Adobe Admin Consolen avulla yrityskäyttäjät voivat suorittaa Adoben yritysratkaisujen edellyttämän todennuksen nykyisillä tunnistetietojen hallintajärjestelmillään integroimalla ne kertakirjautumista (SSO) tukeviin tunnistetietojen hallintajärjestelmiin. Kertakirjautumisessa käytetään SAML-standardia, joka on alalla yleinen protokolla. Se yhdistää organisaation tunnistetietojen hallintajärjestelmät pilvipalveluiden tarjoajiin, kuten Adobeen. Kertakirjautuminen voi suojatusti vaihtaa todennustietoja palveluntarjoajan (Adobe) ja tunnistetietojen toimittajan (IdP) välillä. Palveluntarjoaja lähettää pyynnön IdP:lle, joka yrittää todentaa käyttäjän. Todennuksen jälkeen IdP lähettää vastausviestin käyttäjän kirjaamiseksi sisään palveluun. Yksityiskohtaisia ohjeita on artikkelissa Kertakirjautumisen määritys.

Sopimus

Mitä tunnistetietotyyppejä voin valita, kun otan käyttöön nimettyjä lisenssejä?

Adobella on kolme eri tunnistetietotyyppiä:

  • Enterprise ID: organisaatio luo ja omistaa tilin. Adobe hallinnoi tunnistetietoja ja käsittelee sisäänkirjautumisen.
  • Federated ID: organisaatio luo ja omistaa tilin sekä liittää sen yhdistämällä yrityshakemistoon, yritys tai koulu hallinnoi tunnistetietoja sekä käsittelee sisäänkirjautumisen kertasisäänkirjautumisella.
  • Adobe ID: käyttäjä luo ja omistaa tilin. Adobe hallinnoi tunnistetietoja ja käsittelee sisäänkirjautumisen.

Adobe suosittelee organisaatioita valitsemaan Enterprise ID:n tai Federated ID:n tilien ja tietojen omistuksen hallintaan. Lisätietoja saat täältä.

Voiko käyttöönotossa käyttää eri tunnistetietotyyppejä?

Kyllä, voit yhdistellä Enterprise ID:itä, Federated ID:itä ja Adobe ID:itä, mutta et kuitenkaan saman varatun toimialueen sisällä.

Enterprise ID:itä ja Federated ID:itä voi käyttää vain toimialueen tasolla. Siksi voit valita niistä vain yhden. Adobe ID:tä voi käyttää yhdessä Federated ID:n tai Enterprise ID:n kanssa.

Jos esimerkiksi yritys varaa vain yhden toimialueen, järjestelmänvalvoja voi valita Enterprise ID:n tai Federated ID:n. Jos organisaatio varaa yrityksessä useita toimialueita, järjestelmänvalvoja voi esimerkiksi käyttää yhtä toimialuetta Adobe ID:illä ja Enterprise ID:illä, toista toimialuetta taas Adobe ID:illä ja Federated ID:illä. Tämä tarkoittaa sitä, että jokaisella toimialueella Adobe ID:n rinnalla voidaan käyttää Enterprise ID:tä tai Federated ID:tä.

Mitä etuja on Federated ID:illä?

Adoben käyttöoikeuksien hallinta on Federated ID:illä entistä nopeampaa, helpompaa ja turvallisempaa.

  • Järjestelmänvalvojat voivat hallita todennusta ja käyttäjän elinkaarta.
  • Kun poistat käyttäjän yrityshakemistosta, käyttäjä menettää oikeutensa tietokonesovellusten, palveluiden tai mobiilisovellusten käyttöön.
  • Federated ID:iden avulla organisaatiot voivat hyödyntää jo käytössä olevia tunnistetietojen hallintajärjestelmiä.
  • Koska loppukäyttäjät käyttävät organisaation vakiotunnistetietojärjestelmää, IT-osaston ei tarvitse hallita erillistä salasanojen hallintaprosessia.

Kun loppukäyttäjät kirjautuvat sisään, heidät ohjataan käyttämään organisaation tuttua vakiokertakirjautumistoimintoa.

Jos olen jo varannut toimialueen Enterprise ID:iden käyttöön, voinko siirtyä samalla toimialueella käyttämään Federated ID:itä?

Varatulla toimialueella ei tällä hetkellä vielä voi vaihtaa tunnistetietotyyppiä. Jos olet jo varannut yhden tai useamman toimialueen Enterprise ID:iksi määrittämistä varten ja haluat määrittää samat toimialueet uudelleen Federated ID:iksi, lähetä online-tukipyyntö Adobe Admin Consolen kautta, niin ilmoitamme sinulle, kun toiminto on käytettävissä.

Voinko liittää yrityshakemistoni Adobeen SAML 2.0 ‑standardia vastaavan tunnistetietojen toimittajan avulla?

Kyllä, voit liittää yrityshakemistosi sekä sen kirjautumis- ja todennusinfrastruktuurin Adobeen SAML 2.0 ‑standardia vastaavan tunnistetietojen toimittajan avulla.

Adobe toimii linkkinä yrityksesi tunnistetietojen toimittajan ja niin kutsutun Okta-vuokraajan välillä. Adobe ei muodosta yhteyttä suoraan yrityshakemistoihin, vaan tunnistetietojen toimittajiin.

Jos varaan toimialueen, muunnetaanko kaikki kyseisellä toimialueella olevat Adobe ID:t Federated ID:iksi?

Ei. Kun toimialue varataan Federated ID:itä varten, Adobe ID:t, joiden sähköpostiosoitteet ovat kyseisellä toimialueella, eivät millään tavalla muutu. Admin Consolessa olevat Adobe ID:t säilytetään.

Miten voin siirtää sisältöä vanhalta Adobe ID ‑tililtä uudelle Enterprise ID- tai Federated ID ‑tilille?

Resurssien siirto on automaattinen prosessi. Kun käynnistät tämän prosessin, kaikki Adobe ID ‑tililläsi olevat tuetut sisällöt siirretään Enterprise ID- tai Federated ID ‑tilillesi. Lisätietoja on artikkelissa Automaattinen resurssien siirto.

Aikooko Adobe tukea todennusta, valtuutusta tai molempia?

Adoben Federated ID:n käyttöönotto tukee valtuutusta, kun taas todennuksesta vastaa tunnistetietojen toimittaja (IdP).

Yritysorganisaationa voit luoda linkin oman (yritystunnusrakennetta, kuten Active Directorya, käyttävän) todennuspalvelusi ja Adoben todennuspalveluiden välille. Tämä antaa yritysorganisaatiolle mahdollisuuden todennuksen isännöintiin. Adobe ei koskaan tallenna salasanoja, eivätkä järjestelmänvalvojat voi palauttaa Federated ID:iden salasanoja tai muokata niiden käyttäjänimiä Adobe Admin Consolen kautta.

Voinko lisätä käyttäjiä Adobe Admin Consoleen eränä?

Kyllä, tämä on mahdollista Adobe Admin Consolen Tuo käyttäjiä -toiminnolla. Lisätietoja on artikkelissa Useiden käyttäjien lisäys.

Voinko suorittaa käyttäjä-/ryhmäliitoksen yrityshakemiston synkronoinnin suoraan Admin Consolessa?

Et. Adobe muodostaa yhteyden tunnistetietojen toimittajaan, ei suoraan yrityshakemistoon. Tuemme kuitenkin käyttäjä- ja ryhmätietojen tuontia yrityshakemistosta Adobe Admin Consoleen. Lisätietoja on artikkelissa Useiden käyttäjien lisäys.

Miten voin siirtyä Adobe ID:istä Federated ID:isiin?

Adobe suosittelee, että kaikki yrityksen järjestelmänvalvojat vaihtavat Adobe ID -käyttäjänsä Federated ID -käyttäjiksi. Voit siirtyä Adobe ID -tunnuksista Federated ID -tunnuksiin noudattamalla näitä ohjevaiheita.

Mitä tunnistetietojen toimittajia Adobe tukee?

Adobe käyttää turvallista ja yleisesti hyväksyttyä Security Assertion Markup Language (SAML) ‑standardia, joten SSO-ratkaisu on helppo integroida mihin tahansa SAML 2.0 ‑standardia tukevaan tunnistetietojen toimittajaan.

Seuraavassa luettelossa on joitakin SAML 2.0 ‑standardia vastaavia tunnistetietojen toimittajia:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP ulkoisesti allekirjoitetulla varmenteella
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Jos olen kehittänyt oman SAML-pohjaisen, organisaation ulkopuolella olevan todennusprosessin, onko integrointi sen kanssa mahdollista?

Kyllä, jos se on SAML 2.0 ‑protokollan mukainen.

Onko minulla oltava määritettynä SAML 2.0 ‑standardia tukeva tunnistetietojen toimittaja, ennen kuin otan käyttöön organisaation ulkopuoliset, kertakirjautumiseen perustuvat tunnistetiedot?

Kyllä, ja tunnistetietojen toimittajan on tuettava SAML 2.0 ‑standardia.

SAML-standardia tukevalla tunnistetietojen toimittajalla on oltava ainakin

  1. IDP-varmenne
  2. IDP:n kirjautumis-URL-osoitteen
  3. IDP-sidonta: HTTP-POST tai HTTP-Redirect
  4. IDP:n vahvistuksen kuluttajapalvelun URL-osoite, ja sen on pystyttävä vastaanottamaan SAML- ja RelayState-pyyntöjä.

Ota yhteyttä tunnistetietojen toimittajaan, jos sinulla on muuta kysyttävää.

Tekeekö entistä pidempi käyttöikä varmenteesta tavallista haavoittuvamman?

Ei, 2 048-bittistä varmennetta ei ole koskaan murrettu. Ainoiden 768-bittisen varmenteen murtaneiden ihmisten (Lenstra-ryhmän) arvion mukaan jopa 1 024-bittisen varmenteen murtaminen samoilla välineillä olisi vienyt heiltä yli 1 000 vuotta (tämä on noin 32 000 000 kertaa helpompaa kuin 2 048-bittisen varmenteen murtaminen).

Jos haluat saada viimeisimmät nörttiarviot eripituisten varmenteiden murtamisesta, siirry tähän sivustoon. Saat hauskan (tarkan, mutta markkinointivoittoisen) kuvan näiden varmenteiden turvallisuudesta siirtymällä tähän sivustoon (tai sen matemaattiseen taustasivustoon).

Hyväksyvätkö selaimet pidempään voimassa olevan varmenteen, kun monet selaimet hylkäävät palvelinvarmenteet, joiden käyttöikä on yli kolme vuotta?

Ei, tämä rajoitus koskee varmenteita, joita käytetään selaimen ja palvelimen välisen tietoliikenneväylän koodaamiseen. Näitä IdP-/Okta-varmenteita käytetään puolestaan kyseisen koodatun väylän kautta siirrettävien tietojen allekirjoittamiseen (ei koodaamiseen). Selain ei koskaan näe näitä varmenteita, sillä niitä käytetään vain Adoben/Oktan ja asiakkaan IdP:n välillä.

Onko vahva, pitkään voimassa oleva varmenne kallis hankkia?

Saat hyviä, kauppalaatuisia 2 048-bittisiä varmenteita noin 10 Yhdysvaltain dollarilla käyttövuotta kohti. IdP:iden varmenteet voidaan allekirjoittaa itse, mikä tarkoittaa, että ne voidaan luoda avoimeen lähdekoodiin perustuvilla ohjelmistoilla ilmaiseksi.

Voiko joku tekeytyä minuksi, jos hän pystyy murtamaan IdP:ltä saamani varmenteen?

Ei, sillä IdP:iden henkilöllisyyden tarkistamiseen käytetään myös kahta muuta vahvaa suojaustasoa, jotka olisi murrettava, ennen kuin tekeytyminen IdP:ksi olisi mahdollista. Nämä muut tasot eivät ole itse allekirjoitettuja. Tämä tarkoittaa, että sinun olisi salaukseen käytettävän varmenteen lisäksi murrettava myös varmenteen luoneen allekirjoittajan varmenne.

Kehen voin ottaa yhteyttä kertakirjautumisongelmien vianmääritykseen liittyvissä asioissa?

Ota yhteyttä Adoben tekniseen tukeen kirjautumalla Adobe Admin Consoleen, jossa voit luoda tukipyynnön tai sopia kahdenkeskisestä asiantuntijapalveluistunnosta.

Maksullisen tuen puhelinnumeron ja sähköpostiosoitteen löydät tervetuliaissähköpostiviestistä ja PDF-liitteestä, joka lähetettiin tilisi hallinnoijalle.

Toimintaohjeet

Miten voin ottaa kertakirjautumisen (SSO) käyttöön Adoben ohjelmistoissa?

Lisätietoja SSO:n käyttöönotosta Adoben tietokonesovelluksissa, palveluissa ja mobiilisovelluksissa on artikkelissa Kertakirjautumisen määritys.

Onko mahdollista lähettää ilmoituksia Admin Consolen kautta?

Ei. Ilmoitusten lähettämistä loppukäyttäjille Admin Consolen kautta ei tueta. Yritysasiakkaana sinun on toimitettava omat ilmoituksesi, kun asiakkaat ovat valmiina aloittamaan SSO:n käytön Adoben ohjelmistojen ja palveluiden kanssa.

Jos poistan käyttäjän/tunnuksen yrityshakemistossani käytöstä, poistetaanko se Admin Consolessa automaattisesti käytöstä?

Ei, jos poistat käyttäjän/tunnuksen yrityshakemistostasi tai poistat sen yrityshakemistossasi käytöstä, käyttäjää/tunnusta ei automaattisesti poisteta Adobe Admin Consolesta tai poisteta Adobe Admin Consolessa käytöstä. Käyttäjällä ei kuitenkaan enää ole oikeuksia eikä hän enää pysty kirjautumaan Adobe Creative Cloud ‑tietokonesovelluksiin, palveluihin, mobiilisovelluksiin tai Acrobat DC ‑sovelluksiin. Sinun on poistettava käyttäjä/tunnus Admin Consolesta manuaalisesti.

Onko minun hallittava oikeuksia ja ryhmiä sekä määritettävä Federated ID ‑käyttäjiä ryhmiin?

Kyllä, sinun on käytettävä Adobe Admin Consolea käyttäjien, ryhmien ja oikeuksien hallintaan. Huomaa kuitenkin, että kun luot ryhmiä Admin Consolessa, voit lähettää CSV-tiedoston, joka sisältää sekä käyttäjien että ryhmien tiedot. Tällöin luodaan käyttäjätili, ja käyttäjät siirretään määrättyyn ryhmään.

Voivatko järjestelmänvalvojat tai loppukäyttäjät vaihtaa Federated ID:iden salasanat?

Ei, Federated ID:iden salasanoja ei voi vaihtaa Adobe Admin Consolessa. Adobe ei tallenna käyttäjien tunnistetietoja. Käytä käyttäjien hallintaan tunnistetietojen toimittajaa.

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö