Configurar la identidad

Un directorio, en Admin Console, es una entidad que contiene recursos como usuarios y políticas, por ejemplo la autenticación. Estos directorios son similares a los directorios LDAP o Active Directories.

Proveedor de identidades de la organización, como Active Directory, Azure, Ping, Okta, InCommon o Shibboleth.

Lo crea, posee y administra el usuario final. Adobe realiza la autenticación y el usuario final administra la identidad. Los usuarios conservan el control total sobre los archivos y datos relacionados con su ID. Estos también pueden adquirir productos y servicios adicionales de Adobe. Los administradores invitan a los usuarios a unirse a la organización y pueden eliminarlos de la misma. Sin embargo, a los usuarios no se les puede denegar el acceso a sus cuentas de Adobe ID. El administrador no puede eliminar ni tomar el control de las cuentas. No es necesario realizar ninguna configuración antes de empezar a utilizar los Adobe ID.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Adobe ID:

• Si quiere permitir que los usuarios creen, posean y administren sus identidades.
• Si quiere permitir que los usuarios adquieran o se suscriban a otros productos y servicios de Adobe.
• Si se espera que los usuarios usen otros servicios de Adobe que no son compatibles actualmente con los Enterprise ID o los Federated ID.
• Si los usuarios ya tienen sus Adobe ID y cuentan con datos asociados al mismo, como archivos, fuentes o configuraciones. 
• Para las instalaciones del sector educativo, en las que los estudiantes pueden conservar su Adobe ID después de graduarse.
• Si tiene contratistas o trabajadores autónomos que no utilicen las direcciones de correo electrónico de dominios que controle.
• Si tiene un contrato de equipos de Adobe, deberá utilizar este tipo de identidad

Lo crea, posee y administra una organización. Adobe aloja el Enterprise ID y realiza la autenticación, pero la organización es quien mantiene el Enterprise ID. Los usuarios finales no pueden registrarse ni crear un Enterprise ID, ni pueden suscribirse a otros productos y servicios de Adobe con un Enterprise ID.

Los administradores crean el Enterprise ID y lo emiten para los usuarios. Además, los administradores pueden revocar el acceso a los productos y servicios de Adobe al tomar posesión de la cuenta o eliminar el Enterprise ID en cuestión con el fin de bloquear el acceso de forma permanente a los datos asociados.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Enterprise ID:

• Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
• Si necesita tener acceso urgente a los archivos y datos asociados a un ID.
• Si necesita poder bloquear completamente o eliminar una cuenta de usuario.

Lo crea y lo posee una organización, y está vinculado al directorio de la empresa a través de la federación. La organización administra las credenciales y procesa el inicio de sesión único a través de un proveedor de identidades (IdP) SAML2.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Federated ID:

• Si quiere proporcionar a los usuarios aplicaciones y servicios basándose en el directorio de empresa de la organización.
• Si quiere administrar la autenticación de los usuarios.
• Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
• Si quiere permitir que los usuarios usen la misma dirección de correo electrónico para registrarse y obtener un Adobe ID.

La parte de una dirección de correo electrónico que va después del signo @ es el dominio. Para usar un dominio con Enterprise o Federated ID, primero debe validar su propiedad de ese dominio.

Por ejemplo, si una organización posee múltiples dominios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), pero sus empleados se autentican frente a geometrixx.com. En este caso, la organización utilizará el dominio geometrixx.com para configurar sus identidades en Admin Console.

• Trabaja con los administradores de directorio de IdP y los administradores de DNS para configurar la identidad en Admin Console. Este documento está destinado a los administradores del sistema, que tendrán acceso a Admin Console. Esta persona tendrá que trabajar con el resto de personas, que (en la mayoría de los casos) no tendrán acceso a Admin Console.

• Actualiza los token de DNS para validar la propiedad de los dominios

• Crea conectores en el IdP

Las identidades de los usuarios se verifican frente a una fuente de autenticación. Para usar Enterprise ID o Federated ID, configure su propia fuente de autenticación añadiendo un dominio. Por ejemplo, si su dirección de correo electrónico es juan@ejemplo.com, ejemplo.com es el dominio. Añadir un dominio permite la creación de Enterprise ID y Federated ID con direcciones de correo electrónico del dominio en cuestión. Se puede usar un dominio, bien con los Enterprise ID, bien con los Federated ID, pero no con ambos. Sin embargo, puede añadir varios dominios.

Una organización debe validar su control sobre un dominio. Las organizaciones también pueden añadir varios dominios. Sin embargo, un dominio solo se puede añadir una vez. Además, los dominios públicos y genéricos conocidos, como gmail.com o yahoo.com, no se pueden añadir en ningún caso.

Para obtener más información sobre los tipos de identidad, consulte Administrar tipos de identidad.

El directorio se creará.

Si ha elegido crear un directorio de tipo de identidad Enterprise ID, ya ha concluido. Continúe y configure sus dominios en Admin Console.

Si ha elegido crear un directorio de tipo de identidad Federated ID , Adobe deberá proporcionar este directorio antes de poder continuar realizando más operaciones en él. Sin embargo, no es necesario esperar mientras Adobe proporciona el directorio. Puede continuar y configurar sus dominios en Admin Console.

Después de recibir el mensaje de correo electrónico de Adobe, confirmando que se ha proporcionado el directorio, configure la configuración SAML del directorio.

Cuando las organizaciones configuran y activan el inicio de sesión único (SSO), los usuarios de dichas organizaciones pueden usar sus credenciales de empresa para obtener acceso al software de Adobe. Esto permite a los usuarios utilizar una sola credencial para tener acceso a las aplicaciones de escritorio, los servicios y las aplicaciones móviles de Adobe.

Adobe Admin Console ofrece un método para que los usuarios de las empresas puedan autenticarse mediante su identidad empresarial existente. Los Federated ID de Adobe permiten la integración con un sistema de gestión de identidad mediante el inicio de sesión único (SSO). El inicio de sesión único se activa a través de SAML, un protocolo estándar del sector que conecta los sistemas de gestión de identidades empresariales con los proveedores de servicios en la nube, como es el caso de Adobe.

El inicio de sesión único puede intercambiar de forma segura la información relacionada con la autenticación entre diferentes partes: por un lado, el proveedor de servicios (Adobe), y por el otro, el proveedor de identidades (IdP). El proveedor de servicios envía una solicitud al IdP, y este intenta autenticar al usuario. Si la autenticación se procesa de forma correcta, el IdP envía un mensaje de respuesta y permite que el usuario inicie sesión.

Para configurar correctamente el inicio de sesión único para el software de Adobe, los administradores de TI necesitan lo siguiente:

• Entender el funcionamiento de SAML 2.0
• Un proveedor de identidades (IdP) que admita SAML 2.0 y que cuente, como mínimo, con los siguientes elementos:
  • Certificado de IDP
  • URL de inicio de sesión de IDP
  • Enlace de IDP: HTTP-POST o HTTP-Redirect
  • Dirección URL del servicio de consumidor de aserciones (ACS por sus siglas en inglés)
• Acceso a la configuración DNS para procesar la reivindicación de dominios

La dirección URL de inicio de sesión del IdP no tiene por qué ser accesible externamente para que los usuarios puedan acceder a la misma para iniciar sesión. Sin embargo, si solo es accesible dentro de la red interna de la organización, los usuarios solo pueden iniciar sesión en los productos de Adobe cuando estén conectados a la red interna de la organización, ya sea directamente, mediante wifi, o mediante VPN. No es necesario que la página de inicio de sesión sea accesible solo a través de HTTPS, pero se recomienda por motivos de seguridad.

Los servicios alojados en la nube de Adobe ofrecen SSO utilizando un conector SaaS SAML 2.0, proporcionado por Okta. El conector se utiliza para comunicarse con el proveedor de identidades a fin de proporcionar servicios de autenticación. No es necesario utilizar Okta como servicio de proveedor de identidades, ya que Okta se conecta con numerosos proveedores de servicios de identidades mediante SAML 2.0. Para obtener más información, consulte Inicio de sesión único (SSO)/Preguntas frecuentes.

Si su empresa quiere probar la integración del inicio de sesión único, le recomendamos que reivindique un dominio de prueba que ya posea, siempre y cuando la empresa tenga un proveedor de identidades que ya tenga identidades establecidas en ese dominio de prueba. De este modo, se puede probar la integración antes de reivindicar los dominios principales hasta que se sienta cómodo con el proceso de reivindicación y configuración de los dominios.

Si ya dispone de un proveedor de identidades (IdP), puede configurar su configuración de SSO utilizando el conector SaaS SAML 2.0 proporcionado por Okta.

El directorio ya está configurado para inicio de sesión único.

Si aún no lo ha hecho, puede añadir dominios a Admin Console. Si ya tiene dominios añadidos a Admin Console, puede vincular los dominios requeridos a este directorio.

Los dominios que añada a Admin Console no necesitan estar registrados con el mismo IdP. Sin embargo, al vincular estos dominios a un directorio, es preciso vincular dominios de diferentes IdP a diferentes directorios.

No puede añadir un dominio a Admin Console si ya se ha añadido a Admin Console de otra organización. Puede, sin embargo, solicitar acceso a ese dominio.

Los dominios ya están añadidos a Admin Console. Sin embargo, todavía debe demostrar la propiedad de estos dominios.

Las organizaciones deben demostrar su propiedad de un dominio. Las organizaciones pueden añadir tantos dominios como necesiten a Admin Console.

Admin Console permite que una organización utilice un único token de DNS para demostrar la propiedad de todos sus dominios. Asimismo, Admin Console no requiere validación de DNS para subdominios. Esto significa que cuando utilice el token de DNS y demuestre la propiedad de un dominio, todos los subdominios de ese dominio quedan validados inmediatamente a medida que se añaden a Admin Console.

Admin Console intenta validar varias veces al día los dominios que haya añadido, por lo que no es necesario realizar ninguna acción para validar un dominio una vez que los registros de DNS se hayan configurado correctamente.

Si necesita validar su dominio inmediatamente, puede hacerlo en Admin Console. Para validar manualmente los dominios:

Ahora ya puede vincular los dominios validados a los directorios requeridos de Admin Console.

Si añade dominios existentes a Admin Console, se le consultará mediante el siguiente mensaje:

Si solicita acceso a este dominio, su nombre, su correo electrónico y el nombre de la organización se comparten en la solicitud al administrador del sistema de la organización propietaria.

El tipo de directorio (Enterprise o Federated) depende de cómo lo haya configurado la organización propietaria. Esto significa que debe utilizar el tipo de directorio que hubiera elegido la organización propietaria.

Dado que el dominio ya lo ha configurado el propietario (consulte Demostrar la propiedad de los dominios en Configurar dominios para obtener más información), como apoderado no tiene que realizar ninguna acción adicional. Cuando la solicitud de acceso la acepte el propietario, su organización tendrá acceso al directorio y a todos sus dominios, según haya configurado la organización propietaria.

Si la organización propietaria acepta su solicitud de acceso al directorio, en ese caso recibe una notificación por correo electrónico. Su solicitud de apoderamiento desaparece y, en su lugar, aparecen el directorio bajo apoderamiento y sus dominios, con el estado Activo (bajo apoderamiento) en sus listados Directorios y Dominios.

Continúe y añada usuarios finales y grupos de usuarios, y asígnelos a perfiles de productos.

Como organización apoderada, si ya no tiene necesitad de acceder al dominio bajo apoderamiento, puede renunciar a su condición de apoderado en cualquier momento.

Si retira su acceso a un directorio bajo apoderamiento, todos los usuarios tipo Enterprise ID o Federated ID que pertenezcan a dominios de ese directorio (lo que significa que inician sesión utilizando las credenciales del dominio) se eliminan de su organización. Además, estos usuarios pierden el acceso a cualquier software cuyo acceso les haya concedido su organización.

Se enviará un correo electrónico de notificación a los administradores del sistema de las organizaciones apoderadas.

También puede optar por rechazar la solicitud de acceso a un directorio que posea.

La razón que facilite se comparte por correo electrónico con la organización solicitante. Sin embargo, su correo electrónico, su nombre y la información de su organización se mantienen ocultos.

Es posible revocar el acceso de una organización apoderada a la que previamente se haya concedido acceso.

Si se revoca el acceso de una organización apoderada, se eliminan de la organización apoderada los usuarios del tipo Enterprise ID o Federated ID de cualquier dominio de ese directorio. Además, estos usuarios pierden el acceso a cualquier software o servicios cuyo acceso les haya concedido la organización apoderada.

Puede elegir revocar la clave de cifrado dedicada para un directorio.