Adobe Admin Console ofrece un método para que los usuarios de Adobe para empresas puedan autenticarse con los servicios de Adobe para empresas mediante su sistema de gestión de identidades. Esto es posible gracias a la integración de los sistemas de gestión de identidades que cuentan con la función de inicio de sesión único (SSO). El inicio de sesión único se activa mediante SAML, un protocolo estándar del sector que conecta los sistemas de gestión de identidades empresariales con los proveedores de servicios en la nube, como es el caso de Adobe. El inicio de sesión único puede intercambiar de forma segura la información relacionada con la autenticación entre diferentes partes: por un lado, el proveedor de servicios (Adobe), y por el otro, el proveedor de identidades (IdP). El proveedor de servicios envía una solicitud al proveedor de identidades, y este intenta autenticar al usuario. Después de que se procese la autenticación, el proveedor de identidades envía un mensaje de respuesta y permite que el usuario inicie sesión. Para obtener instrucciones detalladas, consulte Configuración del inicio de sesión único.

Planificación

Al implementar las licencias de usuarios designados, ¿qué tipos de identidades puedo utilizar?

Adobe ofrece tres tipos diferentes de identidades:

  • Adobe ID: el usuario crea y posee su cuenta, mientras que Adobe administra las credenciales y procesa el inicio de sesión.
  • Enterprise ID: la empresa crea y posee la cuenta, mientras que Adobe administra las credenciales y procesa el inicio de sesión.
  • Federated ID: la empresa crea y posee la cuenta, que está vinculada con el directorio empresarial mediante la federación, y la empresa o el centro educativo administra las credenciales y procesa el inicio de sesión mediante el inicio de sesión único.

Para obtener más información, haga clic aquí.

¿Se pueden tener varios tipos de identidades en una implementación?

Sí, se puede tener una mezcla de las tres identidades (Adobe ID, Enterprise ID y Federated ID), aunque no dentro del mismo dominio reivindicado.

Enterprise ID y Federated ID son exclusivos dentro del dominio. Por lo tanto, solo puede elegir uno de ellos. Puede utilizar un Adobe ID junto con un Federated ID o un Enterprise ID.

Por ejemplo, si una empresa reivindica solo un dominio, el administrador de TI puede elegir entre Enterprise ID o Federated ID. Si una empresa reivindica varios dominios dentro de la misma empresa, el administrador de TI puede usar un dominio con Adobe ID y Enterprise ID, y otro con Adobe ID y Federated ID, y viceversa. Esto significa que, por cada dominio, puede tener Enterprise ID o Federated ID junto con Adobe ID.

¿Cuáles son las ventajas de los Federated ID?

Administrar las licencias de Adobe con Federated ID es más rápido, fácil y seguro.

  • Los administradores de TI controlan la autenticación y el ciclo de vida del usuario.
  • Cuando se elimina a un usuario del directorio de la empresa, este deja de tener los privilegios necesarios para acceder a las aplicaciones de escritorio, a los servicios o a las aplicaciones móviles.
  • Los Federated ID permiten a las empresas aprovechar los sistemas de administración de identidades existentes.
  • Dado que los usuarios finales utilizan el sistema de identidad estándar de la empresa, el departamento de TI no tiene que hacerse cargo de un proceso diferente de administración de contraseñas.

Al iniciar sesión, los usuarios finales se redirigen a la plataforma de inicio de sesión único estándar de su empresa, con la que están familiarizados.

Si ya he reivindicado un dominio para usarlo con Enterprise ID, ¿puedo modificarlo de algún modo para usarlo con Federated ID?

La funcionalidad para cambiar los tipos de identidades en un dominio que ya se ha reivindicado aún no está disponible. Si ha reclamado un dominio o varios y los ha configurado como Enterprise ID, pero le interesa tener el mismo dominio configurado como Federated ID, envíe una incidencia de asistencia técnica en línea desde Adobe Admin Console y le notificaremos cuando la función esté disponible.

¿Puedo federar mi directorio de empresa con Adobe a través de mi proveedor de identidades compatible con SAML 2.0?

Sí, puede federar su directorio de empresa y su infraestructura de inicio de sesión y autenticación con Adobe a través de su proveedor de identidades compatible con SAML 2.0.

Adobe es parte del enlace entre el proveedor de identidades de su empresa y a lo que nosotros nos referimos como el inquilino de Okta. Adobe no se interrelaciona directamente con los directorios de empresa, sino con los proveedores de identidades.

Si reivindico un dominio, ¿migrarán todos los Adobe ID de ese dominio a Federated ID?

No. Cuando se reivindica un dominio para Federated ID, no se producen cambios en los Adobe ID existentes que tienen direcciones de correo electrónico en ese mismo dominio. Los Adobe ID que formen parte de su Admin Console no se verán afectados.

¿Adobe se encargará de la autenticación, la autorización o de ambas cosas?

La implementación de los Federated ID de Adobe nos permite encargarnos de la autorización, pues de la autenticación se encarga el proveedor de identidades (IdP).

Como organización empresarial, puede crear un vínculo entre sus servicios de autenticación (mediante una estructura de identificadores empresariales como Active Directory) y los de Adobe. Esto permite que la organización empresarial aloje la autenticación. Adobe no almacena ninguna contraseña, por lo que los administradores de TI no pueden restablecerlas ni editar los nombres de usuario de los Federated ID a través de Adobe Admin Console.

¿Puedo añadir usuarios en bloque a Adobe Admin Console?

Sí, puede hacerlo mediante la función Importar usuarios de Adobe Admin Console. Para obtener más información, consulte Añadir varios usuarios.

¿Se puede sincronizar el directorio de empresa con una asociación de usuarios o de grupos directamente en Admin Console?

No. Adobe se interrelaciona con los proveedores de identidades, pero no directamente con los directorios de empresa. Sin embargo, sí que admite la importación de información de los usuarios y grupos desde los directorios de empresa a Adobe Admin Console. Para obtener más información, consulte Añadir varios usuarios.

¿Cómo se realiza la migración de Adobe ID a Federated ID?

Elimine a todos los usuarios que tengan un Adobe ID y reimpórtelos como Federated ID. Si ya se han implementado los Adobe ID en producción, realice la migración solo si las políticas de su empresa así lo exigen.

¿Qué proveedores de identidades son compatibles con Adobe?

Adobe utiliza el extendido lenguaje seguro y estándar del sector Security Assertion Markup Language (Lenguaje de marcado para confirmaciones de seguridad, SAML por sus siglas en inglés), lo que significa que la implementación de inicio de sesión único se integra fácilmente con cualquier proveedor de identidades que sea compatible con SAML 2.0.

A continuación, se muestra una lista de algunos proveedores de identidades compatibles con SAML 2.0:

  • Okta
  • Federación de identidades de Oracle
  • Servicios de federación de Active Directory de Microsoft
  • Ping Federate
  • Proveedor de identidades de Salesforce con firma de una autoridad de certificados externa
  • Federación de una entidad de certificación (CA)
  • ForgeRock OpenAM
  • Shibboleth
  • Access Manager de NetIQ
  • OneLogin
  • Access Manager de Novell

Si he creado mi propio proceso de autenticación federado basado en SAML, ¿será compatible con la integración?

Sí, siempre y cuando se siga el protocolo SAML 2.0.

¿Es necesario tener un proveedor de identidades SAML 2.0 antes de configurar las identidades federadas con inicio de sesión único?

Sí. Además, el proveedor de identidades debe ser compatible con SAML 2.0.

Como mínimo, el proveedor de identidades debe disponer de lo siguiente:

  1. Certificado de IDP
  2. URL de inicio de sesión de IDP
  3. Enlace de IDP: HTTP-POST o HTTP-Redirect
  4. Dirección URL del Servicio del consumidor de aserciones (ACS por sus siglas en inglés) del IDP. Debe ser capaz de aceptar solicitudes de SAML y el estado del relé.

Si tiene más dudas, consulte con su proveedor de identidades.

Una duración mayor, ¿hace más vulnerable la certificación?

No, nunca se ha descifrado un certificado de 2048 bits. Además, el único grupo que ha descifrado siempre correctamente un certificado de hasta 768 bits (el grupo Lenstra), estimó que, con el mismo hardware, le habría llevado 1000 años descifrar un certificado de 1024 (una hazaña unas 32 000 000 veces más fácil que descifrar un certificado de 2048 bits).

Si desea acceder a los datos más curiosos y recientes sobre estimaciones para el descifrado de certificados de distintas longitudes, visite esta página web. Para conseguir una imagen divertida (precisa, pero orientada al marketing) de lo seguros que son estos certificados, vaya a este sitio web (o al sitio web de estadísticas de apoyo).

¿Aceptan los navegadores este certificado más largo? ¿No es cierto que todos rechazan certificados de servidor con duraciones más de tres años?

No, ese límite se encuentra en los certificados que se usan para codificar el canal de comunicación entre el navegador y el servidor. En cambio, estos certificados IdP/Okta se utilizan para firmar (no codificar) los datos que pasan a través de dicho canal codificado. El navegador no considera estos certificados: solo se utilizan entre Adobe/Okta y el IdP del cliente.

¿Es caro obtener un certificado sólido de larga duración?

Puede obtener buenos certificados de 2048 bits de categoría comercial por aproximadamente 10 dólares por año de duración. Además, los certificados que utilizan los IdP pueden ser autofirmados, lo que significa que se pueden generar con software de código abierto de forma gratuita.

¿Puede alguien suplantar mi personalidad si es capaz de descifrar el certificado de mi IdP?

No, porque hay otras dos capas de sólido cifrado que comprueban la identidad del IdP, y que se tendrían que descifrar antes de poder hacerse pasar por el IdP. Además, estas otras dos capas no son autofirmadas. Es decir, que se tendría que descifrar no solo el certificado que fuerza el cifrado, sino también el certificado del firmante que generó ese certificado.

¿Con quién debo ponerme en contacto para solucionar problemas relacionados con el inicio de sesión único?

Puede ponerse en contacto con Asistencia técnica de Adobe iniciando sesión en Adobe Admin Console para registrar su incidencia o programar una sesión personalizada con el servicio de expertos.

Para obtener el número de teléfono y la dirección de correo electrónico de Asistencia técnica premium, consulte el correo electrónico de bienvenida y el PDF adjunto que se le envió al administrador de su cuenta.

Instrucciones

¿Cómo configuro el inicio de sesión único (SSO) con software de Adobe?

Para obtener instrucciones detalladas, consulte Configuración del inicio de sesión único, donde encontrará los pasos necesarios para configurar el inicio de sesión único con las aplicaciones de escritorio, los servicios y las aplicaciones móviles de Adobe.

¿Se pueden enviar notificaciones a los usuarios a través de Admin Console?

No. Admin Console no admite el envío de notificaciones a los usuarios finales. Como cliente de Adobe para empresas, debe distribuir sus propias notificaciones después de que los usuarios estén listos para empezar a utilizar el inicio de sesión único con el software y los servicios de Adobe.

Si deshabilito un usuario o ID de mi directorio de empresa, ¿se deshabilita automáticamente en Admin Console?

No, si elimina o deshabilita un usuario o ID de su directorio de empresa, el usuario o ID no se eliminará automáticamente en Adobe Admin Console. Sin embargo, el usuario ya no contará con los derechos necesarios ni podrá iniciar sesión en las aplicaciones de escritorio, los servicios o las aplicaciones móviles de Adobe Creative Cloud, ni tampoco en las aplicaciones de Acrobat DC. Para eliminarlo de Admin Console, tendrá que hacerlo manualmente.

¿Tengo que administrar los derechos y los grupos, además de asignar a los usuarios con Federated ID a los grupos?

Sí, tendrá que utilizar Adobe Admin Console para administrar a los usuarios, los grupos y los derechos pertinentes. Sin embargo, recuerde que una vez que haya creado los grupos en Admin Console, puede cargar un archivo CSV que incluya información de los usuarios y los grupos. De este modo se crea la cuenta de usuario y se asigna al grupo especificado.

¿Pueden los administradores de TI o los usuarios finales restablecer las contraseñas de los Federated ID?

No, las contraseñas de los Federated ID no se pueden restablecer a través de Adobe Admin Console. Adobe no almacena las credenciales de los usuarios. Para administrar las credenciales de los usuarios debe utilizar su proveedor de identidades.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea