Konzole Adobe Admin Console nabízí podnikovým uživatelům způsob, jak v podnikových službách od společnosti Adobe ověřit svoji totožnost za pomoci stávajícího systému pro správu identity, a to díky integraci systému správy identity využívající jednotné přihlášení. Jednotné přihlášení je možné díky využití standardního protokolu SAML, který umožňuje propojení systému pro správu identity v podniku s poskytovatelem cloudových služeb, jako je například společnost Adobe. Jednotné přihlášení dokáže bezpečně vyměňovat ověřovací informace mezi dvěma stranami: poskytovatelem služeb (Adobe) a vaším poskytovatelem identity. Poskytovatel služeb odešle požadavek vašemu poskytovateli identity, který se pokusí ověřit uživatele. Po úspěšném ověření poskytovatel identity odešle reakci v podobě zprávy pro přihlášení uživatele. Podrobné informace naleznete v tématu Konfigurace jednotného přihlašování.

Plán

Společnost Adobe nabízí tři různé typy identity:

  • Enterprise ID: Organizace si vytvoří účet a je jeho vlastníkem. Společnost Adobe spravuje přihlašovací údaje a zpracovává přihlašování.
  • Federated ID: Organizace si vytvoří účet, je jeho vlastníkem a propojí jej s podnikovým adresářem pomocí federace. Podnik nebo škola spravují přihlašovací údaje a zpracovává přihlašování prostřednictvím jednotného přihlašování.
  • Adobe ID: Uživatel si vytvoří účet a je jeho vlastníkem. Společnost Adobe spravuje přihlašovací údaje a zpracovává přihlašování.

Společnost Adobe doporučuje organizacím používat identifikátory Enterprise ID nebo Federated ID k řízení vlastnictví účtů a dat. Další informace získáte zde.

Ano, můžete využívat kombinaci Enterprise ID, Federated ID a Adobe ID, ale ne u stejné deklarované domény.

Identifikátory Enterprise ID a Federated ID je nutné používat exkluzivně na úrovni domény. Z toho důvodu je nutné zvolit pouze jeden z nich. Adobe ID můžete používat ve spojení s Federated ID nebo s Enterprise ID.

Například pokud některý podnik deklaruje pouze jednu doménu, správce IT se může rozhodnout buď pro Enterprise ID, nebo pro Federated ID. Pokud organizace v rámci podniku deklaruje více domén, správce IT může použít u jedné domény kombinaci Adobe ID a Enterprise ID, u jiné domény kombinaci Adobe ID s Federated ID a tak dále. To znamená, že u každé domény můžete používat Adobe ID vždy jen s Enterprise ID, nebo jen s Federated ID.

Správa licencí Adobe s využitím Federated ID je rychlejší, snadnější a bezpečnější.

  • Správci IT řídí ověřování a cyklus uživatelů.
  • Když odeberete uživatele z podnikového adresáře, uživatel již nebude mít přístup k aplikacím pro stolní počítače, službám ani aplikacím pro mobilní zařízení.
  • Federated ID umožňuje organizacím zachovat v provozu systémy pro správu identity uživatele, které již používají.
  • Vzhledem k tomu, že koncoví uživatelé používají standardní systém vaší organizace pro správu identit, oddělení IT nemusí řídit samostatné procesy správy hesel.

Při přihlašování jsou vaši koncoví uživatelé přesměrováni do standardního a již známého prostředí pro jednotné přihlašování vaší organizace.

Možnost změnit typ identity u již deklarované domény zatím není k dispozici. Pokud jste deklarovali jednu nebo více domén, které mají využívat Enterprise ID, a chcete změnit konfiguraci této domény tak, aby používala Federated ID, odešlete z konzole pro správu Adobe Admin Console žádost o online asistenci a my vás upozorníme, jakmile bude tato funkce k dispozici.

Ano, můžete federovat svůj podnikový adresář a jeho infrastrukturu přihlašování a ověřování ve službách Adobe za využití poskytovatele identity, který využívá standard SAML 2.0.

Společnost Adobe pracuje na propojení poskytovatele identity pro vaši společnost s řešením, které má název klient Okta. Společnost Adobe nekomunikuje přímo s podnikovým adresářem, ale pouze s poskytovatelem identity.

Ne. Jakmile deklarujete doménu pro identifikátor Federated ID, nic se u stávajících Adobe ID s příslušnými e-mailovými adresami v dané doméně nezmění. Stávající Adobe ID v konzoli Admin Console budou zachována.

Migrace datových zdrojů je automatizovaný proces. Po jeho zahájení dojde k migraci veškerého podporovaného aktuálně uloženého obsahu z účtu s Adobe ID do vašeho účtu s Enterprise/Federated ID. Další informace najdete v tématu Automatická migrace datových zdrojů.

Implementace Federated ID společnosti Adobe přináší podporu pro autorizaci. Ověřování řídí váš poskytovatel identity.

Z pozice podnikové organizace můžete vytvořit vazbu mezi službami pro ověřování (s využitím firemní struktury ID, jako je například Active Directory) a řešením společnosti Adobe. To umožňuje podnikové organizaci působit jako hostitel ověřování. Společnost Adobe nikdy neukládá hesla a správci IT nemají možnost v konzoli Adobe Admin Console obnovit hesla ani upravit uživatelská jména spojená s Federated ID.

Ano. Pomocí funkce Import uživatelů, která je k dispozici v konzoli Adobe Admin Console. Další informace naleznete v tématu Přidání více uživatelů.

Ne. Společnost Adobe komunikuje s vaším poskytovatelem identity, nikoli přímo s vaším podnikovým adresářem. Nabízíme nicméně možnost importovat informace o uživatelích a skupině z vašeho podnikového adresáře přímo do konzole Adobe Admin Console. Další informace naleznete v tématu Přidání více uživatelů.

Společnost Adobe doporučuje všem správcům ve firmách převést své uživatele s identifikátorem Adobe ID na Federated ID. Přechod z identifikátorů Adobe ID na Federated ID můžete provést podle těchto kroků.

Adobe používá bezpečný a obecně rozšířený průmyslový standard SAML (Security Assertion Markup Language), což znamená, že naši implementaci jednotného přihlašování je možné snadno integrovat u každého poskytovatele identity, který využívá standard SAML 2.0.

Následuje seznam některých poskytovatelů identity splňujících normu SAML 2.0:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Microsoft Azure AD#
  • Google Federation# 
  • Ping Federate
  • Poskytovatel identity Salesforce s externě podepsaným certifikátem
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Poznámka:

#Pokud je vaším poskytovatelem identity služba Microsoft Azure AD nebo služba společnosti Google, můžete přeskočit metodu založenou na SAML a použít v konzoli Adobe Admin Console k nastavení jednotného přihlášení konektor Azure AD, respektive Google Federation SSO. Tato nastavení jsou založena a spravována pomocí konzole Adobe Admin Console a využívají mechanismus synchronizace pro správu identit a oprávnění uživatelů.

Ano. Za předpokladu, že dodržuje protokol SAML 2.0.

Ano. Poskytovatel identity navíc musí splňovat normu SAML 2.0.

Naprostým minimem je, aby váš poskytovatel identity splňující normu SAML nabízel následující:

  1. Certifikát poskytovatele identity
  2. Adresu URL pro přihlášení k poskytovateli identity
  3. Vazba poskytovatele identity: HTTP-POST nebo HTTP-Redirect
  4. Adresa URL poskytovatele identity pro spotřebitelskou službu, musí umožňovat přijímání požadavků SAML a RelayState.

V případě dalších otázek se obraťte na svého poskytovatele identity.

Ne. K prolomení 2 048bitového certifikátu ještě nikdy nedošlo. Navíc osoby, kterým se úspěšně podařilo prolomit alespoň 768bitový certifikát (skupina Lenstra) odhadují, že by jim se stejným hardwarem trvalo více než 1000 let prolomit alespoň 1 024bitový certifikát (což je pořád přibližně 32 000 000krát snadnější než prolomení 2 048bitového certifikátu).

Pokud vás zajímají nejnovější technické informace o odhadech v oblasti prolomení certifikátů nejrůznějších délek, navštivte tuto webovou stránku. Vtipné vyobrazení (založené na skutečných údajích, jen marketingově zpracované) bezpečnosti jednotlivých certifikátů naleznete na této webové stránce (nebo na webové stránce s informacemi o matematice použité k výpočtům).

Ano. Tento limit je platný pouze u certifikátů, které se používají k šifrování komunikačního vlákna mezi prohlížečem a serverem. Certifikáty poskytovatele identity / Okta namísto toho slouží k podepisování (ne k šifrování) dat přenášených tímto šifrovaným vláknem. Prohlížeč nikdy tyto certifikáty neuvidí: používají se pouze mezi společnostmi Adobe/Okta a poskytovatelem identity zákazníka.

Spolehlivý komerční 2 048bitový certifikát je možné získat přibližně za 10 USD na rok. Certifikáty používané poskytovateli identity lze navíc doplnit vlastním podpisem, což znamená, že je lze vytvářet i zdarma v softwaru s otevřeným zdrojem.

Ne. Existují dvě další vrstvy kvalitního šifrování, které ověřují totožnost poskytovatele identity, které by bylo nutné prolomit, aby se někdo mohl vydávat za vašeho poskytovatele identity. Navíc obě tyto vrstvy nejsou obstarány vlastním podpisem. To znamená, že byste museli nejen prolomit certifikát, který vynucuje šifrování, ale také certifikát podpisové autority, která tento certifikát vytvořila.

Pokud máte zájem o prémiovou podporu, příslušné telefonní číslo a e-mailová adresa jsou uvedeny v uvítacím e-mailu a v příloze ve formátu PDF, které obdržel váš správce účtu.

Stejný koncový bod adresy URL lze použít pro více adresářů. Metadata federace však budou spravována odděleně pro každého IdP. Společný koncový bod IdP bude tedy muset zpracovávat požadavky, jejichž obsah je různý.

Ano, pokud používá adresářová integrace SAML formát uživatelského jména a uživatelská jména v konzoli Admin Console jsou totožná s poskytovanými trvalými ID. To však vyžaduje, aby trvalá ID byla dostupná v době, kdy se uživatelé synchronizují do konzole Admin Console. Není to běžný scénář, a proto by v praxi trvalý formát pro prvek NameID nebyl podporován.

Ne. Hodnota prvku NameID se používá jako uživatelské jméno v konzoli Admin Console a NameQualifier se ignoruje.

Jméno, příjmení a e-mail pro každého uživatele jsou povinné. Nemusí odpovídat údajům v adresáři, ale e-mail musí být pro každého uživatele jedinečný.

Pouze výjimečně. Není to však doporučováno, protože úprava jakékoli části konfigurace je administrativně velmi náročná.

Ne. Toto není v současné době podporováno.

Certifikáty Okta se běžně podepisují samy. Ve výjimečných případech (a v některých případech za poplatek) mohou mít certifikát podepsaný veřejnou certifikační autoritou.

Postup

Podrobné pokyny k nastavení jednotného přihlašování u aplikací pro stolní počítače, služby a aplikace pro mobilní zařízení Adobe naleznete v tématu Konfigurace jednotného přihlašování.

Ne. Odeslání oznámení koncovým uživatelům prostřednictvím konzole Admin Console není podporováno. Z pozice podnikového zákazníka je třeba pro uživatele, kteří jsou připraveni používat jednotné přihlašování k softwaru a službám Adobe, zajistit vlastní oznámení.

Ne. Pokud odstraníte nebo zablokujete uživatele/ID v podnikovém adresáři, uživatel ani ID nebudou automaticky odebrány nebo zablokovány v konzoli Adobe Admin Console. Uživatel však již nebude oprávněn ani mít možnost přihlásit se k aplikacím pro stolní počítače, službám, aplikacím pro mobilní zařízení Adobe Creative Cloud ani k aplikaci Acrobat DC. Uživatele/ID bude nutné z konzole Admin Console odebrat ručně.

Ano. Je nutné za pomoci konzole Adobe Admin Console spravovat uživatele, skupiny a oprávnění. Mějte však na paměti, že po vytvoření skupin v konzoli Admin Console můžete odeslat soubor CSV obsahující informace o uživatelích i skupinách. Tím dojde k vytvoření uživatelského účtu a jeho umístění do určené skupiny.

Ne. Za pomoci konzole Adobe Admin Console není obnovení hesla pro Federated ID možné. Společnost Adobe přihlašovací údaje neukládá. Ke správě uživatelů využijte svého poskytovatele identity.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online