作为 Admin Console 上的系统管理员,您的首要任务之一便是定义并设置一个用于对您的最终用户进行身份验证的身份系统。在您的组织购买了 Adobe 产品和服务的许可证后,您需要为您的最终用户提供这些许可证。为此,您需要一种用于对这些用户进行身份验证的方法。

Adobe 为您提供以下可用于对您的最终用户进行身份验证的身份类型:

  • Adobe ID
  • Enterprise ID
  • Federated ID

如果您希望您的域中的用户使用由您的组织拥有和控制的单独帐户,您必须使用 Enterprise ID 或 Federated ID(用于单点登录)身份类型。

本文提供了设置在您计划使用 Enterprise ID 或 Federated ID 对您的最终用户进行身份验证时需要使用的身份系统所需的详细信息。

注意:

本文档中介绍的设置目录设置域程序完全是相互独立的。这意味着,您可以以任意顺序或同时执行这些程序。但是,您必须先完成这两个步骤,然后才能执行将电子邮件域链接到目录的程序。

主要术语和概念

在我们开始执行这些程序之前,您需要了解下列概念和术语:

目录

Admin Console 中的目录是一个包含用户和策略(如身份验证)等资源的实体。这些目录类似于 LDAP 或 Active Directory。

IdP

组织身份提供者,如 Active Directory、Azure、Ping、Okta、InCommon 或 Shibboleth。

Adobe ID

由最终用户创建、拥有和管理。Adobe 负责执行身份验证,最终用户负责管理身份。用户保留对与其 ID 关联的文件和数据的完全控制权。用户可以从 Adobe 购买其他产品和服务。管理员可以邀请用户加入组织,也可以删除他们。但是,无法阻止用户使用其 Adobe ID 帐户。管理员无法删除或接管这些帐户。在开始使用 Adobe ID 之前,不需要进行任何设置。

存在以下需求或遇到以下情况时,建议使用 Adobe ID:

  • 您想要让用户能够创建、拥有和管理其身份。
  • 您想要允许用户购买或注册其他 Adobe 产品和服务。
  • 用户应使用当前不支持 Enterprise ID 或 Federated ID 的其他 Adobe 服务。
  • 用户已拥有 Adobe ID 和关联的数据(如文件、字体或设置)。 
  • 在可让学生在毕业后保留其 Adobe ID 的教育设置中。
  • 您拥有不使用由您控制的域上的电子邮件地址的承包商和自由职业者。
  • 如果您拥有 Adobe 团队合同,则您需要使用此身份类型。

Enterprise ID

由组织创建、拥有和管理。Adobe 负责托管 Enterprise ID 和执行身份验证,而组织负责维护 Enterprise ID。最终用户无法注册和创建 Enterprise ID,也无法使用 Enterprise ID 从 Adobe 注册更多产品和服务。

管理员创建 Enterprise ID 并将其分发给用户。管理员可通过接管帐户或删除 Enterprise ID 以永久阻止对关联数据的访问来撤销对产品和服务的访问权。

存在以下需求或遇到以下情况时,建议使用 Enterprise ID:

  • 您需要严格控制用户可用的应用程序和服务。
  • 您需要对与 ID 关联的文件和数据的紧急访问权。
  • 您需要能够完全阻止或删除用户帐户。

Federated ID

组织创建和拥有,并通过联盟与企业目录关联。组织通过 SAML2 身份提供者 (IdP) 管理凭据和处理单点登录。

以下是建议使用 Federated ID 的一些要求和情景:

  • 您想要基于所在组织的企业目录来配置用户。
  • 您想要管理用户的身份验证。
  • 您需要严格控制用户可用的应用程序和服务。
  • 您想要允许用户使用相同的电子邮件地址来注册 Adobe ID。

注意:

身份提供者必须符合 TLS 1.2。

身份验证域

电子邮件地址中 @ 符号后的部分。如需将域和 Enterprise 或 Federated ID 结合使用,您必须先验证您对该域的所有权。

例如,如果组织拥有多个域(geometrixx.comsupport.geometrixx.comcontact.geometrixx.com),但其员工要通过 geometrixx.com 进行身份验证。在这种情况下,该组织将在 Admin Console 上使用 geometrixx.com 域设置其身份。

负责此设置的人员

系统管理员

  • 与 IdP 目录管理器和 DNS 管理员一同在 Admin Console 中设置身份。本文的目标读者为有权访问 Admin Console 的系统管理员。该人员应与(通常情况下)无权访问 Admin Console 的其他人员合作。

DNS 管理员

  • 更新 DNS 令牌以验证域所有权

身份提供者 (IdP) 目录管理员

  • 在 IdP 中创建连接器

使用域的身份类型

根据身份验证源验证用户身份。要使用 Enterprise ID 或 Federated ID,请通过添加域来设置您自己的身份验证源。例如,如果您的电子邮件地址是 john@example.com,则 example.com 是您的域名。利用已添加的域,可以使用该域中的电子邮件地址创建 Enterprise ID 或 Federated ID。Enterprise ID 或 Federated ID 均可以使用域,但是二者不可以同时使用同一域。不过,您可以添加多个域。

组织必须验证其是否拥有对某个域的控制权。组织也可以添加多个域。但是,一个域只能被添加一次。无法添加已知的公共域和通用域(如 gmail.com 或 yahoo.com)。

要了解有关身份类型的更多信息,请参阅管理身份类型

设置目录

如需使用 Enterprise ID 或 Federated ID,请先设置一个可与一个或多个域链接的目录。

设置目录:

  1. 在 Admin Console 中创建一个目录。
  2. 仅限 Federated ID)Adobe 将配置该目录。通常情况下,这最多需要 48 小时。
  3. 如果您要设置组织的 Enterprise ID 身份,则您可以开始将您的电子邮件域链接到该目录。
  4. 仅限 Federated ID)在 Adobe 配置好您的目录后,请为该目录配置 SAML 设置。

创建目录

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 导航到“目录”选项卡,单击“创建目录”

  3. “创建目录”屏幕中,输入该目录的名称。

  4. 选择 Federated ID 或 Enterprise ID,然后单击“创建目录”

目录创建完毕。

如果您选择的是创建 Enterprise ID 身份类型目录,那么您已完成该项工作。请继续操作 — 在 Admin Console 中设置您的域

如果您选择的是创建 Federated ID 身份类型目录,则 Adobe 需要先配置此目录,然后您才能继续对其执行更多操作。但是,您不需要等待 Adobe 配置好该目录。您可以继续操作 — 在 Admin Console 中设置您的域

注意:

通常情况下,配置 Federated ID 类型目录最多需要 48 小时。完成后,您会收到电子邮件通知。

配置单点登录(必须为 Federated ID 目录执行此操作)

在收到 Adobe 发送的确认您的目录已配置完毕的电子邮件后,请为该目录配置 SAML 设置。

在组织配置并启用了单点登录 (SSO) 后,组织中的用户便可以使用其企业凭据访问 Adobe 软件。这使用户能够使用单一凭据访问 Adobe 桌面应用程序、服务和移动应用程序。

Adobe Admin Console 为企业用户提供了使用其现有企业身份进行身份验证的方法。Adobe Federated ID 实现了与单点登录 (SSO) 身份管理系统的集成。使用 SAML(一种将企业身份管理系统连接到 Adobe 等云服务提供者的行业标准协议)启用单点登录。

SSO 可在服务提供者 (Adobe) 和您的身份提供者 (IdP) 这两方之间安全地交换身份验证信息。服务提供者向您的 IdP 发送请求来尝试对用户进行身份验证。如果身份验证成功,则 IdP 将发送响应消息以使用户登录。

SSO 要求

要成功设置 Adobe 软件的 SSO,IT 管理员需要:

  • 了解 SAML 2.0
  • 支持 SAML 2.0 的身份提供者 (IdP),并且至少必须具有:
    • IDP 证书
    • IDP 登录 URL
    • IDP 绑定:HTTP-POST 或 HTTP-Redirect
    • 断言使用者服务 URL
    • 已启用 TLS 1.2
  • 对域申请过程的 DNS 配置的访问权

IdP 的登录 URL 不需要允许需要通过访问该 URL 来进行登录的用户从外部进行访问。不过,如果仅可从组织的内部网络中访问该 URL,则用户仅可以在直接或通过 wifi 或 VPN 连接至组织的内部网络时登录 Adobe 产品。登录页面不需要仅允许通过 HTTPS 来进行访问,不过,出于安全原因,建议将登录页面配置为仅允许通过 HTTPS 进行访问。

注意:

目前,Adobe 不支持 IdP 初始化 SSO。

Adobe 的云服务提供使用 Okta 提供的 SaaS SAML 2.0 连接器的 SSO。连接器用于与您的身份提供者进行通信以提供身份验证服务。您不需要将 Okta 用作您的身份提供者,因为 Okta 已与许多 SAML 2.0 身份服务提供者相连接。如需了解更多信息,请参阅 SSO/常见问题

如果您的组织想测试 SSO 集成,建议您申请一个拥有所有权的测试域,前提是您的组织使用的身份提供者中包含在该测试域中设置的身份。这使您能够在申请主域之前测试集成,直到您对域申请和配置过程感到满意。

配置 SAML 设置

如果您已拥有身份提供者 (IdP),则可使用 Okta 提供的 SaaS SAML 2.0 连接器轻松设置 SSO 配置。

注意:

Okta 是可供您选择以用作身份提供者的多家供应商之一。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“目录”选项卡。

  3. 为您想要配置的目录单击“配置”

    目录配置完毕
  4. 在显示的“配置目录”屏幕中:

    单点登录设置

    IDP 证书:要上传您的 IdP 用来对 SAML 响应或断言进行签名的证书 (.cer),请单击“上传”

    如果您没有证书,请联系您的身份提供者以获取有关下载证书文件的说明。

    证书提示:

    • PEM(Base64 编码 X.509)格式。
    • 使用 .cer 文件扩展名(而非 .pem 或 .cert)命名
    • 未加密
    • SHA-1
    • 多行格式(单行会失败)
    • 必须至少持续 3 年(这可以在该生命周期内省却维护,而且不会影响安全性)

    注意:

    在 Federated ID 握手的 Adobe 端使用的 Okta 证书是 20 年证书。因而,您可以按照您自己选择的时间表来替换证书,而不是由 Adobe/Okta 来强制替换。  

    IDP 绑定:选择传输 SAML 协议消息的方法。

    • 使用 HTTP-Post 通过浏览器以 XHTML 格式传输授权请求。IdP 还通过包含 XHTML 格式的文档进行响应。
    • 使用 HTTP-Redirect 通过 HTTP GET 请求的 URL 查询字符串中的 SAMLRequest 字符串参数传输授权请求。IdP 将通过 URL 中的 SAMLResponse 字符串参数进行响应。

    用户登录设置:选择“电子邮件地址”或“用户名”以指定此域的用户标识自身的方式。

    IDP 颁发者:输入发出 SAML 请求的身份提供者的实体 ID。

    您的 SAML 断言必须 准确引用此字符串。任何拼写、字符或格式差异都会导致出现错误。

    IDP 登录 URL:输入 IDP 登录 URL/SSO 地址。此 URL 是执行身份验证时将用户重定向到的位置。

  5. 单击“保存”

  6. 单击“下载元数据”

    将元数据文件下载到您的本地磁盘。使用此文件可配置您与身份提供者之间的 SAML 集成。

    您的身份提供者需要使用此文件才能启用单点登录。

    注意:

    对于一般 SAML 身份提供者,比如 OpenAthens 或 Shibboleth,请以“未指定”格式的 NameID 的形式发送用户名(通常为电子邮件地址)。此外,发送以下属性(区分大小写):FirstName、LastName、Email。

    这些属性必须与通过 Admin Console 设置的条目匹配。如果未在 IDP 中将这些属性配置为作为 SAML 2.0 连接器配置的一部分发送,则身份验证将不起作用。

  7. 与身份提供者 (IdP) 目录管理员一同完成您的身份提供者的 SSO 配置。

    注意:

    如果 Federated ID 已处于活动状态,那么对配置进行的任何更改都可能导致最终用户的 SSO 登录失败。更改后的配置会生成新的元数据文件,该文件需要在 IdP 中重新进行配置。

  8. 完成了您的身份提供者的 SSO 配置后,请登录 Admin Console,然后导航至“设置”>“身份”

  9. 为相关目录单击“配置”

  10. “配置目录”屏幕中,勾选“我已完成身份提供者的配置”,然后单击“完成”

现在,您已为单点登录配置好了您的域。

如果尚未执行相关操作,您可以将域添加至 Admin Console。如果您已将域添加至 Admin Console,则您可将所需的域链接到此目录。

设置域

根据您需要在 Admin Console 中设置的域,对您的最终用户进行身份验证。

设置域:

  1. 将域添加至 Admin Console
  2. 通过添加特殊 DNS 记录来准备验证域所有权
  3. 验证域

添加域

您添加至 Admin Console 的域不需要在相同的 IdP 中注册。但是,在将这些域链接到目录时,您需要将来自不同的 IdP 的域链接到不同的目录。

如果某域已被添加至另一个组织的 Admin Console,则您无法将其添加至 Admin Console。但是,您可以请求访问该域。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 在“域”选项卡中,单击“添加域”

  3. “输入域”屏幕中,输入最多包含 15 个域的列表,然后单击“添加域”

  4. “添加域”屏幕中,验证该域列表,然后单击“添加域”

    确认要添加的域

现在您的域已被添加至 Admin Console。但是,您仍然需要证明这些域的所有权。

证明域的所有权(使用 DNS 令牌)

组织必须证明其拥有对域的所有权。组织可以根据需要将多个域添加至 Admin Console。

Admin Console 允许一个组织使用一个 DNS 令牌来证明其对其全部域的所有权。此外,Admin Console 不要求对子域进行 DNS 验证。这意味着,当您使用 DNS 令牌并证明了某个域的所有权时,该域的所有子域都会在其被添加至 Admin Console 后立即通过验证。

  1. 收到 DNS 令牌后,您需要与 DNS 管理员一同为您已添加的域添加特殊 DNS 记录。

  2. 要证明您拥有该域,您必须添加带有生成的 DNS 令牌的 TXT 记录。具体说明取决于您的域主机,不过,您可以按照验证域的所有权中提供的通用方法进行操作。

  3. 要完成此步骤,您需要将信息添加到您的 DNS 服务器。提前通知您的 DNS 管理员,确保可及时完成此步骤。

    Adobe 会定期检查您的域的 DNS 记录。如果这些记录正确,那么域会自动通过验证。如果您想立即验证域,则可登录 Admin Console,然后手动进行验证。请参阅域验证

域验证

Admin Console 会在一天内多次尝试验证您添加的域,因此在正确配置 DNS 记录后,您无需通过任何操作来验证域。

手动验证域

如果您需要立即验证您的域,您可以在 Admin Console 上执行此操作。手动验证您的域:

  1. 登录 Admin Console。

  2. 导航至“设置”>“身份”,然后转到“域”选项卡。

  3. 单击“验证”

    验证域
  4. “验证域所有权”屏幕中,单击“立即验证”

您现在可以在 Admin Console 中将经验证的域链接到所需的目录。

将域链接到目录

在 Admin Console 中设置您的目录之后,您需要将域链接到目录。

您可以将多个域链接到同一目录。但是,您链接到单个目录的所有域必须具备相同的 SSO 设置。

注意:

您不能将同一域链接到多个目录。此外,目前,如需删除域与目录之间的链接,请联系 Adobe 支持。因此,在开始执行以下程序之前,请先规划好域到目录的链接。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“域”选项卡。

  3. 单击域名左侧的复选框,然后单击“链接到目录”

    如需将多个域链接到同一目录,请选择这些域对应的多个复选框。

    将域链接到目录
  4. “链接到目录”屏幕中,从下拉列表中选择目录,然后单击“链接”

如需使您的最终用户能够开始使用您的组织已经许可的 Adobe 产品和服务,请添加最终用户用户组,并将其分配至产品配置

目录托管

一个域的所有权只能被一个单独的组织申请。请考虑以下情景:

Geometrixx 公司有多个部门,每个部门都有自己独特的 Admin Console。同时,每个部门都想使用 Federated 用户 ID,且都想使用 geometrixx.com 域。在这种情况下,这些部门的系统管理员都会想要申请将此域用于身份验证。Admin Console 不允许将某一域添加到多个不同组织的 Admin Console。然而,在一个单独的部门添加域后,其他部门可以代表其组织的 Admin Console 请求访问该域已链接到的目录。

目录托管允许目录所有者委托其他系统管理员(受托人)进行管理。之后,Admin Console 中的受托人组织可以将用户添加到受托目录内的任何域。

总结。如果您计划在 Admin Console 上使用 Enterprise ID 或 Federated ID,则必须添加与您的组织相关联的域。如果此域之前已被另一个组织添加,则您需要以受托人的身份请求对包含该域的目录的访问权限。

如需请求访问目录,请参阅上述设置域中的“添加域”过程中的步骤。

注意:

作为目录的所有者,如果您批准对该目录的访问请求,则受托人组织将有权访问已链接到该目录的所有域以及未来将链接到该目录的任何域。因此,在组织中设置身份系统时,规划好域到目录的链接非常重要。

域受托人

请求访问

如果您将现有域添加到 Admin Console,那么您会收到以下消息:

请求访问

如果您请求访问此域,则系统会在请求中将您的名字、电子邮件和组织名称告知所有者组织的系统管理员。

目录的类型(Enterprise 或 Federated)取决于所有者组织如何进行设置。这意味着,您必须使用所有者组织选择的任何目录类型。

由于域已被所有者设置(如需详细信息,请参阅设置域中的“证明域的所有权”),因此,作为受托人,您无需采取任何其他操作。在访问请求被所有者接受后,您的组织将有权按照所有者组织配置的方式访问该目录及其所有域。

检查请求状态

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“访问请求”选项卡,然后对照您已请求访问权限的每个目录,检查状态。

  3. 您还可以单击访问请求列表中的行项目,然后单击“重新发送请求”“取消请求”

如果您对目录的请求访问被所有者组织接受,您会收到电子邮件通知。您的托管请求会消失,相反,受托目录及其域将您的目录和域列表中显示,且其状态为“活动”(受托)。

请继续操作 — 添加最终用户用户级并将其分配到产品配置

撤销受托人状态

作为受托人组织,如果您不再需要访问受托目录,您可以随时撤销受托人状态。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. “目录”选项卡中,单击要从中撤销访问权限的共享目录。

  3. 在目录详细信息抽屉中,单击“撤销”

如果您撤销对受托目录的访问权限,则系统会从您的组织中移除属于该目录中的域的所有 Enterprise ID 或 Federated ID 用户(即,使用该域的凭据进行登录的用户)。此外,这些用户会失去您的组织向其授予的所有软件访问权限。

域所有者

作为所有者组织的系统管理员,您可以选择接受或拒绝对自己拥有的目录的访问请求。 

在收到请求对您拥有的目录的访问权限的电子邮件时,您可以在电子邮件内选择接受或拒绝该请求。您也可以进入“访问请求”选项卡来管理申请请求。

接受访问请求

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“访问请求”选项卡。

  3. 要接受所有请求,请单击“全部接受”

    或者,要接受特定申请的请求,请单击每行左侧的复选框并单击“接受”

  4. “接受访问请求”屏幕中,单击“接受”

系统会向受托人组织的系统管理员发送电子邮件通知。

拒绝请求

您也可以选择拒绝对自己拥有的目录的访问请求。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“访问请求”选项卡

  3. 单击每行左侧的复选框并单击“拒绝”

  4. “拒绝访问请求”屏幕中,输入拒绝该请求的原因,然后单击“拒绝”

系统会通过电子邮件将您提供的原因发送给提出请求的组织。但您的电子邮件、姓名和组织信息会被隐藏。

撤销访问权限

你可以撤销之前授予受托人组织的访问权限。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“受托人”选项卡。

  3. 单击每行左侧的复选框并单击“撤销”

  4. “撤销受托人”屏幕中,单击“撤销”

如果您撤销受托人组织的访问权限,则系统会从受托人的组织中移除该目录中任何域上的具有 Enterprise ID 或 Federated ID 帐户的用户。此外,这些用户会失去受托人的组织向其授予的所有软件或服务访问权限。

管理加密密钥

在 Creative Cloud 和 Document Cloud 中的所有数据均已加密后,您可以选择让 Adobe 为您创建的域中的帐户生成专用加密密钥。

启用加密密钥

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. “目录”选项卡中,单击您需要启用加密的目录的名称。

  3. 单击“设置”

  4. 在“专用加密密钥”部分中,单击“启用”

    启用加密密钥
  5. “启用专用加密密钥”对话框中,单击“启用”

撤销加密密钥

您可以选择撤销某个域的专用加密密钥。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. “目录”选项卡中,单击您需要撤销加密的目录的名称。

  3. 在“详细信息”屏幕中,单击“设置”

  4. 在“专用加密密钥”部分中,单击“撤销”

    撤销加密密钥
  5. “撤销专用加密密钥”对话框中,单击 “撤销”

删除目录和域

您可以从 Admin Console 中删除不再使用的目录和域。

删除目录

注意:

您无法删除具有以下内容的目录:

  • 活动用户
  • 链接的域
  • 受托人

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“目录”选项卡。

  3. 单击一个或多个目录名称左侧的复选框,然后单击“删除”

  4. 在“删除目录”屏幕中,单击“删除”

删除域

注意:

如果 Admin Console 中存在具有一个域的用户或该域已链接到一个或多个目录,则您无法删除该域。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“域”选项卡。

  3. 单击一个或多个域名左侧的复选框,然后单击“删除”

  4. “删除域”屏幕中,单击“删除”

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略