Remarque :

Si votre entreprise dispose toujours de répertoires authentifiés en SHA-1, vous pouvez facilement effectuer une mise à jour pour renforcer la sécurité avec le certificat SHA-2 dans le portail Admin Console. Ajoutez et activez un nouveau profil d’authentification dans votre répertoire existant pour migrer de SHA-1 vers SHA-2 sans aucune interruption. Pour en savoir plus, consultez la section Migration vers un nouveau fournisseur d’authentification.

Notez que l’authentification en SHA-2 est activée par défaut pour tous les nouveaux répertoires.

setup-dir

Configuration de répertoires : pour utiliser des Enterprise ID ou des Federated ID, commencez par configurer un répertoire auquel vous pourrez lier un ou plusieurs domaines.
En savoir plus >


setup-domains

Configuration de domaines : les utilisateurs finaux s’authentifient sur des domaines que vous devez configurer dans le portail Admin Console.
En savoir plus >


link-domains-to-dirs

Associations de domaines aux répertoires : une fois les domaines et les répertoires configurés, groupez les domaines en les liant aux répertoires.
En savoir plus >


dir-trusting

Mandat de répertoire : utilisez des répertoires de confiance pour approuver les administrateurs système d’autres organisations.
En savoir plus >


cq5dam_web_1280_1280

Migration des répertoires SHA-1 vers SHA-2 : mettez à jour les anciens répertoires authentifiés en SHA-1 vers le profil SHA-2.
En savoir plus >


move-domains

Déplacement de domaines entre les répertoires : structurez les répertoires en déplaçant les domaines entre les différents répertoires dans le portail Admin Console.
En savoir plus >


En tant qu’administrateur système sur le portail Admin Console, l’une de vos premières tâches consiste à définir et à configurer un système d’identités qui déterminera le mode d’authentification de vos utilisateurs finaux. Chaque fois que votre organisation achète des licences pour des produits et services Adobe, vous devez vous les mettre en service pour vos utilisateurs finaux. Pour cela, vous avez besoin d’une méthode pour authentifier ces utilisateurs.

Adobe propose les types d’identité suivants, que vous pouvez utiliser pour authentifier vos utilisateurs finaux :

  • Adobe ID
  • Enterprise ID
  • Federated ID

Si vous souhaitez avoir des comptes distincts détenus et contrôlés par votre organisation pour les utilisateurs de votre domaine, vous devez avoir recours aux types d’identité Enterprise ID ou Federated ID (pour l’authentification unique).

Cet article explique en détail comment configurer le système d’identité dont vous aurez besoin si vous prévoyez d’utiliser des Enterprise ID ou des Federated ID pour authentifier vos utilisateurs finaux.

Cet article explique en détail comment configurer le système d’identité dont vous aurez besoin si vous prévoyez d’utiliser des Enterprise ID ou des Federated ID pour authentifier vos utilisateurs finaux.

Remarque :

Les procédures de configuration du répertoire et configuration du domaine décrites dans ce document sont totalement individualisées. Cela signifie que vous pouvez les exécuter dans l’ordre qui vous convient ou en parallèle. En revanche, la procédure permettant d’associer des domaines de courrier électronique aux répertoires ne pourra être réalisée qu’une fois que vous aurez effectué les deux premières.

Termes et concepts clés

Avant de nous intéresser aux procédures, voyons ensemble les concepts et termes que vous devez impérativement connaître.

Dans le portail Admin Console, un répertoire est une entité qui contient des ressources (comme des utilisateurs) et des règles (comme l’authentification). Ces répertoires sont semblables aux annuaires LDAP ou Active Directory.

Fournisseur d’identité de l’organisation, par exemple Active Directory, Microsoft Azure, Ping, Okta, InCommon ou Shibboleth.

Pour en savoir plus sur la configuration de l’authentification unique pour Creative Cloud avec certains IdP courants, consultez la section Articles connexes à la fin de l’article.

Créé, détenu et géré par une organisation. Adobe héberge l’Enterprise ID et effectue l’authentification, mais c’est l’organisation qui le met à jour. Les utilisateurs finaux ne peuvent pas s’abonner avec un Enterprise ID, en créer un, ni souscrire à des produits et services supplémentaires auprès d’Adobe avec un Enterprise ID.

Seul un administrateur peut créer un Enterprise ID, puis l’attribuer à un utilisateur. Il peut révoquer l’accès aux produits et services en prenant le contrôle du compte, ou bien supprimer définitivement l’Enterprise ID afin de bloquer l’accès aux données qui y sont associées.

Voici quelques conditions et situations pour lesquelles un Enterprise ID est recommandé :

  • Si vous devez conserver une maîtrise totale des applications et services mis à la disposition d’un utilisateur.
  • Si vous avez besoin d’un accès en urgence aux fichiers et données associés à un ID.
  • Si vous devez avoir la possibilité de bloquer ou de supprimer entièrement un compte utilisateur.

Créé et détenu par une organisation, et lié au répertoire de l’entreprise via la fédération. L’organisation gère les informations d’identification et traite l’authentification unique via un fournisseur d’identité (IdP) SAML2.

Voici quelques conditions et situations pour lesquelles un Federated ID est recommandé :

  • Si vous souhaitez fournir des utilisateurs suivant l’annuaire d’entreprise de votre organisation.
  • Si vous souhaitez gérer l’authentification des utilisateurs.
  • Si vous devez conserver une maîtrise totale des applications et services mis à la disposition d’un utilisateur.
  • Si vous souhaitez permettre aux utilisateurs d’utiliser la même adresse e-mail pour ajouter un Adobe ID.

Remarque :

Le fournisseur d’identité doit être conforme au protocole TLS 1.2.

Créé, détenu et géré par l’utilisateur final. Adobe se charge de l’authentification, tandis que l’utilisateur final gère l’identité proprement dite. Les utilisateurs gardent un contrôle total sur les données et les fichiers associés à leur ID. Ils peuvent également acheter des produits et services supplémentaires auprès d’Adobe. Les administrateurs peuvent inviter des utilisateurs à devenir membre d’une organisation, mais aussi les supprimer à tout moment. Néanmoins, un utilisateur ne peut pas être exclu de son compte Adobe ID. L’administrateur ne peut pas prendre le pouvoir sur les comptes ni les supprimer. Vous pouvez commencer à utiliser les Adobe ID directement, sans configuration particulière.

Voici quelques conditions et situations pour lesquelles un Adobe ID est recommandé :

  • Si vous souhaitez permettre aux utilisateurs de créer, posséder et gérer leur propre identité.
  • Si vous souhaitez permettre aux utilisateurs d’acheter d’autres produits et services Adobe ou de s’y abonner.
  • Si les utilisateurs sont amenés à utiliser d’autres services Adobe, qui ne prennent actuellement pas en charge les Enterprise ID ou Federated ID.
  • Si les utilisateurs ont déjà des Adobe ID, ainsi que des données associées telles que des fichiers, des polices ou des paramètres. 
  • Dans le cadre universitaire, où les étudiants peuvent conserver leur Adobe ID après avoir terminé leurs études.
  • Si vous avez des sous-traitants ou des indépendants qui n’utilisent pas des adresses électroniques relatives aux domaines que vous contrôlez.
  • Si vous disposez d’un contrat d’équipe Adobe, vous devrez utiliser ce type d’identité.

Partie d’une adresse électronique placée après le symbole @. Pour utiliser un domaine avec un Enterprise ID ou un Federated ID, vous devez d’abord confirmer que vous en êtes le propriétaire.

Par exemple, une organisation possède plusieurs domaines (geometrixx.com, support.geometrixx.com, contact.geometrixx.com) mais ses employés s’authentifient sur geometrixx.com. Dans ce cas, l’organisation utilise le domaine geometrixx.com pour configurer l’identité des utilisateurs sur le portail Admin Console.

Administrateur système

  • Collabore avec les managers de répertoire IdP et les managers DNS pour configurer les identités dans le portail Admin Console. Ce document s’adresse aux administrateurs système qui ont accès au portail Admin Console. Ces personnes sont amenées à travailler avec d’autres qui (généralement) n’ont pas accès au portail Admin Console.

Manager DNS

  • Met à jour les jetons DNS pour valider la propriété d’un domaine.

Manager de répertoire du fournisseur d’identité (IdP)

  • Crée des connecteurs dans l’IdP.

L’identité de chaque utilisateur est vérifiée par rapport à une source d’authentification. Pour utiliser des Enterprise ID ou des Federated ID, configurez votre propre source d’authentification en ajoutant un domaine. Par exemple, si votre adresse électronique est antoine@exemple.com, exemple.com correspond à votre domaine. Le fait d’ajouter un domaine permet de créer des Enterprise ID ou Federated ID dotés d’adresses e-mail sur le domaine. Un domaine peut être utilisé avec des Enterprise ID ou des Federated ID, mais pas avec les deux. Vous pouvez toutefois ajouter plusieurs domaines.

Une organisation doit prouver qu’elle contrôle un domaine. Elle peut également ajouter plusieurs domaines. En revanche, un domaine ne peut être ajouté qu’une seule fois. Les domaines publics connus et généraux, comme gmail.com ou yahoo.com, ne peuvent pas être ajoutés.

Pour en savoir plus sur les types d’identité, consultez la section Gestion des types d’identité.

SHA-1 et SHA-2 sont des modèles de certificat permettant d’assurer la sécurité des profils d’authentification de votre répertoire. Le modèle SHA-2 offrant une plus grande sécurité que les anciens certificats SHA-1, tous les nouveaux profils d’authentification et les profils d’authentification migrés utilisent le certificat SHA-2.

Création d’un répertoire

Pour utiliser des Enterprise ID ou des Federated ID, commencez par créer un répertoire auquel vous pouvez associer un ou plusieurs domaines.

Remarque :

Actuellement, Adobe ne prend pas en charge les flux de travaux initiés depuis l’IdP.

Si votre entreprise a configuré (ou prévoit de le faire) Microsoft Azure comme fournisseur d’authentification unique, nous vous recommandons d’utiliser notre connecteur Azure. Suivez les étapes détaillées dans la section Configuration d’Azure Connector : Création d’un répertoire.

Si votre entreprise a configuré (ou prévoit de le faire) la fédération Google comme fournisseur d’authentification unique, nous vous recommandons d’utiliser notre connecteur Google. Suivez les étapes détaillées dans la section Configuration de la fédération Google : Création d’un répertoire dans le portail Adobe Admin Console.

Utilisez la procédure ci-dessous si votre entreprise utilise au moins l’une des méthodes suivantes :

  • Enterprise ID
  • Fournisseur SAML autre que Azure ou Google
  • Microsoft Azure ou Fédération Google. Mais vous n’utilisez pas nos connecteurs.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Accédez à l’onglet Répertoires, puis cliquez sur Créer un répertoire.

  3. Dans l’écran Créer un répertoire, attribuez un nom au répertoire.

  4. Sélectionnez Federated ID, cliquez sur Suivant et passez à l’étape 5.

    Sélectionnez Enterprise ID, puis cliquez sur Créer un répertoire.

    Si vous créez un répertoire Enterprise ID, cette procédure de répertoire est terminée.

    Passez à la configuration de vos domaines.

  5. (Federated ID uniquement) Choisissez Autres fournisseurs SAML et cliquez sur Suivant.

  6. Utilisez l’écran Ajouter un profil SAML pour obtenir les informations de configuration de votre fournisseur d’identité.

    Certains fournisseurs d’identité (IdP) acceptent un fichier de métadonnées que vous pouvez transférer, tandis que d’autres peuvent demander l’URL ACS et l’ID d’entité. Par exemple :

    • Pour Azure Active Directory : téléchargez le fichier de métadonnées.
    • Pour Google : copiez l’URL ACS, ainsi que l’ID d’entité et collez-les dans le logiciel de gestion des identités de Google.
    • Pour SalesForce : téléchargez le fichier de métadonnées, extrayez les informations relatives au certificat et indiquez ces dernières dans le logiciel de gestion des identités de SalesForce.

    Remarque :

    Les options Azure et Google ci-dessus sont requises si vous avez choisi de ne pas utiliser nos connecteurs Azure et Google, respectivement.

    Choisissez l’une des méthodes proposées au-dessous des options.

    Méthode 1 :

    Cliquez sur Télécharger le fichier de métadonnées Adobe.

    Le fichier de métadonnées est téléchargé sur votre disque dur local. Utilisez ce fichier pour configurer votre intégration SAML avec le fournisseur d’identité.

    Méthode 2 :

    Copiez l’URL ACS et l’ID d’entité.

    Ajout d’un profil SAML
  7. Basculez vers la fenêtre de l’application de votre fournisseur d’identité et chargez le fichier de métadonnées ou entrez l’URL ACS et l’ID d’entité. Une fois que vous avez terminé, téléchargez le fichier de métadonnées de votre fournisseur d’identité.

  8. Retournez dans le portail Adobe Admin Console et téléchargez le fichier de métadonnées du fournisseur d’identité dans la fenêtre Ajouter un profil SAML, puis cliquez sur Terminé.

Votre répertoire est créé.

  • Si vous avez opté pour un répertoire avec le type d’identité Enterprise ID, la configuration est terminée.
  • Si vous avez choisi de créer un répertoire via l’option Autres fournisseurs SAML, celui-ci utilisera automatiquement l’authentification en SHA-2. Les répertoires précédemment créés à l’aide de l’authentification en SHA-1 peuvent désormais être mis à jour vers le modèle SHA-2 et migrés vers un autre fournisseur d’identité. Pour plus d’informations, consultez la section Migration vers un nouveau fournisseur d’authentification.

Ensuite, vous pouvez configurer des domaines dans le portail Admin Console.

Configuration de domaines

Remarque :

Vous n’avez pas besoin d’ajouter de domaines manuellement si le répertoire de votre entreprise est configuré à l’aide de Microsoft Azure AD Connector ou de la synchronisation via la fédération Google. Les domaines sélectionnés qui ont été validés dans la configuration de votre fournisseur d’identité sont automatiquement synchronisés avec le portail Adobe Admin Console.

Vos utilisateurs finaux s’authentifient sur des domaines que vous devez configurer dans le portail Admin Console.

Pour configurer des domaines, il faut :

  1. Ajouter des domaines dans le portail Admin Console
  2. Être prêt à confirmer la propriété des domaines en ajoutant un jeton DNS spécial
  3. Valider les domaines

Les domaines que vous ajoutez au portail Admin Console ne doivent pas forcément être enregistrés auprès du même IdP. En revanche, lorsque vous associez les domaines à un répertoire, chaque domaine d’un IdP spécifique doit être associé à un répertoire spécifique.

Vous ne pouvez pas ajouter un domaine dans le portail Admin Console s’il a déjà été ajouté dans le portail Admin Console d’une autre organisation. En revanche, vous pouvez demander l’accès à ce domaine.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Dans l’onglet Domaines, cliquez sur Ajouter des domaines.

  3. Dans l’écran Ajouter des domaines, saisissez un ou plusieurs domaines, puis cliquez sur Ajouter des domaines. Vous pouvez déposer et valider 15 domaines à la fois au maximum, et ajouter les domaines restants par la suite.

  4. Dans l’écran Ajouter des domaines, vérifiez le contenu de la liste, puis cliquez sur Ajouter des domaines.

    Confirmer les domaines à ajouter

Vos domaines sont maintenant ajoutés dans le portail Admin Console. Vous devez à présent prouver la propriété de ces domaines.

Une organisation doit prouver qu’elle possède un domaine. Elle peut ajouter autant de domaines que nécessaire dans le portail Admin Console.

Le portail Admin Console permet à chaque organisation d’utiliser un seul jeton DNS pour prouver la propriété de tous ses domaines. Par ailleurs, le portail Admin Console n’exige pas de validation DNS pour les sous-domaines. Cela signifie que lorsque vous utilisez le jeton DNS et prouvez la propriété d’un domaine, tous les sous-domaines qui lui sont associés sont instantanément validés dès leur ajout dans le portail Admin Console.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité et rendez-vous dans l’onglet Domaines.

  2. Cliquez sur et choisissez Accéder au jeton DNS dans la liste déroulante.

  3. Travaillez avec votre manager DNS pour ajouter un enregistrement DNS spécial pour les domaines que vous avez ajoutés.

  4. Pour confirmer que vous possédez le domaine, vous devez ajouter un enregistrement TXT au jeton DNS généré. Les instructions exactes dépendent de votre hôte de domaine. Pour des consignes standard, consultez la section Vérification de la propriété d’un domaine.

  5. Pour effectuer cette étape, vous devez ajouter des informations sur vos serveurs DNS. Informez-en votre manager DNS à l’avance pour être certain d’effectuer cette étape rapidement.

    Régulièrement, Adobe vérifie les enregistrements DNS de votre domaine ; s’ils sont corrects, le domaine est automatiquement validé. Si vous souhaitez valider immédiatement un domaine, vous pouvez vous connecter au portail Admin Console et effectuer l’opération manuellement. Vous devez ensuite valider les domaines.

Plusieurs fois par jour, le portail Admin Console tente de valider les domaines que vous avez ajoutés. Il est donc inutile d’intervenir pour valider un domaine une fois que les jetons DNS sont correctement configurés.

Validation manuelle de domaines

Si vous devez valider votre domaine immédiatement, vous pouvez le faire sur le portail Admin Console. Pour valider manuellement vos domaines :

  1. Connectez-vous au portail Admin Console.

  2. Cliquez sur Paramètres > Identité, puis accédez à l’onglet Domaines.

  3. Cliquez sur Valider.

    Valider des domaines
  4. Dans l’écran Valider la propriété de domaine, cliquez sur Valider maintenant.

Il se peut que vous receviez des messages d’erreur lorsque vous tentez de valider la propriété de domaine, car il peut s’écouler jusqu’à 72 heures avant que les changements de DNS prennent effet. Pour en savoir plus, consultez la section des questions fréquentes liées aux enregistrements DNS.

Après avoir vérifié la propriété de votre domaine, vous pouvez associer les domaines validés aux répertoires requis dans le portail Admin Console.

Une fois que vous avez configuré vos répertoires et vos domaines dans le portail Admin Console, vous devez les associer entre eux.

Il est possible d’associer plusieurs domaines à un même répertoire. Toutefois, tous les domaines que vous associez à un même répertoire doivent partager des paramètres SSO identiques.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Domaines.

  3. Cochez la case à gauche du nom de domaine souhaité, puis cliquez sur Associer au répertoire.

    Si vous voulez associer plusieurs domaines au même répertoire, cochez toutes les cases correspondantes.

    Associer des domaines à un répertoire
  4. Dans l’écran Associer au répertoire, choisissez le répertoire concerné dans la liste déroulante, puis cliquez sur Associer.

Gestion des utilisateurs

Une fois que vous avez terminé la configuration de votre Enterprise ID ou de votre Federated ID, vous êtes prêt à fournir les produits et services Adobe achetés à vos utilisateurs.

Consultez une présentation des utilisateurs sur le portail Admin Console. Vous pouvez également accéder directement au portail Admin Console et ajouter des utilisateurs, à l’aide de l’une des méthodes suivantes :

Une fois les utilisateurs ajoutés au portail Admin Console, mettez-les en service en les affectant aux Profils de produit.

Mandat de répertoire

La propriété d’un domaine ne peut être revendiquée que par une seule organisation. Par conséquent, imaginez le scénario suivant :

Une société, Geometrixx, comporte plusieurs services, chacun ayant son propre portail Admin Console. En outre, chaque service souhaite utiliser des Federated ID, tous avec le domaine geometrixx.com.  Dans ce cas, l’administrateur système de chacun de ces services souhaite déposer ce domaine à des fins d’authentification. Le logiciel Admin Console empêche qu’un domaine soit ajouté à plusieurs portails Admin Console. Néanmoins, une fois ajouté par un service, d’autres services peuvent demander l’accès au répertoire auquel ce domaine est associé, au nom du portail Admin Console de leur organisation.

Le mandat de répertoire permet à un propriétaire de mandater d’autres administrateurs système (les mandataires). À la suite de cela, les organisations mandataires dans le portail Admin Console peuvent ajouter des utilisateurs à n’importe quel domaine du répertoire faisant l’objet du mandat.

Résumons en quelques mots. Si vous prévoyez d’utiliser des Enterprise ID ou des Federated ID sur votre portail Admin Console, vous devez ajouter le domaine associé à votre organisation. Si ce domaine a déjà été ajouté par une autre organisation, vous devez demander l’accès au répertoire contenant ce domaine en tant que mandataire.

Pour demander l’accès à un répertoire, reportez-vous aux étapes de la procédure « Ajouter des domaines », dans le paragraphe Configuration de domaines ci-dessus.

Attention :

En tant que propriétaire d’un répertoire, si vous approuvez une demande d’accès à celui-ci, l’organisation mandataire aura accès à tous les domaines déjà associés à ce répertoire, ainsi qu’à tous ceux qui le seront par la suite. Par conséquent, il est essentiel de bien prévoir l’association entre domaines et répertoires lorsque vous configurez le système d’identité de votre organisation.

Mandataire de domaine

Si vous ajoutez des domaines existants dans le portail Admin Console, vous recevez le message suivant :

Demander l’accès

Si vous demandez l’accès à ce domaine, votre nom, votre adresse e-mail et le nom de votre organisation seront communiqués aux administrateurs système de l’organisation propriétaire.

Le type de répertoire (Enterprise ou Federated) dépend de la façon dont il a été configuré par l’organisation propriétaire. Cela signifie que vous devez, dans tous les cas, utiliser le type de répertoire sélectionné par l’organisation propriétaire.

Dans la mesure où le domaine a déjà été configuré par le propriétaire (voir le paragraphe « Prouver la propriété d’un domaine » dans la section Configuration de domaines), en tant que mandataire, vous n’avez rien à faire de plus. Une fois que la demande d’accès est acceptée par le propriétaire, votre organisation a accès au répertoire et à l’ensemble de ses domaines, tels qu’ils ont été configurés par l’organisation propriétaire.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Demandes d’accès, puis vérifiez le statut de chaque répertoire pour lequel vous avez demandé un droit d’accès.

  3. Vous pouvez également cliquer sur une ligne dans la liste des demandes d’accès et cliquer sur Renvoyer la demande ou Annuler la demande.

Si votre demande d’accès au répertoire est acceptée par l’organisation propriétaire, vous recevez une notification par e-mail. Votre demande de mandat disparaît alors, elle est remplacée par le répertoire faisant l’objet du mandat, ainsi que ses domaines, avec le statut Actif (sous mandat) dans vos listes Répertoires et Domaines.

Vous pouvez à présent ajouter des utilisateurs finaux et des groupes d’utilisateurs, puis les affecter à des profils de produit.

En tant qu’organisation mandataire, si vous n’avez plus besoin d’avoir accès au répertoire sous mandat, vous pouvez retirer votre statut de mandataire à tout moment.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Dans l’onglet Répertoires, cliquez sur le répertoire partagé pour lequel vous souhaitez retirer votre droit d’accès.

  3. Dans le volet de détails du répertoire, cliquez sur Retirer.

Si vous retirez votre droit d’accès à un répertoire sous mandat, les utilisateurs Enterprise ID ou Federated ID qui appartiennent aux domaines de ce répertoire (c’est-à-dire qu’ils se connectent avec les identifiants du domaine) sont également retirés de votre organisation. En outre, ces utilisateurs perdront l’accès à tous les logiciels qui leur sont conférés par votre organisation.

Propriétaire de domaine

En tant qu’administrateur système d’une organisation propriétaire, vous pouvez choisir d’accepter ou de refuser des demandes d’accès aux répertoires que vous détenez. 

Lorsque vous recevez par e-mail une demande d’accès à un répertoire qui vous appartient, vous pouvez choisir d’accepter ou de refuser la demande directement à partir de l’e-mail. Vous pouvez également passer par l’onglet Demandes d’accès pour gérer les demandes.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Demande d’accès.

  3. Pour accepter toutes les demandes, cliquez sur Tout accepter.

    Pour accepter des demandes en particulier, cochez la case correspondant à chacune d’elle sur la gauche de la ligne et cliquez sur Accepter.

  4. Dans l’écran Accepter cette demande d’accès, cliquez sur Accepter.

Un e-mail de notification est envoyé aux administrateurs système des organisations mandataires.

Vous pouvez également choisir de refuser la demande d’accès à un répertoire que vous détenez.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Demande d’accès.

  3. Cochez la case sur la gauche de chaque ligne et cliquez sur Refuser.

  4. Dans l’écran Refuser cette demande d’accès, indiquez le motif du refus, puis cliquez sur Refuser.

Le motif que vous fournissez est transmis par e-mail à l’organisation à l’origine de la demande. Toutefois, votre e-mail, votre nom et les informations sur votre organisation ne sont pas divulgués.

Vous pouvez révoquer l’accès d’une organisation mandataire à laquelle vous avez précédemment donné accès.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Mandataires.

  3. Cochez la case sur la gauche de chaque ligne et cliquez sur Révoquer.

  4. Dans l’écran Révoquer un mandataire, cliquez sur Révoquer.

Si vous révoquez l’accès d’une organisation mandataire, les utilisateurs dotés de comptes Enterprise ID ou Federated ID associés à un domaine du répertoire concerné sont retirés de l’organisation mandataire. Ces utilisateurs perdent également l’accès à tous les logiciels ou services qui leur sont conférés par l’organisation mandataire.

Gestion des clés de chiffrement

Grâce à Creative Cloud ou Document Cloud abonnement Entreprise, l’utilisateur final peut stocker des fichiers en toute sécurité. Il peut également partager des fichiers et collaborer avec d’autres utilisateurs. Les fichiers sont accessibles via le site web de Creative Cloud, l’application pour postes de travail Creative Cloud et l’application mobile Creative Cloud. Un espace de stockage est disponible avec Creative Cloud ou Document Cloud abonnement Entreprise uniquement s’il fait partie du contrat passé entre votre entreprise et Adobe.

Toutes les données de Creative Cloud et Document Cloud sont chiffrées, mais pour renforcer la sécurité et les contrôles, vous pouvez demander qu’Adobe génère une clé de chiffrement dédiée pour tout ou partie des répertoires de votre organisation. Le contenu est ensuite chiffré à l’aide d’un protocole de chiffrement standard avec une clé de chiffrement dédiée. Si nécessaire, vous pouvez révoquer la clé de chiffrement depuis Admin Console.

Les clés de chiffrement dédiées sont uniquement disponibles avec les formules Creative Cloud ou Document Cloud abonnement Entreprise avec services partagés, qui incluent un espace de stockage et des services.

Pour plus d’informations, reportez-vous à la section Gestion des clés de chiffrement sur le portail Admin Console.

Migration vers un nouveau fournisseur d’authentification

Si vous avez des répertoires qui utilisent l’authentification en SHA-1, vous pouvez désormais migrer aisément des profils d’authentification SHA-1 vers le modèle SHA-2 sans avoir à créer un nouveau répertoire.

En outre, la migration vous permet de migrer vers un autre fournisseur d’identité pour un répertoire établi.

Attention :

Ne supprimez pas la configuration existante sur votre fournisseur d’identité avant d’avoir eu la confirmation que la nouvelle configuration fonctionne avec 2 ou 3 comptes actifs de votre répertoire.

Si vous la supprimez avant de vérifier la nouvelle configuration, vous ne pourrez plus revenir à l’ancienne et risquez de subir des interruptions le temps que le problème soit résolu. Pour en savoir plus, suivez la procédure de migration.

Exigences d’accès

Pour migrer vers un profil d’authentification SHA-2, vous devez répondre aux exigences suivantes :

  • Accès au portail Admin Console de votre entreprise avec les identifiants de l’administrateur système
  • Le répertoire SHA-1 existant doit être configuré pour la fédération dans le portail Admin Console
  • Accès pour configurer le fournisseur d’identité de votre entreprise (par exemple, Microsoft Azure Portal, portail Admin Console Google, etc.)

Pour en savoir plus sur les autres éléments à prendre en compte lors de la mise en œuvre, consultez la section Considérations relatives à la mise en œuvre.

Procédure de migration

Une fois que vous vous êtes assuré que les exigences d’accès et les considérations de mise en œuvre sont respectées, suivez la procédure ci-dessous pour modifier votre profil d’authentification et migrer votre répertoire :

  1. Dans le portail Adobe Admin Console, accédez à la section Paramètres > Répertoire.

  2. Sélectionnez l’action Modifier pour le répertoire. Sélectionnez ensuite Ajouter un nouveau IdP dans le répertoire détails.

  3. Sélectionnez le fournisseur d’identité pour configurer le nouveau profil d’authentification. Choisissez le fournisseur d’identité (IdP) que votre entreprise utilise pour authentifier les utilisateurs. Cliquez sur Suivant.

  4. En fonction de votre choix de fournisseur d’identité, suivez les étapes :

    • Pour Azure : 
      Connectez-vous à Azure avec vos identifiants d’administrateur global Microsoft Azure Active Directory et acceptez l’invite d’autorisation. Vous revenez aux détails du répertoire dans le portail Admin Console.

    • Pour Google :

      1. Copiez l’URL ACS et l’ID d’entité à partir de l’écran Modifier la configuration SAML.
      2. Dans une autre fenêtre, connectez-vous au portail Admin Console de Google avec les identifiants Google Admin et accédez à Applications > Applications SAML.
      3. Utilisez le signe + pour ajouter une nouvelle application et sélectionnez l’application Adobe. Ensuite, téléchargez les métadonnées IDP sous l’option 2 et transférez-les vers la fenêtre Modifier la configuration SAML dans le portail Adobe Admin Console. Cliquez ensuite sur Enregistrer.
      4. Confirmez les informations de base pour Adobe. Entrez l’URL ACS et l’ID d’entité copiés précédemment dans le champ Détails du fournisseur de services pour terminer.
      5. Enfin, accédez à Applications > Applications SAML > Paramètres pour Adobe > Statut des services. Définissez le statut des services sur ACTIVÉ pour tout le monde et enregistrez.
      Statut des services
    • Pour les autres fournisseurs SAML :

      1. Connectez-vous à l’application de votre fournisseur d’identité dans une autre fenêtre et créez une nouvelle application SAML. (Ne modifiez pas l’application SAML existante pour éviter les temps d’arrêt dus à la migration.)
      2. En fonction des paramètres de votre fournisseur d’identité, copiez le fichier de métadonnées ou l’URL ACS et l’ID d’entité du portail Adobe Admin Console dans les paramètres du fournisseur d’identité.
      3. Transférez le fichier de métadonnées depuis la configuration du fournisseur d’identité vers le portail Adobe Admin Console. Cliquez ensuite sur Enregistrer.
  5. Dans le portail Adobe Admin Console > Détails du répertoire, le nouveau profil d’authentification est créé. Utilisez le test pour vérifier si la configuration est configurée correctement pour s’assurer que tous les utilisateurs finaux ont accès aux applications SAML.

    La fonction de test garantit que le format du nom d’utilisateur pour le nouveau profil d’authentification de son IdP correspond aux informations utilisateur du profil existant de connexion utilisateur.

  6. Cliquez sur Activer pour migrer vers le nouveau profil d’authentification. Une fois terminé, le nouveau profil indique En cours d’utilisation.

    Après l’activation, assurez-vous que la valeur du champ Sujet dans l’assertion de la nouvelle configuration SAML correspond au format du nom d’utilisateur de l’utilisateur existant dans le portail Admin Console.

    Attention :

    Une fois qu’une nouvelle configuration IdP est active, le profil Okta SHA-1 reste inactif et disponible pendant sept jours, après quoi la carte de profil inactive sera automatiquement supprimée du répertoire dans le portail Adobe Admin Console. La seule façon de restaurer un profil Okta supprimé consiste à effectuer une demande d’assistance auprès d’Adobe Engineering. 

Une fois que vous avez migré votre répertoire vers un fournisseur SAML compatible avec SHA-2, vous pouvez déplacer des domaines d’autres répertoires SHA-1 vers le nouveau répertoire à l’aide de la migration des domaines.

Pour en savoir plus sur certaines limitations et éviter les erreurs que vous pourriez rencontrer lors de la configuration, consultez la section Questions fréquentes : migrez le répertoire vers un nouveau fournisseur d’authentification.

Déplacement de domaines entre les répertoires

Les organisations peuvent structurer les répertoires en déplaçant les domaines de répertoires source vers des répertoires cible dans le portail Admin Console. Vous pouvez réorganiser la liaison domaine-répertoire en fonction des besoins de votre organisation, sans que les utilisateurs finaux ne perdent l’accès à leurs produits, leurs services ou leurs actifs stockés. La consolidation dans un seul répertoire des domaines configurés pour le même fournisseur d’identité simplifie la gestion de vos équipes informatiques.

Si vous envisagez de migrer des domaines d’un répertoire vers un autre répertoire contenant un nouveau fournisseur d’identité (Azure, Google ou autre SAML) avec authentification en SHA-2, vous devez répliquer la nouvelle configuration IdP dans les deux répertoires. La nouvelle configuration IdP active la connexion test pour les utilisateurs de tous les domaines du répertoire. Procédez comme suit en fonction de votre nouveau fournisseur d’identité :

  • Pour Microsoft Azure : ajoutez un nouvel IdP Azure à votre répertoire et connectez-vous au même client Azure.
  • Pour les autres fournisseurs SAML (y compris Google) : transférez le même fichier de métadonnées qui indique la même application SAML sur votre IdP.

Une fois la migration de domaine terminée, les utilisateurs qui font partie du nouveau répertoire auront toujours la possibilité de se connecter. Cela éliminera les temps d’arrêt et assurera un accès immédiat à leurs applications et services Adobe attribués. 

Remarque :

Les utilisateurs sont déconnectés de leurs comptes et ne peuvent pas se connecter à une nouvelle session pendant le transfert du domaine. Il est recommandé de modifier les répertoires pendant les heures creuses afin de minimiser les perturbations pour les utilisateurs finaux.

Pourquoi déplacer des domaines

Vous pouvez bénéficier de cette fonctionnalité dans les scénarios suivants :

  • Vous avez des domaines dans d’anciens répertoires compatibles avec SHA-1 et vous souhaitez passer aux répertoires compatibles avec SHA-2.
  • Vous souhaitez migrer un répertoire existant vers un autre fournisseur d’identité avec un profil d’authentification SHA-2.
  • Vous avez des répertoires dans une relation de confiance ou souhaitez partager des répertoires en confiance, sans permettre l’accès à tous les domaines de ces répertoires de confiance.
  • Vous devez regrouper les répertoires en fonction des équipes et des départements de l’organisation.
  • Vous avez un certain nombre de répertoires liés à des domaines uniques et que vous souhaitez consolider.
  • Vous avez accidentellement lié un domaine à un répertoire incorrect.
  • Vous souhaitez créer vous-même un transfert de domaine depuis l’Enterprise ID vers le Federated ID ou depuis le Federated ID vers l’Enterprise ID.

Gestion des répertoires chiffrés ou de confiance

Si les répertoires sources ou cibles sont chiffrés ou sont dans une relation de confiance, vous ne pouvez pas déplacer les domaines directement. Suivez les instructions données pour déplacer des domaines dans les cas suivants :

Exemple d’utilisation

Approche suggérée

Pour déplacer un domaine d’une organisation Admin Console à une autre

Contactez l’assistance clientèle Adobe

Pour déplacer des domaines entre des répertoires au sein d’une même relation de confiance

Suivez la procédure ci-dessous.

Pour déplacer des domaines depuis des répertoires d’une relation de confiance vers d’autres répertoires

Levez la relation de confiance, déplacez les domaines, puis rétablissez la relation de confiance.

Attention :

Déplacer des domaines vers ou depuis un répertoire chiffré n’est pas possible pour le moment.

Déplacement des domaines

Suivez la procédure ci-dessous pour transférer des domaines d’un répertoire source vers un répertoire cible :

  1. Connectez-vous au portail Adobe Admin Console, puis accédez à la section Paramètres.

  2. Sous Domaines, sélectionnez les domaines que vous souhaitez déplacer vers le répertoire cible. Cliquez ensuite sur Modifier le répertoire.

    Modification d’un répertoire
  3. Sélectionnez un répertoire dans la liste déroulante sur l’écran Modifier le répertoire. Utilisez le bouton à bascule situé au bas de l’écran pour activer ou désactiver les notifications informant que l’opération a été effectuée. Cliquez ensuite sur Enregistrer.

    Sélection d’un répertoire

La section Domaines s’affiche sous Paramètres> Identité. Tous les domaines sont répertoriés avec leur statut.

Une fois les domaines transférés, les administrateurs système reçoivent un e-mail concernant le transfert des domaines. Ensuite, vous pouvez modifier les noms de répertoire et, le cas échéant, supprimer les répertoires vides.

Suppression de répertoires et de domaines

Dans le portail Admin Console, vous pouvez supprimer les répertoires et les domaines qui ne sont plus utilisés.

Remarque :

Il n’est pas possible de supprimer un répertoire comportant les éléments suivants :

  • Utilisateurs actifs
  • Domaines associés
  • Mandataires

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Répertoires.

  3. Cochez la case sur la gauche du ou des noms de répertoire concernés, puis cliquez sur Supprimer les répertoires.

  4. Dans l’écran de suppression des répertoires, cliquez sur Supprimer.

Remarque :

Il n’est pas possible de supprimer un domaine s’il comporte des utilisateurs dans le portail Admin Console ou s’il est associé à un ou plusieurs répertoires.

  1. Connectez-vous au portail Admin Console, puis accédez à la section Paramètres > Identité.

  2. Ouvrez l’onglet Domaines.

  3. Cochez la case sur la gauche du ou des noms de domaine concernés, puis cliquez sur Supprimer.

  4. Dans l’écran Supprimer des domaines, cliquez sur Supprimer.