Acesso federado de convidados

Pesquisar
Enterprise

Enterprise

Admin Console

Saiba como o acesso federado de convidados simplifica a colaboração com parceiros externos, mantendo os mesmos padrões de segurança e acesso das equipes internas.

Observação:

O acesso federado de convidados está em fase piloto e a disponibilidade é limitada.Nem todos os clientes verão o recurso.

Visão geral

O recurso Acesso federado de convidados da Adobe permite que clientes corporativos façam a integração de funcionários externos de agências, fornecedores ou consultorias no ecossistema da Adobe com os mesmos padrões de segurança e autenticação dos funcionários internos.

Anteriormente, criar um usuário com Federated ID exigia a propriedade do domínio.Esse requisito impedia que organizações adicionassem usuários com domínios externos, incluindo domínios não reivindicáveis como gmail.com e domínios reivindicáveis que pertencem a outra organização.

O recurso Acesso federado de convidados permite que clientes corporativos adicionem um usuário com qualquer endereço de email como seu próprio usuário federado.Ele garante a aplicação consistente de SSO entre funcionários internos e parceiros externos.

O recurso atualmente oferece suporte ao Workfront e ao AEM Assets as a Cloud Service, com planos de estendê-lo para outros produtos.

Benefícios do Acesso federado de convidados

Estes são os benefícios do recurso Acesso federado de convidados:

  • Colaboração perfeita: parceiros externos obtêm acesso às ferramentas da Adobe sem atrito.
  • Segurança unificada: corporações podem aplicar políticas consistentes de SSO e autenticação em todos os usuários.
  • Eficiência operacional: elimina a necessidade de soluções alternativas usadas anteriormente para integrar fornecedores.
  • Acesso controlado: contas federadas de convidados são isoladas das contas internas, garantindo que direitos e ativos permaneçam separados.

Cenários empresariais e casos de uso

O acesso federado de convidados é particularmente valioso em cenários onde empresas dependem de conhecimento externo.Equipes de marketing trabalhando com agências, departamentos de TI contratando consultores ou grandes organizações colaborando entre várias empresas podem integrar colaboradores externos sem comprometer a segurança.

Por exemplo, imagine uma empresa contratando Mary de vendor.com para um projeto de curto prazo.Mary pode já ter uma conta federada com o empregador. Anteriormente, a empresa contratante podia integrar Mary ao ambiente Adobe apenas por meio da conta federada existente, cuja autenticação é controlada pelo empregador.

Com o acesso federado de convidados, a empresa contratante pode adicionar Mary como convidada federada ao diretório. Neste caso, ela pode fazer logon usando o SSO da empresa contratante para acessar ferramentas, como Workfront ou AEM Assets. Ela não precisa de um endereço de email separado no domínio da empresa contratante.

A conta de convidada federada de Mary é totalmente independente da conta do empregador, com direitos e ativos separados, garantindo separação clara dos dados organizacionais. Ela pode alternar entre contas usando um alternador de contas. Toda vez que alterna contas, Mary deve fazer logoff e autenticar novamente usando o método de logon da outra conta. Este processo garante que a separação entre contas seja mantida.

Para a empresa contratante, parceiros externos como Mary podem ser integrados e gerenciados por meio dos mesmos controles de autenticação e acesso usados para funcionários internos. Para o empregador de Mary, o acesso de convidado federado não requer alterações.A conta, os direitos e os ativos dela permanecem inalterados, e nenhuma organização tem visibilidade das contas da outra.

Contas de convidado federado

O Acesso de convidado federado introduz um novo conceito de conta de convidados federados. Convidados federados são uma nova variação do tipo de conta Federated ID já existente, estendida para dar suporte a domínios de email que não são de propriedade ou reivindicados pela empresa.

Ele permite que empresas integrem parceiros externos ao diretório federado e os autentiquem por meio do IdP da organização, sem exigir propriedade do domínio de email de convidado federado. Como todas as contas Federated ID, cada conta de convidado federado tem escopo limitado à organização que a criou, com seus próprios direitos, ativos e federação independentes. Ela permanece totalmente separada de outras contas que usam o mesmo endereço de email em outras organizações.

Gerenciamento de domínio

Administradores da empresa contratante podem adicionar domínios externos por meio de uma nova guia Domínios de convidados no Admin Console. Isso permite adicionar usuários com domínios de email externos como contas Federated ID separadas de propriedade de suas organizações.

Diferentemente de domínios reivindicados, domínios de convidados não exigem prova de propriedade.Você pode adicionar domínios que podem ser reivindicados e domínios que não podem ser reivindicados.Para domínios reivindicados por outra organização Adobe, os proprietários de domínios podem controlar se o seu domínio pode ser usado como um domínio de convidado.

Se o proprietário do domínio solicitou que o seu domínio reivindicado fosse bloqueado do uso como domínio de convidado, não será possível adicionar esse domínio como um domínio de convidado. Se você já adicionou esse domínio de convidado, não é possível adicionar novos convidados federados com esse domínio. Convidados federados existentes com o domínio de convidado não poderão fazer logon até que o proprietário do domínio permita que o domínio de convidado seja usado novamente.

Para adicionar domínios de convidado diretamente a um diretório do Admin Console, execute as seguintes etapas.

  1. Faça logon no Admin Console e navegue até Configurações.

  2. Na lista Diretórios, abra o diretório onde deseja adicionar domínios de convidado.

  3. Acesse a guia Domínios de convidado dentro do diretório e adicione domínios de convidado.

Por padrão, todos os domínios reivindicados são configurados para permitir o uso como domínio de convidado para Acesso de convidado federado.

Como proprietário(a) de domínio, você pode não querer que outras organizações usem seus domínios reivindicados como domínios de convidado.Embora o uso como domínio de convidado não afete a propriedade do domínio e os usuários, é possível revisar como os domínios reivindicados estão sendo usados e decidir se deseja interromper esse uso.

Para revisar quais outras organizações na Adobe estão usando seus domínios reivindicados como domínios de convidado

  1. Faça logon no Admin Console e navegue até Configurações > Configurações de identidade.

  2. Nas Configurações de identidade, acesse a guia Domínios.

  3. Selecione Mais opções () e escolha Baixar relatório de acesso de convidado federado.

Para bloquear ou permitir que todas as organizações usem o domínio reivindicado como domínio de convidado, entre em contato com o Suporte da Adobe e faça a solicitação.Esta alteração será aplicada por domínio.

Quando você bloqueia o uso do domínio de convidado, nenhuma outra organização na Adobe pode adicionar esse domínio como domínio de convidado.Organizações que já adicionaram o domínio de convidado verão que seu acesso a ele está bloqueado.Além disso, elas não podem criar novos convidados federados com esse domínio.Contas de convidado federado existentes com o domínio de convidado serão impedidas de fazer logon nessas contas.

Segurança e proteções

Seu IdP é sempre a fonte da verdade.Para que parceiros externos sejam integrados como convidados federados, eles já devem ter uma conta no seu IDP.Ele imita como normalmente os funcionários internos seriam integrados como usuários Federated ID.

Todos os convidados federados devem concluir um fluxo de verificação único antes do logon inicial.A Adobe enviará um código de verificação para o email do convidado federado e ele será solicitado a revisar e consentir em se associar à organização que enviou o convite como convidado federado.Se o fluxo não for concluído, os convidados federados serão solicitados a concluí-lo antes de poderem fazer logon pela primeira vez.

Experiência do administrador

Da perspectiva do administrador, a integração de convidados federados espelha o processo para usuários federados regulares.

  • Configuração: administradores configuram domínios de convidado no Admin Console.
  • Provisionamento: convidados federados são adicionados da mesma forma que usuários federados regulares.
  • Atribuição de produtos: os produtos são atribuídos da mesma forma que usuários federados regulares. Atualmente, está limitado ao Workfront e AEM Assets as a Cloud Service. A atribuição de produtos não compatíveis (por exemplo, Photoshop) falha sem consumir licenças.
  • Convites de colaboração: os emails agora incluem o nome da organização proprietária do ativo ou instância, reduzindo a confusão ao alternar perfis ou contas.

Experiência do usuário final

Para usuários finais, a experiência foi projetada para ser direta, mas segura. No logon inicial, a Adobe solicitará que os usuários finais concluam um fluxo de verificação único. Os convidados federados devem verificar o email e consentir em associar-se à organização que fez o convite. Uma vez ativados/concluídos, os usuários convidados federados podem fazer logon na conta por meio do IdP da empresa contratante, assim como os funcionários internos.Os convidados federados podem fazer logon na conta de convidado federado também por meio do logon iniciado pelo IdP.

Não é possível fazer logon diretamente na conta de convidado federado inserindo o email na página de logon.Em vez disso, é preciso usar o logon iniciado pelo IdP ou os links de logon que o admin pode fornecer. Os links de logon são específicos para o diretório e podem ser acessados no Admin Console:

  1. Faça logon no Admin Console e navegue até Configurações> Configurações de identidade.

  2. Nas Configurações de identidade, acesse a guia Domínios de convidado.

  3. Encontre o link de logon a ser compartilhado com convidados federados.

Os links de logon podem ser usados por qualquer usuário no mesmo diretório, seja ou não convidado federado.

Se o email está vinculado a várias contas na Adobe, é possível usar um alternador de contas para encontrar todas as contas que compartilham o mesmo email.Após fazer logon em qualquer conta, você verá a lista de contas para as quais pode alternar. 

Um novo alternador de contas permite que usuários alternem entre contas federadas vinculadas ao mesmo endereço de email. Diferentemente da alternância de perfis, a alternância de contas requer nova autenticação, pois cada conta tem seu próprio método de federação e/ou autenticação.Os admins também podem fornecer links de logon especiais vinculados a diretórios específicos, garantindo que os usuários sejam direcionados ao IdP correto.

Hierarquia do Global Admin Console

A hierarquia do Global Admin Console estabelece como domínios de convidados são gerenciados e compartilhados entre organizações. Apenas organizações com o recurso Acesso de convidado federado habilitado podem adicionar domínios de convidado. Quando uma organização principal adiciona um, ele se torna visível para todas as organizações filhas na hierarquia e em todo o console, garantindo integração consistente de usuários externos e convidados federados.

A organização proprietária pode formar relacionamentos de confiança com outras organizações na hierarquia para usar o domínio como qualquer outro domínio reivindicado. O gerenciamento centralizado de identidade pode ser mantido no nível raiz, pois nem toda organização precisa do Acesso de convidado federado habilitado. Um domínio de convidado pode ser adicionado apenas por um diretório dentro da hierarquia, e organizações fora da hierarquia não podem ver ou usar domínios de convidados, mesmo que existam relacionamentos de confiança, garantindo visibilidade controlada. Nesses casos, os usuários são adicionados como IDs empresariais gerenciados pela Adobe ou pelo proprietário do domínio. Se o mesmo endereço de email estiver registrado em várias organizações, contas de convidado federado separadas serão criadas, exigindo que os usuários alternem entre as contas.

Perguntas frequentes

Isso indica que o acesso de convidado federado não está habilitado na sua organização. O recurso está atualmente em fase piloto e disponível em organizações selecionadas. Se você tem interesse em usar o recurso, entre em contato com o Suporte da Adobe.

O domínio externo que você está tentando adicionar pode falhar durante o processo de adição de domínio de convidado por vários motivos, incluindo:

  • O proprietário do domínio bloqueou o acesso de convidado a esse domínio.
  • O domínio já foi adicionado como domínio de convidado em um diretório dentro da sua organização.
  • O domínio já foi adicionado como domínio de convidado por outra organização na hierarquia do Global Admin Console.
  • O domínio é inválido ou incompleto.

Se você já fez a integração de parceiros externos à sua organização, é recomendável atualizar essas contas integradas em vez de criar novas contas de convidado federadas para evitar perda de ativos ou dados.

Se você adicionou parceiros externos com os seus endereços de email originais, deve atualizar as suas contas de autenticação. Consulte Alterar o tipo de identidade do usuário.

Se você adicionou parceiros externos como um Federated ID sob um endereço de email diferente com o seu domínio reivindicado, é necessário atualizar os emails deles.Para obter mais informações, consulte Editar detalhes do usuário.

Atualmente, apenas o Workfront e o AEM Assets são totalmente compatíveis. Qualquer outra atribuição de produto resultará em status de provisionamento sem acesso para convidados federados.

Para revisar o status completo de provisionamento de todos os usuários, baixe o relatório de status da licença:

  1. Faça logon no Adobe Admin Console e navegue até Usuários.

  2. Selecione Mais opções () e escolha Relatório de status da licença.

  • Quando o proprietário do domínio bloqueia o acesso como domínio de convidado do domínio reivindicado, não é mais possível usar esse domínio de convidado para fins de acesso de convidado federado. 

  • Não será mais possível adicionar um novo convidado federado com esse domínio de convidado.

  • Seus convidados federados existentes desse domínio receberão o status "convidado federado revogado".Neste status, convidados federados revogados são impedidos de fazer logon em suas contas.Todos os direitos anteriormente atribuídos a eles serão posicionados em um status de provisionamento sem acesso

  • Quando o proprietário do domínio restaura o acesso de domínio convidado, convidados federados anteriormente revogados são reativados.Cada convidado federado pode fazer logon novamente e o status de provisionamento do direito é atualizado para concluído, permitindo o uso contínuo dos produtos atribuídos.

Sim, todos os recursos de gerenciamento de usuários existentes se aplicam a convidados federados.Caso queira saber se um usuário é um convidado federado, pode adicionar federatedGuestInfo=true à solicitação e optar por buscar esse detalhe adicional.

Antes de fazer logon na sua conta de convidado federado, você deve concluir o fluxo de verificação única.

Não é possível acessar uma conta de convidado federado inserindo o email diretamente nas páginas de logon padrão da Adobe.Em vez disso, você deve usar um dos seguintes métodos:

  • Por meio do portal IdP ou intranet da organização (se configurado pelo administrador)
  • Usar um link de logon fornecido pelo admin
  • Fazer logon em uma conta diferente (Empresa/Pessoal) vinculada ao email.Use o alternador de contas para fazer logon na conta de convidado federado.

Entrar em contato com o suporte da Adobe.A Adobe atualizará a configuração por você e a alteração será aplicada por domínio.

Adobe, Inc.

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Links rápidos

Veja todos os seus planos Gerenciar seus planos
Ver links rápidos
Ocultar links rápidos

Avisos legais    |    Política de privacidade online da Adobe