Observação:

Agora as organizações que ainda têm diretórios autenticados com SHA-1 poderão atualizar com facilidade a segurança aprimorada do certificado SHA-2 no Admin Console. Adicione e ative um novo perfil de autenticação no diretório existente para migrar de SHA-1 para SHA-2 sem precisar interromper os serviços. Para saber mais, consulte Migrar para o novo provedor de autenticação.

Observe que todos os diretórios recém-criados têm a autenticação SHA-2 ativada por padrão.

setup-dir

Configurar diretórios: para usar Enterprise IDs ou Federated IDs, comece configurando um diretório ao qual você possa vincular um ou mais domínios.
Saiba mais >


setup-domains

Configurar domínios: os usuários finais são autenticados nos domínios que você precisa configurar no Admin Console.
Saiba mais >


link-domains-to-dirs

Vincular domínios a diretórios: depois de configurar seus diretórios e domínios, agrupe os domínios vinculando-os aos diretórios.
Saiba mais >


dir-trusting

Confiabilidade do diretório: use a confiabilidade do diretório para confiar nos administradores do sistema de outras organizações.
Saiba mais >


cq5dam_web_1280_1280

Migrar diretórios SHA-1 para SHA-2: atualize os diretórios autenticados com SHA-1 antigos para o perfil SHA-2.
Saiba mais >


move-domains

Migrar domínios entre diretórios: estruture diretórios migrando domínios entre diretórios no Admin Console.
Saiba mais >


Como administrador de sistema no Admin Console, uma das primeiras tarefas é definir e configurar um sistema de identidade com o qual seus usuários finais serão autenticados. Conforme sua organização comprar licenças para produtos e serviços da Adobe, você precisará fornecer essas licenças aos seus usuários finais. E, para isso, você precisará de uma maneira de autenticar esses usuários.

A Adobe fornece os seguintes tipos de identidade que você pode usar para autenticar seus usuários finais:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Se você deseja ter contas separadas pertencentes e controladas por sua organização para usuários do domínio, use os tipos de identidade Enterprise ID ou Federated ID (para Single Sign-On).

Este artigo fornece os detalhes para configurar o sistema de identidade necessário se você planeja usar Enterprise ID ou Federated ID para autenticar seus usuários finais.

Este artigo fornece os detalhes para configurar o sistema de identidade necessário se você planeja usar Enterprise ID ou Federated ID para autenticar seus usuários finais.

Observação:

Os procedimentos configurar diretório e configurar domínio descritos neste documento são completamente dissociados. Isso significa que você pode fazer esses procedimentos em qualquer ordem ou em paralelo. Contudo, o procedimento para vincular domínios de email a diretórios será feito somente depois que você terminar ambos os procedimentos.

Termos e conceitos importantes

Antes de começarmos os procedimentos, estes são alguns conceitos e termos de que você precisa estar ciente:

Um diretório no Admin Console é uma entidade que contém recursos, como usuários, e políticas, como autenticação. Esses diretórios são semelhantes a LDAP ou Active Directory.

Provedor de identidade para organizações, como Active Directory, Azure, Ping, Okta, InCommon ou Shibboleth.

Para saber mais sobre como configurar o SSO para a Creative Cloud com alguns dos IdPs mais usados, consulte Mais itens semelhantes no final deste artigo.

Criada, pertencente e gerenciada por uma organização. A Adobe hospeda a Enterprise ID e executa a autenticação, mas a empresa mantém a ID. Os usuários finais não podem cadastrar-se e criar uma Enterprise ID nem se inscrever para produtos e serviços adicionais da Adobe usando uma Enterprise ID.

Os administradores criam uma Enterprise ID e a emitem a um usuário. Os administradores podem revogar o acesso a produtos e serviços assumindo o controle da conta ou excluindo a Enterprise ID para bloquear o acesso aos dados associados permanentemente.

Veja a seguir algumas exigências e cenários em que Enterprise IDs são recomendadas:

  • Se precisar manter controle rígido sobre aplicativos e serviços disponíveis a um usuário.
  • Se precisar de acesso de emergência a arquivos e dados associados à ID.
  • Se for necessário bloquear ou excluir completamente uma conta de usuário.

Criada e pertencente a uma organização e vinculada ao diretório corporativo por meio de federação. A organização gerencia as credenciais e processa o Single Sign-On por meio de um provedor de identidade (IdP) SAML2.

Veja a seguir algumas exigências e cenários em que Federated IDs são recomendadas:

  • Se você deseja provisionar usuários com base no diretório corporativo da sua empresa.
  • Se você deseja gerenciar a autenticação de usuários.
  • Se você precisa manter controle rígido sobre aplicativos e serviços disponíveis a um usuário.
  • Se você deseja permitir que os usuários usem o mesmo endereço de email para adicionar uma Adobe ID.

Observação:

O provedor de identidade deve ser compatível com TLS 1.2.

Criada, pertencente e gerenciada pelo usuário final. A Adobe realiza a autenticação, e o usuário final gerencia a identidade. Os usuários mantêm o controle dos arquivos e dados associados à ID. Os usuários ainda podem comprar produtos e serviços adicionais da Adobe. Os administradores convidam os usuários para participar da empresa e podem removê-los. Entretanto, os usuários não podem ser bloqueados de suas contas da Adobe ID. O administrador não pode excluir ou gerenciar as contas. Nenhuma configuração é necessária para que você possa começar a usar Adobe IDs.

Veja a seguir algumas exigências e cenários em que Adobe IDs são recomendadas:

  • Se você deseja permitir que usuários criem, sejam proprietários e gerenciem suas identidades.
  • Se você deseja permitir que os usuários comprem ou assinem outros produtos e serviços da Adobe.
  • Se os usuários tiverem de usar outros serviços da Adobe, que no momento não oferecem suporte às Enterprise IDs ou Federated IDs.
  • Se os usuários já tiverem Adobe IDs e dados associados, como arquivos, fontes ou configurações. 
  • Em configurações para o setor acadêmico, em que os alunos podem manter sua Adobe ID após a graduação.
  • Se houver contratados e freelancers que não usam endereços de email em domínios que você controla.
  • Se você tiver um contrato da Adobe para equipes, precisará usar esse tipo de identidade.

A parte do endereço de email após o símbolo de @. Para usar um domínio com Enterprise ID ou Federated ID, primeiro você deve validar a propriedade desse domínio.

Por exemplo, se uma empresa possuir vários domínios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), mas seus funcionários estiverem autenticados com geometrixx.com. Nesse caso, a organização usará o domínio geometrixx.com para configurar sua identidade no Admin Console.

Administrador de sistema

  • Trabalha com gerentes de diretório de IdP e gerentes de DNS para configurar a identidade no Admin Console. Este documento é destinado aos administradores de sistema que terão acesso ao Admin Console. É esperado que a pessoa trabalhe com outras pessoas que, geralmente, não terão acesso ao Admin Console.

Gerente de DNS

  • Atualiza os tokens DNS para validar a propriedade do domínio

Gerente de diretórios do provedor de identidade (IdP)

  • Cria conectores no IdP

As identidades dos usuários são verificadas em relação a uma fonte de autenticação. Para usar a Enterprise ID ou a Federated ID, configure sua própria fonte de autenticação adicionando um domínio. Por exemplo, se o endereço de email for joao@exemplo.com, exemplo.com será seu domínio. Adicionar um domínio permite a criação de Enterprise IDs ou Federated IDs com endereços de email no domínio reivindicado. Um domínio pode ser usado com Enterprise IDs ou Federated IDs, mas não com ambas. No entanto, você pode adicionar vários domínios.

Uma empresa deve validar o controle sobre um domínio. Uma organização também pode adicionar múltiplos domínios. Entretanto, um domínio só pode ser adicionado uma vez. Domínios públicos e genéricos conhecidos, como gmail.com ou yahoo.com, não podem ser adicionados.

Para saber mais sobre os tipos de identidade, consulte Gerenciar tipos de identidade.

SHA-1 e SHA-2 são modelos de certificado responsáveis pela segurança dos perfis de autenticação do seu diretório. Por oferecer mais segurança que os certificados SHA-1 mais antigos, o certificado SHA-2 é usado por todos os perfis de autenticação novos e migrados.

Criar diretórios

Para usar Enterprise IDs ou Federated IDs, crie um diretório ao qual você possa vincular um ou mais domínios.

Observação:

No momento, a Adobe não oferece suporte a fluxos de trabalho iniciados por IdP.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Navegue até a guia Diretórios e clique em Criar diretório.

  3. Na tela Criar um diretório, insira um nome para o diretório.

  4. Escolha Enterprise ID e clique em Criar diretório ou escolha Federated ID e clique em Avançar e vá para a etapa 5.

    Caso tenha escolhido criar um diretório de Enterprise ID, você terminou. Prossiga e configure seus domínios no Admin Console.

  5. (Somente Federated ID) Escolha seu IdP entre as opções disponíveis. Em seguida:

    • Para configurar um provedor de identidade (IdP) usando SAML, clique em Avançar no caso de Outros provedores de SAML.
    • Clique em Avançar para Microsoft Azure e siga as etapas na seção Criar um diretório em Configurar conector do Azure AD.
    • Clique em Avançar para Google e siga as etapas na seção Criar um diretório em Configurar conector do Google.

    Observação:

    As demais etapas deste procedimento são necessárias somente se você escolher Outros provedores de SAML.

  6. Use a tela Adicionar o perfil SAML para obter as informações de configuração para seu provedor de identidade.

    Alguns provedores de identidade (IdP) aceitam um arquivo de metadados que você pode enviar, enquanto outros podem exigir o URL do ACS e o Código da entidade. Por exemplo:

    • Para o Azure Active Directory: faça upload do arquivo de metadados.
    • Para o Google: copie o URL do ACS e o Código da entidade e use-os no software do IdP do Google.
    • Para a SalesForce: baixe o arquivo de metadados, extraia as informações do certificado do arquivo e use essas informações no software do IdP da SalesForce.

    Escolha um dos métodos das opções abaixo.

    Método 1:

    Clique em Baixar o arquivo de metadados da Adobe.

    O arquivo de metadados é baixado no disco local. Use este arquivo para configurar a integração de SAML com o provedor de identidade.

    Método 2:

    Copie o URL do ACS e o Código da entidade.

    Adicionar o perfil SAML
  7. Alterne para a janela do aplicativo IdP e faça upload do arquivo de metadados ou especifique o URL do ACS e o Código da entidade. Ao concluir, baixe o arquivo de metadados do IdP.

  8. Volte para o Adobe Admin Console e faça upload do arquivo de metadados do IdP na janela Adicionar o perfil SAML e clique em Concluído.

O diretório é criado.

  • Caso tenha escolhido criar um diretório de tipo de identidade Enterprise ID, a instalação está concluída.
  • Se você optou por criar um diretório usando a opção Outros provedores de SAML, esse diretório usa automaticamente a autenticação SHA-2. Diretórios criados anteriormente usando a autenticação SHA-1 agora podem ser atualizados para SHA-2 e migrados para outro provedor de identidade. Para obter mais informações, consulte Migrar para o novo provedor de autenticação.

Em seguida, você pode configurar domínios no Admin Console.

Configurar domínios

Observação:

Você não precisa adicionar domínios manualmente se o diretório de sua organização estiver configurado no Microsoft Azure AD Connector ou sincronizado no Google Federation. Os domínios selecionados validados na configuração do provedor de identidade são sincronizados automaticamente com o Adobe Admin Console.

Os usuários finais são autenticados em relação a domínios que você precisa configurar no Admin Console.

Para configurar domínios:

  1. Adicione domínios ao Admin Console
  2. Prepare para validar a propriedade do domínio adicionando um registro DNS especial
  3. Valide os domínios

Os domínios que você adicionar ao Admin Console não precisam estar registrados com o mesmo IdP. No entanto, ao vincular esses domínios a um diretório, é necessário vincular domínios de IdPs diferentes a diretórios diferentes.

Não é possível adicionar um domínio ao Admin Console se ele já tiver sido adicionado ao Admin Console de outra organização. No entanto, você pode solicitar acesso a esse domínio.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Na guia Domínios, clique em Adicionar domínios.

  3. Na tela Adicionar domínios, insira um ou mais domínios e clique em Adicionar domínios. Você só pode reivindicar e validar 15 domínios por vez e adicionar os domínios restantes em seguida.

  4. Na tela Adicionar domínios, revise a lista de domínios e clique em Adicionar domínios.

    Confirme os domínios a serem adicionados

Seus domínios são adicionados ao Admin Console. No entanto, ainda será necessário demonstrar a propriedade sobre esses domínios.

Uma organização deve demonstrar a propriedade sobre um domínio. Uma organização pode adicionar quantos domínios forem necessários ao Admin Console.

O Admin Console permite a uma organização usar um único token DNS para demonstrar a propriedade sobre todos os domínios. Além disso, o Admin Console não requer a validação do DNS para subdomínios. Isso significa que, quando você usa o token DNS e demonstra a propriedade sobre um domínio, todos os subdomínios daquele domínio serão validados imediatamente conforme forem adicionados ao Admin Console.

  1. Faça logon no Admin Console, navegue até Configurações > Identidade e vá até a guia Domínios.

  2. Clique em  e selecione Acessar Token DNS na lista suspensa.

  3. Trabalhe com o gerente de DNS para adicionar um registro DNS especial para os domínios que você adicionou.

  4. Para comprovar que possui o domínio, você deve adicionar um registro TXT com o token DNS gerado. As instruções exatas dependem de seu host de domínio. Para obter orientações genéricas, consulte Verificar a propriedade de um domínio.

  5. Adicione informações a seus servidores DNS para concluir esta etapa. Informe o gerente de DNS com antecedência para que esta etapa seja concluída em tempo hábil.

    A Adobe verifica os registros DNS do seu domínio periodicamente. E, se estiverem corretos, o domínio é validado automaticamente. Se você deseja validar o domínio imediatamente, poderá fazer logon no Admin Console e validá-lo manualmente. Consulte Validação de domínio.

O Admin Console tenta validar os domínios que você adicionou várias vezes ao dia, portanto, não é preciso fazer nada para validar um domínio depois que os registros DNS forem configurados corretamente.

Validar domínios manualmente

Se for necessário validar seu domínio imediatamente, você poderá fazer isso no Admin Console. Para validar seus domínios manualmente:

  1. Faça logon no Admin Console.

  2. Navegue até Configurações > Identidade e vá até a guia Domínios.

  3. Clique em Validar.

    Validar domínios
  4. Na tela Validar propriedade do domínio, clique em Validar agora.

Você pode receber mensagens de erro ao tentar validar, pois pode levar até 72 horas para que as alterações no DNS entrem em vigor. Para saber mais, consulte as perguntas frequentes relacionadas ao registro DNS.

Após verificar a propriedade do domínio, vincule os domínios validados aos diretórios necessários no Admin Console.

Depois de configurar os diretórios e domínios no Admin Console, é necessário vincular os domínios aos diretórios.

É possível vincular vários domínios ao mesmo diretório. No entanto, todos os domínios que você vincular a um mesmo diretório devem ter configurações de SSO idênticas.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Domínios.

  3. Clique na caixa de seleção à esquerda do nome do domínio e clique em Vincular ao diretório.

    Se você deseja vincular vários domínios ao mesmo diretório, marque as caixas de seleção desses domínios.

    Vincular domínios ao diretório
  4. Na tela Vincular ao diretório, selecione o diretório na lista suspensa e clique em Vincular.

Para os usuários finais começarem a usar os produtos e os serviços da Adobe que sua organização tiver licenciado, adicione usuários finais e grupos de usuários e atribua-os a perfis de produto.

Confiabilidade do diretório

A propriedade de um domínio só pode ser reivindicada por uma única organização. Portanto, considere o seguinte cenário:

Uma empresa, Geometrixx, tem vários departamentos, cada qual com seu próprio Admin Console exclusivo. Além disso, cada departamento deseja usar Federated IDs para os usuários, tudo usando o domínio geometrixx.com.  Nesse caso, o administrador de sistema de cada um desses departamentos reivindicaria esse domínio para autenticação. O Admin Console impede que um domínio seja adicionado a mais de um Admin Console de uma organização diferente. No entanto, após ser adicionado por um departamento, outros departamentos podem solicitar o acesso ao diretório ao qual o domínio está vinculado em nome do Admin Console da organização deles.

A confiabilidade do diretório permite que um proprietário do diretório confie em outros administradores de sistema (fiduciários). Depois disso, as organizações fiduciárias no Admin Console podem adicionar usuários a qualquer domínio no diretório confiável.

Resumindo, se você planeja usar uma Enterprise ID ou Federated ID no Admin Console, será necessário adicionar o domínio associado à sua organização. Se este domínio tiver sido adicionado anteriormente por outra organização, será necessário solicitar acesso ao diretório que contém esse domínio como fiduciário.

Para solicitar acesso a um diretório, consulte as etapas no procedimento Adicionar domínios em Configurar domínios acima.

Cuidado:

Como proprietário de um diretório, se você aprovar uma solicitação de acesso para esse diretório, a organização fiduciária terá acesso a todos os domínios vinculados a esse diretório, bem como todos os domínios futuramente vinculados a ele. Portanto, planejar suas vinculações de domínio e diretório é essencial para configurar o sistema de identidade em sua organização.

Fiduciário do domínio

Se você adicionar domínios existentes ao Admin Console, a seguinte mensagem será exibida:

Solicitar acesso

Se você solicitar acesso a esse domínio, seu nome, seu email e o nome da organização serão compartilhados com a solicitação para os administradores de sistema da organização proprietária.

O tipo de diretório (Enterprise ou Federated) depende de como ele foi configurado pela organização proprietária. Isso significa que você deve usar o tipo de diretório escolhido pela organização proprietária.

Como o domínio já foi configurado pelo proprietário (consulte Demonstrar propriedade sobre os domínios em Configurar domínios para obter mais detalhes), como fiduciário, você não precisa fazer mais nada. Quando a solicitação de acesso for aceita pelo proprietário, sua organização terá acesso ao diretório e a todos os seus domínios, conforme configurado pela organização proprietária.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Solicitações de acesso e verifique o status de cada diretório para o qual você solicitou acesso.

  3. Você também pode clicar no item de linha na lista de solicitações de acesso e clicar em Reenviar solicitação ou Cancelar solicitação.

Se sua solicitação de acesso ao diretório for aceita pela organização proprietária, você receberá uma notificação por email. Sua solicitação de acesso desaparecerá, e o diretório confiável e seus domínios aparecerão com o status de Ativo (confiável) nas listas de Diretórios e Domínios.

Prossiga e adicione usuários finais e grupos de usuários e atribua-os a perfis de produto.

Como uma organização fiduciária, se não precisar mais acessar o diretório confiável, será possível remover o seu status de fiduciário a qualquer momento.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Na guia Diretórios, clique no diretório compartilhado do qual você deseja remover seu acesso.

  3. No compartimento de detalhes do diretório, clique em Remover.

Se você remover seu acesso a um diretório confiável, quaisquer usuários de Enterprise ID ou Federated ID que pertencerem a domínios nesse diretório (ou seja, fazem logon usando as credenciais do domínio) serão removidos da organização. Além disso, esses usuários não terão mais acesso a qualquer software concedido a eles pela sua organização.

Proprietário do domínio

Como administrador de sistema de uma organização proprietária, você pode aceitar ou rejeitar as solicitações de acesso aos diretórios que possui. 

Ao receber uma solicitação por email para acesso a um diretório que você possui, você pode aceitar ou rejeitar a solicitação no próprio email. Você também pode ir até a guia Solicitações de acesso para gerenciar as solicitações de reivindicação.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Solicitação de acesso.

  3. Para aceitar todas as solicitações, clique em Aceitar tudo.

    Ou, para aceitar solicitações de reivindicações específicas, clique na caixa de seleção à esquerda de cada linha e clique em Aceitar.

  4. Na tela Aceitar solicitação de acesso, clique em Aceitar.

Será enviada uma notificação por email aos administradores de sistema das organizações fiduciárias.

Também é possível rejeitar a solicitação de acesso a um diretório que você possui.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Solicitação de acesso.

  3. Clique na caixa de seleção à esquerda de cada linha e clique em Rejeitar.

  4. Na tela Rejeitar solicitação de acesso, digite um motivo para a rejeição da solicitação e clique em Rejeitar.

O motivo fornecido é compartilhado com a organização solicitante por email. No entanto, seu email, seu nome e as informações organizacionais são retidos.

Você pode revogar o acesso de uma organização fiduciária para a qual você concedeu acesso anteriormente.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Fiduciários.

  3. Clique na caixa de seleção à esquerda de cada linha e clique em Revogar.

  4. Na tela Revogar fiduciário, clique em Revogar.

Se você revogar o acesso de uma organização fiduciária, os usuários com contas de Enterprise ID ou Federated ID em qualquer domínio desse diretório serão removidos da organização do fiduciário. Além disso, esses usuários não terão mais acesso a qualquer software ou serviço concedidos a eles pela organização do fiduciário.

Gerenciar chaves de criptografia

Com a Creative Cloud ou a Document Cloud para corporações, os usuários finais podem armazenar arquivos com proteção e segurança. Os usuários também podem compartilhar arquivos e colaborar com outras pessoas. Os arquivos ficam acessíveis aos usuários por meio do site da Creative Cloud, do aplicativo de desktop da Creative Cloud e do aplicativo para dispositivos móveis da Creative Cloud. O armazenamento está disponível com a Creative Cloud ou Document Cloud para corporações somente se ele fizer parte do contrato da sua organização com a Adobe.

Apesar de todos os dados na Creative Cloud e na Document Cloud serem criptografados, para camadas extras de controle e segurança, você pode solicitar que a Adobe gere uma chave de criptografia dedicada para alguns ou todos os diretórios da sua organização. Depois, o conteúdo será criptografado da maneira padrão com uma chave de criptografia dedicada. Se necessário, você pode revogar a chave de criptografia usando o Admin Console.

As chaves de criptografia dedicadas estão disponíveis apenas com os planos de serviços compartilhados da Creative Cloud ou da Document Cloud para corporações que incluem armazenamento e serviços.

Para obter mais informações, veja como gerenciar criptografia de chaves no Admin Console.

Migrar para o novo provedor de autenticação

Se você tiver diretórios que usam autenticação SHA-1, agora pode migrar com facilidade dos perfis de autenticação SHA-1 para SHA-2 sem a necessidade de criar explicitamente um diretório.

Além disso, a migração permite mudar para um provedor de identidade diferente para um diretório estabelecido.

Cuidado:

Não remova a configuração existente no seu IdP até que tenha confirmado que a nova configuração funciona com duas ou três contas ativas no diretório.

Se removida antes da verificação, você não poderá mais voltar à configuração antiga e precisará interromper os serviços até que o problema seja resolvido. Para saber mais, siga o procedimento de migração.

Requisitos de acesso

Para migrar para um perfil de autenticação SHA-2, é necessário atender aos seguintes requisitos:

  • Acesso ao Admin Console da sua organização com credenciais de Administrador do sistema
  • Diretório SHA-1 existente configurado para federação no Admin Console
  • Acesso para configurar o provedor de identidade da sua organização (por exemplo, Portal do Microsoft Azure, Admin Console do Google etc.)

Para entender outros pontos que devem ser considerados durante a implementação, consulte Considerações sobre implementação.

Procedimento de migração

Depois de garantir que os requisitos de acesso e as considerações sobre implementação sejam atendidos, siga o procedimento abaixo para editar seu perfil de autenticação e migrar seu diretório:

  1. No Adobe Admin Console, acesse Configurações > Diretórios.

  2. Selecione a ação Editar do diretório. Em seguida, selecione Adicionar novo IdP nos Detalhes do diretório.

  3. Selecione o provedor de identidade para configurar o novo perfil de autenticação. Selecione o provedor de identidade (IdP) que sua organização usa para autenticar usuários. Clique em Avançar.

  4. Com base na sua escolha de provedor de identidade, siga as etapas abaixo:

    • Para o Azure
      Faça logon no Azure com suas credenciais de administrador global do Microsoft Azure Active Directory e aceite o prompt de permissão. Você retornará aos detalhes do diretório no Admin Console.

    • Para o Google:

      1. Copie o URL do ACS e a ID da entidade da tela Editar configuração do SAML.
      2. Em uma janela separada, faça logon no Admin Console do Google com credenciais de administrador do Google e acesse Aplicativos > Aplicativos SAML.
      3. Use o sinal + para adicionar um novo aplicativo e selecione o aplicativo da Adobe. Em seguida, baixe os metadados de IDP na Opção 2 e faça upload deles na tela Editar configuração do SAML no Adobe Admin Console. Em seguida, clique em Salvar.
      4. Confirme as informações básicas para a Adobe. Insira o URL do ACS e a ID da entidade copiados anteriormente nos Detalhes do provedor de serviços para concluir.
      5. Por fim, acesse Aplicativos > Aplicativos SAML > Configurações da Adobe > Status do serviço. Defina o Status do serviço como ATIVADO para todos e clique em Salvar.
      Status do serviço
    • Para Outros provedores de SAML:

      1. Faça logon no aplicativo do seu provedor de identidade em uma janela diferente e crie um aplicativo SAML. (Não edite o aplicativo SAML existente para evitar tempo ocioso na migração).
      2. Com base nas configurações do seu provedor de identidade, copie o arquivo de metadados ou o URL do ACS e a ID da entidade do Adobe Admin Console para as configurações do provedor de identidade.
      3. Faça upload do arquivo de metadados da configuração do provedor de identidade para o Adobe Admin Console. Em seguida, clique em Salvar.
  5. No Adobe Admin Console > Detalhes do diretório, o novo perfil de autenticação é criado. Use o Teste para verificar se a configuração está definida corretamente para garantir que todos os usuários finais tenham acesso aos aplicativos SAML.

    O recurso Teste garante que o formato do nome de usuário do novo perfil de autenticação em seu IdP corresponda às informações do usuário do perfil existente para o logon de usuário.

  6. Clique em Ativar para migrar para o novo perfil de autenticação. Ao concluir, o novo perfil exibe Em uso.

    Após a ativação, verifique se o valor do campo Assunto na afirmação da nova configuração SAML corresponde ao formato do nome de usuário dos usuários existentes no Admin Console.

    Cuidado:

    Depois que uma nova configuração de IdP estiver ativa, o perfil Okta SHA-1 permanecerá inativo e disponível por sete dias, período após o qual o cartão de perfil inativo será automaticamente removido do diretório no Adobe Admin Console. A única maneira de restaurar um perfil Okta removido é enviar uma solicitação de suporte à engenharia da Adobe. 

Depois de migrar seu diretório para o provedor SAML compatível com SHA-2, você pode migrar domínios de outros diretórios SHA-1 para o novo diretório usando a migração de domínio.

Para saber mais sobre limitações e evitar erros que podem ocorrer durante a configuração, consulte Perguntas frequentes: Migrar diretório para o novo provedor de autenticação.

Migrar domínios entre diretórios

As organizações podem estruturar diretórios ao migrar domínios de diretórios de origem para diretórios de destino no Admin Console. Você pode reorganizar os vínculos entre domínios e diretórios de acordo com as necessidades de sua organização, sem que os usuários finais percam o acesso aos produtos, serviços ou ativos armazenados. A consolidação de domínios configurados para o mesmo provedor de identidade em um único diretório simplifica o gerenciamento para suas equipes de TI.

Caso você planeje migrar domínios de um diretório para outro que contenha um novo provedor de identidade (Azure, Google ou outro SAML) com autenticação SHA-2, será necessário replicar a nova configuração de IdP nos dois diretórios. A nova configuração de IdP permite logon de teste para usuários de todos os domínios no diretório. Faça o seguinte com base no seu novo provedor de identidade:

  • Para o Microsoft Azure: adicione um novo IdP do Azure ao seu diretório e faça logon no mesmo locatário do Azure.
  • Para outros fornecedores de SAML (incluindo o Google): faça upload do mesmo arquivo de metadados que apontará para o mesmo aplicativo SAML no seu IdP.

Após concluir a migração do domínio, os usuários que fazem parte do novo diretório ainda poderão fazer logon. Isso eliminará o tempo ocioso e garantirá o acesso imediato aos aplicativos e serviços atribuídos da Adobe. 

Observação:

Os usuários são desconectados de suas contas e não podem fazer logon novamente durante a transferência de domínios. Recomendamos que os diretórios sejam editados fora do horário de pico para minimizar as interrupções de usuários finais.

Por que migrar domínios

Este recurso pode ser vantajoso nas seguintes situações:

  • Você tem domínios nos diretórios compatíveis com SHA-1 antigos e deseja migrar para os diretórios compatíveis com SHA-2.
  • Você deseja migrar um diretório existente para outro provedor de identidade com um perfil de autenticação SHA-2.
  • Você tem diretórios em uma relação de confiança ou deseja compartilhar diretórios para confiabilidade, tudo isso sem conceder acesso a todos os domínios no diretório confiável.
  • Você precisa agrupar diretórios por equipes e departamentos da organização.
  • Você tem vários diretórios vinculados a domínios únicos e deseja consolidá-los.
  • Você acidentalmente vinculou um domínio ao diretório incorreto.
  • Você deseja mover um domínio por autoatendimento de uma Enterprise ID para uma Federated ID ou vice-versa.

Gerenciar diretórios criptografados ou confiáveis

Se os diretórios de origem ou de destino estiverem criptografados ou em uma relação de confiança, você não poderá migrar domínios diretamente. Siga as instruções para migrar domínios nos seguintes casos:
 

Caso de uso

Abordagem sugerida

Para migrar um domínio de uma organização do Admin Console para outra

Entre em contato com o Atendimento ao cliente da Adobe

Para migrar domínios entre diretórios que estão em uma relação de confiança entre si

Siga o processo abaixo

Para migrar domínios entre diretórios que estão em uma relação de confiança, mas com outros diretórios

Remova a relação de confiançamigre os domínios e, em seguida, restabeleça a relação de confiança.

Cuidado:

No momento, não é possível migrar domínios de ou para um diretório criptografado.

Migrar domínios

Siga as etapas abaixo para transferir domínios de um diretório de origem para um diretório de destino:

  1. Faça logon no Adobe Admin Console e navegue até Configurações.

  2. Vá para Domínios e selecione os domínios que deseja migrar para o diretório de destino. Depois, clique em Editar diretório.

    Editar diretório
  3. Selecione um diretório da lista suspensa na tela Editar diretório. Use o botão na parte inferior para ativar ou desativar as notificações de conclusão. Em seguida, clique em Salvar.

    Selecionar diretório

Você será redirecionado para a seção Domínios em Configurações > Identidade. Todos os domínios e seus status serão listados.

Depois que os domínios forem transferidos com sucesso, os administradores de sistema receberão um email sobre a transferência. Em seguida, você poderá editar os nomes dos diretórios e excluir diretórios vazios, conforme necessário.

Excluir diretórios e remover domínios

Você pode excluir os diretórios e os domínios do Admin Console que não são mais usados.

Observação:

Não é possível excluir diretórios com:

  • Usuários ativos
  • Domínios vinculados
  • Fiduciários

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Diretórios.

  3. Marque a caixa de seleção à esquerda de um ou mais nomes de diretórios e clique em Excluir diretórios.

  4. Na tela Excluir diretórios, clique em Excluir.

Observação:

Não é possível remover um domínio se houver usuários com esse domínio no Admin Console ou se o domínio estiver vinculado a um ou mais diretórios.

  1. Faça logon no Admin Console e navegue até Configurações > Identidade.

  2. Vá até a guia Domínios.

  3. Clique na caixa de seleção à esquerda de um ou mais nomes de domínios e clique em Excluir.

  4. Na tela Remover domínios, clique em Remover.