Nota:

Si su organización todavía tiene directorios autenticados SHA-1, podrá actualizar sin problemas para mejorar a la seguridad del certificado SHA-2 en Admin Console. Añada y active un nuevo perfil de autenticación dentro de su directorio existente para migrar de SHA-1 a SHA-2 sin que haya tiempo de inactividad. Para obtener más información, consulte migrar a un nuevo proveedor de autenticación.

Tenga en cuenta que todos los directorios recién creados tienen habilitada la autenticación SHA-2 de forma predeterminada.

setup-dir

Configurar directorios: para usar Enterprise ID o Federated ID, comience por configurar un directorio al que pueda vincular uno o más dominios.
Más información >


setup-domains

Configurar dominios: los usuarios finales se autentican frente a los dominios que necesita configurar en Admin Console.
Más información >


link-domains-to-dirs

Vincular dominios a directorios: después de configurar los directorios y los dominios, agrupe los dominios vinculándolos a los directorios.
Más información >


dir-trusting

Apoderamiento de directorios: utilice el apoderamiento de directorios para confiar en administradores del sistema de otras organizaciones.
Más información >


cq5dam_web_1280_1280

Migrar directorios SHA-1 a SHA-2: actualice los directorios autenticados SHA-1 antiguos al perfil SHA-2.
Más información >


move-domains

Mover dominios entre directorios: estructure los directorios moviendo dominios entre directorios dentro de Admin Console.
Más información >


Como administrador del sistema en Admin Console, una de sus primeras tareas es definir y configurar un sistema de identidades con el que se autenticarán los usuarios finales. Dado que la organización compra licencias de productos y servicios de Adobe, será necesario suministrar dichas licencias a los usuarios finales. Por ello, necesitará una forma de autenticar a dichos usuarios.

Adobe le ofrece los siguientes tipos de identidad, que puede utilizar para autenticar a sus usuarios finales:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Si desea disponer de cuentas independientes para los usuarios de su dominio, poseídas y controladas por la organización, debe utilizar los tipos de identidad Enterprise ID o Federated ID (para inicio de sesión único).

Este artículo proporciona los detalles necesarios para configurar el sistema de identidades que necesitará si piensa utilizar Enterprise ID o Federated ID para autenticar a sus usuarios finales.

Este artículo proporciona los detalles necesarios para configurar el sistema de identidades que necesitará si piensa utilizar Enterprise ID o Federated ID para autenticar a sus usuarios finales.

Nota:

Los procedimientos de configuración de directorio y de configuración de dominio descritos en este documento son completamente independientes. Esto significa que puede realizar estos procedimientos en cualquier orden o en paralelo. Sin embargo, el procedimiento para vincular dominios de correo electrónico a directorios se realizará únicamente tras haber terminado estos dos procedimientos.

Términos y conceptos clave

Antes de entrar en los procedimientos, a continuación se explican brevemente algunos conceptos y términos que necesita conocer:

Un directorio, en Admin Console, es una entidad que contiene recursos como usuarios y políticas, por ejemplo, la autenticación. Estos directorios son similares a los directorios LDAP o Active Directories.

Proveedor de identidades de la organización, como son Active Directory, Microsoft Azure, Ping, Okta, InCommon o Shibboleth.

Para obtener más información sobre la configuración de SSO para Creative Cloud con algunos de los IdP de uso común, consulte Temas similares al final del artículo.

Lo crea, posee y administra una organización. Adobe aloja el Enterprise ID y realiza la autenticación, pero la organización es quien mantiene el Enterprise ID. Los usuarios finales no pueden registrarse ni crear un Enterprise ID, ni pueden suscribirse a otros productos y servicios de Adobe con un Enterprise ID.

Los administradores crean el Enterprise ID y lo emiten para los usuarios. Además, los administradores pueden revocar el acceso a los productos y servicios de Adobe al tomar posesión de la cuenta o eliminar el Enterprise ID en cuestión con el fin de bloquear el acceso de forma permanente a los datos asociados.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Enterprise ID:

  • Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
  • Si necesita tener acceso urgente a los archivos y datos asociados a un ID.
  • Si necesita poder bloquear completamente o eliminar una cuenta de usuario.

Lo crea y lo posee una organización, y está vinculado al directorio de la empresa a través de la federación. La organización administra las credenciales y procesa el inicio de sesión único a través de un proveedor de identidades (IdP) SAML2.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Federated ID:

  • Si quiere proporcionar a los usuarios aplicaciones y servicios basándose en el directorio de empresa de la organización.
  • Si quiere administrar la autenticación de los usuarios.
  • Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
  • Si quiere permitir que los usuarios usen la misma dirección de correo electrónico para añadir un Adobe ID.

Nota:

El proveedor de identidades debe ser compatible con TLS 1.2.

Lo crea, posee y administra el usuario final. Adobe realiza la autenticación y el usuario final administra la identidad. Los usuarios conservan el control total sobre los archivos y datos relacionados con su ID. Estos también pueden adquirir productos y servicios adicionales de Adobe. Los administradores invitan a los usuarios a unirse a la organización y pueden eliminarlos de la misma. Sin embargo, a los usuarios no se les puede denegar el acceso a sus cuentas de Adobe ID. El administrador no puede eliminar ni tomar el control de las cuentas. No es necesario realizar ninguna configuración antes de empezar a utilizar los Adobe ID.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Adobe ID:

  • Si quiere permitir que los usuarios creen, posean y administren sus identidades.
  • Si quiere permitir que los usuarios adquieran otros productos y servicios de Adobe o se suscriban a ellos.
  • Si se espera que los usuarios usen otros servicios de Adobe que no son compatibles actualmente con los Enterprise ID o los Federated ID.
  • Si los usuarios ya tienen sus Adobe ID y cuentan con datos asociados al mismo, como archivos, fuentes o configuraciones. 
  • Para las instalaciones del sector educativo, en las que los estudiantes pueden conservar su Adobe ID después de graduarse.
  • Si tiene contratistas o trabajadores autónomos que no utilicen las direcciones de correo electrónico de dominios que controle.
  • Si tiene un contrato de equipos de Adobe, deberá utilizar este tipo de identidad.

La parte de una dirección de correo electrónico que va después del signo @ es el dominio. Para usar un dominio con Enterprise o Federated ID, primero debe validar su propiedad de ese dominio.

Por ejemplo, si una organización posee múltiples dominios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), pero sus empleados se autentican frente a geometrixx.com. En este caso, la organización utilizará el dominio geometrixx.com para configurar sus identidades en Admin Console.

Administrador del sistema

  • Trabaja con los administradores de directorio de IdP y los administradores de DNS para configurar la identidad en Admin Console. Este documento está destinado a los administradores del sistema, que tendrán acceso a Admin Console. Esta persona tendrá que trabajar con el resto de personas, que (en la mayoría de los casos) no tendrán acceso a Admin Console.

Administrador de DNS

  • Actualiza los token de DNS para validar la propiedad de los dominios

Administrador del directorio del proveedor de identidades (IdP)

  • Crea conectores en el IdP

Las identidades de los usuarios se verifican frente a una fuente de autenticación. Para usar Enterprise ID o Federated ID, configure su propia fuente de autenticación añadiendo un dominio. Por ejemplo, si su dirección de correo electrónico es juan@ejemplo.com, ejemplo.com es el dominio. Añadir un dominio permite la creación de Enterprise ID y Federated ID con direcciones de correo electrónico del dominio en cuestión. Se puede usar un dominio, bien con los Enterprise ID, bien con los Federated ID, pero no con ambos. Sin embargo, puede añadir varios dominios.

Una organización debe validar su control sobre un dominio. Las organizaciones también pueden añadir varios dominios. Sin embargo, un dominio solo se puede añadir una vez. Además, los dominios públicos y genéricos conocidos, como gmail.com o yahoo.com, no se pueden añadir en ningún caso.

Para obtener más información sobre los tipos de identidad, consulte Administrar tipos de identidad.

SHA-1 y SHA-2 son modelos de certificado responsables de la seguridad de los perfiles de autenticación de su directorio. Dado que SHA-2 ofrece una mayor seguridad que los certificados SHA-1 antiguos, todos los perfiles de autenticación nuevos y migrados utilizan el certificado SHA-2.

Crear directorios

Para usar Enterprise ID o Federated ID, comience por crear un directorio al que pueda vincular uno o más dominios.

Nota:

Adobe no admite actualmente flujos de trabajo iniciados por IdP.

Si su organización tiene configurado (o lo tiene previsto) Microsoft Azure como proveedor de SSO, le recomendamos que use nuestro conector de Azure. Además, siga los pasos que se detallan en la sección Configurar Azure Connector: crear un directorio.

Si su organización tiene configurada (o lo tiene previsto) la federación de Google  como proveedor de SSO, le recomendamos que use nuestro conector de Google. Además, siga los pasos que se detallan en la sección Configurar la federación de Google: crear un directorio en la Adobe Admin Console.

Siga el siguiente procedimiento si su organización está utilizando una o varias de las siguientes opciones:

  • Enterpise ID
  • Otro proveedor de SAML que no sea Azure o Google
  • Microsoft Azure o federación de Google, pero no está usando nuestros conectores.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Directorios y haga clic en Crear directorio.

  3. En la pantalla Crear un directorio, introduzca un nombre para el directorio.

  4. Elija Federated ID y haga clic en Siguiente y salte al paso 5.

    Elija Enterprise ID y haga clic en Crear directorio.

    Si crea un directorio de Enterprise ID, habrá terminado con dicho directorio.

    Continúe y configure sus dominios.

  5. (Solo Federated ID) Elija Otros proveedores de SAML y haga clic en Siguiente.

  6. Utilice la pantalla Añadir perfil de SAML para obtener la información de configuración de su proveedor de identidades.

    Algunos proveedores de identidades (IdP) aceptan un archivo de metadatos que puede cargar, mientras que otros pueden requerir la URL de ACS y el ID de entidad. Por ejemplo:

    • En el caso de Azure Active Directory: cargue el archivo de metadatos.
    • En el caso de Google: copie la URL de ACS y el ID de entidad y úselos en el software de IdP de Google.
    • En el caso de SalesForce: descargue el archivo de metadatos, extraiga la información del certificado del archivo y úsela en el software de IdP de SalesForce.

    Nota:

    Las opciones de Azure y Google anteriores son necesarias si ha decidido no utilizar nuestros conectores de Azure y Google, respectivamente.

    Elija uno de los métodos indicados a continuación.

    Método 1:

    Haga clic en Descargar archivo de metadatos de Adobe.

    El archivo de metadatos se descarga en el disco local. Utilice este archivo para configurar la integración de SAML con el proveedor de identidades.

    Método 2:

    Copie el URL de ACS y el ID de entidad.

    Agregar perfil SAML
  7. Cambie a la ventana de su aplicación de IdP y cargue el archivo de metadatos o especifique el URL de ACS y el ID de entidad. Una vez hecho esto, descargue el archivo de metadatos de IdP.

  8. Regrese a la Adobe Admin Console y cargue el archivo de metadatos de IdP en la ventana Añadir perfil SAML y haga clic en Hecho.

El directorio se creará.

  • Si ha elegido crear un directorio de tipo de identidad Enterprise ID, la configuración ha finalizado.
  • Si ha elegido crear un directorio utilizando la opción Otros proveedores de SAML, este directorio utiliza automáticamente la autenticación SHA-2. Los directorios creados anteriormente con autenticación SHA-1 ahora se pueden actualizar a SHA-2 y migrar a otro proveedor de identidades. Para obtener más información, consulte Migrar a nuevo proveedor de autenticación.

A continuación, puede configurar dominios en Admin Console.

Configurar dominios

Nota:

No es necesario añadir manualmente dominios si el directorio de su organización está configurado mediante la sincronización de Microsoft Azure AD Connector o la federación de Google. Los dominios seleccionados validados en la configuración del proveedor de identidades se sincronizan automáticamente en Adobe Admin Console.

Los usuarios finales se autentican frente a los dominios que necesita configurar en Admin Console.

Para configurar dominios:

  1. Añada dominios a Admin Console
  2. Prepárese para validar la propiedad de los dominios añadiendo un registro especial de DNS
  3. Valide los dominios

Los dominios que añada a Admin Console no necesitan estar registrados con el mismo IdP. Sin embargo, al vincular estos dominios a un directorio, es preciso vincular dominios de diferentes IdP a diferentes directorios.

No puede añadir un dominio a Admin Console si ya se ha añadido a Admin Console de otra organización. Puede, sin embargo, solicitar acceso a ese dominio.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. En la pestaña Dominios, haga clic en Añadir dominios.

  3. En la pantalla Añadir dominios, introduzca uno o varios dominios y haga clic en Añadir dominios. Solo puede reclamar y validar 15 dominios a la vez y añadir posteriormente los dominios restantes.

  4. En la pantalla Añadir dominios, compruebe la lista de dominios y haga clic en Añadir dominios.

    Confirme los dominios a añadir

Los dominios se añadirán a la Admin Console. A continuación, demuestre la propiedad de estos dominios.

Las organizaciones deben demostrar su propiedad de un dominio. Las organizaciones pueden añadir tantos dominios como necesiten a Admin Console.

Admin Console permite que una organización utilice un único token de DNS para demostrar la propiedad de todos sus dominios. Asimismo, Admin Console no requiere validación de DNS para subdominios. Esto significa que cuando utilice el token de DNS y demuestre la propiedad de un dominio, todos los subdominios de ese dominio quedan validados inmediatamente a medida que se añaden a Admin Console.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad; a continuación, vaya a la pestaña Dominios.

  2. Haga clic en  y elija Token DNS de acceso en la lista desplegable.

  3. Trabaje con su administrador de DNS para agregar un registro DNS especial para los dominios que haya agregado.

  4. Para verificar que el dominio le pertenece, debe añadir un registro TXT al token DNS generado. Las instrucciones exactas dependen del host de su dominio. Para directrices genéricas, consulte verificar la titularidad de un dominio.

  5. Agregue información a sus servidores DNS para completar este paso. Hágaselo saber al administrador de DNS con antelación, de modo que este paso se pueda completar a tiempo.

    Adobe comprueba periódicamente los registros DNS de su dominio. Si estos registros son correctos, el dominio se valida automáticamente. Si desea validar el dominio inmediatamente, puede iniciar sesión en la Admin Console y validarlo de forma manual. A continuación, tiene que validar los dominios.

Admin Console intenta validar varias veces al día los dominios que haya añadido, por lo que no es necesario realizar ninguna acción para validar un dominio una vez que los registros de DNS se hayan configurado correctamente.

Validar dominios manualmente

Si necesita validar su dominio inmediatamente, puede hacerlo en Admin Console. Para validar manualmente los dominios:

  1. Inicie sesión en Admin Console.

  2. Vaya a Configuración > Identidad y después a la pestaña Dominios.

  3. Haga clic en Validar.

    Validar dominios
  4. En la pantalla Validar propiedad de dominio, haga clic en Validar ahora.

Es posible que reciba mensajes de error al intentar validar, ya que pueden pasar hasta 72 horas para que los cambios en el DNS entren en vigencia. Para obtener más información, consulte preguntas frecuentes relacionadas con el registro DNS.

Una vez que haya verificado la propiedad de su dominio, vincule los dominios validados a los directorios requeridos de Admin Console.

Después de configurar los directorios y los dominios en Admin Console, debe vincular los dominios a los directorios.

Puede vincular varios dominios al mismo directorio. Sin embargo, todos los dominios que vincule a un único directorio deben compartir la misma configuración de SSO.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Dominios.

  3. Haga clic en la casilla de verificación situada a la izquierda del nombre de dominio y haga clic en Vincular a directorio.

    Si desea vincular varios dominios al mismo directorio, haga una selección múltiple de las casillas de verificación de dichos dominios.

    Vincular dominios a directorio
  4. En la pantalla Vincular a directorio, elija el directorio en la lista desplegable y haga clic en Vincular.

Administrar usuarios

Después de que haya completado la configuración de Enterprise ID o Federated ID, ya podrá poner a disposición de los usuarios los productos y servicios de Adobe adquiridos.

Lea la introducción sobre cómo gestionar usuarios en la Admin Console. O bien, entre directamente y añada usuarios en la Admin Console mediante uno de estos métodos:

Una vez que los usuarios se hayan añadido a la Admin Console, aprovisiónelos asignándolos a perfiles de productos.

Apoderamiento de directorios

La propiedad de un dominio solo puede reivindicarla una única organización. Por consiguiente, considere el siguiente escenario:

Una empresa, Geometrixx, tiene varios departamentos, cada uno de los cuales tiene su propia Admin Console. Además, cada departamento quiere que los usuarios empleen Federated ID, utilizando todos ellos el dominio geometrixx.com.  En este caso, el administrador del sistema de cada uno de estos departamentos querría reivindicar este dominio para autenticación. Admin Console impide que un dominio se añada a las Admin Console de más de una organización diferente. Sin embargo, una vez añadido por un único departamento, otros departamentos pueden solicitar acceso al directorio al que ese dominio está vinculado en nombre de Admin Console de su organización.

El apoderamiento de directorios permite a un propietario de directorio confiar en otros administradores del sistema (apoderados). Después de esto, las organizaciones apoderadas en Admin Console pueden añadir usuarios a cualquier dominio del directorio bajo apoderamiento.

En resumen: Si piensa utilizar Enterprise ID o Federated ID en su Admin Console, debe añadir el dominio asociado con su organización. Si este dominio lo hubiera añadido previamente otra organización, tiene que solicitar acceso como apoderado al directorio que contiene dicho dominio.

Para solicitar acceso a un directorio, consulte los pasos del procedimiento Añadir dominios en el apartado anterior Configurar dominios.

Precaución:

Como propietario de un directorio, si aprueba una solicitud de acceso para ese directorio, la organización apoderada tendrá acceso a todos los dominios vinculados a ese directorio, así como a cualquier dominio vinculado a ese directorio en el futuro. Por tanto, la planificación de los vínculos de dominio a directorio es esencial conforme se configura el sistema de identidades de su organización.

Apoderado de dominio

Si añade dominios existentes a la Admin Console, le aparecerá el siguiente mensaje:

Solicitar acceso

Si solicita acceso a este dominio, su nombre, su correo electrónico y el nombre de la organización se comparten en la solicitud al administrador del sistema de la organización propietaria.

El tipo de directorio (Enterprise o Federated) depende de cómo lo haya configurado la organización propietaria. Esto significa que debe utilizar el tipo de directorio que hubiera elegido la organización propietaria.

Dado que el dominio ya lo ha configurado el propietario (consulte Demostrar la propiedad de los dominios en Configurar dominios para obtener más información), como apoderado no tiene que hacer nada más. Cuando la solicitud de acceso la acepte el propietario, su organización tendrá acceso al directorio y a todos sus dominios, según cómo lo haya configurado la organización propietaria.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Solicitudes de acceso y compruebe el estado relativo a todos los directorios para los que haya solicitado acceso.

  3. También puede hacer clic en el elemento de fila de la lista de solicitudes de acceso y hacer clic en Volver a enviar solicitud o Cancelar solicitud.

Si la organización propietaria acepta su solicitud de acceso al directorio, en ese caso recibe una notificación por correo electrónico. Su solicitud de apoderamiento desaparece y, en su lugar, aparecen el directorio bajo apoderamiento y sus dominios, con el estado Activo (bajo apoderamiento) en sus listados Directorios y Dominios.

Continúe y añada usuarios finales y grupos de usuarios, y asígnelos a perfiles de productos.

Como organización apoderada, si ya no tiene necesitad de acceder al dominio bajo apoderamiento, puede renunciar a su condición de apoderado en cualquier momento.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. En la pestaña Directorios, haga clic en el directorio compartido para el que desee retirar su acceso.

  3. En la herramienta de detalles del directorio, haga clic en Retirar.

Si retira su acceso a un directorio bajo apoderamiento, todos los usuarios tipo Enterprise ID o Federated ID que pertenezcan a dominios de ese directorio (lo que significa que inician sesión utilizando las credenciales del dominio) se eliminan de su organización. Además, estos usuarios pierden el acceso a cualquier software cuyo acceso les haya concedido su organización.

Propietario de dominio

Como administrador del sistema de una organización propietaria, puede elegir aceptar o rechazar las solicitudes de acceso a los directorios que posea. 

Al recibir una solicitud por correo electrónico para acceder a un directorio que posea, puede optar por aceptarla o rechazarla desde el propio mensaje de correo electrónico. También puede ir a la pestaña Solicitudes de acceso para administrar las solicitudes de reivindicación.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Solicitud de acceso.

  3. Para aceptar todas las solicitudes, haga clic en Aceptar todas.

    O bien, para aceptar solicitudes de determinadas reivindicaciones, haga clic en la casilla de verificación situada a la izquierda de cada fila y haga clic en Aceptar.

  4. En la pantalla Aceptar solicitud de acceso, haga clic en Aceptar.

Se enviará un correo electrónico de notificación a los administradores del sistema de las organizaciones apoderadas.

También puede optar por rechazar la solicitud de acceso a un directorio que posea.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Solicitud de acceso.

  3. Haga clic en la casilla de verificación situada a la izquierda de cada fila y haga clic en Rechazar.

  4. En la pantalla Rechazar solicitud de acceso, introduzca un motivo del rechazo de la solicitud y haga clic en Rechazar.

La razón que facilite se comparte por correo electrónico con la organización solicitante. Sin embargo, su correo electrónico, su nombre y la información de su organización se mantienen ocultos.

Es posible revocar el acceso de una organización apoderada a la que previamente se haya concedido acceso.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Apoderados.

  3. Haga clic en la casilla de verificación situada a la izquierda de cada fila y haga clic en Revocar.

  4. En la pantalla Revocar apoderado, haga clic en Revocar.

Si se revoca el acceso de una organización apoderada, se eliminan de la organización apoderada los usuarios del tipo Enterprise ID o Federated ID de cualquier dominio de ese directorio. Además, estos usuarios pierden el acceso a cualquier software o servicios cuyo acceso les haya concedido la organización apoderada.

Administración de claves de cifrado

Usando Creative Cloud o Document Cloud para empresas, los usuarios finales pueden guardar archivos de forma segura. Asimismo, los usuarios también pueden compartir archivos y colaborar con otros. Estos pueden acceder a los archivos a través del sitio web de Creative Cloud, la aplicación de escritorio y la aplicación móvil. El almacenamiento solo está disponible con Creative Cloud o Document Cloud para empresas si forma parte del acuerdo de la organización con Adobe.

A pesar de que todos los datos de Creative Cloud y Document Cloud están cifrados, si quiere implementar capas adicionales de control y seguridad, puede optar por que Adobe genere una clave de cifrado dedicada para algunos o todos los directorios de su organización. El contenido se encripta usando encriptación estándar con una clave de encriptación dedicada. Si fuera necesario, puede anular la clave de cifrado desde Admin Console.

Las claves de cifrado dedicadas solo están disponibles para los planes de servicios compartidos de Creative Cloud y Document Cloud para empresas que incluyan almacenamiento y servicios.

Para obtener más información, consulte cómo administrar cifrado de claves en la Admin Console.

Migrar a nuevo proveedor de autenticación

Si tiene directorios que utilicen la autenticación SHA-1, ahora puede migrar sin problemas de los perfiles de autenticación SHA-1 a SHA-2 sin necesidad de crear explícitamente un nuevo directorio.

Además, la migración le permite migrar a un proveedor de identidades diferente para un directorio establecido.

Precaución:

No elimine la configuración existente en su IdP hasta que haya confirmado que la nueva configuración se ha realizado correctamente con entre 2 y 3 cuentas activas del directorio.

Si se elimina antes de la verificación, perderá la capacidad de volver a la configuración anterior y habrá un tiempo de inactividad mientras se resuelven los problemas. Para obtener más información, siga el procedimiento de migración.

Requisitos de acceso

Para migrar a un perfil de autenticación SHA-2, debe cumplir los siguientes requisitos:

  • Debe tener acceso a Admin Console de su organización con las credenciales de Administrador del sistema
  • Debe tener el directorio SHA-1 existente configurado para la federación en Admin Console
  • Debe tener acceso para configurar el proveedor de identidades de su organización (por ejemplo, el portal Microsoft Azure, la consola de administración de Google, etc.)

Para obtener información sobre otras cosas que se deben tener en cuenta durante la implementación, consulte Consideraciones sobre la implementación.

Procedimiento de migración

Después de asegurarse de que se cumplen los requisitos de acceso y las consideraciones de implementación, siga el procedimiento que se indica a continuación para editar su perfil de autenticación y migrar su directorio:

  1. En Adobe Admin Console, vaya a Configuración > Directorios.

  2. Seleccione la acción Editar para el directorio. A continuación, seleccione Añadir nuevo IdP en el directorio Detalles.

  3. Seleccione el proveedor de identidades para configurar el nuevo perfil de autenticación. Elija el proveedor de identidades (IdP) que su organización utiliza para autenticar usuarios. Haga clic en Siguiente.

  4. Según su elección del proveedor de identidades, siga los pasos que se indican a continuación:

    • Para Azure
      Inicie sesión en Azure con sus credenciales de administrador global de Microsoft Azure Active Directory y Acepte el mensaje de permiso. Regresará a los detalles de Directorio en Admin Console.

    • Para Google:

      1. Copie la URL de ACS y el ID de entidad de la pantalla Editar configuración de SAML.
      2. En otra ventana separada, inicie sesión en la consola de administración de Google con las credenciales de administrador de Google y vaya a Aplicaciones > Aplicaciones de SAML.
      3. Utilice el signo + para añadir una nueva aplicación y seleccione la aplicación de Adobe. A continuación, descargue los metadatos de IDP en Opción 2 y cárguelos en Editar configuración de SAML en Adobe Admin Console. A continuación, haga clic en Guardar.
      4. Confirme la Información básica para Adobe. Introduzca la URL de ACS y el ID de entidad previamente copiados en Detalles del proveedor de servicios para finalizar.
      5. Por último, vaya a Aplicaciones > Aplicaciones SAML > Configuración para Adobe > Estado del servicio. Active el estado del servicio como ACTIVADO para todos y haga clic en Guardar.
      Estado del servicio
    • Para Otros proveedores de SAML:

      1. Inicie sesión en la aplicación de su proveedor de identidades en una ventana diferente y cree una nueva aplicación SAML. (No edite la aplicación SAML existente para evitar el tiempo de inactividad de la migración).
      2. En función de la configuración del proveedor de identidades, copie el archivo de metadatos o la URL de ACS y el ID de entidad de Adobe Admin Console en la configuración del proveedor de identidades.
      3. Cargue el archivo de metadatos de la configuración del proveedor de identidades en Adobe Admin Console. A continuación, haga clic en Guardar.
  5. En Adobe Admin Console > Información del directorio, se crea el nuevo perfil de autenticación. Utilice la función Prueba para verificar si la configuración está configurada correctamente para garantizar que todos los usuarios finales tengan acceso a las aplicaciones de SAML.

    La función Prueba garantiza que el formato de nombre de usuario del nuevo perfil de autenticación en su IdP coincida con la información de usuario del perfil existente para el inicio de sesión del usuario.

  6. Haga clic en Activar para migrar al nuevo perfil de autenticación. Una vez hecho esto, el nuevo perfil muestra En uso.

    Después de la activación, asegúrese de que el valor del campo Asunto de la aserción de la nueva configuración de SAML coincida con el formato de nombre de usuario de los usuarios existentes en Admin Console.

    Precaución:

    Una vez que se activa una nueva configuración de IdP, el perfil SHA-1 de Okta permanecerá inactivo y disponible durante siete días, tras lo cual la tarjeta de perfil inactiva se eliminará automáticamente del directorio en Adobe Admin Console. La única forma de restaurar un perfil de Okta eliminado es enviar una solicitud de asistencia técnica con Adobe Engineering. 

Después de migrar el directorio al proveedor de SAML compatible con SHA-2, puede mover dominios de otros directorios SHA-1 al nuevo directorio utilizando la migración de dominios.

Para obtener más información sobre algunas limitaciones y evitar errores que podrían producirse al configurar, consulte Preguntas frecuentes: Migrar directorio a nuevo proveedor de autenticación.

Mover dominios entre directorios

Las organizaciones pueden estructurar sus directorios moviendo dominios de directorios de origen a directorios de destino dentro de Admin Console. Puede reorganizar la vinculación de dominio a directorio según las necesidades de su organización sin que los usuarios finales pierdan acceso a sus productos, servicios o contenidos almacenados. La consolidación de dominios configurados para el mismo proveedor de identidades en un solo directorio optimiza la administración para sus equipos de TI.

Si tiene previsto migrar dominios de un directorio a otro que contenga un nuevo proveedor de identidades (Azure, Google u otro SAML) con autenticación SHA-2, deberá replicar la nueva configuración de IdP en ambos directorios. La nueva configuración de IdP permite el inicio de sesión de prueba para los usuarios de todos los dominios del directorio. Realice las siguientes acciones en función de su nuevo proveedor de identidades:

  • Para Microsoft Azure: agregue un nuevo proveedor de identidades de Azure a su directorio e inicie sesión en el mismo inquilino de Azure.
  • Para otros proveedores de SAML (incluido Google): cargue el mismo archivo de metadatos que señalará a la misma aplicación SAML en su IdP.

Una vez finalizada la migración de dominios, los usuarios que formen parte del nuevo directorio seguirán teniendo la posibilidad de iniciar sesión. Esto eliminará el tiempo de inactividad y garantizará el acceso inmediato a sus aplicaciones y servicios asignados de Adobe. 

Nota:

Las sesiones de los usuarios se cerrarán, y no podrán volver a iniciar una nueva sesión durante la transferencia del dominio. Se recomienda editar directorios en horas de poca actividad para minimizar las interrupciones a los usuarios finales.

Por qué mover dominios

Puede beneficiarse de esta función en los siguientes casos:

  • Tiene dominios en directorios compatibles con SHA-1 antiguos y desea trasladarse a directorios compatibles con SHA-2.
  • Desea migrar un directorio existente a otro proveedor de identidades con un perfil de autenticación SHA-2.
  • Tiene directorios en una relación de confianza o desea compartir directorios para establecer una relación de confianza, sin permitir acceso a todos los dominios dentro del directorio de confianza.
  • Tiene que agrupar directorios en función de los equipos y departamentos de la organización.
  • Tiene una serie de directorios vinculados a dominios únicos y quiere consolidarlos.
  • Accidentalmente vinculó un dominio a un directorio incorrecto.
  • Desea que un paquete de autoservicio traslade un dominio de Enterprise ID a Federated ID o de Federated ID a Enterprise ID.

Gestión de directorios cifrados o de confianza

Si los directorios de origen o destino están cifrados o están en una relación de confianza, no puede mover los dominios directamente. Siga las instrucciones para mover dominios en estos casos:

Caso práctico

Enfoque sugerido

Para mover un dominio de una organización Admin Console a otra

Póngase en contacto con Servicio de atención al cliente de Adobe

Para mover dominios entre directorios que están en una relación de confianza entre sí

Siga el proceso que se indica a continuación

Para mover dominios entre directorios que están en una relación de confianza pero no entre sí

Retire la relación de confianzamueva los dominios y, luego, restablezca la relación de confianza.

Precaución:

Mover dominios hacia o desde un directorio cifrado no se admite actualmente.

Mover dominios

Siga el proceso indicado a continuación para transferir dominios de un directorio de origen a un directorio de destino:

  1. Inicie sesión en Adobe Admin Console y vaya a Configuración.

  2. Navegue hasta Dominios y seleccione los dominios que desea mover al directorio de destino. Luego, haga clic en Editar directorio.

    Editar directorio
  3. Seleccione un directorio en el menú desplegable en la pantalla Editar directorio. Use el botón de alternancia en la parte inferior para activar o desactivar las notificaciones de finalización. A continuación, haga clic en Guardar.

    Seleccionar directorio

Se le enviará a la sección Dominios, bajo Configuración > Identidad. Se enumerarán todos los dominios con su estado.

Una vez que los dominios se hayan transferido con éxito, los administradores del sistema recibirán un correo electrónico sobre la transferencia del dominio. A continuación, puede editar nombres de directorios y eliminar directorios vacíos según sea necesario.

Eliminar directorios y retirar dominios

Puede eliminar directorios y dominios que ya no se usen de Admin Console.

Nota:

No se puede eliminar un directorio con:

  • Usuarios activos
  • Dominios vinculados
  • Apoderados

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Directorios.

  3. Haga clic en la casilla de verificación situada a la izquierda de uno o más nombres de directorio y haga clic en Eliminar directorios.

  4. En la pantalla de eliminación de directorios, haga clic en Eliminar.

Nota:

No se puede eliminar un dominio si hay usuarios con ese dominio en Admin Console o si el dominio está vinculado a uno o varios directorios.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Dominios.

  3. Haga clic en la casilla de verificación situada a la izquierda de uno o más nombres de dominio y haga clic en Eliminar.

  4. En la pantalla Eliminar dominios, haga clic en Eliminar.