Accès invité fédéré

Présentation

La fonctionnalité d’accès invité fédéré d’Adobe permet aux clientes et clients d’entreprise d’intégrer des collaborateurs et collaboratrices d’agences, de fournisseurs ou de cabinets de conseil externes dans le réseau d’Adobe avec les mêmes normes de sécurité et d’authentification que celles appliquées au personnel interne.

Auparavant, la création d’un utilisateur ou d’une utilisatrice avec un Federated ID nécessitait la propriété du domaine.Cette exigence empêchait les organisations d’ajouter des utilisateurs et des utilisatrices avec des domaines externes, y compris les domaines non revendicables tels que gmail.com et les domaines revendicables qui appartiennent à une autre organisation.

La fonctionnalité d’accès invité fédéré permet aux clientes et clients d’entreprise d’ajouter un utilisateur ou une utilisatrice avec n’importe quelle adresse e-mail comme leur propre personne fédérée.Elle garantit une application cohérente de l’authentification unique (SSO) pour le personnel interne et les partenaires externes.

Cette fonctionnalité prend actuellement en charge Workfront et AEM Assets as a Cloud Service, avec l'intention d'étendre la prise en charge à d'autres produits.

Avantages de l’accès invité fédéré

Voici les avantages de la fonctionnalité d’accès fédéré des visites anonymes :

• Collaboration transparente : les partenaires externes accèdent aux outils Adobe sans point de friction.
• Sécurité unifiée : les entreprises peuvent appliquer des politiques cohérentes de SSO et d’authentification à l’ensemble des utilisateurs et utilisatrices.
• Efficacité opérationnelle : elle élimine le besoin de solutions de contournement utilisées précédemment pour intégrer les fournisseurs.
• Accès contrôlé : les comptes fédérés des visites anonymes sont isolés des comptes internes, ce qui garantit que les droits et les ressources restent séparés.

Scénarios d'entreprise et cas d'usage

L’accès fédéré des visites anonymes est particulièrement précieux dans les scénarios où les entreprises s’appuient sur une expertise externe.Les équipes marketing travaillant avec des agences, les services informatiques embauchant des consultants, ou les grandes organisations collaborant entre plusieurs entreprises peuvent intégrer des contributeurs et contributrices externes sans compromettre la sécurité.

Par exemple, imaginez une entreprise embauchant Mary de vendor.com pour un projet à court terme.Mary peut déjà avoir un compte fédéré avec son employeur. Auparavant, l’entreprise qui l’embauche ne pouvait intégrer Mary à son environnement Adobe que via son compte fédéré existant, dont l’authentification est contrôlée par son employeur.

Avec l’accès fédéré des visites anonymes, l’entreprise qui l’embauche peut ajouter Mary en tant que visiteuse anonyme fédérée à son répertoire. Dans ce cas, elle peut se connecter en utilisant l’authentification unique (SSO) de l’entreprise qui l’embauche pour accéder aux outils, tels que Workfront ou AEM Assets.Elle n'a pas besoin d'une adresse e-mail distincte sur le domaine de l'entreprise qui l'embauche.

Le compte fédéré de visite anonyme de Mary est entièrement indépendant de son compte appartenant à l’employeur, avec des droits et des ressources distincts, ce qui garantit une séparation nette des données organisationnelles.Elle peut basculer entre les comptes en utilisant un sélecteur de compte.Chaque fois qu'elle change de compte, Mary doit se déconnecter puis se réauthentifier en utilisant la méthode de connexion de l'autre compte. Ce processus garantit que la séparation entre les comptes est maintenue.

Pour l’entreprise qui l’embauche, les partenaires externes comme Mary peuvent être intégrés et gérés via les mêmes contrôles d’authentification et d’accès utilisés pour le personnel interne.Pour l’employeur de Mary, l’accès fédéré des visites anonymes ne nécessite aucun changement.Le compte de Mary, ses droits et ses ressources restent inchangés, et aucune organisation n’a de visibilité sur les comptes de l’autre.

Comptes fédérés des visites anonymes

L’accès fédéré des visites anonymes introduit un nouveau concept de compte de visites anonymes fédérées.Les visites anonymes fédérées constituent une nouvelle variation du type de compte de Federated ID existant, étendue pour prendre en charge les domaines d’e-mail qui ne sont pas détenus ou revendiqués par l’entreprise.

Elles permettent aux entreprises d’intégrer des partenaires externes dans leur répertoire fédéré et de les authentifier via le fournisseur d’identité (IdP) de l’organisation, sans exiger la propriété du domaine d’e-mail de la visite anonyme fédérée.Comme tous les comptes de Federated ID, chaque compte fédéré de visite anonyme est limité à l’organisation qui l’a créé, avec ses propres droits, ressources et fédérations indépendants.Il reste entièrement séparé de tous les autres comptes qui utilisent la même adresse e-mail dans d'autres organisations.

Gestion des domaines

Les administrateurs et administratrices de l’entreprise qui recrute peuvent ajouter des domaines externes via un nouvel onglet Domaines invités dans Admin Console.Il leur permet d’ajouter des utilisateurs et utilisatrices avec des domaines d’e-mail externes en tant que comptes Federated ID séparés et détenus par leur organisation.

Contrairement aux domaines revendiqués, les domaines invités ne nécessitent pas de preuve de propriété. Vous pouvez ajouter des domaines revendicables et non revendicables. Pour les domaines revendiqués par une autre organisation Adobe, les propriétaires de domaine peuvent contrôler si leur domaine peut être utilisé comme domaine invité.

Si la personne propriétaire du domaine a demandé que son domaine revendiqué soit bloqué pour l’utilisation comme domaine invité, vous ne pourrez pas ajouter ce domaine comme domaine invité.Si vous avez déjà ajouté ce domaine de visite anonyme, vous ne pouvez pas ajouter de nouvelle personne anonyme fédérée avec ce domaine.Les personnes anonymes fédérées existantes avec le domaine de visite anonyme ne pourront pas se connecter tant que la personne propriétaire du domaine n’autorisera pas à nouveau l’utilisation du domaine de visite anonyme.

Pour ajouter des domaines de visite anonyme directement à un répertoire Admin Console, procédez comme suit :

Par défaut, tous les domaines revendiqués sont configurés pour autoriser l’utilisation de domaines de visite anonyme pour l’accès fédéré des visites anonymes.

En tant que personne propriétaire de domaine, vous ne souhaitez peut-être pas que d’autres organisations utilisent vos domaines revendiqués comme domaine de de visite anonyme. Bien que l’utilisation du domaine de visite anonyme n’affecte pas la propriété de votre domaine et vos utilisateurs et utilisatrices, vous pouvez vérifier comment vos domaines revendiqués sont utilisés et décider si vous souhaitez arrêter cette utilisation.

Pour examiner quelles autres organisations dans Adobe utilisent vos domaines revendiqués comme domaine de visite anonyme :

Pour bloquer ou autoriser toutes les organisations à utiliser votre domaine revendiqué comme domaine de visite anonyme, contactez l’assistance Adobe pour faire votre demande.Cette modification sera appliquée par domaine.

Lorsque vous bloquez l’utilisation du domaine de visite anonyme, aucune autre organisation dans Adobe ne peut ajouter ce domaine comme domaine de visite anonyme.Les organisations qui ont déjà ajouté le domaine de visite anonyme verront que leur accès à celui-ci est bloqué.De plus, elles ne peuvent pas créer de nouvelles personnes fédérées pour ce domaine.Tous les comptes fédérés de visite anonyme existants avec le domaine de visite anonyme seront bloqués lors de la connexion à ces comptes.

Sécurité et mesures de protection

Votre IdP est toujours la source de vérité.Pour que des partenaires externes puissent être intégrés en tant que personnes anonymes fédérées, ils doivent déjà avoir un compte dans votre fournisseur d’identité.Cela imite la façon dont vous intégreriez normalement votre personnel interne en tant qu’utilisateurs et utilisatrices de Federated ID.

Toutes les personnes anonymes fédérées doivent effectuer un flux de vérification unique avant leur première connexion.Adobe enverra un code de vérification à l’e-mail de la personne anonyme fédérée, et elle sera invitée à examiner et donner son consentement pour rejoindre l’organisation qui l’invite en tant que personne anonyme fédérée.Si le flux n’est pas terminé, les personnes anonymes fédérées seront invitées à le terminer avant de pouvoir se connecter pour la première fois.

Expérience administrateur

Du point de vue de l’administrateur ou de l’administratrice, l’intégration des personnes anonymes fédérées reflète le processus appliqué aux personnes fédérées classiques.

• Configuration : les administrateurs et administratrices configurent les domaines de visite anonyme dans Admin Console.
• Approvisionnement : les personnes anonymes fédérées sont ajoutées de la même manière que les personnes fédérées classiques.
• Affectation de produits : les produits sont attribués de la même manière que pour les personnes fédérées classiques.Cette fonctionnalité est actuellement limitée à Workfront et AEM Assets as a Cloud Service.L'attribution de produits non pris en charge (par exemple, Photoshop) échouera sans consommer de licences.
• Invitations de collaboration : les e-mails incluent désormais le nom de l'organisation propriétaire de l'asset ou de l'instance, ce qui réduit la confusion lors du changement de profils ou de comptes.

Expérience client

Pour les utilisateurs finaux et les utilisatrices finales, l’expérience est conçue pour être simple mais sécurisée.Lors de la première connexion, Adobe demande aux utilisateurs finaux et utilisatrices finales d’effectuer un flux de vérification unique.Les personnes anonymes fédérées doivent vérifier leur adresse e-mail et donner leur consentement pour rejoindre l’organisation qui les invite.Après cela, les personnes anonymes fédérées peuvent se connecter au compte via le fournisseur d’identité de l’entreprise qui les embauche, comme le personnel interne. Les personnes anonymes fédérées peuvent également se connecter au compte de personne anonyme fédérée via la connexion initiée par le fournisseur d’identité.

Il n’est pas possible de se connecter directement au compte de personne anonyme fédérée en saisissant votre e-mail sur la page de connexion. À la place, vous devez utiliser la connexion initiée par le fournisseur d’identité ou les liens de connexion que votre administrateur ou administratrice peut fournir.Les liens de connexion sont spécifiques au répertoire et sont accessibles depuis Admin Console :

Les liens de connexion peuvent être utilisés par l’ensemble des utilisateurs et utilisatrices du même répertoire, qu’ils ou elles soient ou non des personnes anonymes fédérées.

Si votre e-mail est lié à plusieurs comptes chez Adobe, vous pouvez utiliser un sélecteur de compte pour trouver tous les comptes qui partagent le même e-mail. Après votre connexion à n’importe quel compte, vous verrez la liste des comptes vers lesquels vous pouvez basculer. 

Un nouveau sélecteur de compte permet aux utilisateurs et utilisatrices de basculer entre les comptes fédérés liés à la même adresse e-mail.Contrairement au changement de profil, le changement de compte nécessite une nouvelle authentification car chaque compte a sa propre méthode de fédération et/ou d'authentification. Les administrateurs et administratrices peuvent également fournir des liens de connexion spéciaux liés à des répertoires spécifiques, garantissant que les personnes sont dirigées vers le bon fournisseur d’identité.

Hiérarchie de Global Admin Console

La hiérarchie de Global Admin Console établit comment les domaines de visite anonyme sont gérés et partagés entre les organisations.Seules les organisations avec la fonctionnalité d’accès fédéré des visites anonymes activée peuvent ajouter des domaines de visite anonyme.Une fois qu’une organisation parent en ajoute un, il devient visible pour toutes les organisations enfants de la hiérarchie et dans toute la console, garantissant une intégration cohérente des utilisateurs et utilisatrices externes et des personnes anonymes fédérées.

L'organisation propriétaire peut former des relations de confiance avec d'autres organisations de la hiérarchie pour utiliser le domaine comme tout autre domaine revendiqué. La gestion centralisée des identités peut être maintenue au niveau racine, car toutes les organisations n’ont pas besoin d’avoir l’accès fédéré des visites anonymes activé.Un domaine de visite anonyme ne peut être ajouté que par un seul répertoire au sein de la hiérarchie. Les organisations en dehors de la hiérarchie ne peuvent pas voir ou utiliser les domaines de visite anonyme, même si des relations de confiance existent, afin de garantir une visibilité contrôlée.Dans de tels cas, les personnes sont ajoutées en tant qu’ID d'entreprise gérés par Adobe ou la personne propriétaire du domaine.Si la même adresse e-mail est enregistrée dans plusieurs organisations, des comptes fédérés de visite anonyme distincts sont créés, obligeant les utilisateurs et utilisatrices à basculer entre les comptes.

Foire aux questions (FAQ)