Tunnistetietojen määritys

Hakemisto on Admin Consolen entiteetti, jossa on resursseja, esimerkiksi käyttäjiä ja todennuksen kaltaisia käytäntöjä. Nämä hakemistot ovat samanlaisia kuin LDAP- tai Active Directory ‑hakemistot.

Organisaation tunnistetietojen toimittaja, kuten Active Directory, Azure, Ping, Okta, InCommon tai Shibboleth.

Luonnista, omistuksesta ja hallinnoinnista vastaa loppukäyttäjä. Adobe suorittaa todennuksen ja loppukäyttäjä hallinnoi tunnistetietoja. Tunnukseen liittyvien tiedostojen ja tietojen täysi hallinta säilyy käyttäjällä. Käyttäjät voivat ostaa lisätuotteita ja -palveluita Adobelta. Järjestelmänvalvojat kutsuvat käyttäjät liittymään organisaatioon ja he voivat myös poistaa käyttäjät organisaatiosta. Käyttäjiä ei voi kuitenkaan sulkea pois omilta Adobe ID -tileiltään. Järjestelmänvalvoja ei voi poistaa tilejä tai ottaa niitä hallintaansa. Adobe ID:iden käytön aloittaminen ei edellytä asennusta.

Adobe ID:iden käyttöä suositellaan esimerkiksi seuraavanlaisissa tilanteissa:

• Jos haluat antaa käyttäjien luoda ja omistaa käyttäjätietonsa ja antaa käyttäjien hallita niitä.
• Jos haluat antaa käyttäjien ostaa tai rekisteröidä muita Adoben tuotteita tai palveluita.
• Jos käyttäjien odotetaan käyttävän muita Adoben palveluita, jotka tällä hetkellä eivät tue Enterprise ID:itä tai Federated ID:itä.
• Jos käyttäjillä on jo Adobe ID:t ja liittyvät tiedot, kuten tiedostot, kirjasimet tai asetukset. 
• Koulutuslaitoksissa, joissa opiskelijoille halutaan antaa mahdollisuus säilyttää Adobe ID:nsä valmistumisen jälkeen.
• Jos organisaatiollasi on alihankkijoita tai freelancereita, jotka eivät käytä hallinnoimillasi toimialueilla olevia sähköpostiosoitteita.
• Jos sinulla on Adobe teams ‑sopimus, sinun on käytettävä tätä tunnistetietotyyppiä.

Luonnista, omistuksesta ja hallinnoinnista vastaa organisaatio. Adobe isännöi Enterprise ID -tunnuksia ja suorittaa todentamisen, mutta organisaatio ylläpitää Enterprise ID -tunnuksia. Loppukäyttäjät eivät voi rekisteröidä tai luoda Enterprise ID -tunnusta, eivätkä he voi rekisteröidä lisää Adoben tuotteita tai palveluita Enterprise ID -tunnusta käyttäen.

Järjestelmänvalvojat luovat Enterprise ID:t ja myöntävät ne käyttäjille. Järjestelmänvalvojat voivat kumota tuotteiden ja palveluiden käyttöoikeuden ottamalla tilin haltuun tai poistamalla Enterprise ID:n ja estäen näin pysyvästi pääsyn tunnukseen liittyviin tietoihin.

Enterprise ID:iden käyttöä suositellaan esimerkiksi seuraavanlaisissa tilanteissa:

• Jos haluat hallita tarkasti käyttäjien sovelluksia ja palveluita.
• Jos tarvitset hätätilanteissa pääsyn tunnukseen liittyviin tiedostoihin ja tietoihin.
• Jos tarvitset mahdollisuuden estää käyttäjätilin tai poistaa sen pysyvästi.

Luonnista ja omistuksesta vastaa organisaatio, linkitetty yrityksen hakemistoon liitoksen kautta. Organisaatio hallinnoi kertakirjauksen tunnistetietoja ja prosesseja SAML2- tunnistetietojen toimittajan (IdP) kautta.

Federated ID:iden käyttöä suositellaan esimerkiksi seuraavanlaisissa tilanteissa:

• Jos haluat antaa käyttäjille käyttöoikeuksia organisaatiosi keskitetyn hakemiston perusteella.
• Jos haluat hallinnoida käyttäjien todennusta.
• Jos haluat hallita tarkasti käyttäjien sovelluksia ja palveluita.
• Jos haluat antaa käyttäjille mahdollisuuden käyttää samaa sähköpostiosoitetta Adobe ID:n rekisteröimiseen.

Sähköpostiosoitteen @-merkin jälkeinen osa. Jos haluat käyttää toimialuetta Enterprise ID:llä tai Federated ID:llä, sinun on ensin vahvistettava kyseisen toimialueen omistajuus.

Tämä voi olla tarpeen esimerkiksi silloin, jos organisaatiollasi on useita toimialueita (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), mutta työntekijöiden todennukseen käytetään toimialuetta geometrixx.com. Tällöin organisaatio käyttää toimialuetta geometrixx.com työntekijöiden tunnistetietojen määrittämiseen Admin Consolessa.

• Tekee yhteistyötä tunnistetietojen toimittajien hakemistopäälliköiden ja DNS-päälliköiden kanssa tunnistetietojen määrittämiseksi Admin Consolessa. Tämä dokumentti on suunnattu järjestelmänvalvojille, joilla on oikeudet Admin Consolen käyttöön. Henkilön odotetaan tekevän yhteistyötä muiden henkilöiden kanssa, joilla ei (yleensä) ole oikeutta Admin Consolen käyttöön.

• Päivittää toimialueen omistajuuden vahvistamiseen käytettävät DNS-tunnukset.

• Luo yhdistimiä tunnistetietojen toimittajalla.

Käyttäjien tunnistetiedot tarkistetaan todennuslähdettä käyttäen. Jos käytät Enterprise ID:itä tai Federated ID:itä, sinun pitää määrittää oma todennuslähteesi lisäämällä toimialue. Jos esimerkiksi sähköpostiosoitteesi on janne@esimerkki.com, toimialueesi on esimerkki.com. Lisäämällä toimialueen voit luoda Enterprise ID:itä ja Federated ID:itä toimialueeseen kuuluville sähköpostiosoitteille. Toimialuetta voidaan käyttää joko Enterprise ID:iden tai Federated ID:iden, mutta ei molempien, kanssa. Voit kuitenkin lisätä useita toimialueita.

Organisaation on vahvistettava toimialueen omistajuus. Organisaatio voi lisätä myös useampia toimialueita. Yksi toimialue voidaan kuitenkin lisätä vain kerran. Tunnettuja, julkisia ja yleisiä toimialueita, kuten gmail.com tai yahoo.com, ei voi lisätä.

Saat lisätietoja tunnistetietojen tyypeistä artikkelista Tunnistetietotyyppien hallinta.

Hakemisto on luotu.

Jos halusit luoda Enterprise ID ‑tunnistetietotyypin hakemiston, olet valmis. Määritä seuraavaksi toimialueet Admin Consolessa.

Jos halusit luoda Federated ID ‑tunnistetietotyypin hakemiston, Adoben on valmisteltava tämä hakemisto, ennen kuin voit suorittaa siinä muita toimintoja. Sinun ei kuitenkaan tarvitse odottaa, että Adobe valmistelee hakemiston. Voit määrittää toimialueet Admin Consolessa.

Kun saat Adobelta sähköpostiviestin, jossa vahvistetaan, että hakemistosi on valmisteltu, määritä hakemiston SAML-asetukset.

Kun organisaatiot ottavat käyttöön kertakirjautumisen (SSO), organisaation käyttäjät voivat käyttää Adoben ohjelmistoja organisaation tunnistetiedoilla. Näin käyttäjät voivat käyttää samalla todennuksella Adoben tietokonesovelluksia, palveluita ja mobiilisovelluksia.

Adobe Admin Consolen asetuksien avulla organisaation käyttäjät voivat kirjautua olemassa olevilla organisaatiotunnuksillaan. Adoben Federated ID:t mahdollistavat integraation kertakirjautumisen tunnistetietojen hallintajärjestelmän kanssa. Kertakirjautumisessa käytetään SAML-standardia, joka on alalla yleinen protokolla. Se yhdistää organisaation tunnistetietojen hallintajärjestelmät pilvipalveluiden tarjoajiin, kuten Adobeen.

Kertakirjautuminen voi suojatusti vaihtaa todennustietoja palveluntarjoajan (Adobe) ja tunnistetietojen toimittajan (IdP) välillä. Palveluntarjoaja lähettää pyynnön IdP:lle, joka yrittää todentaa käyttäjän. Jos todennus onnistuu, IdP lähettää vastausviestin käyttäjän kirjaamiseksi sisään palveluun.

Kertakirjautumisen määrittämiseksi Adoben ohjelmistoihin järjestelmänvalvojalta edellytetään tiettyjä asioita:

• ymmärrys SAML 2.0 -protokollasta
• tunnistetietojen toimittaja, joka tukee SAML 2.0 -protokollaa ja tarjoaa
  • IDP-varmenne
  • IDP:n kirjautumis-URL-osoitteen
  • IDP-sidonta: HTTP-POST tai HTTP-Redirect
  • Assertion Consumer Service -palvelun URL-osoitteen
  • TLS 1.2 käytössä
• pääsy DNS-määrityksiin toimialueen varausprosessia varten.

IdP:n kirjautumis-URL-osoitteen ei tarvitse olla ulkoisesti käytettävissä, jotta käyttäjät voivat kirjautua sillä sisään. Jos siihen pääsee kuitenkin vain organisaation sisäisestä verkosta, käyttäjät pystyvät kirjautumaan Adoben tuotteisiin vain silloin, kun he ovat yhteydessä organisaation sisäiseen verkkoon joko suoraan tai Wi-Fi- tai VPN-yhteyden kautta. Kirjautumissivun ei tarvitse olla käytettävissä vain HTTPS-yhteyden kautta, mutta tämä on tietoturvasyistä suositeltavaa.

Adoben pilvipalveluiden kertakirjautuminen on toteutettu Oktan SaaS SAML 2.0 ‑yhdistintä käyttäen. Yhdistintä käytetään todennuspalveluiden toteutuksessa viestinvälitykseen tunnistetietojen toimittajan kanssa. Sinun ei tarvitse käyttää Oktaa tunnistetietojen toimittajana, koska Okta voidaan yhdistää moniin eri SAML 2.0- tunnistetietojen toimittajiin. Lisätietoja on artikkelissa Kertakirjautumiseen liittyvät yleiset kysymykset.

Jos organisaatiosi haluaa testata kertakirjautumisen integraatiota, suosittelemme, että varaat omistamasi testitoimialueen, jossa organisaatiosi tunnistetietojen toimittajan tunnistetiedot on määritetty. Näin voit testata integraatiota ennen päätoimialueiden varaamista ja saada kokemusta toimialueiden varaamisesta ja määritysprosessista.

Jos sinulla on jo tunnistetietojen toimittaja (IdP), voit tehdä kertakirjautumisen määrityksen helposti Oktan tarjoaman SaaS SAML 2.0 ‑yhdistimen avulla.

Hakemisto on nyt määritetty kertakirjautumisen käyttöä varten.

Jos et ole vielä tehnyt niin, voit lisätä toimialueita Admin Consoleen. Jos olet jo lisännyt toimialueita Admin Consoleen, voit linkittää tarvittavat toimialueet tähän hakemistoon.

Admin Consoleen lisäämiäsi toimialueita ei tarvitse rekisteröidä samalla tunnistetietojen toimittajalla. Kun linkität nämä toimialueet hakemistoon, sinun on kuitenkin linkitettävä eri tunnistetietojen toimittajien toimialueet eri hakemistoihin.

Toimialuetta ei voi lisätä Admin Consoleen, jos se on jo lisätty toisen organisaation Admin Consoleen. Voit kuitenkin pyytää oikeudet kyseisen toimialueen käyttöön.

Toimialueet lisätään nyt Admin Consoleen. Sinun on kuitenkin osoitettava näiden toimialueiden omistajuus.

Organisaation on osoitettava toimialueen omistajuus. Organisaatio voi lisätä Admin Consoleen niin monta toimialuetta kuin on tarpeen.

Admin Consolessa organisaatio voi osoittaa kaikkien toimialueidensa omistajuuden yhdellä DNS-tunnuksella. Admin Console ei myöskään vaadi alitoimialueiden DNS-tarkistusta. Tämä tarkoittaa sitä, että kun osoitat toimialueen omistajuuden DNS-tunnuksella, kaikki kyseiseen toimialueeseen kuuluvat alitoimialueet tarkistetaan välittömästi, kun ne lisätään Admin Consoleen.

Admin Console yrittää tarkistaa lisäämäsi toimialueet useamman kerran päivässä, joten sinun ei tarvitse tehdä mitään toimialueen tarkistamiseksi, jos DNS-tietueet on määritetty oikein.

Jos haluat tarkistaa toimialueen välittömästi, voit tehdä tämän Admin Consolessa. Voit suorittaa toimialueiden manuaalisen tarkistuksen seuraavasti:

Voit nyt linkittää tarkistetut toimialueet Admin Consolessa tarvittaviin hakemistoihin.

Jos lisäät Admin Consoleen olemassa olevia toimialueita, näyttöön tulee seuraava viesti:

Jos pyydät oikeudet kyseisen toimialueen käyttöön, nimesi, sähköpostiosoitteesi ja organisaatiosi nimi ilmoitetaan toimialueen omistavan organisaation järjestelmänvalvojille lähetettävässä pyynnössä.

Hakemiston tyyppi (Enterprise tai Federated) vaihtelee sen mukaan, miten toimialueen omistava organisaatio on määrittänyt sen. Tämä tarkoittaa sitä, että sinun on käytettävä omistavan organisaation valitsemaa hakemistotyyppiä.

Koska omistaja on jo määrittänyt toimialueen (lisätietoja on artikkelin Toimialueiden määritys Osoita toimialueiden omistajuus ‑kohdassa), toimitsijana sinun ei tarvitse ryhtyä lisätoimenpiteisiin. Kun omistaja on hyväksynyt käyttöoikeuspyynnön, organisaatiosi voi käyttää hakemistoa ja kaikkia sen toimialueita omistavan organisaation määrittämällä tavalla.

Jos hakemiston omistava organisaatio hyväksyy hakemistoa koskevan käyttöoikeuspyyntösi, saat siitä sähköpostitse ilmoituksen. Luottamuspyyntösi katoaa, ja luotettu hakemisto sekä sen toimialueet ilmestyvät hakemistojen ja toimialueiden luetteloihin niin, että niiden tilana on Aktiivinen (luotettu).

Lisää seuraavaksi loppukäyttäjät ja käyttäjäryhmät ja määritä ne tuoteprofiileihin.

Jos et toimitsijaorganisaationa enää tarvitse oikeuksia luotetun hakemiston käyttöön, voit peruuttaa toimitsijan tilasi milloin tahansa.

Jos peruutat oikeutesi luotetun hakemiston käyttöön, kaikki kyseisen hakemiston toimialueisiin kuuluvat Enterprise ID- tai Federated ID ‑käyttäjät (käyttäjät, jotka kirjautuvat sisään toimialueen tunnistetiedoilla) poistetaan organisaatiostasi. Nämä käyttäjät menettävät myös oikeutensa kaikkien sellaisten ohjelmistojen käyttöön, joihin organisaatiosi on myöntänyt heille oikeudet.

Toimitsijaorganisaatioiden järjestelmänvalvojille lähetetään sähköposti-ilmoitus.

Voit halutessasi myös hylätä omistamaasi hakemistoa koskevan käyttöoikeuspyynnön.

Antamasi syy jaetaan sähköpostitse pyytävän organisaation kanssa. Sähköpostiosoitettasi, nimeäsi ja organisaatiosi tietoja ei kuitenkaan paljasteta.

Voit kumota käyttöoikeudet toimitsijaorganisaatiolta, jolle olet aikaisemmin myöntänyt ne.

Jos kumoat toimitsijaorganisaation käyttöoikeudet, käyttäjät, joilla on Enterprise ID- tai Federated ID ‑tili kyseisen hakemiston jollakin toimialueella, poistetaan toimitsijan organisaatiosta. Nämä käyttäjät menettävät myös oikeutensa kaikkien sellaisten ohjelmistojen tai palveluiden käyttöön, joihin toimitsijan organisaatio on myöntänyt heille oikeudet.

Voit halutessasi kumota hakemiston erityisen salausavaimen seuraavasti: