Poznámka:

Pokud vaše organizace ještě používá adresáře s ověřováním SHA-1, můžete v konzoli Admin Console hladce přejít na vylepšené zabezpečení s certifikátem SHA-2. Chcete‑li zcela bez odstávky přejít z certifikátu SHA-1 na SHA-2, přidejte a aktivujte ve stávajícím adresáři nový profil ověřování. Další informace najdete v tématu Přechod na nového poskytovatele ověřování.

Všechny nově vytvořené adresáře mají ve výchozím nastavení aktivované ověřování SHA-2.

setup-dir

Nastavení adresářů: Abyste mohli používat Enterprise ID nebo Federated ID, je nutné nejprve nastavit adresář, ke kterému lze připojit aspoň jednu doménu.
Další informace >


setup-domains

Nastavení domén: Koncoví uživatelé se ověřují proti doménám, které je třeba nastavit v nástroji Admin Console.
Další informace >


link-domains-to-dirs

Propojení domén s adresáři: Po nastavení adresářů a domén seskupte domény jejich propojením s adresáři.
Další informace >


dir-trusting

Důvěryhodnost adresáře: Tato funkce slouží k označení správců systémů jiných organizací za důvěryhodné.
Další informace >


cq5dam_web_1280_1280

Přejít z adresářů SHA-1 na SHA-2: Aktualizuje původní adresáře s ověřováním SHA-1 na profil ověřování SHA-2.
Další informace >


move-domains

Přesouvání domén napříč adresáři: Vytvořte v nástroji Admin Console strukturu adresářů přesouváním domén napříč adresáři.
Další informace >


V roli správce systému v nástroji Admin Console bude jedním z vašich prvních úkolů definovat a nastavit systém identit, pomocí kterého se budou vaši koncoví uživatelé ověřovat. Jak vaše organizace bude nakupovat licence k produktům a službám Adobe, budete muset tyto licence průběžně poskytovat koncovým uživatelům. Proto budete potřebovat způsob, jak tyto uživatele ověřovat.

Společnost Adobe nabízí následující typy identit, které můžete použít k ověření vašich koncových uživatelů:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Pokud budete chtít uživatelům ve vaší doméně vytvořit oddělené účty, které vlastní a ovládá vaše organizace, je nutné jako typ identity zvolit Enterprise ID nebo Federated ID (pro jednotné přihlášení).

Tento článek poskytuje údaje potřebné k nastavení systému identit v situaci, že chcete k ověřování koncových uživatelů používat identifikátory Enterprise ID nebo Federated ID.

Tento článek poskytuje údaje potřebné k nastavení systému identit v situaci, že chcete k ověřování koncových uživatelů používat identifikátory Enterprise ID nebo Federated ID.

Poznámka:

Postupy Nastavení adresářeNastavení domény popsané v tomto dokumentu fungují zcela nezávisle. To znamená, že můžete tyto postupy využít v libovolném pořadí nebo souběžně. Proces propojení domény e‑mailů s adresáři nicméně proběhne až po dokončení obou těchto procesů.

Základní termíny a pojmy

Předtím, než se začneme věnovat procesům, uvádíme některé termíny a pojmy, které je třeba znát:

Adresář v nástroji Admin Console je entita, která obsahuje zdroje, jako jsou uživatelé a zásady (například ověřování). Tyto adresáře jsou podobné adresářům LDAP nebo Active Directories.

Poskytovatel identity organizace, například Active Directory, Microsoft Azure, Ping, Okta, InCommon nebo Shibboleth.

Další informace o nastavení jednotného přihlašování pro službu Creative Cloud za použití oblíbených poskytovatelů identity najdete v části Další podobné nápovědy na konci tohoto článku.

Vytvořeno, vlastněno a spravováno organizací. Společnost Adobe hostuje Enterprise ID a provádí ověřování, ale organizace Enterprise ID spravuje. Koncoví uživatelé si nemohou registrovat či vytvářet Enterprise ID, ani si nemohou registrovat další produkty a služby u společnosti Adobe za pomoci Enterprise ID.

Správci vytvoří Enterprise ID a vydají jej uživateli. Správci mohou zrušit přístup k produktům a službám převzetím účtu nebo odstraněním Enterprise ID, čímž trvale zablokují přístup k souvisejícím datům.

Dále uvádíme několik požadavků a scénářů, kdy je doporučeno používat Enterprise ID:

  • Pokud potřebujete zajistit přísnou kontrolu nad tím, které Aplikace a služby jsou dostupné uživatelům.
  • Pokud potřebujete nouzový přístup k souborům a datům spojeným s ID.
  • Pokud potřebujete schopnost plně zablokovat nebo odstranit uživatelský účet.

Vytvořeno a vlastněno organizací a zároveň propojeno s adresářem podniku prostřednictvím federace. Organizace spravuje přihlašovací údaje a zpracovává jednotné přihlašování prostřednictvím poskytovatele identity SAML2.

Dále uvádíme několik požadavků a scénářů, kdy je doporučeno používat Federated ID:

  • Chcete zřizovat uživatele na základě podnikového adresáře své organizace.
  • Chcete spravovat ověřování uživatelů.
  • Potřebujete zajistit přísnou kontrolu nad tím, které Aplikace a služby budou dostupné uživatelům.
  • Pokud chcete povolit uživatelům používat stejnou e‑mailovou adresu, přidejte účet Adobe ID.

Poznámka:

Poskytovatel identity musí splňovat normu TLS 1.2.

Vytvořeno, vlastněno a spravováno koncovým uživatelem. Společnost Adobe provádí ověřování, identitu spravuje koncový uživatel. Uživatelé si ponechávají plnou kontrolu nad soubory a daty spojenými s jejich ID. Uživatelé mohou další produkty a služby zakoupit od společnosti Adobe. Správci mohou přizvat uživatele, aby se připojili k organizaci, nebo je odebírat. Uživatelům však nemůže být odepřen přístup k jejich účtu Adobe ID. Tyto účty nemohou být odstraněny nebo převzaty správcem. Před prvním použitím Adobe ID není nutné provádět žádné nastavení.

Dále uvádíme několik požadavků a scénářů, kdy je doporučeno používat Adobe ID:

  • Pokud chcete umožnit uživatelům vytvářet, vlastnit a spravovat jejich identity.
  • Pokud chcete uživatelům umožnit nákup nebo registrování produktů a služeb Adobe.
  • Pokud se očekává, že uživatelé budou využívat další služby Adobe, které v současné době nepodporují Enterprise ID nebo Federated ID.
  • Pokud už uživatelé mají Adobe ID a přidružená data, jako jsou soubory, písma nebo nastavení. 
  • V nastavení pro vzdělávací instituce, kde si studenti mohou zachovat své Adobe ID i po absolutoriu.
  • Pokud využíváte dodavatele a nezávislé pracovníky, kteří ve vámi vlastněné doméně nepoužívají e‑mailové adresy.
  • Pokud máte smlouvu pro týmy Adobe, budete muset používat tento typ identity.

Část e‑mailové adresy následující za symbolem @. Než bude možné používat doménu s identifikátorem Enterprise ID nebo Federated ID, bude třeba ověřit vlastnictví této domény.

Například pokud organizace vlastní více domén (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale jejich zaměstnanci jsou ověřováni v doméně geometrixx.com. V takovém případě k nastavení identity v nástroji Admin Console budou organizace používat doménu geometrixx.com.

Správce systému

  • Spolupracuje se správci adresářů poskytovatele identity a správci serverů DNS na nastavení identity v nástroji Admin Console. Tento dokument je určen správcům systému, kteří budou mít přístup k nástroji Admin Console. U tohoto pracovníka se očekává, že bude pracovat s dalšími pracovníky, kteří (obvykle) nemají přístup k nástroji Admin Console.

Správce serverů DNS

  • Aktualizuje tokeny DNS umožňující ověřit vlastnictví domény.

Správce adresáře poskytovatele identity

  • Zajišťuje spojení s poskytovatelem identity

Identity uživatelů se ověří u zdrojů pro ověřování. Chcete‑li použít Enterprise ID nebo Federated ID, nastavte přidáním domény vlastní zdroj ověřování. Například pokud je vaše e‑mailová adresa petr@priklad.cz, vaše doména je „priklad.cz“. Přidaná doména umožňuje vytvoření Enterprise ID nebo Federated ID s e‑mailovou adresou v této doméně. Doménu lze použít buď s Enterprise ID, nebo Federated ID, ale ne s oběma identifikátory. Podle potřeby lze však přidat více domén.

Organizace musí nejprve ověřit, že doménu spravuje. Organizace může také přidat více domén. Doménu lze však přidat pouze jednou. Známé veřejné a generické domény, jako je gmail.com nebo yahoo.com, nelze přidat vůbec.

Další informace o typech identity najdete v tématu Správa typů identity.

SHA-1 a SHA-2 jsou modely certifikátů používané k zabezpečení profilů ověřování adresářů. Jelikož certifikáty SHA‑2 nabízí lepší zabezpečení než starší certifikáty SHA‑1, všechny nové a převedené profily ověřování používají certifikát SHA‑2.

Vytvořit adresáře

Abyste mohli Enterprise ID nebo Federated ID používat, je nutné nejprve vytvořit adresář, ke kterému lze připojit aspoň jednu doménu.

Poznámka:

V současné době společnost Adobe pracovní postupy vyvolané poskytovatelem identity nepodporuje.

Pokud vaše organizace má (nebo plánuje nainstalovat) jako poskytovatele SSO Microsoft Azure, doporučujeme použít náš konektor k Azure. Postupujte podle kroků podrobně popsaných v části Nastavení konektoru k Azure: vytvoření adresáře.

Pokud vaše organizace má (nebo plánuje nainstalovat) jako poskytovatele SSO federaci Google, doporučujeme použít náš konektor pro Google. Postupujte podle kroků podrobně popsaných v části Nastavení federace Google: vytvoření adresáře v konzoli Adobe Admin Console.

Pokud vaše organizace používá jednu nebo více z následujících konfigurací, použijte níže uvedený postup:

  • Enterprise ID;
  • Poskytovatel SAML jiný než Azure nebo Google;
  • Microsoft Azure nebo federace Google. Nepoužíváte však naše konektory.

  1. Přihlaste se k nástroji Admin Console a přejděte do nabídky Nastavení > Identita.

  2. Na kartě Adresáře klikněte na Vytvořit adresář.

  3. Na obrazovce Vytvořit adresář zadejte název adresáře.

  4. Vyberte Federated ID, klikněte na Další a pokračujte ke kroku 5.

    Vyberte Enterprise ID a klikněte na Vytvořit adresář.

    Pokud vytváříte adresář Enterprise ID, tento postup vytvoření adresáře je dokončen.

    Pokračujte nastavením domén.

  5. (Pouze pro Federated ID) Vyberte možnost Ostatní poskytovatelé SAML a klikněte na Další.

  6. Na obrazovce Přidání profilu SAML získáte informace pro nastavení svého poskytovatele identity.

    Někteří poskytovatelé identity (IdP) přijímají soubor metadat, který můžete nahrát, jiní mohou vyžadovat URL ACSID entity. Příklad:

    • V případě Azure Active Directory nahrajte soubor metadat.
    • V případě Google zkopírujte URL ACSID entity a použijte je v softwaru IdP Google.
    • V případě SalesForce si stáhněte soubor metadat, extrahujte z něj informace o certifikátu použijte je v softwaru IdP SalesForce.

    Poznámka:

    Výše uvedené možnosti pro Azure a Google jsou nutné, pokud jste se rozhodli nepoužívat naše konektory pro Azure a Google.

    Vyberte jednu z níže uvedených metod.

    Metoda 1:

    Klikněte na tlačítko Stáhnout soubor metadat Adobe.

    Soubor s metadaty se stáhne na váš místní disk. Tento soubor použijte ke konfiguraci integrace SAML s poskytovatelem identity.

    Metoda 2:

    Zkopírujte ACS URLID entity.

    Přidání profilu SAML
  7. Přepněte do okna aplikace se svým poskytovatelem IDP a buď nahrajte soubor metadat nebo zadejte ACS URLID entity. Po dokončení stáhněte soubor metadat IdP.

  8. Vraťte se do konzole Adobe Admin Console, nahrajte soubor metadat IdP v okně Přidat profil SAML a klikněte na Hotovo.

Tím je váš adresář vytvořen.

  • Pokud jste se rozhodli vytvořit adresář s typem identity Enterprise ID, nastavení je tímto u konce.
  • Pokud jste se rozhodli vytvořit adresář pomocí možnosti Ostatní poskytovatelé SAML, adresář bude automaticky používat ověřování SHA-2. Dříve vytvořené adresáře s ověřováním SHA-1 lze teď aktualizovat na SHA-2 a převést je na jiného poskytovatele identity. Podrobnosti najdete v tématu Přechod na nového poskytovatele ověřování.

Potom můžete v konzoli Admin Console nastavit domény.

Nastavení domén

Poznámka:

Pokud je adresář vaší organizace nastaven prostřednictvím konektoru Microsoft Azure AD nebo synchronizace federace Google, není nutné ručně přidávat domény. Vybrané domény ověřené v nastavení poskytovatele identity se automaticky synchronizují do konzole Adobe Admin Console.

Vaši koncoví uživatelé k ověřování používají domény, které nastavíte v nástroji Admin Console.

Postup nastavení domén:

  1. Přidání domén do nástroje Admin Console
  2. Příprava na ověření vlastnictví domény přidáním speciálního záznamu DNS
  3. Ověření domén

Vámi přidané domény do nástroje Admin Console není nutné registrovat u společného poskytovatele identity. Jakmile však tyto domény začnete propojovat s adresářem, bude nutné domény s odlišným poskytovatelem identity propojit do různých adresářů.

Doménu nelze do nástroje Admin Console přidat, pokud už je přidána do tohoto nástroje v jiné organizaci. Můžete však v takovém případě požádat o přístup k dané doméně.

  1. Přihlaste se k nástroji Admin Console a přejděte do nabídky Nastavení > Identita.

  2. Na kartě Domény klikněte na Přidat domény.

  3. Na obrazovce Přidat domény zadejte jednu nebo více domén a klikněte na Přidat domény. Najednou můžete deklarovat a ověřit jen 15 domén a případné další musíte přidat až následně.

  4. Na obrazovce Přidání domén tento seznam zkontrolujte a klikněte na Přidat domény.

    Potvrzení přidávaných domén

Vaše domény jsou nyní přidány do nástroje Admin Console. Teď je potřeba prokázat vlastnictví těchto domén.

Organizace musí prokázat, že doménu vlastní. Organizace může do nástroje Admin Console přidat tolik domén, kolik bude potřebovat.

Konzole Admin Console umožňuje jedné organizaci k prokázání vlastnictví všech svých domén použít jeden token DNS. Konzole Admin Console současně nevyžaduje ověřování subdomén formou tokenů DNS. To znamená, že když pomocí tokenu DNS prokazujete vlastnictví domény, všechny její subdomény budou ověřeny hned po jejich přidání do nástroje Admin Console.

  1. Přihlaste se k nástroji Admin Console, přejděte do nabídky Nastavení > Identita a otevřete kartu Domény.

  2. Klikněte na ikonu a z rozevíracího seznamu vyberte možnost Přístupový token DNS.

  3. Obraťte se na správce serveru DNS a doplňte speciální záznam DNS pro domény, které jste přidali.

  4. Chcete‑li potvrdit, že doménu vlastníte, musíte přidat záznam ve formátu TXT s vygenerovaným tokenem DNS. Konkrétní postup tohoto úkonu závisí na hostiteli domény. Obecné pokyny najdete v tématu Ověření vlastnictví domény.

  5. Tento krok dokončete přidáním informací do vašich záznamů serverů DNS. Informujte předem svého správce DNS, aby bylo možné tento krok dokončit co nejdříve.

    Adobe záznamy DNS týkající se vaší domény pravidelně kontroluje. Pokud jsou správné, doména je automaticky ověřena. Pokud chcete doménu ověřit okamžitě, můžete se přihlásit do konzole Admin Console a ověřit ji ručně. Dál je potřeba ověřit domény.

Admin Console ověřuje vámi přidané domény několikrát denně, proto je nemusíte po správné konfiguraci záznamů DNS sami ověřovat.

Ruční ověření domén

Pokud budete chtít vaši doménu ověřit okamžitě, lze toho dosáhnout v nástroji Admin Console. Postup ručního ověření domén:

  1. Přihlaste se k nástroji Admin Console.

  2. Klikněte postupně na Nastavení > Identita a přejděte na kartu Domény.

  3. Klikněte na Ověřit.

    Ověření domén
  4. Na obrazovce Ověřit vlastnictví domény klikněte na Ověřit.

Při pokusu o ověření se mohou zobrazit chybové zprávy, protože projevení změn DNS může trvat až 72 hodin. Další informace vám poskytnou odpovědi na běžné otázky související se záznamem DNS.

Po ověření vlastnictví domény propojte ověřené domény s požadovanými adresáři v konzoli Admin Console.

Po nastavení adresářůdomén v nástroji Admin Console je nutné propojit domény s adresáři.

Podle potřeby můžete propojit několik domén se stejným adresářem. Nicméně všechny domény propojené se stejným adresářem musí sdílet stejné nastavení jednotného přihlášení.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Domény.

  3. Zaškrtněte pole vlevo od názvu domény a klikněte na Propojit s adresářem.

    Pokud budete chtít propojit více domén se stejným adresářem, označte pole u všech požadovaných domén.

    Propojení domén s adresářem
  4. Na obrazovce Propojit s adresářem vyberte z rozvírací nabídky vhodný adresář a klikněte na Propojit.

Správa uživatelů

Po dokončení nastavení Enterprise ID nebo Federated ID jste připraveni poskytnout uživatelům zakoupené produkty a služby Adobe.

Přečtěte si úvod k uživatelům v konzoli Admin Console. Nebo rovnou přidejte uživatele do konzole Admin Console jednou z těchto metod:

Až uživatele přidáte do konzole Admin Console, přiřaďte je k profilům produktů.

Důvěryhodnost adresářů

Vlastnictví domény může deklarovat pouze jedna organizace. Představte si následující situaci:

Společnost Geometrixx využívá více oddělení, z nichž každé má svou vlastní jedinečnou konzoli Admin Console. Navíc každé oddělení chce pro uživatele používat Federated ID – to vše s využitím domény geometrixx.com. V tomto případě by správce systému v každém z těchto oddělení chtěl deklarovat tuto doménu a používat ji pro ověřování. Konzole Admin Console brání přidání domény do více než jednoho nástroje Admin Console jiné organizace. Nicméně po přidání v jednom oddělení si mohou ostatní oddělení prostřednictvím nástroje Admin Console jejich organizace zažádat o přístup k adresáři, se kterým je daná doména propojena.

Důvěryhodnost adresáře umožňuje vlastníkovi adresáře důvěřovat ostatním správcům systému (důvěryhodným stranám). Důvěryhodné organizace mohou následně ve svém nástroji Admin Console přidávat uživatele do libovolné domény v rámci důvěryhodného adresáře.

Jinými slovy: Pokud plánujete používat Enterprise ID nebo Federated ID ve svém nástroji Admin Console, je nutné přidat doménu spojenou s vaší organizací. Pokud byla tato doména už dříve přidána jinou organizací, musíte požádat o přístup k adresáři obsahujícímu doménu jako důvěryhodná strana.

Při žádosti o přístup k adresáři postupujte podle pokynů pro přidání domén ve výše uvedeném tématu Nastavení domén.

Pozor:

Pokud z pozice vlastníka adresáře schválíte žádost o přístup k tomuto adresáři, důvěryhodná organizace získá přístup ke všem doménám propojeným s daným adresářem, stejně jako ke všem doménám, které k danému adresáři propojíte v budoucnu. Plánování propojení domény s adresářem je proto nezbytným krokem při konfiguraci systému identit ve vaší organizaci.

Důvěryhodná strana domény

Při přidání existující domény do konzole Admin Console se zobrazí následující zpráva:

Žádost o přístup

Když zažádáte o přístup k této doméně, žádost zaslaná správcům systému vlastnící organizace bude obsahovat vaše jméno, váš e‑mail a název vaší organizace.

Typ adresáře (Enterprise nebo Federated) závisí na nastavení vlastnící organizace. To znamená, že musíte používat ten typ adresáře, který určí vlastnící organizace.

Vzhledem k tomu, že doménu už nastavil její vlastník (podrobnosti o prokazování vlastnictví domén najdete v tématu Nastavení domén), nemusíte už coby důvěryhodná strana provádět žádné další kroky. Když vlastník žádost o přístup akceptuje, vaše organizace získá přístup k adresáři a všem jeho doménám podle konfigurace provedené vlastnickou organizací.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Žádosti o přístup a ověřte stav u každého adresáře, ke kterému jste požádali o přístup.

  3. Můžete také kliknout na položku v řádku seznamu žádostí o přístup a kliknout na Odeslat požadavek znovu, nebo na Zrušit žádost.

Pokud vlastnící organizace vaši žádost o přístup k adresáři schválí, dostanete oznámení e‑mailem. Vaše žádost o uznání důvěryhodnosti zmizí a místo ní se ve vašem seznamu adresářů a domén zobrazí důvěryhodný adresář včetně domén se stavem Aktivní (důvěryhodný).

Pokračujte přidáním koncových uživatelůskupin uživatelů a přiřaďte je k profilům produktu.

Když už jako důvěryhodná organizace ke svému důvěryhodnému adresáři nepotřebujete přístup, můžete svůj stav důvěryhodné strany kdykoliv zrušit.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Na kartě Adresáře klikněte na sdílený adresář, u kterého chcete zrušit svůj přístup.

  3. V nabídce s podrobnostmi o adresáři klikněte na Stáhnout.

Pokud zrušíte svůj přístup k důvěryhodnému adresáři, všichni uživatelé s identifikátorem Enterprise ID nebo Federated ID, kteří patří do domén v tomto adresáři (kteří se přihlašují pomocí přihlašovacích údajů pro danou doménu), budou z vaší organizace odebráni. Navíc tito uživatelé ztratí přístup k veškerému softwaru, ke kterému jim ho vaše organizace udělila.

Vlastník domény

Z pozice správce systému vlastnící organizace můžete přijmout nebo odmítnout žádosti o přístup k adresářům, které vlastníte. 

Jakmile obdržíte e‑mail s žádostí o přístup k adresáři, který vlastníte, můžete žádost přímo prostřednictvím e‑mailu přijmout nebo zamítnout. Můžete také přejít na kartu Žádosti o přístup a žádosti o deklaraci zde spravovat.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Žádost o přístup.

  3. Pokud chcete přijmout všechny žádosti, klikněte na Přijmout vše.

    Nebo můžete přijmout pouze některé žádosti tak, že zaškrtnete pole vlevo od daného řádku a kliknete na Přijmout.

  4. Na obrazovce Přijetí žádosti o přístup klikněte na Přijmout.

Správcům systému z důvěryhodné organizace se odešle e‑mailové upozornění.

Podle potřeby můžete také žádost o přístup k vámi vlastněnému adresáři zamítnout.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Žádost o přístup.

  3. Zaškrtněte pole vlevo od jednotlivých řádků a klikněte na Zamítnout.

  4. Na obrazovce Zamítnutí žádosti o přístup uveďte důvod zamítnutí žádosti a klikněte na Zamítnout.

Uvedený důvod bude zaslán e‑mailem žádající organizaci. Informace o vašem e‑mailu, jménu a organizaci v něm však uvedeny nebudou.

Podle potřeby můžete zrušit přístup důvěryhodné organizace, které byl už dříve udělen přístup.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Důvěryhodné strany.

  3. Zaškrtněte pole vlevo od jednotlivých řádků a klikněte na Zrušit.

  4. Na obrazovce Zrušení důvěryhodné strany klikněte na Zrušit.

Pokud zrušíte přístup důvěryhodné organizace, uživatelé s účtem Enterprise ID nebo Federated ID ve všech doménách v daném adresáři se z důvěryhodné organizace odeberou. Navíc tito uživatelé ztratí přístup k veškerému softwaru a službám, který jim důvěryhodná organizace udělila.

Správa šifrovacích klíčů

Za pomoci služby Creative Cloud nebo Document Cloud pro podniky mohou koncoví uživatelé ukládat soubory bezpečně s jistotou zabezpečení. Uživatelé mají také možnost sdílet soubory a spolupracovat s ostatními. Soubory jsou uživatelům přístupné prostřednictvím webu Creative Cloud, aplikace Creative Cloud pro stolní počítače a aplikace Creative Cloud pro mobilní zařízení. Úložiště je v rámci služby Creative Cloud nebo Document Cloud pro podniky k dispozici v případě, že se jedná o součást dohody vaší organizace se společností Adobe.

I přesto, že všechna data ve službě Creative Cloud a Document Cloud jsou šifrovaná, můžete si pro zajištění další vrstvy kontroly a zabezpečení od společnosti Adobe vyžádat vyhrazený šifrovací klíč pro některé nebo všechny adresáře ve vaší organizaci. Obsah je poté šifrován pomocí standardního šifrování s vyhrazeným šifrovacím klíčem. Pokud bude třeba, můžete šifrovací klíč zrušit z konzole Admin Console.

Vyhrazené šifrovací klíče jsou dostupné pouze u plánů Creative Cloud nebo Document Cloud pro podniky se sdílenými službami, které nabízí úložiště a služby.

Další informace najdete v tématu Správa šifrování klíčů v konzoli Admin Console.

Přechod na nového poskytovatele ověřování

Pokud máte adresáře, které používají ověřování SHA-1, můžete teď hladce přejít z profilů ověřování SHA-1 na SHA-2 bez nutnosti vytváření nových adresářů.

Migrace také umožňuje převést už používaný adresář na jiného poskytovatele identity.

Pozor:

Neodstraňujte stávající nastavení IdP, dokud nepotvrdíte úspěšnost nové konfigurace pomocí 2 až 3 aktivních účtů v adresáři.

Pokud ho odstraníte před ověřením, ztratíte možnost vrátit se zpět k předchozí konfiguraci a způsobíte si výpadky během řešení případných problémů. Další informace najdete v postupu migrace.

Požadavky na přístup

Pokud chcete přejít na profil ověřování SHA-2, musíte splnit následující požadavky:

  • Musíte mít přístup ke konzoli Admin Console ve vaší organizaci s přihlašovacími údaji správce systému.
  • Musíte mít k dispozici stávající adresář s ověřováním SHA-1 nakonfigurovaný pro federaci v konzoli Admin Console.
  • Musíte mít přístup ke konfiguraci poskytovatele identity pro vaši organizaci (například Microsoft Azure Portal, konzole Google Admin apod.).

Informace o dalších aspektech, které je třeba vzít při implementaci v úvahu, najdete v tématu Aspekty implementace.

Postup migrace

Až budete splňovat podmínky přístupu a zvážíte všechny aspekty implementace, použijte následující postup pro úpravu profilu ověřování a převedení adresáře:

  1. V konzoli Adobe Admin Console klikněte na Nastavení > Adresáře.

  2. U adresáře vyberte akci Upravit. Potom vyberte v sekci Podrobnosti adresáře vyberte možnost Přidat nového IdP.

  3. Vyberte poskytovatele identity, kterého chcete použít k nastavení nového profilu ověřování. Vyberte poskytovatele identity (IdP), kterého vaše organizace používá k ověřování uživatelů. Klikněte na tlačítko Další.

  4. Na základě vybraného poskytovatele identity postupujte podle následujících kroků:

    • Azure
      Přihlaste se ke službě Azure pomocí přihlašovacích údajů Microsoft Azure Active Directory pro globálního správce a potvrďte výzvu k oprávnění kliknutím na tlačítko Přijmout. Budete přesměrováni zpět na podrobnosti adresáře v konzoli Admin Console.

    • Google:

      1. Zkopírujte adresu ACS URLID entity z obrazovky Upravit konfiguraci SAML.
      2. V samostatném okně se pomocí přihlašovacích údajů pro správce Google přihlaste k administrátorské konzoli Google a přejděte do části Aplikace > Aplikace SAML.
      3. Pomocí symbolu + přidejte novou aplikaci a vyberte aplikaci Adobe. Potom stáhněte metadata IdP v rámci možnosti 2 a nahrajte je v okně Upravit konfiguraci SAML v konzoli Adobe Admin Console. Potom klikněte na tlačítko Uložit.
      4. Zkontrolujte Základní informace pro Adobe. Vše dokončete zadáním dříve zkopírované adresy ACS URL a ID entity do pole Podrobnosti o poskytovateli služeb.
      5. Nakonec přejděte do části Aplikace > Aplikace SAML > Nastavení pro Adobe > Stav služby. Změňte stav služby na hodnotu ZAPNUTO pro všechny a klikněte na tlačítko Uložit.
      Stav služby
    • Ostatní poskytovatelé SAML:

      1. Přihlaste se v novém okně do aplikace vašeho poskytovatele identity a vytvořte novou aplikaci SAML. (Neupravujte existující aplikace SAML, aby během migrace nedošlo k prostojům).
      2. Na základě nastavení poskytovatele identity zkopírujte soubor s metadaty nebo adresu ACS URL a ID entity z konzole Adobe Admin Console do nastavení poskytovatele identity.
      3. Nahrajte soubor s metadaty z nastavení poskytovatele identity do konzole Adobe Admin Console. Potom klikněte na tlačítko Uložit.
  5. V nabídce Adobe Admin Console > Adresář se vytvoří nový profil pro ověřování. Pomocí tlačítka Test ověřte správné nastavení konfigurace a zajistěte tak, že všichni koncoví uživatelé budou mít přístup k aplikacím SAML.

    Funkce Test zajistí, že formát uživatelského jména v novém profilu ověřování v rámci jejich IdP odpovídá uživatelským údajům z existujícího profilu potřebným pro přihlášení uživatele.

  6. Kliknutím na tlačítko Aktivovat přejdete na nový profil ověřování. Po dokončení se u nového profilu zobrazí status Používá se.

    Po aktivaci se ujistěte, že hodnota v poli Předmět pro kontrolu SAML v rámci nové konfigurace SAML odpovídá formátu uživatelského jména stávajícího uživatele v konzole Admin Console.

    Pozor:

    Jakmile bude nová konfigurace IdP aktivní, profil Okta SHA-1 zůstane neaktivní a bude k dispozici po dalších sedm dnů. Potom se karta s neaktivním profilem automaticky z adresáře Adobe Admin Console odstraní. Jediným způsobem, jak obnovit odebraný profil Okta, je vytvoření žádosti o podporu Adobe Engineering. 

Po převedení adresáře na poskytovatele SAML podporujícího certifikát SHA-2 můžete za pomoci funkce Přenesení domény přesunout domény z ostatních adresářů SHA-1 do nového adresáře.

Další informace o určitých omezeních a rady pro vyvarování se chybám s konfigurací najdete v tématu Časté dotazy: převedení adresáře na nového poskytovatele ověřování.

Přesouvání domén mezi různými adresáři

Organizace mohou strukturovat adresáře přesouváním domén ze zdrojových adresářů do cílových adresářů v nástroji Admin Console. Propojení domén s adresáři můžete přeuspořádat podle potřeb vaší organizace, aniž by koncoví uživatelé ztratili přístup ke svým produktům, službám nebo uloženým datovým zdrojům. Konsolidace domén nakonfigurovaných pro stejného poskytovatele identity do jednoho adresáře zjednodušuje správu pro váš tým IT.

Pokud se chystáte převádět domény z jednoho adresáře do jiného, který využívá nového poskytovatele identity (Azure, Google nebo jiný SAML) s ověřením SHA-2, bude nezbytné do obou adresářů replikovat nové nastavení IdP. Nové nastavení IdP umožňuje otestovat přihlášení uživatelů ze všech domén v adresáři. Podle nového poskytovatele identity proveďte následující kroky:

  • Microsoft Azure: Přidejte do svého adresáře nového Azure IdP a přihlaste se ke stejnému klientovi Azure.
  • Ostatní poskytovatelé SAML (včetně Google): Nahrajte stejný soubor s metadaty, který bude odkazovat na stejnou aplikaci SAML v rámci vašeho IdP.

Po převedení domény zůstane uživatelům, kteří jsou nyní součástí nového adresáře, možnost přihlásit se. Toto opatření pomůže předejít prostojům a zajistí okamžitý přístup k přiřazeným aplikacím a službám Adobe. 

Poznámka:

Uživatelé jsou odhlášeni ze svých účtů a během převodu domény se nemohou přihlásit do nové relace. Doporučujeme upravit adresáře v době mimo hlavní vytížení, aby se minimalizovalo narušení práce koncových uživatelů.

Proč přesouvat domény

Tuto funkci můžete využít v následujících situacích:

  • V původních adresářích používajících SHA-1 máte domény a chcete přejít na adresáře používající SHA-2.
  • Chcete přenést stávající adresář na jiného poskytovatele identity s profilem pro ověřování SHA-2.
  • Máte adresáře v důvěryhodném vztahu nebo chcete sdílet adresáře s důvěryhodnými stranami bez umožnění přístupu ke všem doménám v důvěryhodném adresáři.
  • Je třeba seskupit adresáře na základě organizačních týmů a oddělení.
  • Máte několik adresářů, které jsou propojeny s jednotlivými doménami, a chcete je konsolidovat.
  • Doménu jste omylem propojili s nesprávným adresářem.
  • Chcete samoobslužně přesunout doménu z Enterprise ID na Federated ID nebo z Federated ID na Enterprise ID.

Zpracování šifrovaných nebo důvěryhodných adresářů

Pokud jsou zdrojové nebo cílové adresáře šifrovány nebo jsou v důvěryhodném vztahu, nelze domény přesouvat přímo. V těchto případech postupujte podle uvedených pokynů:
 

Příklad využití

Navrhovaný přístup

Přesunutí domény z jedné organizace z nástroje Admin Console do druhé

Kontaktujte péči o zákazníky společnosti Adobe

Přesun domén mezi adresáři, které jsou navzájem v důvěryhodném vztahu

Postupujte podle následujících pokynů

Přesun domén mezi adresáři, které jsou v důvěryhodném vztahu (ne navzájem)

Odvolejte důvěryhodný vztah, přesuňte domény a znovu navažte vztah důvěryhodnosti.

Pozor:

Přesouvání domén do šifrovaného adresáře nebo z něj není aktuálně podporováno.

Přesunutí domén

Při převodu domén ze zdrojového adresáře do cílového postupujte podle níže uvedeného postupu:

  1. Přihlaste se ke konzoli Adobe Admin Console a přejděte do nabídky Nastavení.

  2. Přejděte na kartu Domény a vyberte domény, které chcete přesunout do cílového adresáře. Potom klikněte na tlačítko Upravit adresář.

    Upravit adresář
  3. Na obrazovce Upravit adresář vyberte adresář z rozevíracího seznamu. Pomocí přepínače v dolní části můžete zapnout nebo vypnout oznámení o dokončení. Potom klikněte na tlačítko Uložit.

    Výběr adresáře

Budete přesměrováni do části Domény v nabídce Nastavení > Identita. Domény uvedeny zde jsou všechny s jejich stavem.

Jakmile budou domény úspěšně přeneseny, správci systému obdrží e‑mail o převodu domény. Následně už můžete podle potřeby upravovat názvy adresářů a odstranit prázdné adresáře.

Odstranění adresářů a odebrání domén

Adresáře a domény, které už nepoužíváte, můžete z nástroje Admin Console odstranit.

Poznámka:

Nelze odstranit adresář, který má:

  • aktivní uživatele,
  • propojené domény,
  • důvěryhodné strany.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Adresáře.

  3. Označte pole nalevo od názvu jednoho nebo více adresářů a klikněte na tlačítko Odstranit adresáře.

  4. Na obrazovce pro odstranění adresářů klikněte na tlačítko Odstranit.

Poznámka:

Doménu nelze odebrat, pokud existují uživatelé, kteří mají tuto doménu uloženou v nástroji Admin Console, nebo pokud je doména propojena s alespoň jedním adresářem.

  1. Přihlaste se k nástroji Admin Console a klikněte postupně na Nastavení > Identita.

  2. Přejděte na kartu Domény.

  3. Zaškrtněte pole vlevo od názvů jedné nebo více domén a klikněte na Odstranit.

  4. Na obrazovce Odebrání domén klikněte na Odebrat.