通过集成已启用单点登录 (SSO) 的身份管理系统,Adobe Admin Console 为企业用户提供了使用现有身份管理系统在 Adobe 企业产品/服务中进行身份验证的方法。单点登录可使用 SAML(一种将企业身份管理系统连接到 Adobe 等云服务提供者的行业标准协议)来启用。SSO 可在服务提供者 (Adobe) 和您的身份提供者 (IdP) 这两方之间安全地交换身份验证信息。服务提供者向您的 IdP 发送请求来尝试对用户进行身份验证。在身份验证后,IdP 将发送响应消息以使用户登录。有关详细说明,请参阅配置单点登录

计划

在部署指定用户许可证时,我可选择哪些身份类型?

Adobe 提供三种不同的身份类型:

  • Enterprise ID:组织创建并拥有帐户,Adobe 管理凭据并处理登录。
  • Federated ID:组织创建并拥有帐户,通过联盟与企业目录相关联,企业公司或学校管理凭据并通过单点登录来处理登录。
  • Adobe ID:用户创建并拥有帐户,Adobe 管理凭据并处理登录。

Adobe 建议组织选择 Enterprise ID 或 Federated ID 来控制帐户和数据所有权。有关详细信息,请转到此处

我在部署中是否可采用多种身份类型?

是的,您可以拥有 Enterprise ID、Federated ID 和 Adobe ID 的组合,但不能在同一申请域内。

Enterprise ID 和 Federated ID 在域级别上是相互排斥的。因此,您只能选择二者之一。您可以将 Adobe ID 与 Federated ID 或 Enterprise ID 一起使用。

例如,如果企业仅申请了一个域,则 IT 管理员可以选择 Enterprise ID 或 Federated ID。如果组织在企业内申请了多个域,则 IT 管理员可以在一个域中使用 Adobe ID 和 Enterprise ID,而在另一个域中使用 Adobe ID 和 Federated ID,等等。这意味着,对于每个域来说,您可以将 Enterprise ID 或 Federated ID 与 Adobe ID 一起使用。

Federated ID 有哪些好处?

通过 Federated ID 可以更快、更轻松且更安全地管理 Adobe 许可证。

  • IT 管理员控制身份验证和用户生命周期。
  • 从企业目录中删除某个用户后,该用户将不再有权访问桌面应用程序、服务或移动应用程序。
  • Federated ID 允许组织利用已有的用户身份管理系统。
  • 因为您的最终用户会使用您组织的标准身份系统,所以 IT 不必管理单独的密码管理流程。

登录时,您的最终用户将被重定向到您组织标准的(且最终用户熟悉的)单点登录体验。

如果我已申请与 Enterprise ID 结合使用的域,能否使用同一域切换到 Federated ID?

目前尚不支持在已申请域上切换身份类型。如果您已申请一个或多个配置为 Enterprise ID 的域并有意将这些域重新配置为 Federated ID,请通过 Adobe Admin Console 提交在线支持案例,我们会在推出此功能时通知您。

我能否使用符合 SAML 2.0 的身份提供者将企业目录与 Adobe 相联合?

是,您可以使用符合 SAML 2.0 的身份提供者将企业目录及其登录和身份验证基础架构与 Adobe 相联合。

Adobe 会参与您公司的身份提供者与我们所称的“Okta 租户”的联系环节。Adobe 不会直接连接到企业目录,而是连接到身份提供者。

如果我申请了一个域,那么该域中的所有 Adobe ID 是否都会迁移至 Federated ID?

否。在为 Federated ID 申请一个域后,该域中现有的 Adobe ID 和电子邮件地址不会发生任何变化。Admin Console 中的现有 Adobe ID 将会保留。

如何将内容从旧的 Adobe ID 帐户迁移到新的 Enterprise 或 Federated ID 帐户?

资源迁移是一个自动化流程。在您启动此流程后,当前存储在您的 Adobe ID 帐户中的所有受支持的内容都会被迁移到您的 Enterprise/Federated ID 帐户。要了解更多信息,请参阅自动资源迁移

Adobe 是否将支持身份验证和/或授权?

Adobe 的 Federated ID 实现支持授权;身份验证由您的身份提供者 (IdP) 处理。

作为企业组织,您可以在身份验证服务(利用企业 ID 结构,如 Active Directory)与 Adobe 之间建立联系。这将允许企业组织托管身份验证。Adobe 从不存储密码而且 IT 管理员无法通过 Adobe Admin Console 为 Federated ID 重置密码或编辑用户名。

我能否将用户批量添加到 Adobe Admin Console 中?

是,可通过 Adobe Admin Console 内提供的“导入用户”功能实现。有关详细信息,请参阅添加多个用户

我能否在 Admin Console 内直接执行用户/组关联企业目录同步?

否。Adobe 会连接到您的身份提供者,而不是直接连接到您的企业目录。但是,我们支持将用户和组信息从您的企业目录导入到 Adobe Admin Console 中。有关详细信息,请参阅添加多个用户

我如何从 Adobe ID 迁移至 Federated ID?

Adobe 建议所有企业管理员将其 Adobe ID 用户切换为 Federated ID。您可以使用这些步骤从 Adobe ID 迁移到 Federated ID。

Adobe 支持哪些身份提供者?

Adobe 使用安全且广泛采用的行业标准安全断言标记语言 (SAML),这意味着实施 SSO 时,您可以与任何支持 SAML 2.0 的身份提供者轻松集成。

以下列出了一些符合 SAML 2.0 的 IdP:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • 带有外部签名证书的 Salesforce IdP
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

如果我已构建自己的基于 SAML 的联合身份验证流程,它是否支持集成?

是,只要该流程符合 SAML 2.0 协议即可。

在利用单点登录设置联合身份之前,是否需要拥有 SAML 2.0 身份提供者?

是,而且身份提供者必须符合 SAML 2.0。

您的 SAML 身份提供者至少必须具有:

  1. IDP 证书
  2. IDP 登录 URL
  3. IDP 绑定:HTTP-POST 或 HTTP-Redirect
  4. IDP 的断言使用者服务 URL,而且它必须能够接受 SAML 请求和 RelayState。

如果您还有任何疑问,请检查您的身份提供者。

是不是生命周期越长,证书便越容易遭受攻击?

不,从未有人能够破解 2,048 位证书。唯一成功破解过 768 位证书的那些人(Lenstra 小组)预计,在使用相同硬件的情况下,即使是 1,024 位证书也需要花费 1,000 年才能破解(这比破解 2,048 位证书大约容易 32,000,000 倍)。

如果您想要获取有关破解不同长度证书的估算的最新极客数据,请访问此网站。如需一张有趣(准确,但以营销为导向)的图片来展示这些证书有多安全,请访问此网站(或支持数学网站)。

鉴于许多浏览器拒绝生命周期超过三年的服务器证书,那么较长的证书是否能被浏览器接受?

不,这一限制针对的是用于对浏览器和服务器之间的通信管道进行编码的证书。但是,这些 IdP/Okta 证书的作用是对通过该编码管道传递的数据进行签名(不进行编码)。浏览器看不到这些证书:它们仅在 Adobe/Okta 和客户的 IdP 之间使用。

强健且长期有效的证书的价格是否较高?

您可以用生命周期内每年 10 美元的价格获得良好的商业级 2,048 位证书。而且,IdP 使用的证书可以自签名,这意味着它们可以通过开源软件免费生成。

如果有人能够破解我的 IdP 证书,他们是否可以冒充我?

不,因为还有两个强加密层,它们会检查 IdP 的身份,所以,要想伪装成 IdP,必须先破解它们。而且,这两个层并不是自签名的。这意味着,不仅要破解实施加密的证书,还要破解生成该证书的签名者的证书。

若要解决 SSO 问题,我应与谁联系?

通过登录到 Adobe Admin Console 联系 Adobe 技术支持人员来启动您的案例,或安排一对一专家服务会话。

有关您的高级支持电话号码和电子邮件地址,请参阅发送给您的帐户管理员的欢迎电子邮件和 PDF 附件。

操作方式

我如何对 Adobe 软件设置单点登录 (SSO)?

有关详细说明,请参阅配置单点登录以对 Adobe 桌面应用程序、服务和移动应用程序设置 SSO。

是否可以通过 Admin Console 向用户发送公告?

否。不支持通过 Admin Console 向最终用户发送通知。作为企业客户,您需要在用户准备好开始对 Adobe 软件和服务设置 SSO 之后发布公告。

如果我从企业目录中禁用某个用户/ID,它是否会从 Admin Console 中自动禁用?

不,如果您从企业目录中删除或禁用某个用户/ID,该用户/ID 并不会从 Adobe Admin Console 中自动删除或禁用。但是,该用户会丧失权利,并且无法登录到 Adobe Creative Cloud 桌面应用程序、服务、移动应用程序或 Acrobat DC 应用程序。您需要从 Admin Console 中手动删除该用户/ID。

我是否需要管理权利和组并向组分配 Federated ID 用户?

是,您需要使用 Adobe Admin Console 来管理用户、组和权利。不过,请注意,一旦在 Admin Console 中创建组之后,您便可上传包含用户和组信息的 CSV 文件。这会创建用户帐户并将用户放置在指定的组中。

IT 管理员或最终用户能否重置 Federated ID 的密码?

否,您无法使用 Adobe Admin Console 重置 Federated ID 的密码。Adobe 不会存储用户凭据。请使用您的身份提供者进行用户管理。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略