Remarque :

Vous pouvez maintenant déplacer des domaines d’un répertoire à l’autre, sans supprimer les utilisateurs du domaine ni perdre l’accès aux actifs des utilisateurs.

En tant qu’administrateur système dans Admin Console, l’une de vos premières tâches consiste à définir et à configurer un système d’identités qui déterminera le mode d’authentification de vos utilisateurs finaux. Chaque fois que votre organisation achète des licences pour des produits et services Adobe, vous devez vous les mettre en service pour vos utilisateurs finaux. Pour cela, vous avez besoin d’une méthode pour authentifier ces utilisateurs.

Adobe propose les types d’identité suivants, que vous pouvez utiliser pour authentifier vos utilisateurs finaux :

  • Adobe ID
  • Enterprise ID
  • Federated ID

Si vous souhaitez avoir des comptes distincts détenus et contrôlés par votre organisation pour les utilisateurs de votre domaine, vous devez avoir recours aux types d’identité Enterprise ID ou Federated ID (pour l’authentification unique).

Cet article explique en détail comment configurer le système d’identité dont vous aurez besoin si vous prévoyez d’utiliser des Enterprise ID ou des Federated ID pour authentifier vos utilisateurs finaux.

Remarque :

Les procédures de configuration du répertoire et configuration du domaine décrites dans ce document sont totalement individualisées. Cela signifie que vous pouvez les exécuter dans l’ordre qui vous convient ou en parallèle. En revanche, la procédure permettant d’associer des domaines de courrier électronique aux répertoires ne pourra être réalisée qu’une fois que vous aurez effectué les deux premières.

Termes et concepts clés

Avant de nous intéresser aux procédures, voyons ensemble les concepts et termes que vous devez impérativement connaître.

Dans Admin Console, un répertoire est une entité qui contient des ressources (comme des utilisateurs) et des règles (comme l’authentification). Ces répertoires sont semblables aux annuaires LDAP ou Active Directory.

Fournisseur d’identité de l’organisation, par exemple Active Directory, Azure, Ping, Okta, InCommon ou Shibboleth.

Pour en savoir plus sur la configuration de l’authentification unique pour Creative Cloud avec certains fournisseurs d’identité courants, consultez la section Articles connexes à la fin de l’article.

Créé, détenu et géré par l’utilisateur final. Adobe se charge de l’authentification, tandis que l’utilisateur final gère l’identité proprement dite. Les utilisateurs gardent un contrôle total sur les données et les fichiers associés à leur ID. Ils peuvent également acheter des produits et services supplémentaires auprès d’Adobe. Les administrateurs peuvent inviter des utilisateurs à devenir membre d’une organisation, mais aussi les supprimer à tout moment. Néanmoins, un utilisateur ne peut pas être exclu de son compte Adobe ID. L’administrateur ne peut pas prendre le pouvoir sur les comptes ni les supprimer. Vous pouvez commencer à utiliser les Adobe ID directement, sans configuration particulière.

Voici quelques conditions et situations pour lesquelles un Adobe ID est recommandé :

  • Si vous souhaitez permettre aux utilisateurs de créer, posséder et gérer leur propre identité.
  • Si vous souhaitez permettre aux utilisateurs d’acheter d’autres produits et services Adobe ou de s’y abonner.
  • Si les utilisateurs sont amenés à utiliser d’autres services Adobe, qui ne prennent actuellement pas en charge les Enterprise ID ou Federated ID.
  • Si les utilisateurs ont déjà des Adobe ID, ainsi que des données associées telles que des fichiers, des polices ou des paramètres. 
  • Dans le cadre universitaire, où les étudiants peuvent conserver leur Adobe ID après avoir terminé leurs études.
  • Si vous avez des sous-traitants ou des indépendants qui n’utilisent pas des adresses électroniques relatives aux domaines que vous contrôlez.
  • Si vous disposez d’un contrat d’équipe Adobe, vous devrez utiliser ce type d’identité.

Créé, détenu et géré par une organisation. Adobe héberge l’Enterprise ID et effectue l’authentification, mais c’est l’organisation qui le met à jour. Les utilisateurs finaux ne peuvent pas s’abonner avec un Enterprise ID, en créer un, ni souscrire à des produits et services supplémentaires auprès d’Adobe avec un Enterprise ID.

Seul un administrateur peut créer un Enterprise ID, puis l’attribuer à un utilisateur. Il peut révoquer l’accès aux produits et services en prenant le contrôle du compte, ou bien supprimer définitivement l’Enterprise ID afin de bloquer l’accès aux données qui y sont associées.

Voici quelques conditions et situations pour lesquelles un Enterprise ID est recommandé :

  • Si vous devez conserver une maîtrise totale des applications et services mis à la disposition d’un utilisateur.
  • Si vous avez besoin d’un accès en urgence aux fichiers et données associés à un ID.
  • Si vous devez avoir la possibilité de bloquer ou de supprimer entièrement un compte utilisateur.

Créé et détenu par une organisation, et lié au répertoire de l’entreprise via la fédération. L’organisation gère les informations d’identification et traite l’authentification unique via un fournisseur d’identité (IdP) SAML2.

Voici quelques conditions et situations pour lesquelles un Federated ID est recommandé :

  • Si vous souhaitez fournir des utilisateurs suivant l’annuaire d’entreprise de votre organisation.
  • Si vous souhaitez gérer l’authentification des utilisateurs.
  • Si vous devez conserver une maîtrise totale des applications et services mis à la disposition d’un utilisateur.
  • Si vous souhaitez permettre aux utilisateurs d’utiliser la même adresse e-mail pour s’inscrire et obtenir un Adobe ID.

Remarque :

Le fournisseur d’identité doit être conforme au protocole TLS 1.2.

Partie d’une adresse électronique placée après le symbole @. Pour utiliser un domaine avec un Enterprise ID ou un Federated ID, vous devez d’abord confirmer que vous en êtes le propriétaire.

Par exemple, une organisation possède plusieurs domaines (geometrixx.com, support.geometrixx.com, contact.geometrixx.com) mais ses employés s’authentifient sur geometrixx.com. Dans ce cas, l’organisation utilise le domaine geometrixx.com pour configurer l’identité des utilisateurs dans Admin Console.

Administrateur système

  • Collabore avec les managers de répertoire IdP et les managers DNS pour configurer les identités dans Admin Console. Ce document s’adresse aux administrateurs système qui ont accès à Admin Console. Ces personnes sont amenées à travailler avec d’autres qui (généralement) n’ont pas accès à Admin Console.

Manager DNS

  • Met à jour les jetons DNS pour valider la propriété d’un domaine.

Manager de répertoire du fournisseur d’identité (IdP)

  • Crée des connecteurs dans l’IdP.

L’identité de chaque utilisateur est vérifiée par rapport à une source d’authentification. Pour utiliser des Enterprise ID ou des Federated ID, configurez votre propre source d’authentification en ajoutant un domaine. Par exemple, si votre adresse électronique est antoine@exemple.com, exemple.com correspond à votre domaine. Le fait d’ajouter un domaine permet de créer des Enterprise ID ou Federated ID dotés d’adresses e-mail sur le domaine. Un domaine peut être utilisé avec des Enterprise ID ou des Federated ID, mais pas avec les deux. Vous pouvez toutefois ajouter plusieurs domaines.

Une organisation doit prouver qu’elle contrôle un domaine. Elle peut également ajouter plusieurs domaines. En revanche, un domaine ne peut être ajouté qu’une seule fois. Les domaines publics connus et généraux, comme gmail.com ou yahoo.com, ne peuvent pas être ajoutés.

Pour en savoir plus sur les types d’identité, consultez la section Gestion des types d’identité.

Configuration d’un répertoire

Pour utiliser des Enterprise ID ou des Federated ID, commencez par configurer un répertoire auquel vous pouvez associer un ou plusieurs domaines.

Pour configurer un répertoire :

  1. Créez un répertoire dans Admin Console.
  2. (Federated ID uniquement, sauf Microsoft Azure ou Google en tant que fournisseur d’identité) Adobe fournira le répertoire. L’opération prend généralement moins de 48 heures.
  3. Si vous configurez votre organisation de manière à utiliser des identités de type Enterprise ID, vous pouvez commencer à associer vos domaines de courrier électronique au répertoire.
  4. (Federated ID uniquement) Une fois qu’Adobe a mis en service votre répertoire, configurez les paramètres SAML qui lui sont associés.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Accédez à l’onglet Répertoires, puis cliquez sur Créer un répertoire.

  3. Dans l’écran Créer un répertoire, attribuez un nom au répertoire.

  4. Choisissez Enterprise ID et cliquez sur Créer un répertoire, ou choisissez Federated ID et cliquez sur Suivant et passez à l’étape 5.

  5. (Federated ID uniquement) Choisissez votre fournisseur d’identité parmi les options fournies, puis :

    • Cliquez sur Créer pour Fournisseur SAML,
    • Cliquez sur Suivant pour Microsoft Azure et suivez les étapes indiquées à la section Créer un répertoire dans Configurer l’Azure AD Connector. ou
    • Cliquez sur Suivant pour Google et suivez les étapes indiquées à la section Créer un répertoire dans Configurer la fédération Google.

Votre répertoire est créé.

Si vous avez opté pour un répertoire avec le type d’identité Enterprise ID, vous avez terminé. Vous pouvez maintenant configurer vos domaines dans Admin Console.

Si vous avez opté pour un répertoire avec le type d’identité Federated ID avec un autre fournisseur d’accès que Microsoft Azure ou Google, Adobe devra le mettre en service avant que vous puissiez procéder à de nouvelles opérations dessus. Néanmoins, inutile d’attendre sans rien faire : entre temps, vous pouvez configurer vos domaines dans Admin Console.

Remarque :

Généralement, la mise en service de répertoires de type Federated ID à l’aide de la méthode personnalisée basée sur le protocole SAML prend moins de 48 heures. Dès que c’est fait, vous en êtes informé par e-mail.

Une fois qu’Adobe vous a confirmé par e-mail que votre répertoire était mis en service, configurez les paramètres SAML qui lui sont associés.

Lorsqu’une organisation configure et active l’authentification unique (SSO), ses utilisateurs peuvent se servir de leurs informations d’identification d’entreprise pour accéder aux logiciels Adobe. Ainsi, ils peuvent utiliser un identifiant unique pour accéder aux applications pour postes de travail, aux services et aux applications mobiles Adobe.

Le portail Adobe Admin Console propose aux utilisateurs de l’entreprise une méthode leur permettant de s’authentifier en utilisant leur identité d’entreprise existante. Les Federated ID Adobe permettent l’intégration avec un système de gestion des identités par authentification unique (SSO). L’authentification unique est activée à l’aide du protocole SAML, un protocole normalisé qui connecte les systèmes de gestion des identités aux prestataires de services Cloud tels qu’Adobe.

L’authentification unique permet d’échanger en toute sécurité les informations d’authentification entre les différentes parties, le prestataire de services (Adobe) et le fournisseur d’identité (IdP). Le prestataire de services envoie une demande à l’IdP, qui essaie d’authentifier l’utilisateur. Si l’authentification réussit, l’IdP envoie un message de réponse afin de connecter l’utilisateur.

Configurations requises pour l’authentification unique

Pour configurer l’authentification unique pour les logiciels d’Adobe, les administrateurs informatiques ont besoin des éléments suivants :

  • Une bonne compréhension de SAML 2.0
  • Un fournisseur d’identité (IdP) prenant en charge le protocole SAML 2.0 et ayant au minimum :
    • Un certificat IDP
    • Une URL de connexion IDP
    • Une liaison IDP Post ou Redirection HTTP
    • Une URL ACS (Assertion Consumer Service)
    • TLS 1.2 activé
  • Accéder à votre configuration DNS pour le traitement de la déclaration de domaine

L’URL de connexion du fournisseur d’identité (IdP) n’a pas besoin d’être accessible en externe pour que les utilisateurs puissent y accéder afin d’ouvrir une session. En revanche, si elle est accessible uniquement via le réseau interne de l’entreprise, les utilisateurs ne pourront ouvrir une session dans les produits Adobe que s’ils sont connectés au réseau interne de l’entreprise (directement, en wi-fi ou par VPN). Il n’est pas nécessaire que la page de connexion soit accessible uniquement en HTTPS, mais c’est conseillé pour des raisons de sécurité.

Remarque :

Actuellement, Adobe ne prend pas en charge l’authentification unique initiée depuis l’IdP.

Les services cloud d’Adobe proposent l’authentification unique à l’aide d’un connecteur SaaS SAML 2.0 fourni par Okta. Le connecteur est utilisé pour communiquer avec votre fournisseur d’identité afin de proposer des services d’authentification. Vous n’êtes pas obligé d’utiliser Okta comme service de fournisseur d’identité car Okta est connecté à de nombreux fournisseurs de services d’identité SAML 2.0. Pour plus d’informations, consultez la section Authentification unique (SSO) / Questions fréquentes.

Si votre entreprise souhaite tester l’intégration de l’authentification unique, il est recommandé de déposer un domaine de test dont vous êtes propriétaire, tant que votre entreprise possède un fournisseur d’identité avec des identités définies dans ce domaine de test. Cela vous permet de tester l’intégration avant de déposer les principaux domaines, jusqu’à ce que vous vous sentiez à l’aise avec le processus de dépôt de domaine et de configuration.

Configuration des paramètres SAML

Si vous avez déjà un fournisseur d’identité (IdP), vous pouvez facilement définir votre configuration SSO à l’aide du connecteur SaaS SAML 2.0 fourni par Okta.

Remarque :

Okta est l’un des nombreux fournisseurs que vous pouvez choisir d’utiliser en tant que fournisseur d’identité.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Répertoires.

  3. Sur la ligne du répertoire à configurer, cliquez sur l’option Configurer.

    Répertoire mis en service
  4. Dans l’écran Configurer le répertoire qui s’affiche :

    Paramètres d’authentification unique

    Certificat IDP : pour charger le certificat (.cer) utilisé par votre IdP pour signer la réponse ou l’assertion SAML, cliquez sur Charger.

    Si vous ne disposez pas de ce certificat, contactez votre fournisseur d’identité pour savoir comment le télécharger.

    Conseils relatifs aux certificats :

    • Format PEM (X.509 crypté en base 64)
    • Nommé avec une extension de nom de fichier .cer (pas .pem ou .cert)
    • Non chiffré
    • SHA-1
    • Format multiligne (une seule ligne échoue)
    • Doit durer au moins trois ans (il enregistre la maintenance sur cette durée de vie et n’affecte pas la sécurité)

    Remarque :

    Les certificats Okta utilisés à côté d’Adobe de la poignée de main Federated ID sont des certificats de 20 ans. La raison est que vous pouvez effectuer la rotation de certificats selon un planning de votre choix, plutôt que d’être obligé de la faire par Adobe/Okta.   

    Liaison IDP : choisissez la méthode de transmission des messages du protocole SAML.

    • Utilisez Post HTTP pour transmettre la demande d’autorisation via le navigateur à l’aide d’un formulaire XHTML. L’IdP répond également avec un document qui contient un formulaire XHTML.
    • Utilisez Redirection HTTP pour transmettre la demande d’autorisation via le paramètre SAMLRequest dans la chaîne de requête d’URL d’une demande HTTP GET. L’IdP répond avec un paramètre SAMLResponse dans l’URL.

    Paramètre de connexion utilisateur : choisissez E-mail ou Nom d’utilisateur pour indiquer comment s’identifieront les utilisateurs de ce domaine.

    Émetteur IDP : entrez l’ID d’entité du fournisseur d’identité qui émet la requête SAML.

    Votre assertion SAML doit précisément référencer cette chaîne. Toute différence dans l’orthographe, les caractères ou le formatage entraîne une erreur.

    URL de connexion IDP : entrez l’adresse SSO/URL de connexion IDP. Cette URL est l’emplacement vers lequel les utilisateurs sont redirigés pour l’authentification.

  5. Cliquez sur Enregistrer.

  6. Cliquez sur Télécharger les métadonnées.

    Le fichier de métadonnées est téléchargé sur votre disque dur local. Utilisez ce fichier pour configurer votre intégration SAML avec le fournisseur d’identité.

    Votre fournisseur d’identité a besoin de ce fichier pour activer l’authentification unique.

    Attention :

    Pour les fournisseurs d’identité SAML génériques tels que OpenAthens ou Shibboleth, envoyez le nom d’utilisateur (généralement l’adresse e-mail) en tant que NameID au format « non spécifié ». Envoyez également les attributs suivants (sensibles à la casse) : FirstName, LastName, Email.

    Ces attributs doivent correspondre aux entrées configurées via le portail Admin Console. Si ces attributs ne sont pas configurés auprès de l’IdP afin d’être envoyés comme faisant partie de la configuration du connecteur SAML 2.0, l’authentification échoue.

  7. Pour finaliser la configuration de l’authentification unique (SSO) avec votre fournisseur d’identité, rapprochez-vous du manager de répertoire de ce dernier.

    Attention :

    Lorsque des Federated ID sont actifs, toute modification apportée à la configuration peut provoquer des erreurs au niveau des identifiants SSO pour les utilisateurs finaux. Une configuration modifiée génère un nouveau fichier de métadonnées, qui devra être reconfiguré chez l’IdP.

  8. Une fois la configuration SSO effectuée avec votre fournisseur d’identité, connectez-vous à Admin Console et cliquez sur Paramètres > Identité.

  9. Cliquez sur Configurer au niveau du répertoire concerné.

  10. Dans l’écran Configurer le répertoire, cochez la case « J’ai effectué la configuration avec le fournisseur d’identité », puis cliquez sur Terminer.

Votre répertoire est maintenant configuré pour l’authentification unique.

Si ce n’est pas déjà fait, vous pouvez ajouter des domaines dans Admin Console. Si c’est fait, vous pouvez associer les domaines requis à ce répertoire.

Configuration de domaines

Vos utilisateurs finaux s’authentifient sur des domaines que vous devez configurer dans Admin Console.

Pour configurer des domaines, il faut :

  1. Ajouter des domaines dans Admin Console
  2. Être prêt à confirmer la propriété des domaines en ajoutant un jeton DNS spécial
  3. Valider les domaines

Les domaines que vous ajoutez à Admin Console ne doivent pas forcément être enregistrés auprès du même IdP. En revanche, lorsque vous associez les domaines à un répertoire, chaque domaine d’un IdP spécifique doit être associé à un répertoire spécifique.

Vous ne pouvez pas ajouter un domaine dans Admin Console s’il a déjà été ajouté dans le portail Admin Console d’une autre organisation. En revanche, vous pouvez demander à y avoir accès.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Dans l’onglet Domaines, cliquez sur Ajouter des domaines.

  3. Dans l’écran Entrer des domaines, tapez une liste contenant jusqu’à 15 entrées, puis cliquez sur Ajouter des domaines.

  4. Dans l’écran Ajouter des domaines, vérifiez le contenu de la liste, puis cliquez sur Ajouter des domaines.

    Confirmer les domaines à ajouter

Vos domaines sont maintenant ajoutés dans Admin Console. Cependant, vous devez encore prouver que vous en êtes le propriétaire.

Une organisation doit prouver qu’elle possède un domaine. Elle peut ajouter autant de domaines que nécessaire dans Admin Console.

Admin Console permet à chaque organisation d’utiliser un seul jeton DNS pour prouver la propriété de tous ses domaines. Par ailleurs, Admin Console n’exige pas de validation DNS pour les sous-domaines. Cela signifie que lorsque vous utilisez le jeton DNS et prouvez la propriété d’un domaine, tous les sous-domaines qui lui sont associés sont instantanément validés dès leur ajout dans Admin Console.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité et rendez-vous dans l’onglet Domaines.

  2. Cliquez sur et choisissez Accéder au jeton DNS dans la liste déroulante.

  3. Travaillez avec votre manager DNS pour ajouter un enregistrement DNS spécial pour les domaines que vous avez ajoutés.

  4. Pour confirmer que vous possédez le domaine, vous devez ajouter un enregistrement TXT au jeton DNS généré. Les instructions exactes dépendent de votre hôte de domaine. Pour des consignes standard, consultez la section Vérification de la propriété d’un domaine.

  5. Pour effectuer cette étape, vous devez ajouter des informations sur vos serveurs DNS. Informez-en votre manager DNS à l’avance pour être certain d’effectuer cette étape rapidement.

    Régulièrement, Adobe vérifie les enregistrements DNS de votre domaine ; s’ils sont corrects, le domaine est automatiquement validé. Si vous souhaitez valider de suite un domaine, vous pouvez vous connecter à Admin Console et effectuer l’opération manuellement. Reportez-vous à la section Validation de domaine.

Plusieurs fois par jour, Admin Console tente de valider les domaines que vous avez ajoutés. Il est donc inutile d’intervenir pour valider un domaine une fois que les jetons DNS sont correctement configurés.

Valider manuellement des domaines

Si vous devez valider votre domaine immédiatement, vous pouvez le faire dans Admin Console. Pour valider manuellement vos domaines :

  1. Connectez-vous au portail Admin Console.

  2. Cliquez sur Paramètres > Identité, puis accédez à l’onglet Domaines.

  3. Cliquez sur Valider.

    Valider des domaines
  4. Dans l’écran Valider la propriété de domaine, cliquez sur Valider maintenant.

À présent, vous pouvez associer les domaines validés aux répertoires requis dans Admin Console.

Association de domaines aux répertoires

Une fois que vous avez configuré vos répertoires et vos domaines dans Admin Console, vous devez les associer entre eux.

Il est possible d’associer plusieurs domaines à un même répertoire. Toutefois, tous les domaines que vous associez à un même répertoire doivent partager des paramètres SSO identiques.

  1. Connectez-vous à Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Domaines.

  3. Cochez la case à gauche du nom de domaine souhaité, puis cliquez sur Associer au répertoire.

    Si vous voulez associer plusieurs domaines au même répertoire, cochez toutes les cases correspondantes.

    Associer des domaines à un répertoire
  4. Dans l’écran Associer au répertoire, choisissez le répertoire concerné dans la liste déroulante, puis cliquez sur Associer.

Pour que vos utilisateurs finaux commencent à utiliser les produits et services Adobe pour lesquels votre organisation possède une licence, ajoutez les utilisateurs finaux et les groupes d’utilisateurs, puis assignez-les à des profils de produit.

Mandat de répertoire

La propriété d’un domaine ne peut être revendiquée que par une seule organisation. Par conséquent, imaginez le scénario suivant :

Une société, Geometrixx, comporte plusieurs services, chacun ayant son propre portail Admin Console. En outre, chaque service souhaite utiliser des Federated ID, tous avec le domaine geometrixx.com.  Dans ce cas, l’administrateur système de chacun de ces services souhaite déposer ce domaine à des fins d’authentification. Admin Console empêche qu’un domaine soit ajouté à plusieurs portails Admin Console. Néanmoins, une fois ajouté par un service, d’autres services peuvent demander l’accès au répertoire auquel ce domaine est associé, au nom du portail Admin Console de leur organisation.

Le mandat de répertoire permet à un propriétaire de mandater d’autres administrateurs système (les mandataires). À la suite de cela, les organisations mandataires dans Admin Console peuvent ajouter des utilisateurs à n’importe quel domaine du répertoire faisant l’objet du mandat.

Résumons en quelques mots. Si vous prévoyez d’utiliser des Enterprise ID ou des Federated ID sur votre portail Admin Console, vous devez ajouter le domaine associé à votre organisation. Si ce domaine a déjà été ajouté par une autre organisation, vous devez demander l’accès au répertoire contenant ce domaine en tant que mandataire.

Pour demander l’accès à un répertoire, reportez-vous aux étapes de la procédure « Ajouter des domaines », dans le paragraphe Configuration de domaines ci-dessus.

Attention :

En tant que propriétaire d’un répertoire, si vous approuvez une demande d’accès à celui-ci, l’organisation mandataire aura accès à tous les domaines déjà associés à ce répertoire, ainsi qu’à tous ceux qui le seront par la suite. Par conséquent, il est essentiel de bien prévoir l’association entre domaines et répertoires lorsque vous configurez le système d’identité de votre organisation.

Mandataire de domaine

Si vous ajoutez des domaines existants dans Admin Console, vous recevez le message suivant :

Demander l’accès

Si vous demandez l’accès à ce domaine, votre nom, votre adresse e-mail et le nom de votre organisation seront communiqués aux administrateurs système de l’organisation propriétaire.

Le type de répertoire (Enterprise ou Federated) dépend de la façon dont il a été configuré par l’organisation propriétaire. Cela signifie que vous devez, dans tous les cas, utiliser le type de répertoire sélectionné par l’organisation propriétaire.

Dans la mesure où le domaine a déjà été configuré par le propriétaire (voir le paragraphe « Prouver la propriété d’un domaine » dans la section Configuration de domaines), en tant que mandataire, vous n’avez rien à faire de plus. Une fois que la demande d’accès est acceptée par le propriétaire, votre organisation a accès au répertoire et à l’ensemble de ses domaines, tels qu’ils ont été configurés par l’organisation propriétaire.

  1. Connectez-vous à Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Demandes d’accès, puis vérifiez le statut de chaque répertoire pour lequel vous avez demandé un droit d’accès.

  3. Vous pouvez également cliquer sur une ligne dans la liste des demandes d’accès et cliquer sur Renvoyer la demande ou Annuler la demande.

Si votre demande d’accès au répertoire est acceptée par l’organisation propriétaire, vous recevez une notification par e-mail. Votre demande de mandat disparaît alors, elle est remplacée par le répertoire faisant l’objet du mandat, ainsi que ses domaines, avec le statut Actif (sous mandat) dans vos listes Répertoires et Domaines.

Vous pouvez à présent ajouter des utilisateurs finaux et des groupes d’utilisateurs, puis les affecter à des profils de produit.

En tant qu’organisation mandataire, si vous n’avez plus besoin d’avoir accès au répertoire sous mandat, vous pouvez retirer votre statut de mandataire à tout moment.

  1. Connectez-vous à Admin Console, puis accédez à la section Paramètres > Identité.

  2. Dans l’onglet Répertoires, cliquez sur le répertoire partagé pour lequel vous souhaitez retirer votre droit d’accès.

  3. Dans le volet de détails du répertoire, cliquez sur Retirer.

Si vous retirez votre droit d’accès à un répertoire sous mandat, les utilisateurs Enterprise ID ou Federated ID qui appartiennent aux domaines de ce répertoire (c’est-à-dire qu’ils se connectent avec les identifiants du domaine) sont également retirés de votre organisation. En outre, ces utilisateurs perdront l’accès à tous les logiciels qui leur sont conférés par votre organisation.

Propriétaire de domaine

En tant qu’administrateur système d’une organisation propriétaire, vous pouvez choisir d’accepter ou de refuser des demandes d’accès aux répertoires que vous détenez. 

Lorsque vous recevez par e-mail une demande d’accès à un répertoire qui vous appartient, vous pouvez choisir d’accepter ou de refuser la demande directement à partir de l’e-mail. Vous pouvez également passer par l’onglet Demandes d’accès pour gérer les demandes.

  1. Connectez-vous à Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Demande d’accès.

  3. Pour accepter toutes les demandes, cliquez sur Tout accepter.

    Pour accepter des demandes en particulier, cochez la case correspondant à chacune d’elle sur la gauche de la ligne et cliquez sur Accepter.

  4. Dans l’écran Accepter cette demande d’accès, cliquez sur Accepter.

Un e-mail de notification est envoyé aux administrateurs système des organisations mandataires.

Vous pouvez également choisir de refuser la demande d’accès à un répertoire que vous détenez.

  1. Connectez-vous à Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Demande d’accès.

  3. Cochez la case sur la gauche de chaque ligne et cliquez sur Refuser.

  4. Dans l’écran Refuser cette demande d’accès, indiquez le motif du refus, puis cliquez sur Refuser.

Le motif que vous fournissez est transmis par e-mail à l’organisation à l’origine de la demande. Toutefois, votre e-mail, votre nom et les informations sur votre organisation ne sont pas divulgués.

Vous pouvez révoquer l’accès d’une organisation mandataire à laquelle vous avez précédemment donné accès.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Mandataires.

  3. Cochez la case sur la gauche de chaque ligne et cliquez sur Révoquer.

  4. Dans l’écran Révoquer un mandataire, cliquez sur Révoquer.

Si vous révoquez l’accès d’une organisation mandataire, les utilisateurs dotés de comptes Enterprise ID ou Federated ID associés à un domaine du répertoire concerné sont retirés de l’organisation mandataire. Ces utilisateurs perdent également l’accès à tous les logiciels ou services qui leur sont conférés par l’organisation mandataire.

Gestion des clés de chiffrement

Bien que toutes les données stockées sur Creative Cloud et Document Cloud soient chiffrées, vous pouvez choisir qu’Adobe génère des clés de chiffrement dédiées pour les comptes d’un répertoire que vous créez.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Dans l’onglet Répertoires, cliquez sur le nom du répertoire pour lequel vous souhaitez activer le chiffrement.

  3. Cliquez sur Paramètres.

  4. Dans la section Clé de chiffrement dédiée, cliquez sur Activer.

    Activer une clé de chiffrement
  5. Dans la fenêtre Activer la clé de chiffrement dédiée, cliquez sur Activer.

Vous avez la possibilité de révoquer la clé de chiffrement dédiée d’un répertoire.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Dans l’onglet Répertoires, cliquez sur le nom du répertoire pour lequel vous souhaitez révoquer le chiffrement.

  3. Dans l’écran Détails, cliquez sur Paramètres.

  4. Dans la section Clé de chiffrement dédiée, cliquez sur Révoquer.

    Révoquer une clé de chiffrement
  5. Dans la fenêtre Révoquer la clé de chiffrement dédiée, cliquez sur Révoquer.

Déplacement de domaines entre les répertoires

Les organisations peuvent désormais structurer leurs répertoires en déplaçant des domaines depuis les répertoires sources vers des répertoires cibles au sein d’Admin Console. Vous pouvez réorganiser la liaison domaine-répertoire en fonction des besoins de votre organisation, sans que les utilisateurs finaux ne perdent l’accès à leurs produits, leurs services ou leurs actifs stockés. La consolidation dans un seul répertoire des domaines configurés pour le même fournisseur d’identité simplifie la gestion de vos équipes informatiques.

Attention :

Les utilisateurs sont déconnectés de leurs comptes et ne peuvent pas se connecter à une nouvelle session pendant le transfert du domaine. Il est recommandé de modifier les répertoires pendant les heures creuses afin de minimiser les perturbations pour les utilisateurs finaux.

Pourquoi déplacer des domaines

Vous pouvez bénéficier de cette fonctionnalité dans les scénarios suivants :

  • Vous avez des répertoires dans une relation de confiance ou souhaitez partager des répertoires en confiance, sans permettre l’accès à tous les domaines de ces répertoires de confiance.
  • Vous devez regrouper les répertoires en fonction des équipes et des départements de l’organisation.
  • Vous avez un certain nombre de répertoires liés à des domaines uniques et que vous souhaitez consolider.
  • Vous avez accidentellement lié un domaine à un répertoire incorrect.
  • Vous souhaitez créer vous-même un transfert de domaine depuis l’Enterprise ID vers le Federated ID ou depuis le Federated ID vers l’Enterprise ID.

Gestion des répertoires chiffrés ou de confiance

Si les répertoires sources ou cibles sont chiffrés ou sont dans une relation de confiance, vous ne pouvez pas déplacer les domaines directement. Suivez les instructions données pour déplacer des domaines dans les cas suivants :

Exemple d’utilisation

Approche suggérée

Pour déplacer des domaines vers ou depuis un répertoire chiffré

Entrez en contact avec les équipes support d’Adobe.

Pour déplacer un domaine d’une organisation Admin Console à une autre

Entrez en contact avec les équipes support d’Adobe.

Pour déplacer des domaines entre des répertoires au sein d’une même relation de confiance

Suivez la procédure ci-dessous.

Pour déplacer des domaines depuis des répertoires d’une relation de confiance vers d’autres répertoires

Levez la relation de confiance, déplacez les domaines, puis rétablissez la relation de confiance.

Déplacement des domaines

Suivez la procédure ci-dessous pour transférer des domaines d’un répertoire source vers un répertoire cible :

  1. Connectez-vous au portail Adobe Admin Console, puis accédez à la section Paramètres.

  2. Sous Domaines, sélectionnez les domaines que vous souhaitez déplacer vers le répertoire cible. Cliquez ensuite sur Modifier le répertoire.

    Modification d’un répertoire
  3. Sélectionnez un répertoire dans la liste déroulante sur l’écran Modifier le répertoire. Utilisez le bouton à bascule situé au bas de l’écran pour activer ou désactiver les notifications informant que l’opération a été effectuée. Cliquez ensuite sur Enregistrer.

    Sélection d’un répertoire

La section Domaines s’affiche sous Paramètres> Identité. Tous les domaines sont répertoriés avec leur statut.

Une fois les domaines transférés, les administrateurs système reçoivent un e-mail concernant le transfert des domaines. Ensuite, vous pouvez modifier les noms de répertoire et, le cas échéant, supprimer les répertoires vides.

Suppression de répertoires et de domaines

Dans Admin Console, vous pouvez supprimer les répertoires et les domaines qui ne sont plus utilisés.

Remarque :

Il n’est pas possible de supprimer un répertoire comportant les éléments suivants :

  • Utilisateurs actifs
  • Domaines associés
  • Mandataires

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Répertoires.

  3. Cochez la case sur la gauche du ou des noms de répertoire concernés, puis cliquez sur Supprimer les répertoires.

  4. Dans l’écran de suppression des répertoires, cliquez sur Supprimer.

Remarque :

Il n’est pas possible de supprimer un domaine s’il comporte des utilisateurs dans Admin Console ou s’il est associé à un ou plusieurs répertoires.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Domaines.

  3. Cochez la case sur la gauche du ou des noms de domaine concernés, puis cliquez sur Supprimer.

  4. Dans l’écran Supprimer des domaines, cliquez sur Supprimer.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne