企业存储模型可以为员工分配由企业专门拥有的云存储,从而让企业控制其员工创建的资源。企业存储支持各种用于受控共享和协作的新功能。新模型带来了巨大的商业价值,可让公司对云数据实施控制,减小 IP 风险,并在员工离开公司时回收资源。
为了实现这一目标,我们创建了一个新的用户帐户模型来将身份验证与授权分离开来。
- 身份验证 可证明您所说的自己的身份。在使用用户名和密码进行登录时,将对您进行身份验证。
- 授权 可证明您有权使用您尝试访问的产品或服务。在进行身份验证后,系统会检查用户的权利配置文件以确定该用户是否已获得授权。
管理员通过将用户和组添加到产品配置文件来委派对特定产品的访问权限。这些用户将被授权使用该产品。
以前,用户的所有授权详细信息(包括对云存储的访问权限)都保存在用户的身份验证帐户中。在新模型中,用户的身份验证信息像以前一样保存在用户的帐户中,但对于企业用户,授权保存在单独的企业配置文件中。此仅配置文件帐户将身份验证帐户与特定组织的权利配置文件相关联。有关更多详细信息,请参阅了解配置文件。
关于身份验证帐户
身份验证帐户将电子邮件地址与存储在 Adobe 处的登录凭据(通常是密码)相关联。它们包含特定于用户的信息,例如用户的姓名和组成员资格。
任何人均可拥有个人 Adobe ID 帐户,无论他们是否将它用于商业用途。在 account.adobe.com 上,用户名是任何取消申请的域或公共域中的电子邮件地址,并且凭据由用户控制。
在以前的模型中,当 Adobe 团队和企业客户将 Adobe ID 用户添加到他们的目录时,企业委派的权利会直接添加到用户帐户中的配置文件中。在新模型中,企业权利需要保持分离,以便资源能够正确存储在企业拥有的云存储中。
当您更新到新模型时,现有 Adobe ID 用户将会移动到企业存储,并且他们的企业授权将移至新帐户中。他们仍拥有自己的 Adobe ID 帐户,并且将使用其 Adobe ID 凭据进行身份验证。
企业的托管身份验证帐户
企业客户可以使用 Adobe 的某个托管帐户类型来管理其用户的身份验证凭据:
- Enterprise ID:如果您的组织拥有已申请的域或受信任的域,则可以使用该域为用户提供 Enterprise ID。这些用户将使用他们在您的已申请域中的组织电子邮件进行登录。
- Federated ID:如果您的组织还设置了 SSO 并将其与 Admin Console 集成,则您的用户可以使用单点登录和联合域中的电子邮件进行登录。
在企业存储模型中,所有这些托管用户均有一个 Business ID 帐户,该帐户将其用户配置文件与其托管身份验证帐户相关联。
当您将托管用户添加到已更新的 Console 时,系统会根据用户电子邮件域自动分配正确类型的身份验证帐户(企业或联合),无论您在 CSV 文件或 UMAPI 调用中指定哪种身份类型值。
选择 Adobe 配置文件
云存储授权可来自不同的来源。用户可以具有个人访问权限;实际上,所有 Adobe ID 都带有一些个人云存储,并且存储可以是个人自行购买的产品和服务的一部分。企业用户可以同时拥有个人和企业存储的授权,甚至可以拥有来自不同组织的企业存储的授权。
在以前的模型中,无法区分使用不同的授权来源创建的资源。通过将身份验证帐户与授权信息分离开,可让登录过程识别正在使用的配置文件,从而确定哪个云存储用于在特定会话中完成的工作。
在新模型中,所有用户仍将使用他们的个人凭据或托管凭据进行身份验证。如果他们可能有多个授权来源,则他们可能还必须为他们当时工作的特定组织选择权利配置文件。
多个授权来源
用户可以在多个组织中拥有配置文件,就像他们可以在多个组织中拥有身份验证帐户一样。这意味着他们可能拥有企业存储的多个授权来源。如果是这样,他们可以在登录工作流程中选择适当的权利配置文件。
如果员工使用 Adobe ID 凭据进行身份验证,他们将同时拥有个人授权和企业授权。为了确保企业拥有其员工使用企业许可证创建的资源,更新过程会为这些用户创建仅限配置文件的帐户。
- 在更新过程中,所有之前与个人帐户关联的资源都可能会移至企业存储中。为了准备更新,用户可能必须下载任何个人资源并将它们存储在本地。
- 用户仍将使用 Adobe ID 凭据进行身份验证,但他们随后必须选择个人配置文件或组织配置文件来完成登录过程。
多个身份验证帐户
联合域(例如 adobe.com)中的电子邮件地址可用于同一组织中的 Adobe ID 和 Federated ID。发生这种情况时,用户会看到帐户选取器,可用于选择登录帐户。在用户选择帐户后,将显示配置文件选取器,用户可使用它从与该帐户关联的配置文件中进行选择。
