概觀

Adobe Admin Console 可讓系統管理員為單一登入 (SSO) 設定適用 Federated ID 進行登入作業的網域和目錄。

使用 DNS Token 展示網域擁有權並將其連結至 Federated ID 目錄之後,只要相關 Adobe Admin Console 上已建立對應帳戶,則在已宣告網域中擁有電子郵件地址的使用者,即可透過身分提供者系統 (IdP) 登入 Creative Cloud。 

此流程會以在公司網路內執行的軟體服務的形式佈建,並且可從網際網路存取,或者以協力廠商代管的雲端服務的形式佈建,可利用 SAML 通訊協定透過安全通訊來驗證使用者的登入詳細資料。

WSO2-Ellucian Ethos 便是一種 IdP,其為提供安全身分管理功能的雲端式服務。

本文件旨在說明設定 Adobe Admin Console 和 WSO2 Identity 伺服器的必要流程,以便登入 Adobe Creative Cloud 應用程式和單一登入適用的相關網站。

IdP 未必要能夠從企業網路外存取,但若無法,則僅有網路內的工作站 (或透過 VPN 連線) 才可執行驗證以啟用授權,或在停用其工作階段後登入。

先決條件

使用 WSO2 Identity 伺服器為單一登入設定網域之前,請確保下列需求符合規定:

  • Adobe Admin Console 已為 Federated ID 設定核准目錄,此 ID 可能是正在等候設定或先前已為其他 IdP 設定的 Federated ID。
  • 已在同盟目錄中宣告相關網域
  • 已安裝 WSO2 伺服器伺服器。
  • 伺服器必須可從使用者的工作站存取 (例如透過 HTTPS)
  • 從 Keystore 取得安全性認證
  • 所有與 Creative Cloud 企業帳戶相關聯的 Active Directory 帳戶都必須有 Active Directory 內所列的電子郵件地址。

在 Adobe Admin Console 上設定目錄

  1. 導覽至 WSO2 Identity 管理主控台

  2. 從 Keystore 的清單儲存 idP 登入驗證 (X.509)

    IDP 登入認證

    若要為您的目錄設定單一登入,請在 Adobe Admin Console 輸入必要的資訊。

  3. 上傳您儲存的 IdP 認證

  4. IdP 繫結清單中,選取 HTTP - 重新導向

  5. 使用者登入設定清單中,選取電子郵件

  6. 輸入 ethos 作為 IdP 簽發者

    例如,ethos.xyz.edu ethos.x z.orgethos.xyz.com 

  7. 在 IdP 登入 URL 中,輸入 https://ethos/<domain_name>/samlsso

    例如,https://ethos.xyz.org/samlsso

    配置目錄
  8. 按一下「儲存」

  9. 若要在電腦上儲存 SAML XML 中繼資料檔案,請按「下載中繼資料」

  10. 選取「我了解我必須完成身分提供者的設定」核取框。

  11. 若要完成目錄的設定,請按一下「完成」

註冊新的服務提供者

若要註冊新的服務提供者,請進行下列步驟:

  1. 前往 WSO2 Identity 伺服器管理主控台

  2. 在 WSO2 伺服器,導覽至「身分 > 服務提供者 > 新增」。

  3. 「服務提供者名稱」方塊中輸入要使用的名稱。

  4. 「說明」方塊中輸入服務提供者的說明。

  5. 按一下「註冊」

    WSO2 Identity 伺服器
  6. 「宣告配置」下,請進行下列步驟:

    宣告配置列
    1. 選取「定義自訂宣告方言」選項。
    2. 新增三個「宣告 URI」屬性。
      1. 新增下列「服務提供者宣告」值。
        • Email
        • 名字
        • 姓氏
      2. 新增下列「本機宣告」值。
        • http://wso2.org/claims/emailaddress
        • http://wso2.org/claims/givenname 
        • http://wso2.org/claims/lastname
    3. 「主題宣告 URI」清單中,選取「電子郵件」
    4. 若要儲存變更,請按一下「更新」
    宣告配置
  7. 從 Admin Console 開啟 Adobe 中繼資料

    Adobe 中繼資料
    1. 複製 entityID 欄位 值,並妥善保存以供日後使用。
    2. 複製「位置」欄位值,並妥善保存以供日後使用。
  8. 「註冊新的服務提供者」畫面,導覽至「傳入驗證設定 > SAML2 Web SSO 設定」

  9. 若要編輯服務提供者,請在「動作」欄按一下對應的「編輯」連結。

    SAML2 Web SSO 設定
  10. 請進行下列步驟:

    1. 在「簽發者」方塊中輸入從 Adobe 中繼資料複製的 entiyID 欄位值。

    2. 在「聲明消費者 URL」方塊中輸入從 Adobe 中繼資料複製的位置欄位值,然後按一下「新增」

    3. 在 NameID 格式方塊中輸入 urn:oasi :names:tc:SAML:1.1:nameid-format:emailAddress

    4. 在「回應簽署演算法」「回應簽署演算法」清單中,請確保選取的值都以 sha1 結尾。

    5. 選取「啟用屬性設定檔」「一律在回應中納入屬性」核取框。按一下「更新」

     

    register_new_serviceprovider1

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策