Veelgestelde vragen over eenmalige aanmelding

De Adobe Admin Console biedt een methode voor gebruikers in ondernemingen om zich bij ondernemingsproducten van Adobe te verifiëren met hun bestaande systemen voor identiteitsbeheer door middel van integratie met identiteitsbeheersystemen die eenmalige aanmelding (SSO) ondersteunen. Eenmalige aanmelding wordt ingeschakeld met behulp van SAML. Dit is een protocol dat voldoet aan de industriestandaard en dat bedrijfssystemen voor identiteitsbeheer verbindt met aanbieders van cloudservices, zoals Adobe. Met SSO kunnen verificatiegegevens veilig tussen twee partijen worden uitgewisseld: de serviceprovider (Adobe) en uw identiteitsprovider (IdP). De serviceprovider stuurt een verzoek naar uw IdP en die probeert om de identiteit van de gebruiker te verifiëren. Na de verificatie verzendt de IdP een responsbericht om de gebruiker aan te melden. Zie Eenmalige aanmelding configureren voor meer informatie.

Lidmaatschap

Adobe biedt de volgende identiteitstypen:

  • Enterprise ID: De organisatie maakt en is eigenaar van het account. De accounts worden gemaakt in een geclaimd domein. Adobe beheert de aanmeldingsgegevens en verwerkt de aanmelding.
  • Federated ID: De organisatie maakt en is eigenaar van een account dat via federatie aan de ondernemingsdirectory is gekoppeld. Het bedrijf of de school beheert referenties en verwerkt aanmelding via eenmalige aanmelding.
  • Adobe ID: De gebruiker maakt en is eigenaar van een account. Adobe beheert referenties en verwerkt de aanmelding

Ja, u kunt een combinatie van Enterprise ID's, Federated ID's en Adobe ID's gebruiken, maar niet binnen hetzelfde geclaimde domein.

Enterprise ID's en Federated ID's gelden uitsluitend op domeinniveau. Daarom kunt u slechts een van deze kiezen. U kunt Adobe ID's gebruiken in combinatie met Federated ID's of Enterprise ID's.

Als een onderneming bijvoorbeeld slechts één domein claimt, kan de IT-beheerder ervoor kiezen Enterprise ID's of Federated ID's te gebruiken. Als een organisatie meerdere domeinen binnen een onderneming claimt, kan de IT-beheerder één domein gebruiken met Adobe ID's en Enterprise ID's en een ander domein met Adobe ID's en Federated ID's. Dit betekent dus dat u voor elk domein Enterprise ID's of Federated ID's kunt gebruiken, samen met Adobe ID's.

Het beheer van Adobe-licenties via Federated ID's is sneller, eenvoudiger en veiliger.

  • IT-beheerders bepalen de verificatie en de levensduur van gebruikersaccounts.
  • Wanneer u een gebruiker uit de ondernemingsdirectory verwijdert, heeft de gebruiker geen rechten meer op toegang tot de desktop-apps, services of mobiele apps.
  • Federated ID's maken het mogelijk dat organisaties gebruikmaken van bestaande beheersystemen voor gebruikersidentiteit.
  • Omdat uw eindgebruikers het standaard-identiteitssysteem van uw organisatie gebruiken, hoeft de IT-afdeling geen afzonderlijk wachtwoordmanagementproces te beheren.

Wanneer eindgebruikers zich aanmelden, worden ze omgeleid naar de vertrouwde standaardomgeving van de organisatie voor eenmalige aanmelding.

Ja. U kunt overschakelen van Enterprise ID's naar Federated ID's met hetzelfde domein. In Domeinen tussen directory's verplaatsen leest u hoe u dit doet.

Ja, u kunt de directory van uw onderneming en de aanmeldings- en verificatie-infrastructuur ervan federeren met Adobe via uw SAML 2.0-compatibele identiteitsprovider.

Nee. Wanneer een domein wordt geclaimd voor Federated ID's, verandert er niets aan bestaande Adobe ID's met e-mailadressen in dat domein. Bestaande Adobe ID's in de Admin Console blijven behouden.

De migratie van middelen is een geautomatiseerd proces. Wanneer u dit proces start, wordt alle ondersteunde inhoud die momenteel is opgeslagen in uw Adobe ID-account, overgezet naar uw Enterprise/Federated ID-account. Zie Geautomatiseerde migratie van middelen voor meer informatie.

De Adobe-implementatie van Federated ID's ondersteunt autorisatie. Verificatie wordt afgehandeld door uw identiteitsprovider (IdP).

Als organisatie kunt u een koppeling maken tussen uw verificatieservices (met behulp van een structuur voor zakelijke ID's zoals Active Directory) en die van Adobe. Dit maakt het mogelijk dat de organisatie de verificatie host. Adobe slaat wachtwoorden nooit op en IT-beheerders kunnen wachtwoorden of namen van eindgebruikers voor Federated ID's nooit opnieuw instellen via de Adobe Admin Console.

Ja, via de functie Gebruikers importeren, die beschikbaar is in de Adobe Admin Console. Zie Meerdere gebruikers toevoegen voor meer informatie.

Nee. Adobe biedt een interface met uw identiteitsprovider en niet rechtstreeks met de directory van uw onderneming. Wij ondersteunen echter het importeren van gebruikers- en groepsgegevens uit uw ondernemingsdirectory in de Adobe Admin Console. Zie Meerdere gebruikers toevoegen voor meer informatie.

Adobe raadt aan dat alle ondernemingsbeheerders hun Adobe ID-gebruikers overzetten naar Federated ID's. U kunt migreren van Adobe ID's naar Federated ID's door deze stappen uit te voeren.

Adobe gebruikt de veilige en alom gebruikte industriestandaard Security Assertion Markup Language (SAML), wat betekent dat de implementatie van eenmalige aanmelding eenvoudig kan worden geïntegreerd met elke identiteitsprovider die SAML 2.0 ondersteunt.

Hier volgt een lijst met enkele IdP's die voldoen aan SAML 2.0:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Microsoft Azure AD#
  • Google-federatie# 
  • Ping Federate
  • Salesforce IdP met extern ondertekend certificaat
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager
Opmerking:

#Als uw identiteitsprovider Microsft Azure AD of Google is, kunt u de SAML-methode overslaan en de Azure AD Connector of eenmalige aanmelding via Google-federatie gebruiken om eenmalige aanmelding met de Adobe Admin Console in te stellen. Deze configuraties worden ingesteld en beheerd met de Adobe Admin Console en gebruiken een synchronisatiemechanisme om gebruikersidentiteiten en -rechten te beheren.

Ja, mits dit voldoet aan het SAML 2.0-protocol.

Ja, en de identiteitsprovider moet SAML 2.0-compatibel zijn.

Uw SAML-identiteitsprovider moet ten minste over het volgende beschikken:

  1. IDP-certificaat
  2. URL voor IdP-aanmelding
  3. IDP-binding: HTTP-POST of HTTP-Redirect
  4. De Assertion Consumer Service-URL van de IdP en deze URL moet SAML-verzoeken en RelayState kunnen accepteren.

Neem voor vragen contact op met uw identiteitsprovider.

Nee, de codering van een 2048-bits certificaat is nog nooit omzeild. En de enige personen die ooit met succes de codering van een certificaat met slechts 768 bits hebben omzeild (de groep Lenstra), hebben een schatting gedaan dat het hen meer dan 1000 jaar zou kosten om met dezelfde hardware de codering van een 1024-bits certificaat te omzeilen (wat ongeveer 32.000.000 keer eenvoudiger is dan het omzeilen van de codering van een 2048-bits certificaat).

Als u de meest recente technische gegevens over schattingen voor het omzeilen van de codering van certificaten van verschillende lengte wilt bekijken, gaat u naar deze website. Bezoek deze website (of de website waarop de onderliggende wiskunde wordt uitgelegd) voor een mooi overzicht (dat nauwkeurig is, maar wel marketinggericht) van hoe veilig deze certificaten zijn.

Nee, die limiet geldt voor certificaten die worden gebruikt voor het versleutelen van de communicatiepipe tussen de browser en de server. Deze IdP-certificaten worden daarentegen gebruikt voor het ondertekenen (niet het versleutelen) van de gegevens die worden doorgevoerd via de versleutelde pipe. Deze certificaten worden nooit beschikbaar gemaakt voor de browser en worden alleen gebruikt tussen Adobe en de IdP van de klant.

U kunt goede, betrouwbare 2048-bits certificaten voor bedrijven aanschaffen voor ongeveer $ 10 per jaar gedurende de levensduur van het certificaat. En de certificaten die worden gebruikt door de IdP's, zijn zelfondertekende certificaten wat betekent dat ze gratis kunnen worden gegenereerd met open-sourcesoftware.

Nee, er zijn nog twee andere krachtige coderingslagen waarmee de identiteit van de IdP wordt gecontroleerd, die u ook nog moet omzeilen voordat u zich kunt voordoen als de IdP. En deze beide andere lagen zijn niet zelfondertekend. Dit betekent dat u dan niet alleen het certificaat dat de codering afdwingt, moet omzeilen maar ook het certificaat van de ondertekenaar die dat certificaat heeft gegenereerd.

Voor het telefoonnummer en e-mailadres voor premiumondersteuning raadpleegt u de welkomst-e-mail en PDF-bijlage die zijn verzonden naar uw accountbeheerder.

Hetzelfde URL-eindpunt kan worden gebruikt voor meerdere directory's. De metagegevens over de federatie worden echter afzonderlijk beheerd voor elke IdP. Het gemeenschappelijke IdP-eindpunt moet daarom aanvragen verwerken waarvan de inhoud anders is.

Ja, als de SAML-integratie van de directory de indeling username gebruikt en de gebruikersnamen in de Admin Console identiek zijn aan de opgegeven persistente ID's. Dit vereist echter dat de persistente ID's beschikbaar zijn op het moment dat gebruikers worden gesynchroniseerd naar de Admin Console. Dit is geen gebruikelijk scenario en daarom wordt in de praktijk de indeling persistent voor het element NameID niet ondersteund.

Nee. De waarde van het element NameID wordt gebruikt als de gebruikersnaam in de Admin Console. NameQualifier wordt genegeerd.

De voornaam, achternaam en e-mailbevestiging voor elke gebruiker zijn verplicht. Ze hoeven echter niet overeen te komen met de gegevens in de directory, maar de e-mail moet uniek zijn voor elke gebruiker.

Ja. Adobe ondersteunt SHA256-certificaten. Zie Identiteit instellen voor meer informatie.

Ja. U moet de door de CA ondertekende certificaten doorgeven aan de klantenondersteuning van Adobe en wij zullen ze voor u uploaden.

Meld u hiervoor aan bij de Admin Console, navigeer naar Ondersteuning > Ondersteuningsoverzicht en klik op Aanvraag maken. Zie Ondersteuningsaanvragen maken en beheren voor meer informatie.

Okta-certificaten zijn standaard zelfondertekend. Bij uitzondering (en mogelijk tegen betaling) kunt u het certificaat in plaats daarvan laten ondertekenen door een openbare CA.

Instructies

Zie Eenmalige aanmelding configureren voor gedetailleerde instructies voor het instellen van eenmalige aanmelding met desktop-apps, services en mobiele apps van Adobe.

Nee. Het verzenden van meldingen naar eindgebruikers via de Admin Console wordt niet ondersteund. Als zakelijke klant moet u uw eigen aankondigingen verspreiden nadat gebruikers klaar zijn om eenmalige aanmelding te gaan gebruiken met Adobe-software en -services.

Nee. Als u een gebruiker/ID in uw ondernemingsdirectory verwijdert of uitschakelt, wordt de gebruiker/ID niet automatisch verwijderd of uitgeschakeld in de Adobe Admin Console. De gebruiker heeft echter geen rechten meer en kan zich niet meer aanmelden bij de Adobe Creative Cloud desktop-apps, services en mobiele apps of bij Acrobat DC-apps. U moet de gebruiker/ID handmatig verwijderen uit de Admin Console.

Ja, u moet de Adobe Admin Console gebruiken om gebruikers, groepen en rechten te beheren. Nadat u groepen hebt gemaakt in de Admin Console, kunt u echter een CSV-bestand met zowel gebruikers- als groepsgegevens uploaden. Hiermee wordt het gebruikersaccount gemaakt en worden de gebruikers in de toegewezen groep geplaatst.

Nee, u kunt wachtwoorden voor Federated ID's niet opnieuw instellen met de Adobe Admin Console. Adobe slaat gebruikersreferenties niet op. Gebruik uw identiteitsprovider voor gebruikersbeheer.

Veelgestelde vragen: Directoryconfiguratie

Vind antwoorden op uw vragen over de migratie van directory's naar een nieuwe verificatieprovider en het bijwerken van een verouderde SAML-configuratie.

Voordat u begint, moet u ervoor zorgen dat u voldoet aan de toegangsvereisten om de stappen te kunnen volgen in Migreren naar een andere identiteitsprovider of Een verouderde SAML-configuratie bijwerken. Let ook op de volgende punten om verzekerd te zijn van een naadloze en foutloze migratie van de directory's van uw organisatie:

  • Beheerders moeten een nieuwe SAML-app maken in hun IdP-configuratie die ze kunnen configureren. Als ze de bestaande app bewerken, zal deze een actieve bestaande configuratie overschrijven en downtime veroorzaken. Het is dan niet mogelijk om te schakelen tussen beschikbare IdP's in de Adobe Admin Console.
  • Beheerders moeten ervoor zorgen dat alle vereiste gebruikers zijn toegewezen aan of gebruik kunnen maken van de nieuw gemaakte SAML-app.
  • Beheerders moeten ervoor zorgen dat de indeling van de gebruikersnaam voor het nieuwe verificatieprofiel in de IdP overeenkomt met de indeling die wordt gebruikt door het bestaande profiel voor gebruikersaanmelding. Ze kunnen de functie Testen in het verificatieprofiel gebruiken om dit te controleren. De testkoppeling kan naar het klembord worden gekopieerd en worden gedeeld met anderen, zodat deze dit kunnen controleren vanaf hun computer.
  • Beheerders moeten de nieuw toegevoegde IdP testen met 2 tot 3 actieve accounts in de directory voordat ze de IdP activeren.

Er zijn geen foutlogbestanden beschikbaar voor deze functies. Via de testworkflow kan de beheerder echter relevante fouten opsporen voorafgaand aan de activering. Enkele beperkingen waarmee u rekening moet houden:

  • Een directory kan maximaal twee verificatieprofielen hebben en beide profielen moeten voor verschillende verificatietypen zijn. Dit betekent dat Microsoft Azure AD (dat gebruikmaakt van Open ID Connect) kan worden gecombineerd met andere SAML-providers, maar dat Google (dat zelf SAML gebruikt) niet samen met andere SAML-providers in dezelfde directory kan worden gebruikt. 
  • Met deze functie kunnen beheerders hun identiteitsprovider niet migreren om de functie voor directorysynchronisatie (Azure AD Connector en Google Connector) in te schakelen. Klanten die migreren naar Microsoft Azure of Google als hun IdP, kunnen echter een andere strategie voor gebruikersbeheer hanteren. Zie Adobe Admin Console-gebruikers voor meer informatie.
Adobe-logo

Aanmelden bij je account