Bemærk:

Hvis din organisation stadig har SHA-1-godkendte kataloger, kan du problemfrit opdatere til den forbedret sikkerhed i SHA-2-certifikatet inden for Admin Console. Tilføj og aktivér en ny godkendelsesprofil i dit eksisterende katalog for at overføre fra SHA-1 til SHA-2 uden nedetid. Lær mere under Migrering til en ny authentication-udbyder.

Bemærk, at alle nyligt oprettede kataloger har SHA-2-authentication aktiveret som standard.

setup-dir

Konfigurer kataloger: Hvis du vil bruge Enterprise ID'er eller Federated ID'er, skal du starte med at konfigurere et katalog, som du kan knytte ét eller flere domæner til.
Få mere at vide >


setup-domains

Konfigurer domæner: Slutbrugerne godkendes mod domæner, som du skal konfigurere i Admin Console.
Få mere at vide >


link-domains-to-dirs

Knyt domæner til kataloger: Når du har konfigureret dine kataloger og domæner, skal du gruppere domænerne ved at knytte dem til katalogerne.
Få mere at vide >


dir-trusting

Katalogtillid: Brug katalogtillid til at angive tillid til systemadministratorer fra andre organisationer.
Få mere at vide >


cq5dam_web_1280_1280

Migrer SHA-1-kataloger til SHA-2: Opdater gamle SHA-1-godkendte kataloger til SHA-2-profilen.
Få mere at vide >


move-domains

Flyt domæner på tværs af kataloger: Strukturer kataloger ved at flytte domæner på tværs af kataloger i Admin Console.
Få mere at vide >


Som systemadministrator i Admin Console er en af dine første opgaver at definere og konfigurere et identitetssystem, som skal bruges til godkendelse af slutbrugerne. Når organisationen køber licenser til Adobe-produkter og -tjenester, skal du klargøre disse licenser til slutbrugerne. Og til det formål skal du have en metode til at godkende brugerne.

Adobe giver dig følgende identitetstyper, som du kan bruge til godkendelse af slutbrugere:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Hvis du vil have separate konti, der ejes og styres af din organisation, til brugere i dit domæne, skal du bruge identitetstypen Enterprise ID eller Federated ID (ved enkeltlogon).

I denne artikel finder du de oplysninger, du skal bruge for at konfigurere et identitetssystem, hvor Enterprise ID eller Federated ID anvendes til at godkende slutbrugerne.

I denne artikel finder du de oplysninger, du skal bruge for at konfigurere et identitetssystem, hvor Enterprise ID eller Federated ID anvendes til at godkende slutbrugerne.

Bemærk:

Procedurerne til henholdsvis katalogkonfiguration og domænekonfiguration, der er beskrevet i dette dokument, er helt adskilt fra hinanden. Det betyder, at du kan udføre disse procedurer i vilkårlig rækkefølge eller parallelt. Proceduren til tilknytning af e-maildomæner til kataloger finder dog først sted, når du har fuldført begge disse procedurer.

Vigtige udtryk og begreber

Før vi forklarer om procedurerne, er der nogle begreber og udtryk, som du skal være opmærksom på:

Et katalog i Admin Console er en enhed, der indeholder ressourcer (for eksempel brugere) og politikker (for eksempel godkendelse). Disse kataloger ligner LDAP eller Active Directories.

Organisationens identitetsudbyder, for eksempel Active Directory, Microsoft Azure, Ping, Okta, InCommon eller Shibboleth.

Hvis du vil vide mere om, hvordan du konfigurerer enkelt-login til Creative Cloud med nogle af de almindeligt anvendte IdP'er, kan du se under Mere som dette i slutningen af artiklen.

Oprettet, ejet og administreret af en organisation. Adobe hoster Enterprise ID'et og udfører godkendelsen, men organisationen vedligeholder Enterprise ID'er. Slutbrugere kan ikke tilmelde sig og oprette et Enterprise ID, og de kan heller ikke tilmelde sig flere produkter og tjenester fra Adobe med et Enterprise ID.

Administratorerne opretter et Enterprise ID og sender det til en bruger. Administratorerne kan tilbagekalde adgangen til produkter og tjenester ved at overtage kontoen eller ved at slette Enterprise ID'et for at blokere adgangen til tilknyttede data permanent.

Nedenfor er der nogle krav og scenarier, hvor det anbefales at bruge Enterprise ID:

  • Hvis det er nødvendigt at opretholde en streng kontrol med apps og tjenester, der er tilgængelige for en bruger.
  • Hvis du har brug for akut adgang til filer og data, der tilknyttet et ID.
  • Hvis du har brug for at kunne blokere eller slette en brugerkonto fuldstændigt.

Oprettet og ejet af en organisation og knyttet til enterprisekataloget via føderation. Organisationen administrerer legitimationsoplysningerne og behandler enkeltlogon via en SAML2-identitetsudbyder (IdP).

Nedenfor er der nogle krav og scenarier, hvor det anbefales at bruge Federated ID'er:

  • Hvis du ønsker at klargøre brugerne på baggrund af din organisations virksomhedsmappe.
  • Hvis du vil styre godkendelsen af brugere.
  • Hvis det er nødvendigt at opretholde en streng kontrol med apps og tjenester, der er tilgængelige for en bruger.
  • Hvis du vil give brugerne mulighed for at anvende den samme e-mailadresse til at tilføje et Adobe ID.

Bemærk:

Identitetsudbyderen skal være TLS 1.2-kompatibel.

Oprettet, ejet og administreret af slutbrugeren. Adobe udfører godkendelsen, og slutbrugeren styrer identiteten. Brugere har den fuldstændige kontrol over filer og data, der er tilknyttet deres ID. Brugere kan købe flere produkter og tjenester fra Adobe. Administratorerne inviterer brugerne til at deltage i organisationen, og de kan fjerne den. Brugerne kan dog ikke låses ud af deres Adobe ID-konti. Administratoren kan ikke slette eller overtage kontiene. Der kræves ingen opsætning, før du kan begynde at bruge Adobe ID'er.

Nedenfor er der nogle krav og scenarier, hvor det anbefales at bruge Adobe ID:

  • Hvis du vil gøre det muligt for brugerne at oprette og styre deres identiteter.
  • Hvis du vil gøre det muligt for brugerne at købe eller blive medlem af andre Adobe-produkter og -tjenester.
  • Hvis brugere forventes at bruge andre Adobe-tjenester, som ikke understøtter Enterprise eller Federated ID'er i øjeblikket.
  • Hvis brugere allerede har et Adobe ID og tilknyttede data, f.eks. filer, skrifttyper eller indstillinger. 
  • I uddannelsesmæssige sammenhænge hvor de studerende kan beholde deres Adobe ID, når de er færdiguddannede.
  • Hvis du har entreprenører og freelancere, der ikke bruger e-mailadresser på domæner, du styrer.
  • Hvis du har en Adobe-teams-kontrakt, skal du bruge denne identitetstype

Den del af en e-mailadresse, der kommer efter @-symbolet. Hvis du vil bruge et domæne med Enterprise eller Federated ID, skal du først validere dit ejerskab af domænet.

Hvis en organisation for eksempel ejer flere domæner (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), men medarbejderne er godkendt i forhold til geometrixx.com. I dette tilfælde vil organisationen vil bruge domænet geometrixx.com til at konfigurere identiteten i Admin Console.

Systemadministrator

  • Arbejder sammen med IdP-katalogadministratorer og DNS-administratorer om at konfigurere identitet i Admin Console. Dette dokument henvender sig til systemadministratorer, som vil have adgang til Admin Console. Personen forventes at arbejde sammen med de andre personer, som (normalt) ikke vil have adgang til Admin Console.

DNS-administrator

  • Opdaterer DNS-tokens for at validere domæneejerskabet

Administrator af identitetsudbyderkatalog (IdP-katalog)

  • Opretter forbindelsesmuligheder i IdP

Brugeridentiteter kontrolleres mod en godkendelseskilde. Hvis du vil bruge Enterprise ID eller Federated ID, skal du konfigurere din egen godkendelseskilde ved at tilføje et domæne. Hvis din e-mailadresse eksempelvis er john@example.com, er eksempel.com dit domæne. Når der tilføjes et domæne, kan der oprettes Enterprise ID'er eller Federated ID'er med e-mailadresser på domænet. Et domæne kan enten anvendes med Enterprise ID'er eller Federated ID'er, men ikke begge dele. Du kan dog tilføje flere domæner.

En organisation skal validere sin kontrol over et domæne. En organisation kan også tilføje flere domæner. Et domæne kan dog kun tilføjes én gang. Det er ikke muligt at tilføje kendte offentlige og generiske domæner, f.eks. gmail.com eller yahoo.com.

Du kan få mere at vide om identitetstyper i Administrer identitetstyper.

SHA-1 og SHA-2 er certifikatmodeller, der er ansvarlige for sikkerheden i dit katalogs authentication-profiler. Da SHA-2 tilbyder bedre sikkerhed end de ældre SHA-1-certifikater, bruger alle nye og overførte authentication-profiler SHA-2-certifikatet.

Opret kataloger

Hvis du vil bruge Enterprise ID'er eller Federated ID'er, skal du starte med at oprette et katalog, som du kan knytte ét eller flere domæner til.

Bemærk:

Adobe understøtter i øjeblikket ikke IdP-påbegyndte arbejdsforløb.

Hvis din organisation har konfigureret Microsoft Azure som SSO-udbyder (eller planlægger at gøre det), anbefaler vi, at du bruger vores Azure Connector. Følg de trin, der er beskrevet i afsnittet Konfigurer Azure Connector: Opret et katalog.

Hvis din organisation har konfigureret Google-føderation som SSO-udbyder (eller planlægger at gøre det), anbefaler vi, at du bruger vores Google-connector. Følg de trin, der er beskrevet i afsnittet Konfigurer Google-føderation: Opret et katalog i Adobe Admin Console.

Følg nedenstående fremgangsmåde, hvis din organisation bruger en eller flere af følgende:

  • Enterprise ID'er
  • En anden SAML-udbyder end Azure eller Google
  • Microsoft Azure eller Google-føderation. Men du bruger ikke vores connectorer.

  1. Log ind på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Kataloger, og klik på Opret katalog.

  3. Angiv et navn på kataloget i skærmbilledet Opret et katalog.

  4. Vælg Federated ID, og klik på Næste, og fortsæt til trin 5.

    Vælg Enterprise ID, og klik på Opret katalog.

    Hvis du opretter et Enterprise ID-katalog, er du færdig med denne katalogprocedure.

    Gå i gang med at konfigurere dine domæner.

  5. (Kun Federated ID) Vælg Andre SAML-udbydere, og klik på Næste.

  6. Brug skærmen Tilføj SAML -profil for at få konfigurationsoplysningerne for din identitetsudbyder.

    Nogle identitetsudbydere (IdP) accepterer en metadatafil, som du kan uploade, mens andre muligvis kræver ACS-webadressen og enheds-id'et. Eksempel:

    • For Azure Active Directory: Upload metadatafilen.
    • For Google: Kopiér ACS-webadressen og enheds-id'et, og brug dem i Google IdP-softwaren.
    • For SalesForce: Download metadatafilen, udtræk certifikatoplysningerne fra filen, og brug disse certifikatoplysninger i SalesForce IdP-softwaren.

    Bemærk:

    Ovenstående Azure- og Google-indstillinger er påkrævet, hvis du har valgt ikke at bruge vores Azure- og Google-connectorer.

    Vælg en af nedenstående metoder.

    Metode 1:

    Klik på Download Adobe-metadatafil.

    Metadatafilen downloades til dit lokale diskdrev. Med denne fil kan du konfigurere SAML-integrationen med identitetsudbyderen.

    Metode 2:

    Kopiér ACS URL og Entity ID.

    Tilføj SAML-profil
  7. Skift til IdP-programvinduet, og upload enten metadatafilen, eller angiv ACS URL og Entity ID. Når det er gjort, skal du downloade IdP-metadatafilen.

  8. Gå tilbage til Adobe Admin Console, og upload IdP-metadatafilen i vinduet Tilføj SAML-profil, og klik på Udført.

Kataloget oprettes.

  • Hvis du har valgt at oprette et Enterprise ID-identitetstypekatalog, er konfigurationen gennemført.
  • Hvis du har valgt at oprette et katalog ved hjælp af valgmuligheden Andre SAML-udbydere, bruger dette katalog automatisk SHA-2-authentication. Tidligere oprettede kataloger, der bruger SHA-1-authentication, kan nu opdateres til SHA-2 og migreres til en anden identitetsudbyder. For flere oplysninger kan du se Migrering til en ny authentication-udbyder.

Derefter kan du konfigurere domæner i Admin Console.

Konfigurer domæner

Bemærk:

Du behøver ikke at tilføje domæner manuelt, hvis din organisations katalog er konfigureret via Microsoft Azure AD Connector- eller Google Federation-synkronisering. Valgte domæner, der er valideret i din identitetsudbyders konfiguration, synkroniseres automatisk med Adobe Admin Console.

Slutbrugerne er godkendt mod domæner, som du skal konfigurere i Admin Console.

Sådan konfigureres domæner:

  1. Tilføj domæner i Admin Console
  2. Gør klar til at validere domæneejerskabet ved at tilføje en særlig DNS-record
  3. Valider domænerne

De domæner, som du føjer til Admin Console, behøver ikke at være registreret hos den samme IdP. Når du knytter disse domæner til et katalog, skal du dog knytte domæner fra forskellige IdP'er til forskellige kataloger.

Du kan ikke føje et domæne til Admin Console, hvis det allerede er føjet til en anden organisations Admin Console. Du kan dog anmode om adgang til domænet.

  1. Log ind på Admin Console, og gå til Indstillinger > Identitet.

  2. Klik på Tilføj domæner under fanen Domæner.

  3. På skærmen Tilføj domæner skal du angive ét eller flere domæner og klikke på Tilføj domæner. Du kan kun gøre krav på og validere 15 domæner ad gangen og tilføje resterende domæner efterfølgende.

  4. Bekræft listen over domæner på skærmbilledet Tilføj domæner, og klik på Tilføj domæner.

    Bekræft domæner, der skal tilføjes

Domænerne er nu føjet til Admin Console. Nu skal du vise ejerskab over disse domæner.

En organisation skal vise, at den har ejerskab over et domæne. En organisation kan tilføje lige så mange domæner i Admin Console, som der er behov for.

Admin Console giver en organisation mulighed for at bruge et enkelt DNS-token til at vise ejerskab over alle sine domæner. Desuden kræver Admin Console ikke DNS-validering for underdomæner. Det betyder, at når du bruger DNS-tokenet og viser ejerskab over et domæne, valideres alle underdomæner til dette domæne straks, når de føjes til Admin Console.

  1. Log ind på Admin Console, naviger til Indstillinger > Identitet, og gå til fanen Domæner.

  2. Klik på , og vælg Få adgang til DNS-token fra rullelisten.

  3. Kontakt din DNS-administrator for at tilføje en særlig DNS-post til de domæner, du har tilføjet.

  4. Du skal tilføje en TXT-post med det genererede DNS-token for at bekræfte, at du ejer domænet. De nøjagtige instruktioner afhænger af din domænevært. Du kan finde generiske retningslinjer i vejledningen til bekræftelse af et domæneejerskab.

  5. Føj oplysninger til dine DNS-servere for at fuldføre dette trin. Giv DNS-administratoren besked på forhånd, så dette trin kan fuldføres i rette tid.

    Adobe kontrollerer jævnligt DNS-posterne for dit domæne. Hvis DNS-posterne er korrekte, valideres domænet automatisk. Hvis du vil validere domænet straks, kan du logge på Admin Console og validere det manuelt. Dernæst skal du validere domæner.

Admin Console forsøger at validere domæner, du har tilføjet, flere gange i døgnet, så du behøver ikke at tage skridt til at validere et domæne, når først dine DNS-records er konfigureret korrekt.

Valider domæner manuelt

Hvis du har brug at validere dit domæne med det samme, kan du gøre det i Admin Console. Sådan validerer du domæner manuelt:

  1. Log ind på Admin Console.

  2. Gå til Indstillinger > Identitet, og gå til fanen Domæner.

  3. Klik på Valider.

    Valider domæner
  4. I skærmbilledet Valider domæneejerskab skal du klikke på Valider nu.

Du modtager muligvis fejlmeddelelser, når du prøver at validere, da det kan tage op til 72 timer, før DNS-ændringer træder i kraft. Få flere oplysninger i de almindelige spørgsmål vedrørende DNS-records.

Når du har bekræftet domænets ejerskab, kan du knytte de validerede domæner til de nødvendige kataloger i Admin Console.

Når du har oprettet dine kataloger og domæner i Admin Console, skal du knytte domænerne til katalogerne.

Du kan knytte flere domæner til det samme katalog. Alle domæner, som du knytter til et enkelt katalog, skal dog have identiske indstillinger for enkeltlogon.

  1. Log på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Domæner.

  3. Klik på afkrydsningsfeltet til venstre for domænenavnet, og klik på Knyt til katalog.

    Hvis du vil knytte flere domæner til det samme katalog, skal du markere afkrydsningsfelterne for alle disse domæner.

    Knyt domæner til katalog
  4. Vælg kataloget i rullemenuen i skærmbilledet Knyt til katalog, og klik på Tilknyt.

Administrer brugere

Når du har afsluttet konfigurationen af dit Enterprise ID eller Federated ID, er du klar til at levere de købte Adobe-produkter og -tjenester til brugerne.

Læs en introduktion til brugere på Admin Console. Eller hop ud i det med det samme, og føj brugere til Admin Console ved hjælp af en af disse metoder:

Når brugere er føjet til Admin Console, skal du klargøre dem ved at tildele dem til produktprofiler.

Katalogtillid

Der kan kun gøres krav på ejerskabet til et domæne af en enkelt organisation. Så overvej følgende scenarie:

En virksomhed, Geometrixx, har flere afdelinger, som hver har deres egen unikke Admin Console. Hver enkelt afdeling ønsker også at bruge Federated bruger-id'er, der alle benytter domænet geometrixx.com.  Og i givet fald vil systemadministratoren for hver af disse afdelinger ønske at gøre krav på dette domæne til godkendelse. Admin Console forhindrer et domæne i at blive føjet til flere forskellige organisationers Admin Console. Men når domænet er tilføjet af en enkelt afdeling, kan andre afdelinger anmode om adgang til det katalog, som dette domæne er tilknyttet, på vegne af organisationens Admin Console.

Ved hjælp af katalogtillid kan en katalogejer angive tillid til andre systemadministratorer (administratororganisationer). Derefter kan administratororganisationer i Admin Console føje brugere til et domæne i det betroede katalog.

En kort opsummering. Hvis du har til hensigt at bruge Enterprise ID eller Federated ID på Admin Console, skal du tilføje det domæne, der er knyttet til din organisation. Hvis en anden organisation tidligere har tilføjet dette domæne, skal du anmode om at få adgang til det katalog, der indeholder domænet, som administratororganisation.

Hvis du vil anmode om adgang til et katalog, skal du følge fremgangsmåden i proceduren Tilføj domæner i Konfigurer domæner ovenfor.

Forsigtig:

Hvis du som ejer af et katalog godkender en anmodning om adgang til dette katalog, vil denne administratororganisation have adgang til alle domæner, der er knyttet til dette katalog, samt alle domæner, der knyttes til dette katalog på et senere tidspunkt. Så det er meget vigtigt, at du planlægger tilknytningen mellem domæner og kataloger, når du konfigurerer identitetssystemet i din organisation.

Administratororganisation for domæne

Hvis du føjer eksisterende domæner til Admin Console, vises følgende meddelelse:

Anmod om adgang

Hvis du anmoder om adgang til dette domæne, vil dit navn og din e-mail samt navnet på organisationen blive videregivet i anmodningen til systemadministratorerne hos den organisation, der ejer domænet.

Katalogtypen (Enterprise eller Federated) afhænger af, hvordan domænet var konfigureret af den organisation, der ejer domænet. Det betyder, at du skal bruge den katalogtype, der blev valgt af organisationen, der ejer domænet.

Da domænet allerede er blevet oprettet af ejeren (se Vis ejerskab over domæne i Konfigurer domæner for at få flere oplysninger), behøver du som administrator ikke foretage dig yderligere. Når adgangsanmodningen er accepteret af ejeren, har din organisation adgang til kataloget og alle dets domæner, som de er konfigureret af den organisation, der ejer domænet.

  1. Log på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Anmodninger om adgang, og kontrollér statussen for hvert katalog, som du har anmodet om adgang til.

  3. Du kan også klikke på rækkeelementet på listen over adgangsanmodninger og klikke på Send anmodning igen eller Annuller anmodning.

Hvis din anmodning om adgang til kataloget accepteres af den organisation, der ejer det, modtager du en e-mailmeddelelse. Din tillidsanmodning forsvinder, og i stedet vises det betroede katalog og dets domæner med statussen Aktiv (betroet) på dine lister over kataloger og domæner.

Fortsæt med at tilføje slutbrugere og brugergrupper og tildele dem til produktprofiler.

Hvis du som administratororganisation ikke længere har brug for at kunne få adgang til det betroede katalog, kan du til enhver tid trække din betroede status tilbage.

  1. Log på Admin Console, og gå til Indstillinger > Identitet.

  2. Klik på det delte kartotek, du vil trække adgangen tilbage fra, under fanen Kataloger.

  3. Klik på Træk tilbage i skuffen med katalogoplysninger.

Hvis du trækker din adgang til et betroet katalog tilbage, fjernes alle Enterprise ID- eller Federated ID-brugere, der hører til domæner i dette katalog (dvs. at de logger ind ved hjælp af legitimationsoplysningerne for domænet) fra din organisation. Disse brugere mister også deres adgang til alle former for software, som din organisation har tildelt dem.

Domæneejer

Som systemadministrator i den organisation, der ejer domænet, kan du vælge at acceptere eller afvise anmodninger om adgang til de kataloger, du ejer. 

Når du modtager en e-mailanmodning om adgang til et katalog, du ejer, kan du vælge at acceptere eller afvise anmodningen direkte i e-mailen. Du kan også gå til fanen Adgangsanmodninger for at administrere kravanmodningerne.

  1. Log på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Adgangsanmodning.

  3. Klik på Acceptér alle for at acceptere alle anmodninger.

    Hvis du vil acceptere anmodninger om specifikke krav, skal du markere afkrydsningsfeltet til venstre for hver række og klikke på Acceptér.

  4. Klik på Acceptér i skærmbilledet Acceptér adgangsanmodning.

Der sendes en e-mail til systemadministratorerne hos administratororganisationerne.

Du kan også vælge at afvise anmodningen om adgang til et katalog, som du ejer.

  1. Log på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Adgangsanmodning.

  3. Klik på afkrydsningsfeltet til venstre for hver række, og klik på Afvis.

  4. Angiv en årsag til, at du afviser anmodningen, i skærmbilledet Afvis anmodning om domæneadgang, og klik på Afvis.

Den begrundelse, du angiver, sendes til den anmodende organisation via e-mail. Din e-mailadresse, dit navn og oplysninger om din organisation videregives dog ikke.

Du kan tilbagekalde adgangen for en administratororganisation, som du tidligere har givet adgang.

  1. Log ind på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Administratororganisationer.

  3. Klik på afkrydsningsfeltet til venstre for hver række, og klik på Tilbagekald.

  4. I skærmbilledet Tilbagekald administratororganisationer skal du klikke på Tilbagekald.

Hvis du tilbagekalder adgangen til en administratororganisation, fjernes brugere med Enterprise ID- eller Federated ID-konti på alle domæner i dette katalog fra administratorens organisation. Disse brugere mister også deres adgang til alle former for software eller tjenester, som administratororganisationen har tildelt dem.

Administrer krypteringsnøgler

Med Creative Cloud eller Document Cloud for enterprise kan brugerne gemme filer sikkert og forsvarligt. Brugerne kan også dele filer og samarbejde med andre. Filerne er tilgængelige for brugerne via webstedet Creative Cloud, Creative Cloud-computerappen og Creative Cloud-mobilappen. Lagring er kun tilgængelig med Creative Cloud eller Document Cloud for enterprise, hvis det er en del af organisationens aftale med Adobe.

Selvom alle data i Creative Cloud og Document Cloud er krypterede, kan du lade Adobe generere en dedikeret krypteringsnøgle til nogle eller alle mapper i din organisation, hvis du ønsker et ekstra lag af kontrol og sikkerhed. Indholdet krypteres derefter ved hjælp af standardkryptering med en dedikeret krypteringsnøgle. Du kan om nødvendigt tilbagekalde krypteringsnøglen fra Admin Console.

Dedikerede krypteringsnøgler er kun tilgængelige med Creative Cloud eller Document Cloud for enterprise-planer med delte tjenester, der omfatter lagring og tjenester.

Få flere oplysninger under beskrivelsen af, hvordan man administrerer nøglekryptering på Admin Console.

Migrering til en ny authentication-udbyder

Hvis du har kataloger, der bruger SHA-1-authentication, kan du nu migrere problemfrit fra SHA-1 til SHA-2-authentication-profiler uden behov for eksplicit at oprette et nyt katalog.

Overførslen giver dig også mulighed for at migrere til en anden identitetsudbyder for et etableret katalog.

Forsigtig:

Fjern ikke den eksisterende konfiguration på din IdP, før du har bekræftet, at den nye konfiguration er udført med to til tre aktive konti i kataloget.

Hvis konfigurationen fjernes før bekræftelse, mister du muligheden for at rulle tilbage til den tidligere konfiguration, og der vil være nedetid, mens problemerne bliver løst. Følg overførselsproceduren for at få flere oplysninger.

Adgangsmæssige krav

For at migrere til en SHA-2-authentication-profil skal du opfylde følgende krav:

  • Adgang til din organisations Admin Console med legitimationsoplysninger om systemadministrator
  • Skal have det eksisterende SHA-1-katalog konfigureret til føderation i Admin Console
  • Adgang til at konfigurere din organisations identitetsudbyder (for eksempel Microsoft Azure Portal, Google Administrationskonsol osv.)

For flere oplysninger om, hvad du skal overveje under implementeringen, kan du se Overvejelser om implementering.

Migreringsprocedure

Efter du har sikret adgangskravene, og overvejelser om implementeringen er opfyldt, følg da proceduren herunder for at redigere din authentication-profil og migrere dit katalog:

  1. I din Adobe Admin Console skal du gå til Indstillinger > Kataloger.

  2. Vælg Rediger handling for kataloget. Vælg derefter Tilføj nyt IdP i kataloget Oplysninger.

  3. Vælg identitetsudbyderen for at oprette den nye authentication-profil. Vælg den identitetsudbyder (IdP), som din organisation bruger til at godkende brugere. Klik på Næste.

  4. Baseret på dit valg af identitetsudbyder skal du følge nedenstående trin:

    • For Azure
      Log ind på Azure med dine Microsoft Azure Active Directory Global Admin-legitimationsoplysninger, og Acceptér tilladelsesbeskeden. Du bliver ledt tilbage til katalogoplysningerne i Admin Console.

    • For Google:

      1. Kopiér ACS URL og Enheds-id fra skærmen Rediger SAML-konfiguration.
      2. I et separat vindue skal du logge på Google Administrationskonsol med Google-administratoroplysninger og gå til Apps > SAML-apps.
      3. Brug ikonet + for at tilføje ny app, og vælg Adobe-app. Hent derefter IDP-metadata under mulighed 2 og upload det til Rediger SAML-konfiguration i Adobe Admin Console. Klik derefter på Gem.
      4. Bekræft Grundlæggende oplysninger til Adobe. Indtast den tidligere kopierede ACS URL og entitets-id i Detaljer om tjenesteudbyder for at færdiggøre.
      5. Til sidst skal du gå til Apps > SAML-apps > Indstillinger for Adobe > Tjenestestatus. Aktivér tjenestestatus, så det er slået TIL for alle og Gem.
      Tjenestestatus
    • For Andre SAML-udbydere:

      1. Log ind på din identitetsudbyders app i et andet vindue og opret en ny SAML-app. (Rediger ikke den eksisterende SAML-app for at forhindre nedetid for migrering).
      2. Baseret på indstillingerne for din identitetsudbyder skal du kopiere metadata-filen eller ACS URL og entitets-id fra Adobe Admin Console til identitetsudbyderens indstillinger.
      3. Upload metadatafil fra opsætningen af identitetsudbyderen til Adobe Admin Console. Klik derefter på Gem.
  5. I Adobe Admin Console > Katalogoplysninger oprettes den nye authentication-profil. Brug testen til at kontrollere, om konfigurationen er konfigureret korrekt for at sikre, at alle slutbrugere har adgang til SAML-apps.

    Test-funktionen sikrer, at brugernavnsformatet for den nye authentication-profil i deres IdP matcher brugeroplysningerne for den eksisterende profil til brugerlogin.

  6. Klik på Aktivér for at migrere til den nye authentication-profil. Når det er gjort, vises den nye profil I brug.

    Efter aktivering skal du sørge for, at værdien for Emne-feltet i bedømmelsen fra den nye SAML-konfiguration matcher de eksisterende brugeres brugernavnsformat i Admin Console.

    Forsigtig:

    Når en ny IdP-konfiguration er aktiv, forbliver Okta SHA-1-profilen inaktiv og tilgængelig i syv dage, hvorefter det inaktive profilkort automatisk fjernes fra kataloget i Adobe Admin Console. Den eneste måde at gendanne en fjernet Okta-profil på er ved at indsende en supportanmodning til Adobe Engineering. 

Når du har migreret dit katalog til en SHA-2 understøttet SAML-udbyder, kan du flytte domæner fra andre SHA-1-kataloger til det nye katalog ved hjælp af domænemigrering.

Hvis du vil vide mere om begrænsninger og undgå fejl, du måtte støde på under konfigurering, kan du se Almindelige spørgsmål: Migrer katalog til en ny authentication-udbyder.

Flyt domæner på tværs af kataloger

Organisationer kan strukturere kataloger ved at flytte domæner fra kildekataloger til målkataloger i Admin Console. Du kan omorganisere tilknytning af domæner til kataloger baseret på din organisations behov, uden at slutbrugere mister adgangen til deres produkter, tjenester eller lagrede aktiver. Konsolidering af domæner, der er konfigureret til den samme identitetsudbyder, til et enkelt katalog strømliner administrationen for dine it-teams.

Hvis du har planer om at migrere domæner fra et katalog til et anden, der indeholder en ny identitetsudbyder (Azure, Google eller anden SAML) med SHA-2-authentication, skal du replikere den nye IdP-opsætning i begge kataloger. Den nye IdP-opsætning muliggør test-login for brugere af alle domæner i kataloget. Gør følgende alt efter din nye identitetsudbyder:

  • For Microsoft Azure: Føj en ny Azure IdP til dit katalog og log ind på den samme Azure-bruger.
  • For andre SAML-udbydere (inklusive Google): Upload den samme metadatafil, der peger på den samme SAML-app på din IdP.

Når domænemigreringen er afsluttet, vil brugere, der er en del af det nye katalog, stadig have mulighed for at logge ind. Dette vil eliminere nedetid og sikre øjeblikkelig adgang til deres tildelte Adobe-apps og -tjenester. 

Bemærk:

Brugere logges ud af deres konti og kan ikke logge ind på en ny session under domæneoverførsel. Det anbefales at redigere kataloger uden for spidsbelastningstiden for at forstyrre slutbrugerne mindst muligt.

Hvorfor fjerne domæner?

Du kan drage fordel af denne funktion i følgende scenarier:

  • Du har domæner i gamle SHA-1-understøttede kataloger, og du vil flytte til SHA-2-understøttede kataloger.
  • Du vil migrere et eksisterende katalog til en anden identitetsudbyder med en SHA-2-authentication-profil.
  • Du har kataloger i et tillidsforhold eller ønsker at dele kataloger af hensyn til tilliden uden at give adgang til alle domæner inden for det betroede katalog.
  • Du skal gruppere kataloger baseret på organisationens teams og afdelinger.
  • Du har en række kataloger, der er knyttet til enkelte domæner, og ønsker at konsolidere.
  • Du har ved et uheld knyttet et domæne til et forkert katalog.
  • Du ønsker at flytte et domæne via selvbetjening fra Enterprise ID til Federated ID eller Federated ID til Enterprise ID.

Håndtering af krypterede kataloger eller tillidskataloger

Hvis kilde- eller målkatalogerne er krypteret eller er i et tillidsforhold, kan du ikke flytte domæner direkte. Følg de givne instruktioner for at flytte domæner i disse tilfælde:
 

Eksempel på brug

Foreslået tilgang

Sådan flyttes et domæne fra én Admin Console til en anden

Kontakt Adobe Kundepleje

Sådan flyttes domæner mellem kataloger, der er i et tillidsforhold med hinanden

Følg nedenstående fremgangsmåde

Sådan flyttes domæner mellem kataloger, der er i et tillidsforhold, men ikke med hinanden

Træk tillidsforholdet tilbageflyt domænerne, og genskab derefter tillidsforholdet.

Forsigtig:

Flytning af domæner til eller fra et krypteret katalog understøttes ikke i øjeblikket.

Flyt domæner

Følg fremgangsmåden herunder for at overføre domæner fra et kildekatalog til et målkatalog:

  1. Log ind på Adobe Admin Console, og gå til Indstillinger.

  2. Naviger til Domæner, og vælg de domæner, du vil flytte til målkataloget. Klik derefter på Rediger katalog.

    Rediger katalog
  3. Vælg et katalog fra rullelisten på skærmbilledet Rediger katalog. Brug knappen nederst til at slå færdiggørelsesmeddelelser til eller fra. Klik derefter på Gem.

    Vælg katalog

Du sendes til afsnittet Domæner under Indstillinger > Identitet. Alle domæner vises med deres status.

Når domænerne er blevet overført, modtager systemadministratorerne en email om domæneoverførslen. Derefter kan du redigere katalognavne og slette tomme kataloger efter behov.

Slet kataloger, og fjern domæner

Du kan i Admin Console slette kataloger og domæner, der ikke længere er i brug.

Bemærk:

Du kan ikke slette et katalog, der har:

  • Aktive brugere
  • Tilknyttede domæner
  • Administratororganisationer

  1. Log ind på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Kataloger.

  3. Klik på afkrydsningsfeltet til venstre for et eller flere katalognavne, og klik på Slet kataloger.

  4. Klik på Slet på skærmbilledet Slet kataloger.

Bemærk:

Du kan ikke fjerne et domæne, hvis der er brugere med dette domæne i Admin Console, eller hvis domænet er knyttet til et eller flere kataloger.

  1. Log ind på Admin Console, og gå til Indstillinger > Identitet.

  2. Gå til fanen Domæner.

  3. Klik på afkrydsningsfeltet til venstre for et eller flere domænenavne, og klik på Slet.

  4. Klik på Fjern i skærmbilledet Fjern domæner.