用户指南 取消(C)

设置身份

  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署指南
      2. 在 Google 课堂中启用 Adobe Express
      3. 与 Canvas LMS 集成
      4. 与 Blackboard Learn 集成
      5. 为学区门户网站和 LMS 配置 SSO
      6. Kivuto 常见问题解答
      7. 主要和次要机构资格准则
  3. 设置您的组织
    1. 设置身份
      1. 身份类型 | 概述
      2. 使用 Enterprise ID 设置组织
      3. 使用 Federated ID 设置组织
        1. SSO 概述
        2. 设置 Azure 连接器和 Azure Sync
          1. 通过 Azure OIDC 用 Microsoft 设置 SSO
          2. 将 Azure Sync 添加到您的目录
          3. Azure 连接器常见问题解答
        3. 设置 Google 联合身份验证和 Google Sync
          1. 用 Google 联合身份验证设置 SSO
          2. 将 Google Sync 添加到您的目录
          3. Google 联合身份验证常见问题解答
        4. 通用 SAML
          1. 用其他 SAML 提供商设置 SSO
          2. 用 Microsoft ADFS 设置 SSO
          3. SSO 常见问题
          4. SSO 故障排除
        5. 教育 SSO
          1. 为学区门户网站和 LMS 配置 SSO
          2. 常见问题
      4. 验证域的所有权
      5. 添加和管理域
      6. 将域链接到目录
      7. 管理现有域和目录
      8. 使用目录信任添加预先申领的域
      9. 迁移到新的验证提供者
    2. 资源设置
    3. 身份验证设置
    4. 隐私和安全联系人
    5. 控制台设置
    6. 管理加密
  4. 管理产品和权利
    1. 管理用户
      1. 概述
      2. 管理角色
      3. 用户管理技术
        1. 逐个管理用户   
        2. 管理多个用户(批量 CSV)
        3. 用户同步工具 (UST)
        4. Microsoft Azure Sync
        5. Google 联合身份验证同步
      4. 更改用户的身份类型
      5. 管理用户组
      6. 管理目录用户
      7. 管理开发人员
      8. 将现有用户迁移至 Adobe Admin Console
      9. 将用户管理迁移至 Adobe Admin Console
    2. 管理产品和产品配置
      1. 管理产品
      2. 管理企业用户的产品配置文件
      3. 管理自助服务策略
      4. 管理应用程序集成
      5. 在 Admin Console 中管理产品权限  
      6. 为产品配置文件启用/禁用服务
      7. 单个应用程序 | Creative Cloud 企业版
      8. 可选服务
    3. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 从设备许可迁移
      6. 管理配置文件
      7. 许可工具包
      8. 共享设备许可常见问题解答
  5. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  6. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
      2. 快速入门
  7. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 适用于程序包的 Adobe 模板
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
      8. Adobe Creative Cloud 许可标识符
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 使用 Adobe Remote Update Manager
      2. 用于 Adobe Remote Update Manager 的通道 ID
      3. 解决 RUM 错误
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
      3. Creative Cloud 包“安装失败”错误消息
    9. 使用 Creative Cloud Packager(CC 2018 或更早版本应用程序)创建程序包
      1. 关于 Creative Cloud Packager
      2. Creative Cloud Packager 发行说明
      3. 应用程序打包
      4. 使用 Creative Cloud Packager 创建程序包
      5. 创建指定许可证包
      6. 使用设备许可证创建包
      7. 创建许可证包
      8. 使用序列号许可证创建程序包
      9. Packager Automation
      10. 对非 Creative Cloud 产品进行打包
      11. 编辑和保存配置
      12. 在系统级别设置区域设置
  8. 管理帐户
    1. 管理您的团队帐户
      1. 概述
      2. 更新付款详细信息
      3. 管理账单
      4. 更改合同负责人
      5. 更改经销商
    2. 向团队版用户分配许可证
    3. 添加产品和许可证
    4. 续订
      1. 团队会员资格:续订
      2. VIP 企业:续订和合规性
    5. ETLA 合约的自动到期阶段
    6. 在现有 Adobe Admin Console 中切换合同类型
    7. 购买请求合规性
    8. 中国版 Value Incentive Plan (VIP)
    9. VIP Select 帮助
  9. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  10. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

设置目录:如需使用 Enterprise ID 或 Federated ID,请先设置一个可与一个或多个域链接的目录。了解详情 >

设置域:根据您需要在 Admin Console 中设置的域,对您的最终用户进行身份验证。 了解详情 >

将域链接至目录:完成目录和域的设置后,将域链接至目录以便对域进行分组。
了解详情 >

目录信任:使用目录信任功能可信任其他组织的系统管理员。
了解详情 >

迁移到新的验证提供者:将已建立的目录迁移到 Adobe Admin Console 内的新验证提供者。
了解详情 >

在各个目录之间移动域:在 Admin Console 中,通过在各个目录之间移动域来构建目录。
了解详情 >

作为 Admin Console 上的系统管理员,您的首要任务之一便是定义并设置一个用于对您的最终用户进行身份验证的身份系统。在您的组织购买了 Adobe 产品和服务的许可证后,您需要为您的最终用户提供这些许可证。为此,您需要一种用于对这些用户进行身份验证的方法。

Adobe 为您提供以下可用于对您的最终用户进行身份验证的身份类型:

  • Business ID
  • Enterprise ID
  • Federated ID
  • Adobe ID

如果您希望您的域中的用户使用由您的组织拥有和控制的单独帐户,您必须使用 Enterprise ID 或 Federated ID(用于单点登录)身份类型。

注意:

为了提供企业存储和其他企业级功能等优势,我们将所有现有的 Adobe ID 迁移到 Business ID。所有新的企业客户都将为其团队成员使用 Business ID。

当为您的组织安排此升级时,您将预先收到通知。有关更多信息,请参阅 Business ID 和新存储功能简介。在您的组织迁移之前,您将继续使用 Adobe ID 类型访问本组织。然后,Adobe ID 支持将只保留给个人客户。

本文提供了设置在您计划使用 Enterprise ID 或 Federated ID 对您的最终用户进行身份验证时需要使用的身份系统所需的详细信息。

注意:

本文档中介绍的设置目录设置域程序完全是相互独立的。这意味着,您可以以任意顺序或同时执行这些程序。但是,您必须先完成这两个步骤,然后才能执行将电子邮件域链接到目录的程序。

主要术语和概念

在我们开始执行这些程序之前,您需要了解下列概念和术语:

Admin Console 中的目录是一个包含用户和策略(如身份验证)等资源的实体。这些目录类似于 LDAP 或 Active Directory。

组织身份提供程序,如 Active Directory、Microsoft Azure、Ping、Okta、InCommon 或 Shibboleth。

要详细了解通过常用 IdP 为 Creative Cloud 设置 SSO,请参阅本文结尾的更多此类内容

由企业创建并所有。由最终用户管理。Business ID(以及与此 ID 关联的所有资源)归企业所有。最终用户无法注册和创建个人 Business ID,也无法使用 Business ID 从 Adobe 注册更多产品和服务。

在开始使用 Business ID 之前,不需要进行任何设置。管理员可以邀请用户加入组织,也可以删除他们。管理员可以删除或接管这些帐户。管理员创建 Business ID 并将其分发给用户。管理员可通过接管帐户或删除 Business ID,以永久阻止对关联数据的访问来撤销对产品和服务的访问权限。 

以下是建议使用 Business ID 的一些要求和情景:

  • 您希望管理员创建并拥有用户身份。
  • 用户应使用当前不支持 Enterprise ID 或 Federated ID 的其他 Adobe 服务
  • 用户已具有 Adobe ID 和与业务关联的数据,如文件、字体或设置。
  • 在可让学生在毕业后保留其 Adobe ID 的教育设置中。
  • 您希望管理员创建和管理承包商和自由职业者的帐户。
  • 您拥有 Adobe 团队合同
  • 您需要对用户文件和数据的紧急访问权。
  • 您需要能够完全阻止或删除用户帐户。
注意:

为了提供企业存储和其他企业级功能等优势,我们将所有现有的 Adobe ID 迁移到 Business ID。所有新的企业客户都将为其团队成员使用 Business ID。

当为您的组织安排此升级时,您将预先收到通知。有关更多信息,请参阅 Business ID 和新存储功能简介。在您的组织迁移之前,您将继续使用 Adobe ID 类型访问本组织。然后,Adobe ID 支持将只保留给个人客户。

由组织创建、拥有和管理。Adobe 负责托管 Enterprise ID 和执行身份验证,而组织负责维护 Enterprise ID。最终用户无法注册和创建 Enterprise ID,也无法使用 Enterprise ID 从 Adobe 注册更多产品和服务。

管理员创建 Enterprise ID 并将其分发给用户。管理员可通过接管帐户或删除 Enterprise ID 以永久阻止对关联数据的访问来撤销对产品和服务的访问权。

存在以下需求或遇到以下情况时,建议使用 Enterprise ID:

  • 您需要严格控制用户可用的应用程序和服务。
  • 您需要对与 ID 关联的文件和数据的紧急访问权。
  • 您需要能够完全阻止或删除用户帐户。

组织创建和拥有,并通过联合身份验证与企业目录关联。组织通过 SAML2 身份提供程序 (IdP) 管理凭据和处理单点登录。

以下是建议使用 Federated ID 的一些要求和情景:

  • 您想要基于所在组织的企业目录来配置用户。
  • 您想要管理用户的身份验证。
  • 您需要严格控制用户可用的应用程序和服务。
注意:

身份提供方必须符合 TLS 1.2 标准。

由最终用户创建、拥有和管理。Adobe 负责执行身份验证,最终用户负责管理身份。用户保留对与其 ID 关联的文件和数据的完全控制权。用户可以从 Adobe 购买其他产品和服务。管理员可以邀请用户加入组织,也可以删除他们。但是,无法阻止用户使用其 Adobe ID 帐户。管理员无法删除或接管这些帐户。在开始使用 Adobe ID 之前,不需要进行任何设置。

存在以下需求或遇到以下情况时,建议使用 Adobe ID:

  • 您想要让用户能够创建、拥有和管理其身份。
  • 您想要允许用户购买或注册其他 Adobe 产品和服务。
  • 用户应使用当前不支持 Enterprise ID 或 Federated ID 的其他 Adobe 服务。
  • 用户已拥有 Adobe ID 和关联的数据(如文件、字体或设置)。 
  • 在可让学生在毕业后保留其 Adobe ID 的教育设置中。
  • 您拥有不使用由您控制的域上的电子邮件地址的承包商和自由职业者。
  • 如果您拥有 Adobe 团队合同,则您需要使用此身份类型。

电子邮件地址中 @ 符号后的部分。如需将域和 Enterprise 或 Federated ID 结合使用,您必须先验证您对该域的所有权。

例如,如果组织拥有多个域(geometrixx.comsupport.geometrixx.comcontact.geometrixx.com),但其员工要通过 geometrixx.com 进行身份验证。在这种情况下,该组织将在 Admin Console 上使用 geometrixx.com 域设置其身份。

系统管理员

  • 与 IdP 目录管理器和 DNS 管理员一同在 Admin Console 中设置身份。本文的目标读者为有权访问 Admin Console 的系统管理员。该人员应与(通常情况下)无权访问 Admin Console 的其他人员合作。

DNS 管理员

  • 更新 DNS 令牌以验证域所有权

身份提供程序 (IdP) 目录管理员

  • 在 IdP 中创建连接器

根据身份验证源验证用户身份。要使用 Enterprise ID 或 Federated ID,请通过添加域来设置自己的身份验证源。例如,如果您的电子邮件地址是 john@example.com,则 example.com 是您的域名。利用已添加的域,可以使用该域中的电子邮件地址创建 Enterprise ID 或 Federated ID。Enterprise ID 或 Federated ID 均可以使用域,但是二者不可以同时使用同一域。不过,您可以添加多个域。

组织必须验证其是否拥有对某个域的控制权。组织也可以添加多个域。但是,一个域只能被添加一次。无法添加已知的公共域和通用域(如 gmail.com 或 yahoo.com)。

要了解有关身份类型的更多信息,请参阅管理身份类型

创建目录

要使用 Enterprise ID 或 Federated ID,首先请创建可将一个或多个域链接到的目录。默认情况下,您的组织有一个不需要任何设置的 Business ID 目录。 

注意:

Adobe 目前不支持 IdP 发起的工作流程。

如果组织已(或计划)将 Microsoft Azure 设置为您的 SSO 提供商,建议您使用 Azure Federation 的 Authentication。然后,执行使用 Microsoft Azure 对用户进行身份验证:创建目录部分中详述的步骤。

如果组织已(或计划)将 Google Federation 设置为您的 SSO 提供商,建议您使用 Google Federation 的 Authentication。然后,执行使用 Google Federation 对用户进行身份验证:在 Adobe Admin Console 中创建目录部分中详述的步骤。

如果组织正在使用下列一个或多个项,请遵循以下过程进行操作:

  • Enterprise ID
  • SAML 提供商(除 AzureGoogle 之外)
  • Microsoft Azure 或 Google 联合身份验证(通过 SCIM)。
  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 导航到“目录”选项卡,单击“创建目录”

  3. “创建目录”屏幕中,输入该目录的名称。

  4. 选择 Federated ID,并单击“下一步”,然后继续步骤 5。

    选择 Enterprise ID,然后单击“创建目录”

    如果您创建了 Enterprise ID 目录,则表示已完成此目录过程。

    请继续操作,设置您的域

  5. 仅限 Federated ID)选择“其他 SAML 提供商”,然后单击“下一步”

  6. 使用“添加 SAML 配置文件”屏幕获取身份提供程序的设置信息。

    一些身份提供程序 (IdP) 接受可上传的“元数据文件”,而其他身份提供程序可能需要“ACS URL”“实体 ID”。例如:

    • 对于 Azure Active Directory:上传“元数据文件”
    • 对于 Google:复制 ACS URLEntity ID,然后在“Google IdP 软件”中使用它们。
    • 对于 SalesForce:下载“元数据文件”,从文件中提取证书信息,然后在“SalesForce IdP 软件”中使用证书信息。
    注意:

    如果分别选择不使用 Azure 或 Google Federation,则需要上述 Azure 和 Google 选项。

    从下列选项中选择一个方法。

    方法 1

    单击“下载 Adobe 元数据文件”

    将元数据文件下载到您的本地磁盘。使用此文件可配置您与身份提供程序之间的 SAML 集成。

    方法 2

    复制“ACS URL”“实体 ID”

    添加 SAML 配置文件

  7. 切换到您的 IdP 应用程序窗口,然后上传“元数据文件”或指定“ACS URL”“实体 ID”。完成后,下载“IdP 元数据文件”

  8. 返回 Adobe Admin Console,在“添加 SAML 配置文件”窗口中上传“IdP 元数据文件”,然后单击“完成”。

设置域

注意:

如果组织目录是通过 Microsoft Azure AD Google Federation 设置的,则无需手动添加域。经过身份提供程序设置验证的选定域会自动同步到 Adobe Admin Console。

根据您需要在 Admin Console 中设置的域,对您的最终用户进行身份验证。

设置域:

  1. 将域添加至 Admin Console
  2. 通过添加特殊 DNS 记录来准备验证域所有权
  3. 验证域

您添加至 Admin Console 的域不需要在相同的 IdP 中注册。但是,在将这些域链接到目录时,您需要将来自不同的 IdP 的域链接到不同的目录。

如果某域已被添加至另一个组织的 Admin Console,则您无法将其添加至 Admin Console。但是,您可以请求访问该域

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 在“域”选项卡中,单击“添加域”

  3. “添加域”屏幕中,输入一个或多个域,然后单击“添加域”。一次只能申请和验证 15 个域,随后再添加其余的域。

  4. “添加域”屏幕中,验证该域列表,然后单击“添加域”

现在您的域已被添加至 Admin Console。现在,证明这些域的所有权。

组织必须证明其拥有对域的所有权。组织可以根据需要将多个域添加至 Admin Console。

Admin Console 允许一个组织使用一个 DNS 令牌来证明其对其全部域的所有权。此外,Admin Console 不要求对子域进行 DNS 验证。这意味着,当您使用 DNS 令牌并证明了某个域的所有权时,该域的所有子域都会在其被添加至 Admin Console 后立即通过验证。

  1. 登录 Admin Console,然后导航至“设置”>“身份”,最后访问“域”选项卡。

  2. 在下拉列表中单击并选择“访问 DNS 令牌”

  3. 与您的 DNS 管理员合作,为您添加的域添加特殊 DNS 记录。

  4. 要证明您拥有该域,您必须添加带有生成的 DNS 令牌的 TXT 记录。具体的操作说明取决于您的域主机。关于通用方法,请参阅验证域的所有权

  5. 要完成此步骤,请将信息添加到您的 DNS 服务器。提前通知您的 DNS 管理员,确保可及时完成此步骤。

    Adobe 会定期检查您的域的 DNS 记录。如果这些 DNS 记录正确,则域会自动进行验证。如果您想立即验证域,则可登录 Admin Console,然后手动进行验证。接下来,您需要验证域。

Admin Console 会在一天内多次尝试验证您添加的域,因此在正确配置 DNS 记录后,您无需通过任何操作来验证域。

手动验证域

如果您需要立即验证您的域,您可以在 Admin Console 上执行此操作。手动验证您的域:

  1. 登录到 Admin Console。

  2. 导航至“设置”>“身份”,然后转到“域”选项卡。

  3. 单击“验证”

  4. “验证域所有权”屏幕中,单击“立即验证”

尝试验证时可能会收到错误消息,因为 DNS 更改最多可能需要 72 个小时才能生效。要了解更多信息,请参阅与 DNS 记录相关的常见问题

验证域的所有权后,您可以在 Admin Console 中将经验证的域链接到所需的目录。

将域链接到目录

在 Admin Console 中设置您的目录之后,您需要将域链接到目录。

您可以将多个域链接到同一目录。但是,您链接到单个目录的所有域必须具备相同的 SSO 设置。

  1. 登录到 Admin Console,然后导航到“设置”>“身份”

  2. 转到“域”选项卡。

  3. 单击域名左侧的复选框,然后单击“链接到目录”

    如需将多个域链接到同一目录,请选择这些域对应的多个复选框。

  4. “链接到目录”屏幕中,从下拉列表中选择目录,然后单击“链接”

管理用户

完成 Enterprise ID 或 Federated ID 设置后,可以向用户提供购买的 Adobe 产品和服务。

阅读 Admin Console 上的用户简介。或者直接进入 Admin Console,并通过下列方法之一向其中添加用户:

在将用户添加到 Admin Console 后,通过将用户分配到产品配置来进行配置。

目录托管

一个域的所有权只能被一个单独的组织申请。请考虑以下情景:

Geometrixx 公司有多个部门,每个部门都有自己独特的 Admin Console。同时,每个部门都想使用 Federated 用户 ID,且都想使用 geometrixx.com 域。在这种情况下,这些部门的系统管理员都会想要申请将此域用于身份验证。Admin Console 阻止将一个域添加到多个组织的 Admin Console。然而,在一个单独的部门添加域后,其他部门可以代表其组织的 Admin Console 请求访问该域已链接到的目录。

目录托管允许目录所有者委托其他系统管理员(受托人)进行管理。之后,Admin Console 中的受托人组织可以将用户添加到受托目录内的任何域。

总而言之,如果打算在 Admin Console 上使用 Enterprise ID 或 Federated ID,则必须添加域。如果已有另一组织添加了此域,则您需要请求对于包含此域的目录的受托人访问权限。但是,当受托人组织将用户添加到受信任的域时,将以 Business ID 用户的形式添加这些用户。即使他们被配置为 Business ID 用户,他们也将由所属组织的身份验证框架进行身份验证。

要请求对目录的访问权限,请参阅设置域中“添加域”过程的步骤。

注意:
  • 作为目录的所有者,如果您批准对目录的访问请求,则受托人组织将有权访问所有已链接到该目录的域以及任何以后链接到该目录的域。因此,在组织中设置身份系统时,规划好域到目录的链接非常重要。
  • 在添加、请求、撤销或撤回信任请求之前,我们强烈推荐您从所涉及的 Admin Console 导出用户列表,然后再作出更改。此列表将提供所有用户数据的快照,包括姓名、电子邮件、分配的产品配置文件以及分配的管理员角色,以便用于需要回滚的情况。
  • 迁移包括可信关系的域时,需要遵循特定的步骤。在迁移受信任的域时不应撤销信任关系,以防在受托人组织中失去对用户帐户和产品的访问权限。
  • 无法在不同的存储模型(用户存储模型企业存储模型)下的组织之间设置目录信任。有关因用户访问企业存储和基于用户的旧存储而导致的问题,请参阅本文。

域受托人

如果您将现有域添加到 Admin Console,那么您会收到以下消息:

如果您请求访问此域,则系统会在请求中将您的名字、电子邮件和组织名称告知所有者组织的系统管理员。

新目录类型为 Business ID,而用户身份验证取决于所属组织设置它的方式。

由于域已被所有者设置(如需详细信息,请参阅设置域中的“证明域的所有权”),因此,作为受托人,您无需采取任何其他操作。当所有者接受访问请求后,您的组织即可按照所属组织配置的方式访问该目录及其所有域。

  1. 登录到 Admin Console,然后导航到“设置”>“身份”

  2. 转到“请求访问”选项卡,然后对照您已请求访问权限的每个目录,检查状态。

  3. 您还可以单击访问请求列表中的行项目,然后单击“重新发送请求”“取消请求”

如果您对目录的请求访问被所有者组织接受,您会收到电子邮件通知。您的信任请求将消失,相反,可信目录及其域将在您的目录和域列表中显示,且状态为“活跃”(受信任)。

请继续添加用户用户组并将其分配给产品配置文件

作为受托人组织,如果您不再需要访问受托目录,您可以随时撤销受托人状态。

  1. 登录到 Admin Console,然后导航到“设置”>“身份”

  2. “目录”选项卡中,单击要从中撤销访问权限的共享目录。

  3. 在目录详细信息抽屉中,单击“撤销”

如果您撤回对受信任目录的访问权限,则将从您的组织移除任何与该目录中的域关联的用户。但是,这些用户仍然可以访问分配给他们的应用程序、服务和存储。

要阻止用户使用软件,请从 Admin Console >“用户”>“移除用户”中移除用户。然后,您可回收被删除的用户的资源,因为您的组织拥有这些资源。

域所有者

作为所有者组织的系统管理员,您可以选择接受或拒绝对自己拥有的目录的访问请求。 

在收到请求对您拥有的目录的访问权限的电子邮件时,您可以在电子邮件内选择接受或拒绝该请求。您也可以进入“访问请求”选项卡来管理申请请求。

  1. 登录到 Admin Console,然后导航到“设置”>“身份”

  2. 转到“访问请求”选项卡。

  3. 要接受所有请求,请单击“全部接受”

    或者,要接受特定申请的请求,请单击每行左侧的复选框并单击“接受”

  4. “接受访问请求”屏幕中,单击“接受”

随后将向受托人组织的系统管理员发送电子邮件通知。

您也可以选择拒绝对自己拥有的目录的访问请求。

  1. 登录到 Admin Console,然后导航到“设置”>“身份”

  2. 转到“访问请求”选项卡

  3. 单击每行左侧的复选框并单击“拒绝”

  4. “拒绝访问请求”屏幕中,输入拒绝该请求的原因,然后单击“拒绝”

系统会通过电子邮件将您提供的原因发送给提出请求的组织。但是,不会透露您的电子邮件、姓名和组织信息。

您可以撤销之前授予受托人组织的访问权限。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“受托人”选项卡。

  3. 单击每行左侧的复选框并单击“撤销”

  4. “撤销受托人”屏幕中,单击“撤销”

如果您撤销对受信任目录的访问权限,则将从受信任的组织移除任何与该目录中的域关联的用户。但是,这些用户仍然可以访问分配给他们的应用程序、服务和存储。

要阻止用户使用软件,受托人管理员可从 Admin Console >“用户”>“移除用户”中移除用户。然后,他们可回收被删除的用户的资源,因为受托人组织拥有这些资源。

目录信任 - 常见问题

将某个用户添加到受托人组织时,该用户始终将添加为 Business ID 用户。这适用于受托人组织的新用户或所有者组织的现有用户。用户将作为所有者组织的 Federated IDEnterprise ID 类型用户,以及所有受托人组织的 Business ID 用户。但是,当受托人组织中的用户登录 Adobe 应用程序或服务时,系统会提示用户使用 Federated ID 或 Enterprise ID 登录工作流,如所有者组织中设置的那样。

此外,所有者组织或受托人组织可以向用户授予权利。在此情况下,我们将为用户所属的每个组织(所有者组织或受托人组织)创建一个配置文件。配置文件有助于将权利和资源与每个组织隔离。因此,用户在特定配置文件下创建的资源属于该组织。如果用户离开组织,资源将由组织的管理员收回。

阅读更多内容:

迁移受托人组织后,所有用户都将注销其帐户,并将需要重新登录。由于这些用户也是所有者组织中的用户,因此所有者组织和受托人组织都可以向他们授予权利。在此情况下,我们将为用户设置配置文件。因此,当您的用户重新登录其帐户时,系统可能会提示他们并显示一个配置文件选择器。

如果需要,您的用户可以了解如何管理 Adobe 配置文件

管理加密密钥

利用 Creative Cloud 企业版或 Document Cloud,最终用户可以安全可靠地存储文件。此外,用户可与他人共享文件并进行协作。用户可通过 Creative Cloud 网站、Creative Cloud 桌面应用程序和 Creative Cloud 移动应用程序访问文件。只有在您的组织与 Adobe 签订的协议中包含存储时, Creative Cloud 企业版或 Document Cloud 才附带存储。

尽管 Creative Cloud 和 Document Cloud 上的所有数据都已加密,但为了提高控制力和安全性,您可选择让 Adobe 为您的组织生成专用加密密钥。然后将会使用带有专用加密密钥的标准加密对内容进行加密。如有必要,您可从 Admin Console 中撤销加密密钥。

只有包含存储和服务的 Creative Cloud 企业版或 Document Cloud 共享服务计划才附带专用加密密钥。

有关更多详细信息,请参阅“如何在 Admin Console 上管理加密密钥”。

迁移到新的验证提供者

将已建立的目录迁移到 Adobe Admin Console 内的新验证提供者时,可选择自助服务选项。

访问要求

要迁移到新的验证提供者,需要满足以下要求:

  • 使用系统管理员凭据访问组织的 Admin Console
  • 必须在 Admin Console 中为联合身份验证配置现有目录
  • 访问以配置组织的标识提供者(例如,Microsoft Azure 门户、Google 管理控制台等)

更多信息,请参阅实施注意事项

迁移步骤

在确保满足访问要求和实施注意事项后,请按照以下过程编辑身份验证配置文件并迁移目录:

  1. 在 Adobe Admin Console 中,转到“设置”>“目录”

  2. 选择目录的“编辑”操作。然后,在目录的“详细信息”中选择“添加新 IdP”

  3. 选择身份提供程序以设置新的身份验证配置文件。选择组织用于对用户进行身份验证的身份提供程序 (IdP)。单击“下一步”

  4. 根据选择的身份提供程序,执行以下步骤:

    • 对于 Azure
      使用 Microsoft Azure Active Directory 全局管理员凭据登录 Azure,然后接受权限提示。您将返回到 Admin Console 中的“目录”详细信息。

      注意:
      • 仅当在组织的 Azure 门户中创建应用程序时需要 Microsoft 全局管理员登录。全局管理员的登录信息将不会进行存储,仅用于创建应用程序的一次性许可。
      • 进入步骤 3(如上所述),选择标识提供者时,若 Adobe Admin Console 中的用户名字段与 Azure 门户中的 UPN 字段不匹配,则不应使用 Microsoft Azure 选项。
        如果将现有目录配置为将“用户名”作为“用户登录设置”传递,则应在其他 SAML 提供程序选项下建立新 IdP。在当前目录中的“用户登录设置”下,可以通过选择“编辑”选项来确认登录设置。
      • 目前,选择步骤 3 中的 Microsoft Azure 选项将只会配置标识提供者,而不会包含目录同步服务。
    • 对于 Google

      1. 从显示的“编辑 SAML 配置”屏幕中复制“ACS URL”“实体 ID”
      2. 在单独的窗口中,使用 Google 管理员凭据登录 Google 管理控制台,然后导航至“应用程序”>“SAML 应用程序”
      3. 使用 + 符号添加新应用程序,然后选择 Adobe 应用程序。然后,下载选项 2 下方的 IDP 元数据,并将其上传到 Adobe Admin Console 中的“编辑 SAML 配置”中。然后,单击“保存”
      4. 确认“Adobe 的基本信息”。在“服务提供商详细信息”中输入以前复制的“ACS URL”和“实体 ID”,完成操作。请注意,您无需设置“用户配置”,因为现有目录目前不支持此设置。
      5. 最后,转到“应用程序”>“SAML 应用程序”>“Adobe 设置”>“服务状态”。将“服务状态”改为“针对所有人打开”,然后单击“保存”
      服务状态

    • 对于“其他 SAML 提供程序”

      1. 在其他窗口中登录身份提供程序的应用程序,创建新的 SAML 应用程序。(请勿编辑现有 SAML 应用程序以防止迁移过程中发生停机)。
      2. 根据身份提供程序的设置,将元数据文件或“ACS URL”和“实体 ID”从 Adobe Admin Console 复制到身份提供程序的设置。
      3. 将元数据文件从身份提供程序设置上传到 Adobe Admin Console。然后,单击“保存”
  5. 在“Adobe Admin Console”>“目录”详细信息中,将创建新的身份验证配置文件。使用“测试”验证配置是否设置正确,确保所有最终用户都有权访问 SAML 应用程序。

    “测试”功能可确保 IdP 中新身份验证配置文件的用户名格式与现有用户登录配置文件的用户信息匹配。

  6. 单击“激活”,迁移到新的身份验证配置文件。完成后,新配置文件将显示“正在使用”

    激活前,请在 Adobe Admin Console 中转到“目录用户”,并检查标识提供者用户名是否与 Admin Console 用户名匹配。

    对于 SAML,请确保新配置的断言中的“主题”字段与 Admin Console 中现有用户的用户名格式相匹配。

更新目录设置后,可以使用域迁移将域从现有目录移动到新目录。请注意,经过配置与新的目标目录配合运行的标识提供者中必须包含迁移域的用户。

如需详细了解相关限制,并规避在配置时可能遇到的错误,请参阅常见问题

在不同目录之间移动域

如今,组织可以通过将域从源目录移至 Admin Console 中的目标目录来构建目录。您可以根据组织的需要重新组织域到目录的链接,而不会让最终用户失去对其产品、服务或存储资源的访问权限。将为同一身份提供程序配置的域合并到一个目录中可简化 IT 团队的管理工作。

如果计划将域从一个目录迁移到另一个包含新身份提供程序(Azure、Google 或其他 SAML)并且使用 SHA-2 身份验证的目录,则需要在这两个目录中复制新的 IdP 设置。新的 IdP 设置为目录中所有域的用户启用测试登录。根据新的身份提供方执行以下操作:

  • 对于 Microsoft Azure:将新的 Azure IdP 添加到目录并登录到同一 Azure 租户。
  • 对于其他 SAML 提供程序(包括 Google):上传将指向 IdP 上的同一 SAML 应用程序的相同元数据文件。

域迁移完成后,作为新目录的一部分的用户仍然能够登录。这将消除停机时间,并确保这些用户可以立即访问分配的 Adobe 应用程序和服务。

注意:
  • 用户从其帐户注销,无法在域转移期间登录新会话。建议您在非高峰时段编辑目录,以尽量减少最终用户中断。
  • 迁移包括可信关系的域时,需要遵循特定的步骤。在迁移受信任的域时,不应撤销可信关系,以防止受托人组织中丢失用户帐户和产品访问权限。
  • 在进行任何域迁移动作之前,我们强烈推荐先从 Admin Console 或所涉及的控制台导出用户列表,然后进行更改。此列表提供所有用户数据的快照,包括名称、电子邮件、分配的产品配置文件以及分配的管理员角色,以便用于需要执行回滚的情况。
  • 目前,只有当源目录和目标目录都驻留在 Adobe 的用户存储模型中时,您才能在各个目录之间移动域。

为什么要移动域

您可以在以下情况受益于此功能:

  • 您要将现有目录迁移到另一个具有 SHA-2 身份验证配置文件的身份提供者。
  • 您拥有可信关系中的目录或希望共享目录以建立信任,而无需允许访问可信目录中的所有域。
  • 您必须根据组织团队和部门对目录进行分组。
  • 您有许多链接到单个域并希望合并的目录。
  • 您意外将域链接到了不正确的目录。
  • 您希望通过自助方式将域从 Enterprise ID 移动至 Federated ID,或从 Federated ID 移动至 Enterprise ID。

处理加密或受信任的目录

如果源目录或目标目录已加密或处于信任关系中,则您无法直接移动域。在以下情况下,请按照给定的指示移动域:
 

用例

示例

建议的方法

在处于相同可信关系的目录之间移动域

“目录 1”“目录 2”“控制台 A”中配置,并且均与“控制台 B”建立了可信关系。

按照移动域流程操作。

在多个信任关系中的目录之间移动域

* 有关流程图,请参阅图 A

“控制台 A”中配置了“目录 1”,并且该目录与“控制台 B”建立了信任关系。

“控制台 A”中,需要将“目录 1(域 X)”中的一个域移至“目录 2”

 

  1. 先从拥有信任的控制台以及所有受托人控制台中导出用户列表,然后再进行更改。
  2. “控制台 A”中,在所有受托人和目标目录(“目录 2”)之间建立信任。
  3. “控制台 A”中,从当前目录(“目录 1”将域移动到目标目录(“目录 2”)。
  4. 控制台 A 中,从目录 1 中的受托人撤销可信关系。
  5. 受托人从“控制台 B”删除被撤销的域(为其他受托人重复此步骤)。
  6. “目录 1”处于没有域或信任的空状态时,您可以删除空目录

 

将包含多个域的域或目录移动到组织中的另一个 Admin Console

“目录 1”“控制台 A”中进行配置。但“目录 1”及其申请的域需要移至“控制台 B”来更改所有权。

在同一 Admin Console 内将域移入或移出加密目录。

“目录 1”启用了加密,并且来自同一 Admin Console 中“目录 2”的域需要迁移到“目录 1”

当前不支持将域移入或移出加密目录。

原始状态

原始状态

信任状态

信任状态

已迁移状态

已迁移状态

图 A

移动域

按照以下步骤将域从源目录转移到目标目录:

  1. 登录 Adobe Admin Console,然后转到“设置”

  2. 导航至“域”,并选择要将其移动到目标目录的域。然后,单击“编辑目录”

    编辑目录

  3. 使用“编辑目录”屏幕的下拉菜单中的“选择目录”。使用页面底部的切换按钮打开或关闭完成通知。然后,单击“保存”

    选择目录

您将访问“设置”>“身份”下方的“域”部分。页面将列出所有域及其状态。

您将域成功转移后,系统管理员会收到有关域转移的电子邮件。接下来,您可以编辑目录名称,并按要求删除空目录

删除目录和域

您可以从 Admin Console 中删除不再使用的目录和域。

注意:

您无法删除包含以下内容的目录:

  • 活跃用户
  • 链接的域
  • 受托人
  • 默认 Business ID 目录
  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“目录”选项卡。

  3. 单击一个或多个目录名称左侧的复选框,然后单击“删除目录”

  4. 在“删除目录”屏幕中,单击“删除”

注意:

如果 Admin Console 中存在具有某个域的用户或该域链接到一个或多个目录,则无法删除该域。

  1. 登录 Admin Console,然后导航至“设置”>“身份”

  2. 转到“域”选项卡。

  3. 单击一个或多个域名左侧的复选框,然后单击“删除”

  4. “删除域”屏幕中,单击“删除”

Adobe 徽标

登录到您的帐户