Föderierter Gastzugriff

Übersicht

Die Adobe-Funktion für föderierten Gastzugriff ermöglicht Unternehmenskunden das Onboarding externer Agentur-, Anbieter- oder Beratungsarbeitskräfte in das Adobe-Ökosystem mit denselben Sicherheits- und Authentifizierungsstandards wie interne Mitarbeitende.

Zuvor erforderte das Erstellen von Federated ID-Benutzenden Domainbesitz.Diese Anforderung verhinderte, dass Organisationen Benutzende mit externen Domains hinzufügen konnten, einschließlich nicht beanspruchbarer Domains wie gmail.com und beanspruchbarer Domains, die einer anderen Organisation gehören.

Die Funktion für föderierten Gastzugriff ermöglicht es Unternehmenskunden, Benutzende mit beliebiger E-Mail-Adresse als eigene föderierte Benutzende hinzuzufügen.Sie gewährleistet eine konsistente SSO-Durchsetzung sowohl bei internen Mitarbeitenden als auch bei externen Partnern.

Die Funktion unterstützt derzeit Workfront und AEM Assets as a Cloud Service, wobei geplant ist, die Unterstützung auf andere Produkte auszuweiten.

Vorteile des föderierten Gastzugriffs

Hier sind die Vorteile der Funktion für föderierten Gastzugriff:

• Nahtlose Zusammenarbeit: Externe Partner erhalten ohne Probleme Zugriff auf Adobe-Tools.
• Einheitliche Sicherheit: Unternehmen können einheitliche SSO- und Authentifizierungsrichtlinien für alle Benutzenden durchsetzen.
• Betriebliche Effizienz: Zwischenlösungen für das Onboarding von Anbietern sind nicht mehr erforderlich.
• Kontrollierter Zugriff: Föderierte Gastkonten sind von internen Konten isoliert, wodurch sichergestellt wird, dass Berechtigungen und Assets getrennt bleiben.

Geschäftsszenarien und Anwendungsfälle

Föderierter Gastzugriff ist besonders wertvoll in Szenarios, in denen Unternehmen auf externe Expertise angewiesen sind.Marketing-Teams, die mit Agenturen arbeiten, IT-Abteilungen, die Beratende beauftragen, oder große Organisationen, die über mehrere Unternehmen hinweg zusammenarbeiten, können externe Mitwirkende integrieren, ohne die Sicherheit zu gefährden.

Stelle dir zum Beispiel vor, eine Firma stellt Mary von vendor.com für ein kurzfristiges Projekt ein.Mary hat möglicherweise bereits ein föderiertes Konto bei ihrem Arbeitgeber. Bisher konnte das einstellende Unternehmen Mary nur über ihr bestehendes föderiertes Konto in seine Adobe-Umgebung einbinden, dessen Authentifizierung von ihrem Arbeitgeber kontrolliert wird.

Mit Federated Guest Access kann das einstellende Unternehmen Mary als föderierten Gast zu seinem Verzeichnis hinzufügen. In diesem Fall kann sie sich mit der SSO des einstellenden Unternehmens anmelden, um auf Tools wie Workfront oder AEM Assets zuzugreifen. Sie benötigt keine separate E-Mail-Adresse in der Domain des einstellenden Unternehmens.

Marys föderiertes Gast-Konto ist vollständig unabhängig von ihrem arbeitgebereigenen Konto, mit separaten Berechtigungen und Assets, was eine saubere Trennung der Organisationsdaten gewährleistet.Sie kann mit einem Kontowechsler zwischen Konten wechseln. Jedes Mal, wenn sie Konten wechselt, muss Mary sich abmelden und dann mit der Anmeldungsmethode des anderen Kontos erneut authentifizieren. Dieser Prozess stellt sicher, dass die Trennung zwischen Konten aufrechterhalten wird.

Für das einstellende Unternehmen können externe Partner wie Mary über dieselben Authentifizierungs- und Zugriffskontrollen eingebunden und verwaltet werden, die für interne Mitarbeitende verwendet werden. Für Marys Arbeitgeber erfordert der föderierte Gastzugriff keine Änderungen. Ihr Konto, ihre Berechtigungen und Assets bleiben unberührt, und keine Organisation hat Einblick in die Konten der jeweils anderen.

Föderierte Gastkonten

Der föderierte Gastzugriff führt ein neues Kontokonzept mit föderierten Gästen ein. Föderierte Gäste sind eine neue Variante des bestehenden Federated ID-Kontotyps, erweitert um die Unterstützung von E-Mail-Domains, die nicht im Besitz des Unternehmens sind oder von diesem beansprucht werden.

Es ermöglicht Unternehmen, externe Partner in ihr föderiertes Verzeichnis einzubinden und sie über den IdP der Organisation zu authentifizieren, ohne dass der Besitz der E-Mail-Domain des föderierten Gastes erforderlich ist. Wie alle Federated ID-Konten ist jedes föderierte Gastkonto auf die Organisation beschränkt, die es erstellt hat, mit eigenen unabhängigen Berechtigungen, Assets und Föderation. Es bleibt vollständig getrennt von anderen Konten, die dieselbe E-Mail-Adresse in anderen Organisationen verwenden.

Domainverwaltung

Admins des einstellenden Unternehmens können externe Domains über eine neue Registerkarte Gast-Domains in der Admin Console hinzufügen. Auf diese Weise können sie Benutzende mit externen E-Mail-Domains als separate Federated ID-Konten hinzuzufügen, die ihrer Organisation gehören.

Im Gegensatz zu beanspruchten Domains erfordern Gast-Domains keinen Besitznachweis. Du kannst sowohl beanspruchbare als auch nicht beanspruchbare Domains hinzufügen. Für Domains, die von einer anderen Adobe-Organisation beansprucht werden, können Domain-Inhaber kontrollieren, ob ihre Domain als Gast-Domain verwendet werden kann.

Wenn der Domain-Inhaber beantragt hat, dass seine beanspruchte Domain von der Nutzung als Gast-Domain blockiert wird, kannst du diese Domain nicht als Gast-Domain hinzufügen. Wenn du diese Gast-Domain bereits hinzugefügt hast, kannst du keine neuen föderierten Gäste mit dieser Domain hinzufügen. Bestehende föderierte Gäste mit der Gast-Domain können sich erst anmelden, wenn der Domain-Inhaber die Verwendung der Gast-Domain wieder zulässt.

Um Gast-Domains direkt zu einem Admin Console-Verzeichnis hinzuzufügen, führe die folgenden Schritte aus.

Standardmäßig sind alle beanspruchten Domains so konfiguriert, dass sie die Verwendung von Gast-Domains für den föderierten Gastzugriff zulassen.

Als Domain-Inhaber möchtest du möglicherweise nicht, dass andere Organisationen deine beanspruchten Domains als Gast-Domain verwenden. Obwohl die Verwendung der Gast-Domain deinen Besitz der Domain und deine Benutzenden nicht beeinträchtigt, kannst du prüfen, wie deine beanspruchten Domains verwendet werden. Außerdem kannst du entscheiden, ob du diese Verwendung beenden möchtest.

Um zu prüfen, welche anderen Organisationen in Adobe deine beanspruchten Domains als Gast-Domain verwenden

Um alle Organisationen daran zu hindern oder ihnen zu erlauben, deine beanspruchte Domain als Gast-Domain zu verwenden, wende dich an den Adobe-Support, um deine Anfrage zu stellen.Diese Änderung wird pro Domain angewendet.

Wenn du die Verwendung von Gast-Domains blockierst, können keine anderen Organisationen in Adobe diese Domain als Gast-Domain hinzufügen.Organisationen, die die Gast-Domain bereits hinzugefügt haben, werden sehen, dass ihr Zugriff darauf blockiert ist.Außerdem können sie keine neuen föderierten Gäste mit dieser Domain anlegen.Alle bestehenden Konten föderierter Gäste mit der Gast-Domain werden daran gehindert, sich bei diesen Konten anzumelden.

Sicherheit und Schutzmaßnahmen

Dein IdP ist immer die Quelle der Wahrheit.Damit externe Partner als föderierte Gäste integriert werden können, müssen sie bereits ein Konto in deinem IDP haben.Es ahmt nach, wie du gewöhnlich das Onboarding für deine internen Mitarbeitenden als föderierte ID-Benutzende durchführen würdest.

Alle föderierten Gäste müssen vor ihrer ersten Anmeldung einen einmaligen Verifizierungsfluss abschließen.Adobe sendet einen Verifizierungs-Code an die E-Mail-Adresse des föderierten Gastes und der föderierte Gast wird gebeten, die Angaben zu prüfen und dem Beitritt zur einladenden Organisation als föderierter Gast zuzustimmen.Wenn der Fluss nicht abgeschlossen wird, werden föderierte Gäste gebeten, ihn abzuschließen, bevor sie sich zum ersten Mal anmelden können.

Administratorerlebnis

Aus Admininistratorperspektive spiegelt das Onboarding föderierter Gäste den Prozess für reguläre föderierte Benutzende wider.

• Setup: Admins konfigurieren Gast-Domains in der Admin Console.
• Bereitstellung: Föderierte Gäste werden auf die gleiche Weise hinzugefügt wie reguläre föderierte Benutzende.
• Produktzuweisung: Produkte werden auf die gleiche Weise zugewiesen wie reguläre föderierte Benutzende. Es ist derzeit auf Workfront und AEM Assets as a Cloud Service beschränkt.Die Zuweisung nicht unterstützter Produkte (z. B. Photoshop) schlägt fehl, ohne Lizenzen zu verbrauchen.
• Collaboration-Einladungen: E-Mails enthalten jetzt den Namen der Organisation, die das Asset oder die Instanz besitzt, wodurch Verwirrung beim Wechseln von Profilen oder Konten reduziert wird.

Endbenutzerfunktionen

Für Endbenutzende ist das Erlebnis darauf ausgelegt, unkompliziert aber sicher zu sein. Bei der ersten Anmeldung fordert Adobe Endbenutzende auf, einen einmaligen Verifizierungsfluss abzuschließen. Föderierte Gäste müssen ihre E-Mail verifizieren und der Teilnahme an der einladenden Organisation zustimmen. Nach dem Abschluss können föderierte Gäste sich – ebenso wie interne Mitarbeitende – über den IdP des einstellenden Unternehmens beim Konto anmelden. Föderierte Gäste können sich auch über IdP-initiierte Anmeldung beim föderierten Gastkonto anmelden.

Es ist nicht möglich, sich direkt beim föderierten Gastkonto anzumelden, indem du deine E-Mail auf der Anmeldeseite eingibst. Stattdessen musst du die IdP-initiierte Anmeldung oder die Anmelde-Links verwenden, die die Admins bereitstellen können. Die Anmelde-Links sind verzeichnisspezifisch und der Zugriff erfolgt über die Admin Console:

Die Anmelde-Links können von allen Benutzenden im selben Verzeichnis verwendet werden, unabhängig davon, ob es sich um föderierte Gäste handelt.

Wenn deine E-Mail-Adresse mit mehreren Konten bei Adobe verknüpft ist, kannst du einen Account-Wechsler verwenden, um alle Konten zu finden, die dieselbe E-Mail-Adresse verwenden.Nachdem du dich bei einem beliebigen Konto angemeldet hast, siehst du die Liste der Konten, zu denen du wechseln kannst. 

Ein neuer Kontowechsler ermöglicht es Benutzenden, zwischen föderierten Konten zu wechseln, die mit derselben E-Mail-Adresse verknüpft sind. Im Gegensatz zum Profilwechsel erfordert der Kontowechsel eine erneute Authentifizierung, da jedes Konto seine eigene Föderierung und/oder Authentifizierungsmethode hat. Admins können auch spezielle Anmelde-Links bereitstellen, die an bestimmte Verzeichnisse gebunden sind. Auf diese Weise wird sichergestellt, dass Benutzende zum richtigen IdP weitergeleitet werden.

Global Admin Console-Hierarchie

Die Global Admin Console-Hierarchie legt fest, wie Gast-Domains verwaltet und organisationsübergreifend freigegeben werden. Nur Organisationen, bei denen die Funktion für föderierten Gastzugriff aktiviert ist, können Gast-Domains hinzufügen. Sobald eine übergeordnete Organisation eine solche hinzufügt, wird sie für alle untergeordneten Organisationen in der Hierarchie und in der gesamten Konsole sichtbar. Dadurch wird ein einheitliches Onboarding externer Benutzenden und föderierter Gäste gewährleistet.

Die besitzende Organisation kann Vertrauensbeziehungen mit anderen Organisationen in der Hierarchie eingehen, um die Domain wie jede andere beanspruchte Domain zu verwenden. Zentralisiertes Identity Management kann auf Stammebene beibehalten werden, da der föderierte Gastzugriff nicht für jede Organisation aktiviert sein muss. Eine Gast-Domain kann nur von einem Verzeichnis innerhalb der Hierarchie hinzugefügt werden, und Organisationen außerhalb der Hierarchie können Gast-Domains nicht sehen oder verwenden, auch wenn Vertrauensbeziehungen bestehen, wodurch kontrollierte Sichtbarkeit gewährleistet wird. In solchen Fällen werden Benutzende als Unternehmens-IDs hinzugefügt, die von Adobe oder dem Domain-Inhaber verwaltet werden. Wenn dieselbe E-Mail-Adresse in mehreren Organisationen registriert ist, werden separate föderierte Gastkonten erstellt, sodass Benutzende zwischen Konten wechseln müssen.

Häufige Fragen