Acceso de invitado federado

Información general

La función de acceso de invitado federado de Adobe permite a los clientes empresariales incorporar trabajadores externos de agencias, proveedores o consultorías al ecosistema de Adobe con los mismos estándares de seguridad y autenticación que los empleados internos.

Anteriormente, crear un usuario de Federated ID requería la propiedad del dominio.Este requisito impedía que las organizaciones agregaran usuarios con dominios externos, incluidos dominios no reclamables como gmail.com y dominios reclamables que son propiedad de otra organización.

La función de acceso de invitado federado permite a los clientes de empresa agregar un usuario con cualquier dirección de correo electrónico como su propio usuario federado.Garantiza la aplicación coherente de SSO tanto para empleados internos como para socios externos.

Actualmente, esta función es compatible con Workfront y AEM Assets as a Cloud Service, y está previsto ampliar la compatibilidad a otros productos.

Beneficios del acceso de invitado federado

Estos son los beneficios de la función de acceso de invitado federado:

• Colaboración sin problemas: los socios externos obtienen acceso a las herramientas de Adobe sin fricción.
• Seguridad unificada: Las empresas pueden aplicar directivas coherentes de SSO y autenticación en todos los usuarios.
• Eficiencia operativa: Elimina la necesidad de soluciones alternativas utilizadas anteriormente para incorporar proveedores.
• Acceso controlado: Las cuentas de invitado federado están aisladas de las cuentas internas, lo que garantiza que los permisos y recursos permanezcan separados.

Escenarios empresariales y casos de uso

El acceso de invitado federado es particularmente valioso en escenarios donde las empresas dependen de experiencia externa.Los equipos de marketing que trabajan con agencias, los departamentos de TI que contratan consultores o las grandes organizaciones que colaboran entre múltiples compañías pueden integrar colaboradores externos sin comprometer la seguridad.

Por ejemplo, imagine una compañía que contrata a Mary de vendor.com para un proyecto a corto plazo.Es posible que Mary ya tenga una cuenta federada con su empleador. Anteriormente, la compañía contratante podía incorporar a Mary a su entorno de Adobe solo a través de su cuenta federada existente, cuya autenticación está controlada por su empleador.

Con el acceso de invitado federado, la compañía contratante puede agregar a Mary como invitada federada a su directorio.En este caso, Mary puede iniciar sesión usando el SSO (inicio de sesión único) de la compañía contratante para acceder a herramientas como Workfront o AEM Assets. No requiere un correo electrónico independiente en el dominio de la compañía contratante.

La cuenta de invitada federada de Mary es completamente independiente de la cuenta de su empleador, con derechos y activos separados, lo que garantiza una separación clara de los datos organizacionales. Puede cambiar entre cuentas usando un selector de cuentas.Cada vez que cambia de cuenta, Mary debe cerrar sesión y luego volver a autenticarse usando el método de inicio de sesión de la otra cuenta. Este proceso garantiza que se mantenga la separación entre cuentas.

Para la compañía contratante, los socios externos como Mary pueden incorporarse y administrarse a través de los mismos controles de autenticación y acceso utilizados para los empleados internos. Para el empleador de Mary, el acceso de invitado federado no requiere cambios. Su cuenta, derechos y activos permanecen sin cambios, y ninguna organización tiene visibilidad de las cuentas de la otra.

Cuentas de invitados federados

El acceso de invitado federado introduce un nuevo concepto de cuenta de invitados federados. Los invitados federados son una nueva variación del tipo de cuenta de ID federado existente, ampliado para admitir dominios de correo electrónico que no son propiedad de la empresa ni están reclamados por ella.

Permite a las empresas incorporar socios externos a su directorio federado y autenticarlos a través del IdP de la organización, sin requerir la propiedad del dominio de correo electrónico del invitado federado. Como todas las cuentas de Federated ID, cada cuenta de invitado federado tiene un ámbito limitado a la organización que la creó, con sus propios derechos, recursos y federación independientes. Permanece completamente separada de cualquier otra cuenta que use el mismo correo electrónico en otras organizaciones.

Administración de dominios

Los administradores de la compañía contratante pueden agregar dominios externos a través de una nueva pestaña Dominios de invitados en Admin Console.Les permite agregar usuarios con dominios de correo electrónico externos como cuentas de ID federado independientes propiedad de su organización.

A diferencia de los dominios reclamados, los dominios de invitados no requieren prueba de propiedad. Puede agregar dominios reclamables y no reclamables. Para dominios que están reclamados por otra organización de Adobe, los propietarios de dominios pueden controlar si su dominio puede usarse como dominio de invitado.

Si el propietario del dominio solicitó que su dominio reclamado se bloqueara del uso como dominio de invitado, no podrá agregar ese dominio como dominio de invitado. Si ya agregó ese dominio de invitado, no puede agregar ningún nuevo invitado federado con ese dominio. Los invitados federados existentes con el dominio de invitado no podrán iniciar sesión hasta que el propietario del dominio permita que el dominio de invitado se use nuevamente.

Para añadir dominios de invitado directamente a un directorio de Admin Console, siga estos pasos.

De forma predeterminada, todos los dominios reclamados están configurados para permitir el uso de dominios de invitado para el acceso de invitados federados.

Como propietario de un dominio, es posible que no desee que otras organizaciones usen sus dominios reclamados como dominio de invitado.Aunque el uso del dominio de invitado no afecta la propiedad del dominio ni a los usuarios, puede revisar cómo se están usando los dominios reclamados y decidir si desea detener dicho uso.

Para revisar qué otras organizaciones en Adobe están usando sus dominios reclamados como dominio de invitado

Para bloquear o permitir que todas las organizaciones usen su dominio reclamado como dominio de invitado, póngase en contacto con el equipo de asistencia de Adobe para efectuar su solicitud.Este cambio se aplicará por dominio.

Cuando bloquee el uso del dominio de invitado, ninguna otra organización en Adobe podrá agregar ese dominio como dominio de invitado.Las organizaciones que ya hayan agregado el dominio de invitado verán que su acceso está bloqueado.Además, no pueden crear nuevos invitados federados con ese dominio.Las cuentas de invitados federados existentes con el dominio de invitado no podrán iniciar sesión en dichas cuentas.

Seguridad y protecciones

Su IdP siempre es la fuente de la verdad.Para que los socios externos se incorporen como invitados federados, ya deben tener una cuenta en su IDP.Imita cómo normalmente incorporaría a sus empleados internos como usuarios de Federated ID.

Todos los invitados federados deben completar un flujo de verificación único antes de su primer inicio de sesión.Adobe enviará un código de verificación al correo electrónico del invitado federado, y se le pedirá al invitado federado que revise y dé su consentimiento para unirse a la organización que lo invita como invitado federado.Si el flujo no se completa, se pedirá a los invitados federados que lo completen antes de poder iniciar sesión por primera vez.

Entorno de administrador

Desde la perspectiva del administrador, la incorporación de invitados federados refleja el proceso para usuarios federados regulares.

• Configuración: Los administradores configuran dominios de invitados en Admin Console.
• Aprovisionamiento: Los invitados federados se agregan de la misma manera que los usuarios federados regulares.
• Asignación de productos: Los productos se asignan de la misma manera que los usuarios federados habituales. Actualmente está limitado a Workfront y AEM Assets as a Cloud Service. La asignación de productos no compatibles (p. ej., Photoshop) fallará sin consumir licencias.
• Invitaciones de colaboración: Los correos electrónicos ahora incluyen el nombre de la organización propietaria del activo o instancia, lo que reduce la confusión al cambiar perfiles o cuentas.

Experiencia de usuarios finales

Para los usuarios finales, la experiencia está diseñada para ser sencilla pero segura. En el primer inicio de sesión, Adobe pedirá a los usuarios finales que completen un flujo de verificación único.Los invitados federados deben verificar su correo electrónico y dar su consentimiento para unirse a la organización que los invita. Una vez activado y completado, los usuarios invitados federados pueden iniciar sesión en la cuenta a través del IdP de la compañía contratante, igual que los empleados internos. Los invitados federados también pueden iniciar sesión en la cuenta de invitado federado mediante inicio de sesión iniciado por IdP.

No es posible iniciar sesión directamente en la cuenta de invitado federado introduciendo su correo electrónico en la página de inicio de sesión. En su lugar, debe usar inicio de sesión iniciado por IdP o los enlaces de inicio de sesión que su administrador puede proporcionar. Los enlaces de inicio de sesión son específicos del directorio y se puede acceder a ellos desde Admin Console:

Los enlaces de inicio de sesión pueden ser utilizados por cualquier usuario en el mismo directorio, ya sean o no invitados federados.

Si su correo electrónico está vinculado a múltiples cuentas en Adobe, puede usar un conmutador de cuenta para encontrar todas las cuentas que comparten el mismo correo electrónico. Después de iniciar sesión en cualquier cuenta, verá la lista de cuentas a las que puede cambiar. 

Un nuevo conmutador de cuenta permite a los usuarios alternar entre cuentas federadas vinculadas a la misma dirección de correo electrónico. A diferencia del cambio de perfil, el cambio de cuenta requiere reautenticación ya que cada cuenta tiene su propio método de federación y/o autenticación. Los administradores también pueden proporcionar enlaces de inicio de sesión especiales vinculados a directorios específicos, asegurando que los usuarios sean dirigidos al IdP correcto.

Jerarquía de Global Admin Console

La jerarquía de Global Admin Console establece cómo se administran y comparten los dominios de invitados entre organizaciones. Solo las organizaciones con la función de Acceso de Invitado Federado habilitada pueden agregar dominios de invitados. Una vez que una organización principal agrega uno, se vuelve visible para todas las organizaciones secundarias en la jerarquía y en toda la consola, asegurando la incorporación consistente de usuarios externos e invitados federados.

La organización propietaria puede formar relaciones de confianza con otras organizaciones en la jerarquía para usar el dominio como cualquier otro dominio reclamado. La gestión de identidad centralizada se puede mantener a nivel raíz, ya que no todas las organizaciones necesitan tener habilitado el Acceso de Invitado Federado. Un dominio de invitado solo puede ser agregado por un directorio dentro de la jerarquía, y las organizaciones fuera de la jerarquía no pueden ver o usar dominios de invitados, incluso si existen relaciones de confianza, asegurando visibilidad controlada. En estos casos, los usuarios se agregan como ID empresariales administrados por Adobe o el propietario del dominio. Si el mismo correo electrónico está registrado en varias organizaciones, se crean cuentas de invitado federadas independientes, lo que requiere que los usuarios cambien entre cuentas.

Preguntas frecuentes