管理適用於 Microsoft Azure 的 SAML 架構 SSO
New feature alert

本文說明適用於 Microsoft Azure AD 的舊有 SAML 架構設定。

對於新設定,建議使用 Azure AD Connector,您可以在幾分鐘內將它設定好,並縮短網域宣告、SSO 設定和用戶同步的過程。


概觀

Adobe Admin Console 可讓系統管理員設定用於透過 Federated ID 進行單一登入 (SSO) 的網域。驗證網域後,包含該網域的目錄會設定為允許用戶登入 Creative Cloud。用戶可以透過身分提供者 (IdP) 使用屬於該網域的電子郵件地址登入。此程序的佈建形式若非軟體服務即是雲端服務,前者執行於公司網路,可從網際網路加以存取,而後者由協力廠商代管,允許透過採用 SAML 通訊協定的安全通訊來驗證用戶的登入詳細資料。

例如,Microsoft Azure 雲端型服務即是其中一種 IdP,可協助進行安全身分管理。

Azure AD 會使用 userPrincipalName 屬性,也可讓您指定此屬性 (在自訂安裝中) 以用於內部部署環境中,做為 Azure AD 的用戶主體名稱。如果 userPrincipalName 屬性的值並未對應至 Azure AD 中已驗證的網域,它將會被替換為預設的 .onmicrosoft.com 值。

當用戶向應用程式驗證時,Azure AD 發行 SAML 字符給應用程式,內含可唯一識別用戶的相關資訊 (或宣告)。根據預設,這項資訊包括用戶的用戶名稱、電子郵件地址、名字和姓氏。您可以在「Attributes」(屬性) 索引標籤底下檢視或編輯透過 SAML 字符傳送給應用程式的宣告,以及發行用戶名稱屬性。

使用 Azure 設定單一登入

若要為您的網域設定單一登入,請執行下列步驟:

  1. 登入 Admin Console,並開始建立 Federated ID 目錄,選取其他 SAML 提供者當做身分提供者。從「新增 SAML 設定檔」畫面中,複製 ACS URL實體 ID 的值。
  2. 設定 Azure,指定 ACS URL實體 ID,並下載 IdP 中繼資料檔案。
  3. 返回 Adobe Admin Console 並在「新增 SAML 設定檔」畫面中上傳 IdP 中繼資料檔案,然後按一下「完成」。

在適用於 Adobe 的 Azure 中建立 SSO 應用程式

確定 Microsoft Azure 儀表板可存取,而且您已經以管理員身分登入,才能建立新的企業應用程式。

若要在 Azure 中設定 SSO,請執行下列步驟:

  1. 瀏覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後按一下「新增應用程式」。

  2. 在「從資源庫新增」底下,於搜尋欄位中輸入「Adobe Creative Cloud」

  3. 選取「Adobe Creative Cloud」、重新命名您的連接器,然後按一下「新增」,並等候此程序完成。

    add_application
  4. 瀏覽至「Azure Active Directory > 企業應用程式 > 所有應用程式」,然後選取新的 Adobe Creative Cloud 連接器應用程式,以移至「概觀」頁面。

  5. 選取「單一登入 > SAML」。

    SAML
  6. 在「基本 SAML 設定」中,輸入從 Adobe Admin Console 複製而來的實體 ID 和 ACS URL。然後按一下「儲存」。

    基本 SAML 設定
  7. 若要格式化 SAML 權杖屬性,請按一下「編輯」按鈕,並開啟「用戶屬性」對話框。然後按一下「新增宣告」,以便在「用戶屬性與宣告」頁面中編輯屬性 (如下所示),並將命名空間項目留白。

    名稱 命名空間
    FirstName user.givenname  
    LastName user.surname  
    Email user.mail  
  8. 當所有屬性都設定為符合以下值時,請關閉「用戶屬性與宣告」頁面。

    用戶屬性

    註解:

    • 若要透過電子郵件驗證用戶,請將 UserIdentifier 設定為 user.mail。若要透過 UserPrincipalName 驗證用戶,請將 UserIdentifier 設定為 user.userprincipalname
    • 用戶必須擁有有效的 Office 365 ExO 授權,才能在 SAML 回應中新增電子郵件宣告值。

  9. 從「SAML 簽署憑證」區段下載「憑證 (Base64)」檔案,並將其儲存到電腦上。

    SAML 簽署憑證
  10. 然後,根據您的需求從「設定 <名稱>」區段複製適當的 URL。

    設定
  11. 按一下「X」關閉 Azure 入口網站上的文件頁面,並返回 Adobe SSO 連接器的「企業應用程式」設定視窗。

  12. 在「SAML 簽署憑證」區段中,按一下右側的「憑證 (Base64)」,以下載憑證檔案。

將 IdP 中繼資料檔案上傳到 Adobe Admin Console

若要將最新的憑證更新到 Adobe Admin Console,請返回 Adobe Admin Console。將從 Azure 下載的憑證上傳到「新增 SAML 設定檔」畫面,然後按一下「完成」。

透過 Azure 指派用戶

若要透過 Microsoft Azure 指派用戶,以允許他們使用 Adobe Creative Cloud 連接器登入,請執行以下步驟。您也必須透過 Adobe Admin Console 指派授權。

  1. 瀏覽至「Azure Active Directory -> 企業應用程式 -> 所有應用程式」,然後選取您的 Adobe Creative Cloud 連接器應用程式。

  2. 按一下「用戶和群組」。

  3. 按一下「新增用戶」,以選取要指派給此連接器的用戶,此連接器將可讓用戶透過單一登入進行登入。

  4. 按一下「用戶」或「群組」,然後選取要允取其登入 Creative Cloud 的一個或多個用戶或群組,然後依序按一下「選取」和「指派」。

測試用戶存取

登入 Adobe 網站或 Creative Cloud 桌面應用程式,以檢查您已在自己的身分管理系統和 Adobe Admin Console 中定義之用戶的用戶存取權。

如果您遇到問題,請參閱我們的疑難排解文件

如果您需要單一登入設定的相關協助,請瀏覽至「Adobe Admin Console > 支援」,與我們聯絡。