行。

  18. 按一下「下載中繼資料」按鈕,以從 Adobe Admin Console 儲存此目錄的設定。

    您稍後要使用此檔案取得有關設定的特定屬性。

    configure_directoryanddownloadmetadata
  19. 按一下「完成」以啟用目錄。

  20. 在文字編輯器或網頁瀏覽器中開啟中繼資料,複製 EntityID 和 AssertionConsumerService 的值,然後分別貼到 Azure 入口網站的「識別碼」和「回覆 URL」欄位中,如下方螢幕擷取畫面範例所示。

    metadata_example
    • 在 Azure 設定頁面的「識別碼」欄位中,填入取自中繼資料內 EntityID 的 URL。
      此位址格式如下: https://www.okta.com/saml2/service-provider/spi1t5qdd3rI7onSl0x78
    • 在 Azure 設定頁面的「回覆 URL」欄位中,填入 AssertionConsumerService 的 URL。
      此位址格式如下: https://adbe-example-dot-com-a8bd-prd.okta.com/auth/saml20/accauthlinktest
  21. 使用頁面頂端的「儲存」連結,以在 Azure 入口網站儲存這些設定。

透過 Azure 指派使用者

若要透過 Microsoft Azure 指派使用者,允許他們使用 Adobe Creative Cloud 連接器登入,請執行以下步驟。請注意,您仍必須透過 Adobe Admin Console 指派授權。

  1. 導覽至「Azure Active Directory -> 企業應用程式 -> 所有應用程式」,然後選取您的 Adobe Creative Cloud 連接器應用程式。

  2. 按一下「使用者與群組」

  3. 按一下「新增使用者」,選取要指派到此連接器的使用者,以允許他們使用單一登入進行登入。

  4. 按一下「使用者」「群組」,然後選取一或多個使用者或群組,允許其登入 Creative Cloud,然後依序按一下「選取」「指派」

測試使用者存取

若要測試使用者存取權限,請執行下列步驟:

  1. 此外,請務必在 Adobe Admin Console 中以 Federated ID 身分來新增使用者,然後將他們指派至群組以設定權限。

  2. 此時,請在 Adobe 登入表單中輸入您的電子郵件地址/UPN,再按 Tab 鍵,您就能與 Azure AD 重新同盟:

    • 在網頁瀏覽器 (www.adobe.com) 中,按一下頁面右上角的「登入」
    • 使用 Creative Cloud 桌面應用程式
    • 從 Adobe Creative Cloud 應用程式 (如 Photoshop 或 Illustrator) 的選單「說明 > 登入...」

如果發生問題,請參閱我們的疑難排解文件

若您需要進一步的單一登入設定協助,請導覽至 Adobe Admin Console「支援」區段並開啟問題單,或按一下 Adobe 網站上的「支援」

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策