用户指南 取消(C)

单点登录常见问题

搜索
Enterprise

Enterprise

Admin Console
  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署主页
      2. K-12 加入向导
      3. 简单设置
      4. 同步用户
      5. 名册同步 K-12(美国)
      6. 关键授予许可概念
      7. 部署选项
      8. 快速提示
      9. 在 Google Admin Console 中审批 Adobe 应用程序
      10. 在 Google 课堂中启用 Adobe Express
      11. 与 Canvas LMS 集成
      12. 与 Blackboard Learn 集成
      13. 为学区门户网站和 LMS 配置 SSO
      14. 通过名册同步功能添加用户
      15. Kivuto 常见问题解答
      16. 主要和次要机构资格准则
  3. 设置您的组织
    1. 身份类型 | 概述
    2. 设置身份 | 概述
    3. 使用 Enterprise ID 设置组织
    4. 设置 Azure AD 联合和同步
      1. 通过 Azure OIDC 用 Microsoft 设置 SSO
      2. 将 Azure Sync 添加到您的目录
      3. 用于教育机构的角色同步
      4. Azure 连接器常见问题解答
    5. 设置 Google 联合身份验证和同步
      1. 用 Google 联合身份验证设置 SSO
      2. 将 Google Sync 添加到您的目录
      3. Google 联合身份验证常见问题解答
    6. 通过 Microsoft ADFS 设置组织
    7. 为区域门户网站和 LMS 建立组织
    8. 通过其他身份提供商设置组织
      1. 创建目录
      2. 验证域的所有权
      3. 将域添加到目录
    9. SSO 常见问题和故障排除
      1. SSO 常见问题
      2. SSO 故障排除
      3. 教育常见问题
  4. 管理您的组织设置
    1. 管理现有域和目录
    2. 启用自动创建帐户
    3. 通过目录信任设置组织
    4. 迁移到新的身份验证提供商 
    5. 资源设置
    6. 身份验证设置
    7. 隐私和安全联系人
    8. 控制台设置
    9. 管理加密  
  5. 管理用户
    1. 概述
    2. 管理角色
    3. 用户管理策略
      1. 逐个管理用户   
      2. 管理多个用户(批量 CSV)
      3. 用户同步工具 (UST)
      4. Microsoft Azure Sync
      5. Google 联合身份验证同步
    4. 向团队版用户分配许可证
    5. 适用于团队的应用程序内用户管理
      1. 在 Adobe Express 中管理您的团队
      2. 在 Adobe Acrobat 中管理您的团队
    6. 添加具有匹配电子邮件域的用户
    7. 更改用户的身份类型
    8. 管理用户组
    9. 管理目录用户
    10. 管理开发人员
    11. 将现有用户迁移至 Adobe Admin Console
    12. 将用户管理迁移至 Adobe Admin Console
  6. 管理产品和权利
    1. 管理产品和产品配置文件
      1. 管理产品
      2. 购买产品和许可证
      3. 管理企业用户的产品配置文件
      4. 管理自动分配规则
      5. 授权用户训练 Firefly 自定义模型
      6. 审查产品请求
      7. 管理自助服务策略
      8. 管理应用程序集成
      9. 在 Admin Console 中管理产品权限  
      10. 为产品配置文件启用/禁用服务
      11. 单个应用程序 | Creative Cloud 企业版
      12. 可选服务
    2. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 管理配置文件
      6. 许可工具包
      7. 共享设备许可常见问题解答
  7. 开始使用 Global Admin Console
    1. 采用全局管理
    2. 选择您的组织
    3. 管理组织层次结构
    4. 管理产品配置文件
    5. 管理管理员
    6. 管理用户组
    7. 更新组织策略
    8. 管理策略模板
    9. 将产品分配给子组织
    10. 执行待处理的作业
    11. 探索见解
    12. 导出或导入组织结构
  8. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  9. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
  10. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 管理预生成包
        1. 管理 Adobe 模板
        2. 管理单个应用程序包
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 发行说明
      2. 使用 Adobe Remote Update Manager
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
  11. 管理您的团队帐户
    1. 概述
    2. 更新付款详细信息
    3. 管理账单
    4. 更改合同负责人
    5. 更改您的计划
    6. 更改经销商
    7. 取消您的计划
    8. 购买请求合规性
  12. 续订
    1. 团队会员资格:续订
    2. VIP 企业:续订和合规性
  13. 管理合同
    1. ETLA 合约的自动到期阶段
    2. 在现有 Adobe Admin Console 中切换合同类型
    3. 中国版 Value Incentive Plan (VIP)
    4. VIP Select 帮助
  14. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  15. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

通过集成已启用单点登录 (SSO) 的身份管理系统,Adobe Admin Console 为企业用户提供了使用现有身份管理系统在 Adobe 企业产品/服务中进行身份验证的方法。单点登录可使用 SAML(一种将企业身份管理系统连接到 Adobe 等云服务提供商的行业标准协议)来启用。SSO 可在服务提供商 (Adobe) 和您的身份提供者 (IdP) 这两方之间安全地交换身份验证信息。服务提供商向您的 IdP 发送请求来尝试对用户进行身份验证。在身份验证后,IdP 将发送响应消息以使用户登录。有关详细说明,请参阅配置单点登录

计划

Adobe 提供以下身份类型:

  • Enterprise ID:组织创建并拥有帐户。在已申请的域上创建帐户。Adobe 管理凭据并处理登录。
  • Federated ID:组织创建并拥有帐户,通过联合身份验证与企业目录相关联,企业公司或学校管理凭据并通过单点登录来处理登录。
  • Adobe ID:用户创建并拥有帐户,Adobe 管理凭据并处理登录。根据存储模型,用户或组织拥有帐户和资源。
注意:

我们正在将组织(团队或企业)更新到企业存储模型,以便为 Adobe ID 用户启用企业存储和其他企业级功能。

当为您的组织安排此更新时,您将收到通知。更新后,Adobe ID 用户将移至企业存储,并且组织将直接管理其企业资料

是的,您可以拥有 Enterprise ID、Federated ID 和 Adobe ID 的组合,但不能在同一申请域内。

Enterprise ID 和 Federated ID 在域级别上是相互排斥的。因此,您只能选择二者之一。您可以将 Adobe ID 与 Federated ID 或 Enterprise ID 一起使用。

例如,如果企业仅申请了一个域,则 IT 管理员可以选择 Enterprise ID 或 Federated ID。如果组织在企业内申请了多个域,则 IT 管理员可以在一个域中使用 Adobe ID 和 Enterprise ID,而在另一个域中使用 Adobe ID 和 Federated ID,等等。这意味着,对于每个域来说,您可以将 Enterprise ID 或 Federated ID 与 Adobe ID 一起使用。

通过 Federated ID 可以更快、更轻松且更安全地管理 Adobe 许可证。

  • IT 管理员控制身份验证和用户生命周期。
  • 从企业目录中删除某个用户后,该用户将不再有权访问桌面应用程序、服务或移动应用程序。
  • Federated ID 允许组织利用已有的用户身份管理系统。
  • 因为您的最终用户会使用您组织的标准身份系统,所以 IT 不必管理单独的密码管理流程。

登录时,您的最终用户将被重定向到您组织标准的(且最终用户熟悉的)单点登录体验。

可以。您可以使用同一个域从 Enterprise ID 切换到 Federated ID。如需详细信息,请参阅如何在不同目录之间移动域

是,您可以使用符合 SAML 2.0 的身份提供者将企业目录及其登录和身份验证基础架构与 Adobe 相联合。

否。在为 Federated ID 申请一个域后,该域中现有的 Adobe ID 和电子邮件地址不会发生任何变化。Admin Console 中的现有 Adobe ID 将会保留。

资源迁移是一个自动化流程。在您启动此流程后,当前存储在您的 Adobe ID 帐户中的所有受支持的内容都会被迁移到您的 Enterprise/Federated ID 帐户。要了解更多信息,请参阅自动资源迁移

Adobe 的 Federated ID 实现支持授权;身份验证由您的身份提供者 (IdP) 处理。

作为企业组织,您可以在身份验证服务(利用企业 ID 结构,如 Active Directory)与 Adobe 之间建立联系。这将允许企业组织托管身份验证。Adobe 从不存储密码而且 IT 管理员无法通过 Adobe Admin Console 为 Federated ID 重置密码或编辑用户名。

是,可通过 Adobe Admin Console 内提供的“导入用户”功能实现。有关更多信息,请参阅添加多个用户

否。Adobe 会连接到您的身份提供者,而不是直接连接到您的企业目录。但是,我们支持将用户和组信息从您的企业目录导入到 Adobe Admin Console 中。有关更多信息,请参阅添加多个用户

Adobe 建议所有企业管理员将其 Adobe ID 用户切换为 Federated ID。您可以按照这些步骤从 Adobe ID 迁移到 Federated ID。

Adobe 使用安全且广泛采用的行业标准安全断言标记语言 (SAML),这意味着实施 SSO 时,您可以与任何支持 SAML 2.0 的身份提供者轻松集成。

以下列出了一些符合 SAML 2.0 的 IdP:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Microsoft Azure AD#
  • Google 联合身份验证# 
  • Ping Federate
  • 带有外部签名证书的 Salesforce IdP
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager
注意:

#如果您的身份提供者是 Microsft Azure AD 或 Google,则可以跳过基于 SAML 的方法,并通过 Adobe Admin Console 相应地使用 Azure AD 连接器Google 联合身份验证 SSO 来设置 SSO。这些设置通过 Adobe Admin Console 进行建立和管理,并使用同步机制来管理用户身份和权利。

是,只要该流程符合 SAML 2.0 协议即可。

是,而且身份提供者必须符合 SAML 2.0。

您的 SAML 身份提供者至少必须具有:

  1. IDP 证书
  2. IDP 登录 URL
  3. IDP 绑定:HTTP-POST 或 HTTP-Redirect
  4. IDP 的断言使用者服务 URL,而且它必须能够接受 SAML 请求和 RelayState。

如果您还有任何疑问,请检查您的身份提供者。

不,从未有人能够破解 2,048 位证书。唯一成功破解过 768 位证书的那些人(Lenstra 小组)预计,在使用相同硬件的情况下,即使是 1,024 位证书也需要花费 1,000 年才能破解(这比破解 2,048 位证书大约容易 32,000,000 倍)。

如果您想要获取有关破解不同长度证书的估算的最新极客数据,请访问此网站。如需一张有趣(准确,但以营销为导向)的图片来展示这些证书有多安全,请访问此网站(或支持数学网站)。

不,这一限制针对的是用于对浏览器和服务器之间的通信管道进行编码的证书。但是,这些 IdP 证书的作用是对通过该编码管道传递的数据进行签名(不进行编码)。浏览器绝对看不到这些证书:它们仅在 Adobe 和客户的 IdP 之间使用。

您可以用生命周期内每年 10 美元的价格获得良好的商业级 2,048 位证书。而且,IdP 使用的证书可以自签名,这意味着它们可以通过开源软件免费生成。

不,因为还有两个强加密层,它们会检查 IdP 的身份,所以,要想伪装成 IdP,必须先破解它们。而且,这两个层并不是自签名的。这意味着,不仅要破解实施加密的证书,还要破解生成该证书的签名者的证书。

有关您的高级支持电话号码和电子邮件地址,请参阅发送给您的帐户管理员的“欢迎”电子邮件和 PDF 附件。

同一个 URL 端点可用于多个目录。但是,将为每个 IdP 单独管理联合元数据。因此,公共 IdP 端点需要处理内容不同的请求。

是的。如果目录的 SAML 集成使用用户名格式,则 Admin Console 上的用户名与提供的永久 ID 相同。但是,这要求在将用户同步到 Admin Console 时,必须提供永久 ID。这不是常见情况,因此,在实践中,不支持为 NameID 元素使用永久格式。

不是。NameID 元素值用作 Admin Console 上的用户名;NameQualifier 则被忽略。

支持。Adobe 支持 SHA256 证书。如需详细信息,请参阅设置身份

可以。您需要向 Adobe 客户支持提供 CA 签名证书,我们将为其上传证书。

若要继续操作,请登录 Admin Console,依次导航至“支持”>“支持摘要”,然后单击“创建案例”。如需更多信息,请参阅如何创建和管理支持案例

默认情况下,Okta 证书是自签名的。例外情况(可能需要付费),他们可以让公共 CA 签署证书。

操作方式

有关详细说明,请参阅配置单点登录,以对 Adobe 桌面应用程序、服务和移动应用程序设置 SSO。

否。不支持通过 Admin Console 向最终用户发送通知。作为企业客户,您需要在用户准备好开始对 Adobe 软件和服务设置 SSO 之后发布公告。

否,如果您从企业目录中删除或禁用某个用户/ID,该用户/ID 并不会从 Adobe Admin Console 中自动删除或禁用。但是,该用户会丧失权利,并且无法登录到 Adobe Creative Cloud 桌面应用程序、服务、移动应用程序或 Acrobat 应用程序。您需要从 Admin Console 中手动删除该用户/ID。

是,您需要使用 Adobe Admin Console 来管理用户、组和权利。不过,请注意,一旦在 Admin Console 中创建组之后,您便可上传包含用户和组信息的 CSV 文件。这会创建用户帐户并将用户放置在指定的组中。

否,您无法使用 Adobe Admin Console 重置 Federated ID 的密码。Adobe 不会存储用户凭据。请使用您的身份提供者进行用户管理。

常见问题:目录设置

查找与将目录迁移至新的验证提供者和更新已弃用的 SAML 设置相关的问题解答。

开始前,请确保您满足相关的访问要求,从而能够按照迁移到不同的身份提供方的步骤进行操作。此外,为确保组织目录可以无缝地执行迁移且不会出现错误,请考虑以下几点:

  • 管理员必须在 IdP 设置中创建新的 SAML 应用程序进行配置。如果管理员编辑现有应用程序,会重写任何现有活跃配置、导致停机,并会导致在 Adobe Admin Console 中可用 IdP 之间切换的功能失效。
  • 管理员必须确保将所有所需用户分配到新创建的 SAML 应用程序,或者可以使用该应用程序。
  • 管理员必须确保 IdP 中新身份验证配置文件的用户名格式与现有用户登录配置文件所用的用户名格式相匹配。管理员可以使用身份验证配置文件上提供的“测试”功能进行验证。此“测试”链接可复制到剪贴板,并与他人共享,以便其他人从自己的计算机进行验证。
  • 管理员应在激活新添加的 IdP 之前,使用该目录的 2 到 3 个活跃帐户对其进行测试。

这些功能将不提供错误日志。但是,测试工作流程允许管理员在激活之前验证相关错误。需要考虑的限制包括:

  • 一个目录最多可以包含两个身份验证配置文件,并且这两个配置文件应该用于不同的身份验证类型。这意味着 Microsoft Azure AD(使用 Open ID Connect)可以与其他 SAML 提供者保持同步,但 Google(它本身使用 SAML)无法与同一目录中的其他 SAML 提供者保持同步。
  • 此功能不允许管理员迁移其身份提供者来启用目录同步功能(Azure AD Connector 和 Google Connector)。不过,迁移到 Microsoft Azure 或 Google 作为 IdP 的客户可以采用不同形式的用户管理策略。要了解详细信息,请参阅 Adobe Admin Console 用户

更多此类内容

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接

法律声明    |    在线隐私政策