Configurar la identidad

Un directorio, en Admin Console, es una entidad que contiene recursos como usuarios y políticas, por ejemplo la autenticación. Estos directorios son similares a los directorios LDAP o Active Directories.

Proveedor de identidades de la organización, como Active Directory, Azure, Ping, Okta, InCommon o Shibboleth.

Para obtener más información sobre la configuración de SSO para Creative Cloud con algunos de los IdP que se usan comúnmente, consulte Temas similares al final del artículo.

Lo crea, posee y administra el usuario final. Adobe realiza la autenticación y el usuario final administra la identidad. Los usuarios conservan el control total sobre los archivos y datos relacionados con su ID. Estos también pueden adquirir productos y servicios adicionales de Adobe. Los administradores invitan a los usuarios a unirse a la organización y pueden eliminarlos de la misma. Sin embargo, a los usuarios no se les puede denegar el acceso a sus cuentas de Adobe ID. El administrador no puede eliminar ni tomar el control de las cuentas. No es necesario realizar ninguna configuración antes de empezar a utilizar los Adobe ID.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Adobe ID:

• Si quiere permitir que los usuarios creen, posean y administren sus identidades.
• Si quiere permitir que los usuarios adquieran otros productos y servicios de Adobe o se suscriban a ellos.
• Si se espera que los usuarios usen otros servicios de Adobe que no son compatibles actualmente con los Enterprise ID o los Federated ID.
• Si los usuarios ya tienen sus Adobe ID y cuentan con datos asociados al mismo, como archivos, fuentes o configuraciones. 
• Para las instalaciones del sector educativo, en las que los estudiantes pueden conservar su Adobe ID después de graduarse.
• Si tiene contratistas o trabajadores autónomos que no utilicen las direcciones de correo electrónico de dominios que controle.
• Si tiene un contrato de equipos de Adobe, deberá utilizar este tipo de identidad.

Lo crea, posee y administra una organización. Adobe aloja el Enterprise ID y realiza la autenticación, pero la organización es quien mantiene el Enterprise ID. Los usuarios finales no pueden registrarse ni crear un Enterprise ID, ni pueden suscribirse a otros productos y servicios de Adobe con un Enterprise ID.

Los administradores crean el Enterprise ID y lo emiten para los usuarios. Además, los administradores pueden revocar el acceso a los productos y servicios de Adobe al tomar posesión de la cuenta o eliminar el Enterprise ID en cuestión con el fin de bloquear el acceso de forma permanente a los datos asociados.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Enterprise ID:

• Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
• Si necesita tener acceso urgente a los archivos y datos asociados a un ID.
• Si necesita poder bloquear completamente o eliminar una cuenta de usuario.

Lo crea y lo posee una organización, y está vinculado al directorio de la empresa a través de la federación. La organización administra las credenciales y procesa el inicio de sesión único a través de un proveedor de identidades (IdP) SAML2.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Federated ID:

• Si quiere proporcionar a los usuarios aplicaciones y servicios basándose en el directorio de empresa de la organización.
• Si quiere administrar la autenticación de los usuarios.
• Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
• Si quiere permitir que los usuarios usen la misma dirección de correo electrónico para registrarse y obtener un Adobe ID.

La parte de una dirección de correo electrónico que va después del signo @ es el dominio. Para usar un dominio con Enterprise o Federated ID, primero debe validar su propiedad de ese dominio.

Por ejemplo, si una organización posee múltiples dominios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), pero sus empleados se autentican frente a geometrixx.com. En este caso, la organización utilizará el dominio geometrixx.com para configurar sus identidades en Admin Console.

• Trabaja con los administradores de directorio de IdP y los administradores de DNS para configurar la identidad en Admin Console. Este documento está destinado a los administradores del sistema, que tendrán acceso a Admin Console. Esta persona tendrá que trabajar con el resto de personas, que (en la mayoría de los casos) no tendrán acceso a Admin Console.

• Actualiza los token de DNS para validar la propiedad de los dominios

• Crea conectores en el IdP

Las identidades de los usuarios se verifican frente a una fuente de autenticación. Para usar Enterprise ID o Federated ID, configure su propia fuente de autenticación añadiendo un dominio. Por ejemplo, si su dirección de correo electrónico es juan@ejemplo.com, ejemplo.com es el dominio. Añadir un dominio permite la creación de Enterprise ID y Federated ID con direcciones de correo electrónico del dominio en cuestión. Se puede usar un dominio, bien con los Enterprise ID, bien con los Federated ID, pero no con ambos. Sin embargo, puede añadir varios dominios.

Una organización debe validar su control sobre un dominio. Las organizaciones también pueden añadir varios dominios. Sin embargo, un dominio solo se puede añadir una vez. Además, los dominios públicos y genéricos conocidos, como gmail.com o yahoo.com, no se pueden añadir en ningún caso.

Para obtener más información sobre los tipos de identidad, consulte Administrar tipos de identidad.

El directorio se creará.

Si ha elegido crear un directorio utilizando la opción Otros proveedores de SAML, este directorio utilizará la autenticación SHA-2. Sin embargo, los directorios creados anteriormente usaban la autenticación SHA-1.

Ahora puede continuar y configurar sus dominios en Admin Console.

Los dominios que añada a Admin Console no necesitan estar registrados con el mismo IdP. Sin embargo, al vincular estos dominios a un directorio, es preciso vincular dominios de diferentes IdP a diferentes directorios.

No puede añadir un dominio a Admin Console si ya se ha añadido a Admin Console de otra organización. Puede, sin embargo, solicitar acceso a ese dominio.

Los dominios ya están añadidos a Admin Console. Sin embargo, todavía debe demostrar la propiedad de estos dominios.

Las organizaciones deben demostrar su propiedad de un dominio. Las organizaciones pueden añadir tantos dominios como necesiten a Admin Console.

Admin Console permite que una organización utilice un único token de DNS para demostrar la propiedad de todos sus dominios. Asimismo, Admin Console no requiere validación de DNS para subdominios. Esto significa que cuando utilice el token de DNS y demuestre la propiedad de un dominio, todos los subdominios de ese dominio quedan validados inmediatamente a medida que se añaden a Admin Console.

Admin Console intenta validar varias veces al día los dominios que haya añadido, por lo que no es necesario realizar ninguna acción para validar un dominio una vez que los registros de DNS se hayan configurado correctamente.

Si necesita validar su dominio inmediatamente, puede hacerlo en Admin Console. Para validar manualmente los dominios:

Es posible que reciba mensajes de error al intentar validar, ya que pueden pasar hasta 72 horas para que los cambios en el DNS entren en vigencia. Para obtener más información, consulte preguntas frecuentes relacionadas con el registro DNS.

Una vez que haya verificado la propiedad de su dominio, vincule los dominios validados a los directorios requeridos de Admin Console.

Si añade dominios existentes a Admin Console, se le consultará mediante el siguiente mensaje:

Si solicita acceso a este dominio, su nombre, su correo electrónico y el nombre de la organización se comparten en la solicitud al administrador del sistema de la organización propietaria.

El tipo de directorio (Enterprise o Federated) depende de cómo lo haya configurado la organización propietaria. Esto significa que debe utilizar el tipo de directorio que hubiera elegido la organización propietaria.

Dado que el dominio ya lo ha configurado el propietario (consulte Demostrar la propiedad de los dominios en Configurar dominios para obtener más información), como apoderado no tiene que realizar ninguna acción adicional. Cuando la solicitud de acceso la acepte el propietario, su organización tendrá acceso al directorio y a todos sus dominios, según haya configurado la organización propietaria.

Si la organización propietaria acepta su solicitud de acceso al directorio, en ese caso recibe una notificación por correo electrónico. Su solicitud de apoderamiento desaparece y, en su lugar, aparecen el directorio bajo apoderamiento y sus dominios, con el estado Activo (bajo apoderamiento) en sus listados Directorios y Dominios.

Continúe y añada usuarios finales y grupos de usuarios, y asígnelos a perfiles de productos.

Como organización apoderada, si ya no tiene necesitad de acceder al dominio bajo apoderamiento, puede renunciar a su condición de apoderado en cualquier momento.

Si retira su acceso a un directorio bajo apoderamiento, todos los usuarios tipo Enterprise ID o Federated ID que pertenezcan a dominios de ese directorio (lo que significa que inician sesión utilizando las credenciales del dominio) se eliminan de su organización. Además, estos usuarios pierden el acceso a cualquier software cuyo acceso les haya concedido su organización.

Se enviará un correo electrónico de notificación a los administradores del sistema de las organizaciones apoderadas.

También puede optar por rechazar la solicitud de acceso a un directorio que posea.

La razón que facilite se comparte por correo electrónico con la organización solicitante. Sin embargo, su correo electrónico, su nombre y la información de su organización se mantienen ocultos.

Es posible revocar el acceso de una organización apoderada a la que previamente se haya concedido acceso.

Si se revoca el acceso de una organización apoderada, se eliminan de la organización apoderada los usuarios del tipo Enterprise ID o Federated ID de cualquier dominio de ese directorio. Además, estos usuarios pierden el acceso a cualquier software o servicios cuyo acceso les haya concedido la organización apoderada.

Puede elegir revocar la clave de cifrado dedicada para un directorio.