Federovaný přístup hostů

Hledat
Enterprise

Enterprise

Admin Console

Zjistěte, jak funkce Federovaný přístup hostů zjednodušuje spolupráci s externími partnery při zachování stejných bezpečnostních standardů a standardů přístupu jako u interních týmů.

Poznámka:

Federovaný přístup hostů je v pilotní fázi a dostupnost je omezená.Ne všichni zákazníci mohou tuto funkci vidět.

Přehled

Funkce Federovaný přístup hostů společnosti Adobe umožňuje podnikovým zákazníkům začlenit externí pracovníky z agentur, dodavatelů nebo poradenských společností do ekosystému Adobe se stejnými standardy zabezpečení a ověřování jako u interních zaměstnanců.

Dříve vyžadovalo vytvoření uživatele s Federated ID vlastnictví domény. Tento požadavek bránil organizacím v přidávání uživatelů s externími doménami, včetně nenárokovatelných domén, jako je gmail.com, a nárokovatelných domén, které vlastní jiná organizace.

Funkce Federovaný přístup hostů umožňuje podnikovým zákazníkům přidat uživatele s libovolnou e-mailovou adresou jako vlastního federovaného uživatele. Zajišťuje konzistentní vynucování SSO napříč interními zaměstnanci i externími partnery.

Funkce v současnosti podporuje aplikace Workfront a AEM Assets as a Cloud Service s plány na rozšíření podpory pro další produkty.

Výhody funkce Federovaný přístup hostů

Zde jsou výhody funkce Federovaný přístup hostů:

  • Bezproblémová spolupráce: Externí partneři získají přístup k nástrojům Adobe bez komplikací.
  • Jednotné zabezpečení: Podniky mohou vynucovat konzistentní zásady SSO a ověřování napříč všemi uživateli.
  • Provozní efektivita: Eliminuje potřebu náhradních řešení, která byla dříve používána pro zapojení dodavatelů.
  • Kontrolovaný přístup: Federované účty hostů jsou izolované od interních účtů, což zajišťuje, že oprávnění a datové zdroje zůstávají oddělené.

Obchodní scénáře a případy použití

Federovaný přístup hostů je obzvláště cenný ve situacích, kdy se podniky spoléhají na externí odborníky. Marketingové týmy pracující s agenturami, IT oddělení najímající konzultanty nebo velké organizace spolupracující napříč více společnostmi mohou integrovat externí přispěvatele bez ohrožení bezpečnosti.

Představte si například situaci, kdy společnost najme Mary z vendor.com na krátkodobý projekt. Mary už možná má federovaný účet u svého zaměstnavatele. Dříve mohla najímající společnost přidat Mary do svého prostředí Adobe pouze prostřednictvím jejího stávajícího federovaného účtu, jehož ověřování řídí její zaměstnavatel.

S funkcí Federovaného přístupu hostů může najímající společnost přidat Mary jako federovaného hosta do svého adresáře.V tomto případě se může přihlásit pomocí jednotného přihlašování najímající společnosti a získat přístup k nástrojům, jako jsou Workfront nebo AEM Assets.Nepotřebuje samostatnou e-mailovou adresu v doméně najímající společnosti.

Maryin federovaný účet hosta je zcela nezávislý na účtu vlastněném jejím zaměstnavatelem, se samostatnými oprávněními a datovými zdroji, což zajišťuje jasné oddělení dat organizace. Může přepínat mezi účty pomocí přepínače účtů. Pokaždé, když přepne účty, se Mary musí odhlásit a poté se znovu ověřit pomocí přihlašovací metody druhého účtu. Tento proces zajišťuje zachování oddělení mezi účty.

Pro najímající společnost mohou být externí partneři jako Mary přidáni a spravováni prostřednictvím stejných ověřovacích a přístupových kontrol používaných pro interní zaměstnance. Pro zaměstnavatele Mary nevyžaduje funkce Federovaný přístup hostů žádné změny. Její účet, oprávnění a prostředky zůstávají nedotčené a žádná organizace nemá přehled o účtech té druhé.

Federované účty hostů

Federovaný přístup hostů zavádí nový koncept účtu federovaných hostů. Federovaní hosté jsou novou variantou stávajícího typu účtu Federated ID, rozšířenou o podporu e-mailových domén, které nejsou vlastněny nebo spravovány podnikem.

Umožňuje podnikům přidat externí partnery do svého federovaného adresáře a ověřit je prostřednictvím poskytovatele identity (IdP) organizace, aniž by bylo vyžadováno vlastnictví e-mailové domény federovaného partnera. Stejně jako všechny účty Federated ID je každý federovaný účet hosta vztažen k organizaci, která jej vytvořila, se svými vlastními nezávislými oprávněními, prostředky a federací.Zůstává zcela oddělený od jakýchkoli jiných účtů, které používají stejnou e-mailovou adresu v jiných organizacích.

Správa domén

Správci najímací společnosti mohou přidat externí domény prostřednictvím nové karty Domény hostů v konzoli Admin Console. Umožňuje jim přidat uživatele s externími e-mailovými doménami jako samostatné účty s Federated ID vlastněné jejich organizací.

Na rozdíl od nárokovaných domén nevyžadují domény hostů důkaz vlastnictví.Můžete přidat jak nárokovatelné, tak nenárokovatelné domény.U domén, které jsou nárokovány jinou organizací Adobe, mohou vlastníci domén určovat, zda může být jejich doména použita jako doména hosta.

Pokud vlastník domény požádal o zablokování své nárokované domény, aby se nemohla používat jako doména hosta, nebudete moci tuto doménu přidat jako doménu hosta.Pokud jste již tuto doménu hosta přidali, nemůžete přidat žádného nového federovaného hosta s touto doménou. Všichni stávající federovaní hosté s doménou hosta se nebudou moci přihlásit, dokud vlastník domény nepovolí opětovné použití domény hosta.

Chcete-li přidat hostitelské domény přímo do adresáře Admin Console, proveďte následující kroky.

  1. Přihlaste se do konzole Admin Console a klikněte na Nastavení.

  2. Ze seznamu Adresáře otevřete adresář, do kterého chcete přidat domény hostů.

  3. Přejděte na kartu Domény hostů uvnitř adresáře a přidejte domény hostů.

Ve výchozím nastavení jsou všechny nárokované domény nakonfigurovány tak, aby umožňovaly použití domény hostů pro federovaný přístup hostů.

Jako vlastník domény možná nebudete chtít, aby jiné organizace používaly nárokované domény jako doménu hostů. Ačkoli použití domény hostů neovlivňuje vaše vlastnictví domény ani vašich uživatelů, můžete zkontrolovat, jak se nárokované domény používají, a rozhodnout se, zda chcete takové použití zastavit.

Chcete-li zkontrolovat, které jiné organizace v Adobe používají vaše nárokované domény jako doménu hostů

  1. Přihlaste se do konzole Admin Console a klikněte na Nastavení > Nastavení identity.

  2. V Nastavení identity přejděte na kartu Domény.

  3. Vyberte Další možnosti () a poté vyberte Stáhnout zprávu o federovaném přístupu hostů.

Chcete-li zablokovat nebo povolit všem organizacím používání vaší nárokované domény jako doménu hostů, obraťte se s žádostí na podporu Adobe.Tato změna bude aplikována na základě jednotlivých domén.

Když zablokujete použití hostitelské domény, žádné jiné organizace v Adobe nemohou přidat tuto doménu jako doménu hostů. Organizace, které již hostitelskou doménu přidaly, uvidí, že jejich přístup k ní je zablokován.Navíc nemohou vytvořit nové federované hosty s touto doménou.Všechny stávající federované účty hostů s doménou hostů budou zablokovány a nebudou se moci k takovým účtům přihlásit.

Zabezpečení a ochranná opatření

Váš IdP je vždy zdrojem pravdy.Aby mohli být všichni externí partneři přijati jako federovaní hosté, musí již mít účet ve vašem IDP.Napodobuje to způsob, jakým byste běžně přidávali své interní zaměstnance jako uživatele s Federated ID.

Všichni federovaní hosté musí dokončit jednorázový ověřovací tok před svým prvním přihlášením.Adobe odešle ověřovací kód na e-mail federovaného hosta a federovaný host bude požádán, aby zkontroloval a souhlasil s připojením k organizaci, která ho pozvala, jako federovaný host.Pokud tok nebude dokončen, federovaní hosté budou požádáni, aby jej dokončili, než se budou moci poprvé přihlásit.

Prostředí správce

Z pohledu správce napodobuje přijímání federovaných hostů proces pro běžné federované uživatele.

  • Nastavení: Správci konfigurují domény hostů v Admin Console.
  • Zřizování: Federovaní hosté jsou přidáni stejným způsobem jako běžní federovaní uživatelé.
  • Přiřazení produktů: Produkty jsou přiřazeny stejným způsobem jako běžní federovaní uživatelé.V současné době je omezeno na aplikace Workfront a AEM Assets as a Cloud Service. Přiřazení nepodporovaných produktů (např. Photoshop) se nezdaří, aniž by došlo ke spotřebě licencí.
  • Pozvánky ke spolupráci: E-maily nyní obsahují název organizace, která vlastní daný datový zdroj nebo instanci, což snižuje záměnu při přepínání profilů nebo účtů.

Prostředí pro koncové uživatele

Pro koncové uživatele je prostředí navrženo tak, aby bylo jednoduché, ale bezpečné.Při prvním počátečním přihlášení Adobe požádá koncové uživatele o dokončení jednorázového ověřovacího procesu.Federovaní hosté musí ověřit svůj e-mail a souhlasit s připojením ke zvoucí organizaci. Po dokončení aktivace se mohou federovaní hosté přihlásit k účtu prostřednictvím IdP najímající společnosti stejně jako interní zaměstnanci.Federovaní hosté se mohou přihlásit k federovanému hostovskému účtu také prostřednictvím přihlášení iniciovaného IdP.

Není možné se přímo přihlásit k federovanému hostovskému účtu zadáním e-mailu na přihlašovací stránce.Místo toho musíte použít přihlášení iniciované IdP nebo přihlašovací odkazy, které vám může poskytnout váš správce.Přihlašovací odkazy jsou specifické pro adresář a lze k nim přistupovat z Admin Console:

  1. Přihlaste se do konzole Admin Console a klikněte na Nastavení > Nastavení identity.

  2. V Nastavení identity přejděte na kartu Domény hostů.

  3. Najděte přihlašovací odkaz, který má být sdílen s federovanými hosty.

Přihlašovací odkazy mohou používat všichni uživatelé ve stejném adresáři, bez ohledu na to, zda jsou federovanými hosty.

Pokud je váš e-mail propojen s více účty u Adobe, můžete použít přepínač účtů k nalezení všech účtů, které sdílejí stejný e-mail. Po přihlášení k jakémukoli účtu uvidíte seznam účtů, na které se můžete přepnout. 

Nový přepínač účtů umožňuje uživatelům přepínat mezi federovanými účty propojenými se stejnou e-mailovou adresou.Na rozdíl od přepínání profilů vyžaduje přepínání účtů opětovné ověření, protože každý účet má svou vlastní federaci a/nebo metodu ověřování.Správci mohou také poskytnout speciální přihlašovací odkazy vázané na konkrétní adresáře, což zajišťuje, že uživatelé budou směrováni ke správnému IdP.

Hierarchie konzole Global Admin Console

Hierarchie Global Admin Console stanovuje, jak jsou hostovské domény spravovány a sdíleny napříč organizacemi.Pouze organizace s povolenou funkcí Federated Guest Access mohou přidávat hostovské domény.Jakmile ji nadřazená organizace přidá, stane se viditelnou pro všechny podřízené organizace v hierarchii a napříč celou konzolí, což zajišťuje konzistentní onboarding externích uživatelů a federovaných hostů.

Vlastnící organizace může vytvořit důvěryhodné vztahy s jinými organizacemi v hierarchii, aby mohla doménu používat jako jakoukoli jinou nárokovanou doménu.Centralizovaná správa identit může být udržována na úrovni kořene, protože ne každá organizace potřebuje povolenou funkci Federovaný přístup hostů. Hostovskou doménu může přidat pouze jeden adresář v rámci hierarchie a organizace mimo hierarchii nemohou hostovské domény vidět ani používat, i když existují důvěryhodné vztahy, což zajišťuje kontrolovanou viditelnost.V takových případech jsou uživatelé přidáni jako obchodní ID spravovaná společností Adobe nebo vlastníkem domény.Pokud je stejná e-mailová adresa registrována ve více organizacích, vytvoří se samostatné federované hostovské účty, což vyžaduje, aby uživatelé přepínali mezi účty.

Často kladené dotazy

To znamená, že federovaný hostovský přístup není ve vaší organizaci povolen.Tato funkce je aktuálně v pilotním provozu a dostupná ve vybraných organizacích.Pokud máte zájem o používání této funkce, kontaktujte podporu Adobe.

Externí doména, kterou se pokoušíte přidat, může během procesu přidávání hostovské domény selhat z několika důvodů, včetně:

  • Vlastník domény zablokoval hostovský přístup k této doméně.
  • Doména již byla přidána jako hostovská doména v adresáři ve vaší organizaci.
  • Doména již byla přidána jako hostovská doména jinou organizací v hierarchii vaší Global Admin Console.
  • Doména je neplatná nebo neúplná.

Pokud jste již připojili externí partnery do své organizace, doporučuje se aktualizovat tyto připojené účty místo vytváření nových federovaných hostovských účtů, abyste předešli ztrátě aktiv nebo dat.

Pokud jste přidali externí partnery pomocí jejich původních e-mailových adres, musíte aktualizovat jejich ověřovací účty.Viz Změna typu identity uživatele.

Pokud jste přidali externí partnery jako Federated ID pod jinou e-mailovou adresou s vaší nárokovanou doménou, budete muset aktualizovat jejich e-mail.Další informace najdete v článku Upravit podrobnosti o uživateli.

V současné době jsou plně podporovány pouze aplikace Workfront a AEM Assets.Jakékoli jiné přiřazení produktu bude mít za následek stav zřizování bez přístupu pro federované hosty.

Chcete-li zkontrolovat úplný stav zřizování všech uživatelů, stáhněte si zprávu o stavu licencí:

  1. Přihlaste se ke konzoli Adobe Admin Console a přejděte do nabídky Uživatelé.

  2. Vyberte Více možností () a poté vyberte možnost Zpráva o stavu licencí.

  • Když vlastník domény zablokuje přístup domény hostů pro svou nárokovanou doménu, již nebudete moci tuto doménu hostů používat pro účely přístupu federovaných hostů. 

  • Nebudete moci přidat žádné nové federované hosty s takovou hostující doménou.

  • Vaši stávající federovaní hosté s touto doménou hosta budou převedeni do stavu „zrušený federovaný host“. V tomto stavu je federovaným hostům zablokováno přihlášení ke svým účtům. Všechna oprávnění, která jim byla dříve přiřazena, budou umístěna do stavu zřizování bez přístupu

  • Když vlastník domény obnoví přístup hostující domény, dříve odvolaní federovaní hosté jsou znovu aktivováni.Každý federovaný host se může znovu přihlásit a stav zřizování oprávnění se aktualizuje na dokončeno, což umožňuje pokračovat v používání přiřazených produktů.

Ano, všechny stávající možnosti správy uživatelů se vztahují na federované hosty.Pokud chcete zjistit, zda je uživatel federovaným hostem, můžete do své žádosti přidat federatedGuestInfo=true a zvolit načtení této další podrobnosti.

Než se budete moci přihlásit ke svému federovanému účtu hosta, musíte dokončit jednorázový ověřovací proces.

Nemůžete přistupovat k federovanému hostujícímu účtu zadáním svého e-mailu přímo na standardních přihlašovacích stránkách Adobe.Místo toho musíte použít jednu z následujících metod:

  • Prostřednictvím portálu IdP organizace nebo intranetu (pokud je nastaven vaším správcem)
  • Pomocí přihlašovacího odkazu poskytnutého vaším správcem
  • Přihlášení k jinému účtu (firemnímu/osobnímu) propojenému s e-mailem. Použijte přepínač účtů k přihlášení k federovanému hostovskému účtu.

Kontaktujte podporu společnosti Adobe. Adobe aktualizuje nastavení vaším jménem a změna bude použita na základě jednotlivých domén.

Adobe, Inc.

Získejte pomoc rychleji a snáze

Nový uživatel?

Rychlé odkazy

Zobrazit všechny vaše plány Správa plánů
Zobrazit rychlé odkazy
Skrýt rychlé odkazy

Právní upozornění    |    Zásady ochrany osobních údajů online společnosti Adobe