Las identidades de los usuarios se verifican en base a una fuente de autorizaciones. Si quiere usar los Enterprise ID o los Federated ID, configure su propia fuente de autorizaciones añadiendo un dominio. Por ejemplo, si su dirección de correo electrónico es juan@ejemplo.com, ejemplo.com es el dominio. Añadir un dominio permite la creación de Enterprise ID y Federated ID con direcciones de correo electrónico del dominio en cuestión. Se puede usar un dominio, bien con los Enterprise ID, bien con los Federated ID, pero no con ambos. Sin embargo, puede añadir varios dominios.

Una organización debe demostrar tener control sobre un dominio. Las organizaciones también pueden añadir varios dominios. Sin embargo, un dominio solo se puede añadir una vez. Además, los dominios públicos y genéricos conocidos, como gmail.com o yahoo.com, no se pueden añadir en ningún caso.

Para obtener más información sobre los tipos de identidad, consulte Administrar tipos de identidad.

Añadir nuevo dominio

Para usar un Enterprise ID o un Federated ID, tiene que añadir un dominio. Si su organización tiene control sobre varios dominios, puede añadirlos todos.

Nota:

Este proceso requiere que compruebe que tiene control del dominio añadiendo un token al DNS.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Haga clic en Iniciar la reivindicación de un dominio (se mostrará si no ha añadido ningún dominio con anterioridad) o Añadir un dominio (se mostrará si ya ha añadido uno o más dominios).

    Aparecerá la pantalla Añadir nuevo dominio.

  3. Introduzca un nombre de dominio y, a continuación, seleccione el tipo de dominio.

    Precaución:

    Una vez seleccionado el tipo de dominio no se podrá editar, a menos que el dominio fuera retirado.

    Añadir nuevo dominio
  4. Si está configurando Enterprise ID, haga clic en Añadir nuevo dominio.

    Si está configurando Federated ID, haga clic en Siguiente.

    Si otra organización ya ha reclamado el dominio, se le mostrará el siguiente mensaje:

    Solicitar acceso a un dominio reivindicado

    Para solicitar acceso a este dominio, no siga los pasos restantes de este procedimiento sino los procedimientos detallados en Solicitar acceso a un dominio reivindicado.

    Si el dominio está disponible, se abrirá el asistente para Configurar dominio. En este caso, continúe con el siguiente paso de este procedimiento.

  5. Para verificar que el dominio le pertenezca, deberá añadirle un registro TXT con el token DNS generado.

    Copie el token de DNS que aparece en el asistente para Configurar dominio en Admin Console y actualice su registro DNS con el token. Las instrucciones exactas dependen del servidor del dominio, pero puede seguir estas indicaciones generales que se facilitan en Verificar la propiedad de un dominio.

    Nota:

    Este paso exige que añada información a sus servidores DNS.

    El token DNS generado caducará en un plazo de 365 días, por lo que deberá haber terminado este procedimiento dentro de dicho periodo de tiempo. Informe a los administradores de su red con antelación, de modo que este paso se pueda completar en el período especificado.

  6. Una vez se haya actualizado el archivo TXT de registro DNS, seleccione He actualizado mis registros DNS para incluir el token.

    Si ha cerrado el asistente para Configurar dominio, vaya a Configuración > Identidad y haga clic en el nombre de dominio que desee configurar. Haga clic en  del Haga clic en Ajustes.

    Solicitar validación
  7. Haga clic en Solicitar validación. Aparecerá la pantalla Esperar la aprobación de Adobe .

    Cuando Adobe apruebe el dominio, aparecerá una notificación en la página Identidad. También recibirá un correo electrónico.

  8. Si está configurando Enterprise ID, vuelva al asistente para Configurar dominio. Haga clic en Activar dominio. Su dominio ya está activado.

    Si está configurando Federated ID, consulte Configuración del inicio de sesión único.

Nota:

La activación de un dominio no se puede deshacer. Se puede retirar la solicitud antes de proceder con la activación, pero no después de que el dominio se haya activado.

Configurar el inicio de sesión único

Cuando las organizaciones configuran y activan el inicio de sesión único (SSO), los usuarios de dichas organizaciones pueden usar sus credenciales de empresa para obtener acceso al software de Adobe. Esto permite a los usuarios utilizar una sola credencial para tener acceso a las aplicaciones de escritorio, los servicios y las aplicaciones móviles de Adobe.

Adobe Admin Console ofrece un método para que los usuarios de las empresas puedan autenticarse mediante su identidad empresarial existente. Los Federated ID de Adobe permiten la integración con un sistema de gestión de identidad mediante el inicio de sesión único (SSO). El inicio de sesión único se activa a través de SAML, un protocolo estándar del sector que conecta los sistemas de gestión de identidades empresariales con los proveedores de servicios en la nube, como es el caso de Adobe.

El inicio de sesión único puede intercambiar de forma segura la información relacionada con la autenticación entre diferentes partes: por un lado, el proveedor de servicios (Adobe), y por el otro, el proveedor de identidades (IdP). El proveedor de servicios envía una solicitud al IdP, y este intenta autenticar al usuario. Si la autenticación se procesa de forma correcta, el IdP envía un mensaje de respuesta y permite que el usuario inicie sesión.

Requisitos de inicio de sesión único (SSO)

Para configurar correctamente el inicio de sesión único para el software de Adobe, los administradores de TI necesitan lo siguiente:

  • Entender el funcionamiento de SAML 2.0
  • Un proveedor de identidades (IdP) que admita SAML 2.0 y que cuente, como mínimo, con los siguientes elementos:
    • Certificado de IDP
    • URL de inicio de sesión de IDP
    • Enlace de IDP: HTTP-POST o HTTP-Redirect
    • Dirección URL del servicio de consumidor de aserciones (ACS por sus siglas en inglés)
  • Acceso a la configuración DNS para procesar la reivindicación de dominios

La dirección URL del IdP no necesita ser accesible externamente para que los usuarios puedan acceder allí para iniciar sesión. Sin embargo, si solo es accesible dentro de la red interna de la organización, los usuarios solo podrán iniciar sesión en Creative Cloud cuando estén conectados a la red interna de la organización, ya sea directamente mediante wifi o mediante VPN. No es necesario que la página de inicio de sesión sea accesible solo a través de HTTPS, pero se recomienda por motivos de seguridad.

Nota:

En la actualidad, Adobe no admite el inicio de sesión único iniciado por IdP.

Los servicios alojados en la nube de Adobe ofrecen el inicio de sesión único mediante el conector SaaS SAML 2.0, proporcionado por Okta, proveedor líder de servicios de inicio de sesión único. Adobe se ha asociado con Okta para poder activar el inicio de sesión único en sus servicios. Por ello, el uso del conector SAML de Okta ya está incluido en la licencia de Adobe para empresas. El conector se utiliza para comunicarse con el proveedor de identidades a fin de proporcionar servicios de autenticación. No es necesario utilizar Okta como servicio de proveedor de identidades, ya que Okta se conecta con numerosos proveedores de servicios de identidades mediante SAML 2.0. Para obtener más información, consulte Inicio de sesión único (SSO)/Preguntas frecuentes.

Si su empresa quiere probar la integración del inicio de sesión único, le recomendamos que reivindique un dominio de prueba que ya posea, siempre y cuando la empresa tenga un proveedor de identidades que ya tenga identidades establecidas en ese dominio de prueba. De este modo, se puede probar la integración antes de reivindicar los dominios principales hasta que se sienta cómodo con el proceso de reivindicación y configuración de los dominios.

Descripción del flujo de trabajo

La configuración de los Federated ID para habilitar el inicio de sesión único es un proceso de varios pasos. Si quiere configurar el inicio de sesión único en varios dominios, tendrá que seguir el siguiente proceso para cada uno de ellos.

  1. Reivindicar un dominio:

    1. Iniciar una reivindicación de dominio para los Federated ID.
    2. Validar el token de DNS.
    3. Asegurarse de que la comprobación de DNS sea correcta.

    Una vez que se ha iniciado el proceso de reivindicación del dominio y la comprobación del DNS es correcta, el estado de la solicitud cambia a Validación obligatoria.

    Recibirá un correo electrónico cuando la solicitud esté aprobada.

  2. Configurar SAML para completar la configuración.

  3. Añadir usuarios y asignarlos a las diferentes configuraciones de productos. Consulte Administración de usuarios y Funciones administrativas.

Configurar SAML

Si ya tiene un proveedor de identidad (IdP), puede establecer fácilmente la configuración de inicio de sesión único mediante el conector SaaS SAML 2.0 que proporciona el socio de Adobe Okta. Okta es un proveedor líder de sistemas de autenticación de usuarios y Adobe se ha asociado con dicho proveedor para habilitar el inicio de sesión único. El uso del conector SAML de Okta ya está incluido en la licencia de Adobe para empresas.

Nota:

Okta es uno de los muchos proveedores de identidades que se pueden elegir.

  1. Una vez que Adobe apruebe su dominio, abra la página Identidad.

  2. Haga clic en el nombre del dominio para configurarlo y, a continuación, haga clic en Configuración del inicio de sesión único.

    El asistente para Configurar dominio se abrirá.

    Completar configuración
  3. Certificado de IDP: para cargar el certificado (.cer) que utiliza el IdP para firmar la respuesta o la aserción de SAML, haga clic en Cargar.

    Si no tiene el certificado, póngase en contacto con el proveedor de identidades para solicitarle instrucciones acerca de cómo descargar el archivo del certificado. Por ejemplo, si utiliza Okta como IdP, inicie sesión en el Panel del administrador de Okta y elija Seguridad > Autenticación > SAML de entrada y, a continuación, haga clic en Descargar el certificado de Okta.

    Sugerencias de certificado:

    • Formato PEM (X.509 codificado en base 64).
    • Tener un nombre con una extensión de archivo .cer (no .pem ni .cert)
    • Estar sin cifrar
    • SHA-1
    • Formato de varias líneas (el de una sola línea produce errores)
    • Debería durar un mínimo de tres años (ahorra el mantenimiento durante ese periodo y no pone en peligro la seguridad)

    Nota:

    Los certificados Okta que usa Adobe en el handshake (proceso de establecimiento de comunicaciones privadas) de Federated ID tienen 20 años de duración. Esto significa que puede hacer una rotación del certificado mediante una programación que se ajuste a sus necesidades, en lugar estar obligado a hacerlo por Adobe/Okta.   

  4. Enlace de IDP: elija el método de transmisión de los mensajes de protocolo de SAML.

    • Utiliza HTTP-Post para transmitir la solicitud de autorización mediante el explorador mediante un formulario en XHTML. El IdP también responde con un documento que contiene un formulario en XHTML.
    • Use HTTP-Redirect para transmitir la solicitud de autorización mediante el parámetro de cadena SAMLRequest de la cadena de consulta de dirección URL de una solicitud GET de HTTP. El IdP responde con un parámetro de cadena SAMLResponse en la dirección URL.
  5. Configuración de inicio de sesión del usuario: elija una dirección de correo electrónico o un nombre de usuario para especificar cómo se identificarán los usuarios de este dominio.

  6. Emisor de IDP: introduzca el ID de entidad del proveedor de identidad que emite la solicitud de SAML.

    La aserción de SAML debe hacer referencia exactamente a esta cadena. Cualquier diferencia en la ortografía, caracteres o formato, producirá un error.

  7. URL de inicio de sesión del IDP: introduzca la dirección URL/SSO de inicio de sesión del IDP. Esta dirección URL es el lugar donde se redirige a los usuarios para su autenticación.

  8. Haga clic en Completar configuración.

  9. Para guardar el archivo de metadatos XML de SAML, haga clic en Descargar metadatos. Utilice este archivo para configurar la integración de SAML con el proveedor de identidades. El proveedor de identidades necesita este archivo para habilitar el inicio de sesión único.

    Precaución:

    Para proveedores de identidad SAML genéricos como OpenAthens, Shibboleth, envíe el nombre de usuario (normalmente la dirección de correo electrónico) como NameID en formato “sin especificar”. Envíe también los siguientes atributos (distingue entre mayúsculas y minúsculas): nombre, apellidos y dirección de correo electrónico.

    Estos deben coincidir con las entradas creadas a través de Admin Console. Si estos atributos no están configurados en el IDP para enviarlos como parte de la configuración del conector de SAML 2.0, la autenticación no se procesará correctamente.

  10. Haga clic en Activar dominio. Su dominio ya está activado.

    Nota:

    La activación de un dominio no se puede deshacer. Se puede retirar la solicitud antes de proceder con la activación, pero no después de que el dominio se haya activado.

  11. Para volver atrás y modificar la configuración de SAML, regrese a Admin Console y vaya a Configuración > Identidad. Haga clic en el nombre de dominio y, a continuación, haga clic en Editar configuración de inicio de sesión único.

    Precaución:

    Una vez que el Federated ID esté activo, cualquier cambio que haga en la configuración podría provocar problemas con el inicio de sesión único. Al cambiar la configuración, se genera un nuevo archivo de metadatos que tendrá que reconfigurarse en el IdP

    Editar configuración de inicio de sesión único

La configuración del inicio de sesión único no crea usuarios automáticamente, ni confiere derechos de acceso al software. Una vez que se ha configurado correctamente el inicio de sesión único, tiene que añadir usuarios y configuraciones de productos. Para obtener más información, consulte Administración de usuarios y Funciones administrativas.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea