Konfigurer identitet

Et katalog i Admin Console er en enhed, der indeholder ressourcer (for eksempel brugere) og politikker (for eksempel godkendelse). Disse kataloger ligner LDAP eller Active Directories.

Organisationens identitetsudbyder, for eksempel Active Directory, Azure, Ping, Okta, InCommon eller Shibboleth.

Hvis du vil vide mere om, hvordan du konfigurerer enkeltlogon til Creative Cloud med nogle af de almindeligt anvendte IdP'er, kan du se under Mere som dette i slutningen af artiklen.

Oprettet, ejet og administreret af slutbrugeren. Adobe udfører godkendelsen, og slutbrugeren styrer identiteten. Brugere har den fuldstændige kontrol over filer og data, der er tilknyttet deres ID. Brugere kan købe flere produkter og tjenester fra Adobe. Administratorerne inviterer brugerne til at deltage i organisationen, og de kan fjerne den. Brugerne kan dog ikke låses ud af deres Adobe ID-konti. Administratoren kan ikke slette eller overtage kontiene. Der kræves ingen opsætning, før du kan begynde at bruge Adobe ID'er.

Nedenfor er der nogle krav og scenarier, hvor det anbefales at bruge Adobe ID:

• Hvis du vil gøre det muligt for brugerne at oprette og styre deres identiteter.
• Hvis du vil gøre det muligt for brugerne at købe eller blive medlem af andre Adobe-produkter og -tjenester.
• Hvis brugere forventes at bruge andre Adobe-tjenester, som ikke understøtter Enterprise eller Federated ID'er i øjeblikket.
• Hvis brugere allerede har et Adobe ID og tilknyttede data, f.eks. filer, skrifttyper eller indstillinger. 
• I uddannelsesmæssige sammenhænge hvor de studerende kan beholde deres Adobe ID, når de er færdiguddannede.
• Hvis du har entreprenører og freelancere, der ikke bruger e-mailadresser på domæner, du styrer.
• Hvis du har en Adobe-teams-kontrakt, skal du bruge denne identitetstype

Oprettet, ejet og administreret af en organisation. Adobe hoster Enterprise ID'et og udfører godkendelsen, men organisationen vedligeholder Enterprise ID'er. Slutbrugere kan ikke tilmelde sig og oprette et Enterprise ID, og de kan heller ikke tilmelde sig flere produkter og tjenester fra Adobe med et Enterprise ID.

Administratorerne opretter et Enterprise ID og sender det til en bruger. Administratorerne kan tilbagekalde adgangen til produkter og tjenester ved at overtage kontoen eller ved at slette Enterprise ID'et for at blokere adgangen til tilknyttede data permanent.

Nedenfor er der nogle krav og scenarier, hvor det anbefales at bruge Enterprise ID:

• Hvis det er nødvendigt at opretholde en streng kontrol med apps og tjenester, der er tilgængelige for en bruger.
• Hvis du har brug for akut adgang til filer og data, der tilknyttet et ID.
• Hvis du har brug for at kunne blokere eller slette en brugerkonto fuldstændigt.

Oprettet og ejet af en organisation og knyttet til enterprisekataloget via føderation. Organisationen administrerer legitimationsoplysningerne og behandler enkeltlogon via en SAML2-identitetsudbyder (IdP).

Nedenfor er der nogle krav og scenarier, hvor det anbefales at bruge Federated ID'er:

• Hvis du ønsker at klargøre brugerne på baggrund af din organisations virksomhedsmappe.
• Hvis du vil styre godkendelsen af brugere.
• Hvis det er nødvendigt at opretholde en streng kontrol med apps og tjenester, der er tilgængelige for en bruger.
• Hvis du vil give brugerne mulighed for at anvende den samme e-mailadresse til at oprette et Adobe ID.

Den del af en e-mailadresse, der kommer efter @-symbolet. Hvis du vil bruge et domæne med Enterprise eller Federated ID, skal du først validere dit ejerskab af domænet.

Hvis en organisation for eksempel ejer flere domæner (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), men medarbejderne er godkendt i forhold til geometrixx.com. I dette tilfælde vil organisationen vil bruge domænet geometrixx.com til at konfigurere identiteten i Admin Console.

• Arbejder sammen med IdP-katalogadministratorer og DNS-administratorer om at konfigurere identitet i Admin Console. Dette dokument henvender sig til systemadministratorer, som vil have adgang til Admin Console. Personen forventes at arbejde sammen med de andre personer, som (normalt) ikke vil have adgang til Admin Console.

• Opdaterer DNS-tokens for at validere domæneejerskabet

• Opretter forbindelsesmuligheder i IdP

Brugeridentiteter kontrolleres mod en godkendelseskilde. Hvis du vil bruge Enterprise ID eller Federated ID, skal du konfigurere din egen godkendelseskilde ved at tilføje et domæne. Hvis din e-mailadresse eksempelvis er john@example.com, er eksempel.com dit domæne. Når der tilføjes et domæne, kan der oprettes Enterprise ID'er eller Federated ID'er med e-mailadresser på domænet. Et domæne kan enten anvendes med Enterprise ID'er eller Federated ID'er, men ikke begge dele. Du kan dog tilføje flere domæner.

En organisation skal validere sin kontrol over et domæne. En organisation kan også tilføje flere domæner. Et domæne kan dog kun tilføjes én gang. Det er ikke muligt at tilføje kendte offentlige og generiske domæner, f.eks. gmail.com eller yahoo.com.

Du kan få mere at vide om identitetstyper i Administrer identitetstyper.

Kataloget oprettes.

Hvis du har valgt at oprette et Enterprise ID-identitetstypekatalog, er du færdig. Du kan nu gå i gang med at konfigurere dine domæner i Admin Console.

Hvis du har valgt at oprette et Federated ID-identitetstypekatalog, skal Adobe klargøre dette katalog, før du kan foretage handlinger med det. Men du kan udnytte ventetiden, mens Adobe klargør kataloget. Du kan gå i gang med at konfigurere dine domæner i Admin Console.

Når du modtager e-mailen fra Adobe, som bekræfter, at dit katalog er klargjort, skal du konfigurere SAML-indstillinger for kataloget.

Når organisationer konfigurerer og aktiverer enkeltlogon (SSO), har brugerne i organisationen mulighed for at anvende virksomhedens legitimationsoplysninger til at få adgang til Adobe-software. På den måde behøver brugerne kun at bruge ét samlet brugerlogin til at få adgang til computerapps, tjenester og mobilapps fra Adobe.

Adobe Admin Console giver virksomhedsbrugere en metode til godkendelse af deres eksisterende virksomhedsidentitet. Adobe Federated ID'er muliggør integration med et identitetsstyringssystem til enkeltlogon. Enkeltlogon aktiveres med SAML, som er en branchestandardprotokol, der forbinder identitetsstyringssystemer for virksomheder til udbydere af cloud-tjenester, f.eks. Adobe.

Enkeltlogon er en sikker metode til udveksling af identitetsoplysninger mellem to parter: tjenesteudbyderen (Adobe) og identitetsudbyderen (IdP). Tjenesteudbyderen sender en anmodning til IdP, som forsøger at godkende brugeren. Hvis godkendelsen lykkes, sender IdP en besked om, at brugeren skal logges ind.

Før du kan konfigurere enkeltlogon til Adobe-software, skal følgende være på plads:

• Viden om SAML 2.0
• En identitetsudbyder (IdP), der understøtter SAML 2.0, og som minimum skal have:
  • IDP-certifikat
  • Webadresse til IDP-logon
  • IDP-binding: HTTP-POST eller HTTP-Redirect
  • ACS-webadresse (Assertion Consumer Service)
  • TLS 1.2 aktiveret
• Adgang til DNS-konfigurationen for domænets kravsproces

URL-adressen for logon til IdP'et behøver ikke at være eksternt tilgængelig for at gøre brugerne i stand til at åbne det for at logge på. Men hvis det kun er tilgængeligt inden for organisationens interne netværk, kan brugerne kun logge på Adobe-produkter, når de har forbindelse til organisationens interne netværk, enten direkte via Wi-Fi eller via VPN. Det er ikke nødvendigt, at logonsiden kun er tilgængelig via HTTPS, men det anbefales af sikkerhedsmæssige årsager.

Adobes cloudtjenester tilbyder enkeltlogon med en SaaS SAML 2.0-forbindelse, der udbydes af Okta. Forbindelsen bruges til at kommunikere med identitetsudbyderen til levering af godkendelsestjenester. Det er ikke et krav at skulle benytte Okta som identitetsudbydertjeneste, da Okta opretter forbindelse til mange SAML 2.0-identitetstjenesteudbydere. Få flere oplysninger i Enkeltlogon / Ofte stillede spørgsmål.

Hvis organisationen ønsker at teste enkeltlogon-integration, anbefales det, at du bruger et testdomæne, som du ejer, så længe organisationen har en identitetsudbyder med identiteter, der er konfigureret i det pågældende testdomæne. Det gør det muligt at teste integrationen, før du gør krav på hoveddomænerne, og indtil du er tryg ved domænekravet og konfigurationsprocessen.

Hvis du allerede har en identitetsudbyder (IdP), er det nemt at indstille enkeltlogon-konfigurationen med SaaS SAML 2.0-forbindelsen, der udbydes af Okta.

Kataloget er nu konfigureret til enkeltlogon.

Hvis du ikke allerede har gjort det, kan du tilføje domæner i Admin Console. Hvis du allerede har tilføjet domæner i Admin Console, kan du knytte de nødvendige domæner til dette katalog.

De domæner, som du føjer til Admin Console, behøver ikke at være registreret hos den samme IdP. Når du knytter disse domæner til et katalog, skal du dog knytte domæner fra forskellige IdP'er til forskellige kataloger.

Du kan ikke føje et domæne til Admin Console, hvis det allerede er føjet til en anden organisations Admin Console. Du kan dog anmode om adgang til domænet.

Domænerne er nu føjet til Admin Console. Du skal dog stadig vise ejerskab over disse domæner.

En organisation skal vise, at den har ejerskab over et domæne. En organisation kan tilføje lige så mange domæner i Admin Console, som der er behov for.

Admin Console giver en organisation mulighed for at bruge et enkelt DNS-token til at vise ejerskab over alle sine domæner. Desuden kræver Admin Console ikke DNS-validering for underdomæner. Det betyder, at når du bruger DNS-tokenet og viser ejerskab over et domæne, valideres alle underdomæner til dette domæne straks, når de føjes til Admin Console.

Admin Console forsøger at validere domæner, du har tilføjet, flere gange i døgnet, så du behøver ikke at tage skridt til at validere et domæne, når først dine DNS-records er konfigureret korrekt.

Hvis du har brug at validere dit domæne med det samme, kan du gøre det i Admin Console. Sådan validerer du domæner manuelt:

Du kan nu knytte de validerede domæner til de nødvendige kataloger i Admin Console.

Hvis du føjer eksisterende domæner til Admin Console, vises følgende meddelelse:

Hvis du anmoder om adgang til dette domæne, vil dit navn og din e-mail samt navnet på organisationen blive videregivet i anmodningen til systemadministratorerne hos den organisation, der ejer domænet.

Katalogtypen (Enterprise eller Federated) afhænger af, hvordan domænet var konfigureret af den organisation, der ejer domænet. Det betyder, at du skal bruge den katalogtype, der blev valgt af organisationen, der ejer domænet.

Da domænet allerede er blevet oprettet af ejeren (se Vis ejerskab over domæne i Konfigurer domæner for at få flere oplysninger), behøver du som administrator ikke foretage dig yderligere. Når adgangsanmodningen er accepteret af ejeren, har din organisation adgang til kataloget og alle dets domæner, som de er konfigureret af den organisation, der ejer domænet.

Hvis din anmodning om adgang til kataloget accepteres af den organisation, der ejer det, modtager du en e-mailmeddelelse. Din tillidsanmodning forsvinder, og i stedet vises det betroede katalog og dets domæner med statussen Aktiv (betroet) på dine lister over kataloger og domæner.

Fortsæt med at tilføje slutbrugere og brugergrupper og tildele dem til produktprofiler.

Hvis du som administratororganisation ikke længere har brug for at kunne få adgang til det betroede katalog, kan du til enhver tid trække din betroede status tilbage.

Hvis du trækker din adgang til et betroet katalog tilbage, fjernes alle Enterprise ID- eller Federated ID-brugere, der hører til domæner i dette katalog (dvs. at de logger ind ved hjælp af legitimationsoplysningerne for domænet) fra din organisation. Disse brugere mister også deres adgang til alle former for software, som din organisation har tildelt dem.

Der sendes en e-mail til systemadministratorerne hos administratororganisationerne.

Du kan også vælge at afvise anmodningen om adgang til et katalog, som du ejer.

Den begrundelse, du angiver, sendes til den anmodende organisation via e-mail. Din e-mailadresse, dit navn og oplysninger om din organisation videregives dog ikke.

Du kan tilbagekalde adgangen for en administratororganisation, som du tidligere har givet adgang.

Hvis du tilbagekalder adgangen til en administratororganisation, fjernes brugere med Enterprise ID- eller Federated ID-konti på alle domæner i dette katalog fra administratorens organisation. Disse brugere mister også deres adgang til alle former for software eller tjenester, som administratororganisationen har tildelt dem.

Du kan vælge at tilbagekalde den dedikerede krypteringsnøgle for et katalog.