Konzole Adobe Admin Console nabízí podnikovým uživatelům způsob, jak v podnikových službách od společnosti Adobe ověřit svoji totožnost za pomoci stávajícího systému pro správu identity, a to díky integraci systému správy identity využívající jednotné přihlášení. Jednotné přihlášení je možné díky využití standardního protokolu SAML, který umožňuje propojení systému pro správu identity v podniku s poskytovatelem cloudových služeb, jako je například společnost Adobe. Jednotné přihlášení dokáže bezpečně vyměňovat ověřovací informace mezi dvěma stranami: poskytovatelem služeb (Adobe) a vaším poskytovatelem identity. Poskytovatel služeb odešle požadavek vašemu poskytovateli identity, který se pokusí ověřit uživatele. Po úspěšném ověření poskytovatel identity odešle reakci v podobě zprávy pro přihlášení uživatele. Podrobné informace naleznete v tématu Konfigurace jednotného přihlašování.

Plán

Jaké jsou moje možnosti v oblasti typů identity při nasazení uživatelských licencí?

Společnost Adobe nabízí tři různé typy identity:

  • Adobe ID: Uživatel si vytvoří účet a je jeho vlastníkem. Společnost Adobe spravuje přihlašovací údaje a zpracovává přihlašování.
  • Enterprise ID: Organizace si vytvoří účet a je jeho vlastníkem. Společnost Adobe spravuje přihlašovací údaje a zpracovává přihlašování.
  • Federated ID: Organizace si vytvoří účet, je jeho vlastníkem a propojí jej s podnikovým adresářem pomocí federace. Podnik nebo škola spravuje přihlašovací údaje a zpracovává přihlašování prostřednictvím jednotného přihlašování.

Další informace získáte zde.

Mám možnost u mého nasazení využívat kombinaci různých typů identity?

Ano, můžete využívat kombinaci Adobe ID, Enterprise ID i Federated ID, ale ne u stejné deklarované domény.

Identifikátory Enterprise ID a Federated ID je nutné používat exkluzivně na úrovni domény. Z toho důvodu je nutné zvolit pouze jeden z nich. Adobe ID můžete používat ve spojení s Federated ID nebo s Enterprise ID.

Například pokud některý podnik deklaruje pouze jednu doménu, správce IT se může rozhodnout buď pro Enterprise ID, nebo pro Federated ID. Pokud organizace v rámci podniku deklaruje více domén, správce IT může použít u jedné domény kombinaci Adobe ID a Enterprise ID, u jiné domény kombinaci Adobe ID s Federated ID a tak dále. To znamená, že u každé domény můžete používat Adobe ID vždy jen s Enterprise ID, nebo jen s Federated ID.

Jaké přináší Federated ID výhody?

Správa licencí Adobe s využitím Federated ID je rychlejší, snadnější a bezpečnější.

  • Správci IT řídí ověřování a cyklus uživatelů.
  • Když odeberete uživatele z podnikového adresáře, uživatel již nebude mít přístup k aplikacím pro stolní počítače, službám ani aplikacím pro mobilní zařízení.
  • Federated ID umožňuje organizacím zachovat v provozu systémy pro správu identity uživatele, které již používají.
  • Vzhledem k tomu, že koncoví uživatelé používají standardní systém vaší organizace pro správu identit, oddělení IT nemusí řídit samostatné procesy správy hesel.

Při přihlašování jsou vaši koncoví uživatelé přesměrováni do standardního a již známého prostředí pro jednotné přihlašování vaší organizace.

Pokud jsem již deklaroval(a) doménu, která se bude používat společně s Enterprise ID, mohu u této domény začít používat Federated ID?

Možnost změnit typ identity u již deklarované domény zatím není k dispozici. Pokud jste deklarovali jednu nebo více domén, které mají využívat Enterprise ID, a chcete změnit konfiguraci této domény tak, aby používala Federated ID, odešlete z konzole pro správu Adobe Admin Console žádost o online asistenci a my vás upozorníme, jakmile bude tato funkce k dispozici.

Je možné federovat celý můj podnikový adresář u společnosti Adobe prostřednictvím mého poskytovatele identity, který využívá standard SAML 2.0?

Ano, můžete federovat svůj podnikový adresář a jeho infrastrukturu přihlašování a ověřování ve službách Adobe za využití poskytovatele identity, který využívá standard SAML 2.0.

Společnost Adobe pracuje na propojení poskytovatele identity pro vaši společnost s řešením, které má název klient Okta. Společnost Adobe nekomunikuje přímo s podnikovým adresářem, ale pouze s poskytovatelem identity.

Pokud deklaruji doménu, budou všechna Adobe ID v dané doméně převedena na Federated ID?

Ne. Jakmile deklarujete doménu pro identifikátor Federated ID, nic se u stávajících Adobe ID s příslušnými e-mailovými adresami v dané doméně nezmění. Stávající Adobe ID v konzoli Admin Console budou zachována.

Plánuje společnost Adobe podporu pro ověřování, autorizaci nebo oba tyto procesy?

Implementace Federated ID společnosti Adobe přináší podporu pro autorizaci. Ověřování řídí váš poskytovatel identity.

Z pozice podnikové organizace můžete vytvořit vazbu mezi službami pro ověřování (s využitím firemní struktury ID, jako je například Active Directory) a řešením společnosti Adobe. To umožňuje podnikové organizaci působit jako hostitel ověřování. Společnost Adobe nikdy neukládá hesla a správci IT nemají možnost v konzoli Adobe Admin Console obnovit hesla ani upravit uživatelská jména spojená s Federated ID.

Mám možnost hromadně přidávat uživatele do konzole Adobe Admin Console?

Ano. Pomocí funkce Import uživatelů, která je k dispozici v konzoli Adobe Admin Console. Další informace naleznete v tématu Přidání více uživatelů.

Mohu provádět synchronizaci přiřazení podnikového adresáře k uživatelům/skupině přímo v konzoli Admin Console?

Ne. Společnost Adobe komunikuje s vaším poskytovatelem identity, nikoli přímo s vaším podnikovým adresářem. Nabízíme nicméně možnost importovat informace o uživatelích a skupině z vašeho podnikového adresáře přímo do konzole Adobe Admin Console. Další informace naleznete v tématu Přidání více uživatelů.

Jak mohu zajistit přechod z Adobe ID na Federated ID?

Odeberte všechny uživatele s Adobe ID a poté je znovu naimportujte s Federated ID. Pokud již v produkčním prostředí používáte Adobe ID, doporučujeme převod provádět, pouze pokud to vyžadují zásady vaší organizace.

Jaké poskytovatele identity společnost Adobe podporuje?

Adobe používá bezpečný a obecně rozšířený průmyslový standard SAML (Security Assertion Markup Language), což znamená, že naši implementaci jednotného přihlašování je možné snadno integrovat u každého poskytovatele identity, který využívá standard SAML 2.0.

Následuje seznam některých poskytovatelů identity splňujících normu SAML 2.0:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Poskytovatel identity Salesforce s externě podepsaným certifikátem
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Pokud jsem již sestavil(a) vlastní federovaný proces ověřování využívající normu SAML, bude integrace s tímto procesem možná?

Ano. Za předpokladu, že dodržuje protokol SAML 2.0.

Je před nastavením federované identity s jednotným přihlašováním nutné používat poskytovatele identity, který využívá standard SAML 2.0?

Ano. Poskytovatel identity navíc musí splňovat normu SAML 2.0.

Naprostým minimem je, aby váš poskytovatel identity splňující normu SAML nabízel následující:

  1. Certifikát poskytovatele identity
  2. Adresu URL pro přihlášení k poskytovateli identity
  3. Vazba poskytovatele identity: HTTP-POST nebo HTTP-Redirect
  4. Adresa URL poskytovatele identity pro spotřebitelskou službu, musí umožňovat přijímání požadavků SAML a RelayState.

V případě dalších otázek se obraťte na svého poskytovatele identity.

Způsobuje delší životnost certifikátu i větší zranitelnost?

Ne. K prolomení 2048bitového certifikátu ještě nikdy nedošlo. Navíc osoby, kterým se úspěšně podařilo prolomit alespoň 768bitový certifikát (skupina Lenstra) odhadují, že by jim se stejným hardwarem trvalo více než 1000 let prolomit alespoň 1024bitový certifikát (což je pořád přibližně 32 000 000krát snadnější než prolomení 2048bitového certifikátu).

Pokud vás zajímají nejnovější technické informace o odhadech v oblasti prolomení certifikátů nejrůznějších délek, navštivte tuto webovou stránku. Vtipné vyobrazení (založené na skutečných údajích, jen marketingově zpracované) bezpečnosti jednotlivých certifikátů naleznete na této webové stránce (nebo na webové stránce s informacemi o matematice použité k výpočtům).

Dokážou delší certifikát zpracovat prohlížeče? Řada prohlížečů totiž odmítá certifikáty serverů s platností delší než 3 roky.

Ano. Tento limit je platný pouze u certifikátů, které se používají k šifrování komunikačního vlákna mezi prohlížečem a serverem. Certifikáty poskytovatele identity / Okta namísto toho slouží k podepisování (ne k šifrování) dat přenášených tímto šifrovaným vláknem. Prohlížeč nikdy tyto certifikáty neuvidí: používají se pouze mezi společnostmi Adobe/Okta a poskytovatelem identity zákazníka.

Je kvalitní a dlouhodobě použitelný certifikát drahá záležitost?

Spolehlivý komerční 2048bitový certifikát je možné získat přibližně za 10 USD na rok. Certifikáty používané poskytovateli identity lze navíc doplnit vlastním podpisem, což znamená, že je lze vytvářet i zdarma v softwaru s otevřeným zdrojem.

Může mi někdo odcizit totožnost, pokud se mu podaří prolomit certifikát mého poskytovatele identity?

Ne. Existují dvě další vrstvy kvalitního šifrování, které ověřují totožnost poskytovatele identity, které by bylo nutné prolomit, aby se někdo mohl vydávat za vašeho poskytovatele identity. Navíc obě tyto vrstvy nejsou obstarány vlastním podpisem. To znamená, že byste museli nejen prolomit certifikát, který vynucuje šifrování, ale také certifikát podpisové autority, která tento certifikát vytvořila.

Na koho se obrátit s žádostí o řešení potíží s jednotným přihlašováním?

Žádost vytvořte kontaktováním technické podpory Adobe po přihlášení ke konzoli Adobe Admin Console nebo si naplánujte soukromou diskusi s odborníkem.

Pokud máte zájem o prémiovou podporu, příslušné telefonní číslo a e-mailová adresa jsou uvedeny v uvítacím e-mailu a v příloze ve formátu PDF, které obdržel váš správce účtu.

Postup

Jak nastavit jednotné přihlašování k softwaru Adobe?

Podrobné pokyny k nastavení jednotného přihlašování u aplikací pro stolní počítače, služby a aplikace pro mobilní zařízení Adobe naleznete v tématu Konfigurace jednotného přihlašování.

Je možné z konzole Admin Console odeslat oznámení uživatelům?

Ne. Odeslání oznámení koncovým uživatelům prostřednictvím konzole Admin Console není podporováno. Z pozice podnikového zákazníka je třeba pro uživatele, kteří jsou připraveni používat jednotné přihlašování k softwaru a službám Adobe, zajistit vlastní oznámení.

Pokud zablokuji uživatele/ID v mém podnikovém adresáři, dojde k automatickému zablokování také v konzoli Admin Console?

Ne. Pokud odstraníte nebo zablokujete uživatele/ID v podnikovém adresáři, uživatel ani ID nebudou automaticky odebrány nebo zablokovány v konzoli Adobe Admin Console. Uživatel však již nebude oprávněn ani mít možnost přihlásit se k aplikacím pro stolní počítače, službám, aplikacím pro mobilní zařízení Adobe Creative Cloud ani k aplikaci Acrobat DC. Uživatele/ID bude nutné z konzole Admin Console odebrat ručně.

Je nutné spravovat oprávnění a skupiny, respektive přiřadit uživatele Federated ID do skupin?

Ano. Je nutné za pomoci konzole Adobe Admin Console spravovat uživatele, skupiny a oprávnění. Mějte však na paměti, že po vytvoření skupin v konzoli Admin Console můžete odeslat soubor CSV obsahující informace o uživatelích i skupinách. Tím dojde k vytvoření uživatelského účtu a jeho umístění do určené skupiny.

Mohou správci IT nebo koncoví uživatelé obnovit hesla pro Federated ID?

Ne. Za pomoci konzole Adobe Admin Console není obnovení hesla pro Federated ID možné. Společnost Adobe přihlašovací údaje neukládá. Ke správě uživatelů využijte svého poskytovatele identity.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online