Identita uživatelů se ověří u zdrojů pro autorizaci. Budete-li chtít použít Enterprise ID nebo Federated ID, nastavte vlastní zdroj pro autorizaci přidání domény. Například pokud je vaše e-mailová adresa petr@priklad.cz, vaše doména je „priklad.cz“. Přidaná doména umožňuje vytvoření Enterprise ID nebo Federated ID s e-mailovou adresou v této doméně. Doménu lze použít buď s Enterprise ID, nebo Federated ID, ale ne s oběma identifikátory. Podle potřeby lze však přidat více domén.

Organizace musí nejprve prokázat, že doménu spravuje. Organizace může také přidat více domén. Doménu lze však přidat pouze jednou. Známé veřejné a generické domény, jako je gmail.com nebo yahoo.com, nelze přidat vůbec.

Další informace o typech identity naleznete v tématu Správa typů identity.

Přidání nové domény

Chcete-li používat Enterprise ID nebo Federated ID, začněte tím, že přidáte doménu. Pokud vaše organizace využívá více domén, můžete je přidat všechny.

Poznámka:

Během tohoto procesu je třeba ověřit, že danou doménu kontrolujete, a to tím, že přidáte do jejího záznamu DNS potřebný token.

  1. Přihlaste se ke konzoli Admin Console a přejděte do nabídky Nastavení > Identita.

  2. Klikněte na tlačítko Nastavení ověřování (tlačítko se zobrazí, pokud jste dříve nepřidali žádné domény) nebo Přidat doménu (tlačítko se zobrazí, pokud jste již další domény přidali).

    Otevře se obrazovka Přidat novou doménu.

  3. Zadejte název domény a vyberte typ domény.

    Pozor:

    Jakmile vyberete typ domény, nelze jej až do odebrání domény upravit.

    Přidání nové domény
  4. Pokud vytváříte Enterprise ID, klikněte na tlačítko Přidat novou doménu.

    Pokud vytváříte Federated ID, klikněte na tlačítko Další.

    Pokud již doménu deklarovala jiná organizace, zobrazí se následující výzva:

    Žádost o přístup k deklarované doméně

    Chcete-li požádat o přístup k dané doméně, nepokračujte v tomto postupu a řiďte se pokyny v části Žádost o přístup k deklarované doméně.

    Pokud je doména k dispozici, spustí se průvodce Nastavení domény. V takovém případě pokračujte na další krok v tomto postupu.

  5. Chcete-li potvrdit, že doménu vlastníte, přidejte k doméně záznam ve formátu TXT s vygenerovaným tokenem DNS.

    Zkopírujte token DNS, který se objeví v průvodci Nastavení domény v konzoli Admin Console a doplňte tento token do záznamu DNS. Konkrétní postup závisí na hostiteli domény. Obecné pokyny však naleznete v tématu Ověření vlastnictví domény.

    Poznámka:

    Tento krok vyžaduje přidání informací na vaše servery DNS.

    Platnost vygenerovaného tokenu DNS vyprší za 365 dní. Proto postup musíte dokončit před uplynutím této doby. Předem o něm informujte správce sítě, abyste jej mohli provést ve stanovenou dobu.

  6. Po úpravě záznamu DNS pomocí souboru TXT vyberte možnost Aktualizoval(a) jsem své záznamy DNS tak, aby zahrnovaly token.

    Pokud jste průvodce Nastavení domény ukončili, přejděte do nabídky Nastavení > Identita a klikněte na název domény, kterou chcete nastavit. Klikněte na tlačítko Nastavení domény.

    Zažádat o ověření
  7. Klikněte na tlačítko Zažádat o ověření. Otevře se obrazovka Vyčkejte na schválení společností Adobe.

    Jakmile společnost Adobe doménu schválí, zobrazí se na stránce Identita upozornění. Zároveň vám zašleme i e-mail.

  8. Pokud nastavujete Enterprise ID, vraťte se k průvodci Nastavení domény. Klikněte na tlačítko Aktivovat doménu. Vaše doména byla aktivována.

    Pokud nastavujete Federated ID, přečtěte si informace v tématu Konfigurace jednotného přihlašování.

Poznámka:

Aktivaci domény nelze vrátit zpět. Žádost je možné přerušit před aktivací, ale poté již ne.

Konfigurace jednotného přihlášení

Když organizace nakonfigurují a povolí jednotné přihlášení, uživatelé z dané organizace získají možnost využívat firemní přihlašovací údaje pro přístup k softwaru Adobe. To umožňuje uživatelům použít jednotné přihlašování pro přístup k aplikacím Adobe pro stolní počítače, službám a aplikacím pro mobilní zařízení.

Konzole Adobe Admin Console nabízí podnikovým uživatelům možnost ověřovat svoji totožnost pomocí jejich stávající firemní identity. Adobe Federated ID umožňuje integraci v systému jednotného přihlašování pro správu identity. Jednotné přihlašování je možné díky využití standardního protokolu SAML, který umožňuje propojení systému pro správu identity v podniku s poskytovatelem cloudových služeb, jako je například společnost Adobe.

Jednotné přihlášení dokáže bezpečně vyměňovat ověřovací informace mezi dvěma stranami: poskytovatelem služeb (Adobe) a vaším poskytovatelem identity. Poskytovatel služeb odešle požadavek vašemu poskytovateli identity, který se pokusí ověřit uživatele. Je-li ověření úspěšné, poskytovatel identity odešle reakci v podobě zprávy pro přihlášení uživatele.

Požadavky na jednotné přihlašování

K úspěšnému nastavení jednotného přihlašování pro software Adobe musí správci IT zajistit následující:

  • Chápat princip protokolu SAML 2.0
  • Poskytovatele identity, který podporuje protokol SAML 2.0 a musí podporovat minimálně následující:
    • Certifikát poskytovatele identity
    • Adresu URL pro přihlášení k poskytovateli identity
    • Vazbu poskytovatele identity: HTTP-POST nebo HTTP-Redirect
    • Adresu URL služby pro kontrolu spotřebitelů
  • Přístup ke konfiguraci DNS pro potřeby deklarování domény

Přihlašovací adresa URL poskytovatele identity nemusí být externě přístupná způsobem umožňujícím uživatelům získat přístup k přihlášení. Nicméně pokud bude dostupná pouze v rámci interní sítě vaší organizace, uživatelé se do služby Creative Cloud budou moci přihlásit pouze tehdy, budou-li připojeni k interní síti vaší organizace ať už přímo, přes Wi-Fi, nebo prostřednictvím VPN. Není zcela nutné, aby přihlašovací stránka byla přístupná pouze prostřednictvím protokolu HTTPS, ale doporučujeme to z bezpečnostních důvodů.

Poznámka:

V současné době společnost Adobe jednotné přihlašování vyvolané poskytovatelem identity nepodporuje.

Cloudové služby společnosti Adobe zprostředkovávají jednotné přihlášení skrze konektor SaaS SAML 2.0 poskytovaný společností Okta, která je lídrem v oblasti jednotného přihlášení. Společnost Adobe navázala partnerskou spolupráci se společností Okta, aby vám společně přinesly možnost jednotného přihlášení. Díky tomu je konektor SAML společnosti Okta součástí vaší podnikové licence Adobe. Konektor se používá ke komunikaci s vaším poskytovatelem identity a zprostředkovává tak služby pro ověření totožnosti. Společnost Okta není nutné používat jako službu poskytovatele identity, protože konektor Okta se dokáže připojit k řadě ostatních poskytovatelů služeb pro ověření totožnosti, kteří využívají protokol SAML 2.0. Další informace naleznete v tématu Jednotné přihlašování / časté dotazy.

Pokud chce vaše organizace vyzkoušet integraci jednotného přihlašování, doporučujeme deklarovat testovací doménu, které jste vlastníkem. Podmínkou je, aby vaše organizace využívala poskytovatele identity, který je schopen rozpoznat nastavení této testovací domény. To umožňuje integraci vyzkoušet ještě před deklarací hlavních domén a ujistit se, že vám proces deklarace a konfigurace domény vyhovuje.

Přehled postupu

Konfigurace Federated ID s cílem aktivovat jednotné přihlašování je proces tvořený více samostatnými kroky. Pokud chcete nastavit jednotné přihlašování u více domén, je třeba u každé z nich postupovat následovně.

  1. Deklarace domény:

    1. Inicializujte deklaraci domény pro Federated ID.
    2. Ověřte token DNS.
    3. Ujistěte se, že kontrola DNS proběhla úspěšně.

    Po inicializaci deklarace domény a úspěšném dokončení kontroly serveru DNS se stav žádosti změní na hodnotu Vyžadováno ověření.

    Jakmile je žádost schválena, obdržíte od nás e-mail.

  2. Upravte nastavení SAML a konfiguraci tak dokončete.

  3. Přidejte uživatele a přiřaďte je ke konfiguracím produktu. Viz téma Správa uživatelůRole pro správu.

Konfigurace nastavení protokolu SAML

Pokud je již váš poskytovatel identity nastaven, můžete konfiguraci jednotného přihlašování snadno nastavit pomocí konektoru SaaS SAML 2.0 od partnera společnosti Adobe, společnosti Okta. Společnost Okta je předním dodavatelem systémů pro ověřování totožnosti uživatelů, který navázal se společností Adobe partnerský vztah s cílem umožnit vám používat jednotné přihlašování. Možnost použití konektoru SAML od společnosti Okta je zahrnuta v podnikové licenci Adobe.

Poznámka:

Společnost Okta je jedním z mnoha dodavatelů, které můžete použít jako poskytovatele identity.

  1. Jakmile společnost Adobe vaši doménu schválí, otevřete stránku Identita.

  2. Klikněte na název domény, kterou chcete nastavit, a klikněte na tlačítko Konfigurovat jednotné přihlašování.

    Spustí se průvodce Nastavení domény.

    Dokončení konfigurace
  3. Certifikát poskytovatele identity: Kliknutím na tlačítko Odeslat odešlete certifikát (.cer) používaný vaším poskytovatelem identity k podpisu reakce nebo kontrole SAML.

    Pokud certifikátem nedisponujete, obraťte se na svého poskytovatele identity s žádostí o pokyny ke stažení souboru s certifikátem. Pokud například používáte společnost Okta jako poskytovatele identity, přihlaste se na řídicím panelu pro správu produktů Okta, vyberte možnost Zabezpečení > Ověřování > Příchozí SAML a klikněte na tlačítko Stáhnout certifikát Okta.

    Tipy k certifikátům:

    • formát PEM (kódování Base 64 X.509);
    • název souboru s příponou .cer (ne přípona .pem či .cert);
    • nezašifrovaný;
    • SHA-1;
    • víceřádkový formát (použití jednoho řádku není možné);
    • musí mít životnost alespoň tři roky (úspora za údržbu během této doby bez obav z narušení zabezpečení).

    Poznámka:

    Certifikáty společnosti Okta používané na straně společnosti Adobe, Federated ID během kontroly handshake, jsou certifikáty na 20 let. Díky tomu můžete obměňovat své certifikáty rychlostí, která vám vyhovuje, namísto z donucení ze strany společnosti Adobe nebo Okta.   

  4. Vazba poskytovatele identity: Zvolte způsob přenášení zpráv s protokolem SAML.

    • Pomocí formátu HTTP-Post můžete žádosti o ověření přenášet v rámci prohlížeče v podobě formuláře XHTML. Poskytovatel identity bude reagovat odpovědí taktéž v podobě dokumentu s formulářem XHTML.
    • Pomocí formátu HTTP-Redirect můžete přenášet požadavek na ověření prostřednictvím parametru řetězce SAMLRequest ve formě požadavku HTTP GET s řetězcem dotazu URL. Poskytovatel identity bude z adresy URL reagovat v podobě parametru řetězce SAMLResponse.
  5. Nastavení přihlášení uživatele: Výběrem možnosti E-mailová adresa nebo Uživatelské jméno určete, jak se uživatelé této domény budou identifikovat.

  6. Vydavatel poskytovatele identity: Zadejte ID entity pro poskytovatele identity, který vydává požadavky SAML.

    Kontrola SAML musí odkazovat přesně na tento řetězec. Jakékoli rozdíly v pravopisu, znacích nebo formátování budou mít za následek chybu.

  7. Přihlašovací adresa URL poskytovatele identity: Zadejte přihlašovací adresu URL poskytovatele identity / adresu pro jednotné přihlašování. Tato adresa URL je adresou, kam jsou uživatelé přesměrováni pro ověření.

  8. Klikněte na tlačítko Dokončit konfiguraci.

  9. K uložení souboru s metadaty SAML XML klikněte na tlačítko Stáhnout metadata. Tento soubor použijte ke konfiguraci integrace SAML s poskytovatelem identity. Váš poskytovatel identity potřebuje tento soubor k povolení jednotného přihlašování.

    Pozor:

    V případě obecných poskytovatelů identity SAML, jako jsou OpenAthens nebo Shibboleth, je potřeba odeslat uživatelské jméno (obvykle e-mailovou adresu) jako NameID ve formátu „nespecifikováno“. Odešlete také následující tři atributy (je třeba rozlišovat velká a malá písmena): FirstName, LastName, Email.

    Tyto atributy musí odpovídat záznamům nastaveným pomocí konzole Admin Console. Pokud tyto atributy nejsou nakonfigurovány a poskytovatel identity je neodešle jako součást konfigurace konektoru SAML 2.0, ověřování nebude fungovat.

  10. Klikněte na tlačítko Aktivovat doménu. Vaše doména byla aktivována.

    Poznámka:

    Aktivaci domény nelze vrátit zpět. Žádost je možné přerušit před aktivací, ale poté již ne.

  11. Chcete-li se vrátit a nastavení protokolu SAML upravit, vraťte se do konzole Admin Console a přejděte do nabídky Nastavení > Identita. Klikněte na název domény a poté na tlačítko Upravit konfiguraci jednotného přihlašování.

    Pozor:

    Jakmile bude Federated ID aktivní, jakékoliv změny konfigurace mohou způsobit, že jednotné přihlašování přestane fungovat. Úprava konfigurace způsobí vytvoření nového souboru s metadaty, který bude třeba znovu v rámci poskytovatele identity nakonfigurovat.

    Úprava konfigurace jednotného přihlašování

Konfigurace jednotného přihlášení nezpůsobí automatické vytvoření uživatelů ani vznik nároků na software. Po úspěšné konfiguraci jednotného přihlášení přejděte k přidání uživatelů a konfigurací produktu. Další informace naleznete v tématu Správa uživatelůRole pro správu.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online