Le portail Adobe Admin Console propose aux utilisateurs de l’entreprise une méthode d’authentification des offres Adobe pour les entreprises à l’aide de leurs systèmes existants de gestion des identités via l’intégration de systèmes de gestion des identités utilisant l’authentification unique (SSO). L’authentification unique est activée à l’aide du protocole SAML, protocole normalisé qui connecte des systèmes de gestion des identités à des prestataires de services Cloud tels qu’Adobe. L’authentification unique permet d’échanger en toute sécurité les informations d’authentification entre les différentes parties, le prestataire de services (Adobe) et le fournisseur d’identité (IDP). Le prestataire de services envoie une demande à l’IDP, qui essaie d’authentifier l’utilisateur. Lorsque l’authentification est effectuée, l’IDP envoie un message de réponse afin de connecter l’utilisateur. Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO).

Planification

Adobe propose les types d’identité suivants :

  • Enterprise ID : l’entreprise crée et détient un compte. Les comptes sont créés sur un domaine déposé. Adobe gère les identifiants et traite la connexion.
  • Federated ID : l’organisation crée et est propriétaire du compte, lie le compte avec l’annuaire d’entreprise par l’intermédiaire d’une fédération et l’entreprise ou l’école gère les informations d’identification et traite les connexions par le biais de l’authentification unique.
  • Adobe ID : l’utilisateur crée et détient le compte. Adobe gère les informations d’identification et traite l’authentification.

Oui, vous pouvez avoir une combinaison d’Adobe ID, d’Enterprise ID et de Federated ID, mais pas dans le même domaine déposé.

Les Enterprise ID et les Federated ID sont exclusifs au niveau du domaine. Par conséquent, vous ne pouvez choisir qu’un seul type d’identité. Vous pouvez utiliser les Adobe ID soit avec les Federated ID, soit avec les Enterprise ID.

Par exemple, si une entreprise dépose un seul domaine, l’administrateur informatique peut choisir les Enterprise ID ou les Federated ID. Si une organisation dépose plusieurs domaines au sein d’une entreprise, l’administrateur informatique peut utiliser un domaine avec des Adobe ID et des Enterprise ID et un autre domaine avec des Adobe ID et des Federated ID, etc. Cela signifie que, pour chaque domaine, vous pouvez avoir des Enterprise ID ou des Federated ID avec des Adobe ID.

La gestion de licences Adobe sous des Federated ID est plus rapide, plus simple et plus sécurisée.

  • Les administrateurs informatiques contrôlent l’authentification et le cycle de vie de l’utilisateur.
  • Lorsque vous supprimez un utilisateur de l’annuaire d’entreprise, il ne dispose plus des privilèges requis pour accéder aux applications pour postes de travail, aux services ou aux applications mobiles.
  • Les Federated ID permettent aux entreprises de tirer parti des systèmes de gestion des identités d’utilisateurs déjà en place.
  • Dans la mesure où les utilisateurs finaux utilisent le système de gestion des identités standard de l’entreprise, l’administrateur informatique n’a pas besoin de gérer un processus de gestion des mots de passe distinct.

Lors de la connexion, les utilisateurs finaux sont redirigés vers l’authentification unique standard - et dont ils ont l’habitude - de l’entreprise.

Oui. Vous pouvez passer d’Entreprise ID à des Federated ID en utilisant le même domaine. Pour plus de détails, consultez la section déplacer un domaine d’un répertoire à l’autre.

Oui, vous pouvez fédérer l’annuaire de votre entreprise et son infrastructure de connexion et d’authentification avec Adobe à l’aide de votre fournisseur d’identité compatible SAML 2.0.

Non. Lorsqu’un domaine est déposé pour des Federated ID, rien ne change pour ce qui concerne les Adobe ID existants avec des adresses de messagerie dans ce domaine. Les Adobe ID existants dans le portail Admin Console sont conservés.

La migration des actifs est un processus automatisé. Lorsque vous lancez ce processus, tout le contenu pris en charge qui est actuellement stocké dans votre compte Adobe ID est migré vers votre compte Enterprise/Federated ID. Pour en savoir plus, reportez-vous à la section Migration automatisée des actifs.

L’implémentation des Federated ID d’Adobe prend en charge l’autorisation ; l’authentification est gérée par le fournisseur d’identité (IDP).

En tant qu’entreprise, vous pouvez créer un lien entre vos services d’authentification (en utilisant une structure d’Enterprise ID telle qu’Active Directory) et les services d’Adobe. Cela permet à l’entreprise d’héberger l’authentification. Adobe ne stocke jamais les mots de passe et les administrateurs informatiques ne peuvent pas réinitialiser les mots de passe ni modifier les noms d’utilisateur pour les Federated ID via le portail Adobe Admin Console.

Oui, via la fonctionnalité d’importation d’utilisateurs, accessible à partir du portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.

Non. L’interface est effectuée par Adobe avec votre fournisseur d’identité et non directement avec votre annuaire d’entreprise. Nous prenons toutefois en charge l’importation des informations sur les utilisateurs et les groupes depuis votre annuaire d’entreprise dans le portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.

Adobe recommande à tous les administrateurs d’entreprise de basculer leurs utilisateurs Adobe ID vers des Federated ID. Vous pouvez migrer des Adobe ID vers des Federated ID à l’aide de cette procédure.

Adobe utilise la norme industrielle sécurisée et largement adoptée SAML (Security Assertion Markup Language), ce qui signifie que la mise en œuvre de l’authentification unique s’intègre facilement avec n’importe quel fournisseur d’identité prenant en charge le protocole SAML 2.0.

Vous trouverez ci-dessous une liste d’IDP conformes au protocole SAML 2.0 :

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Microsoft Azure AD#
  • Fédération Google# 
  • Ping Federate
  • Salesforce IdP avec certificat signé en externe
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Remarque :

#Si votre fournisseur d’identité est Microsoft Azure AD ou Google, vous pouvez ignorer la méthode basée sur le protocole SAML et utiliser l’Azure AD Connector ou la méthode de fédération Google pour l’authentification unique pour configurer l’authentification unique avec le portail Adobe Admin Console. Ces configurations sont établies et gérées via le portail Adobe Admin Console et utilisent un mécanisme de synchronisation pour gérer les identités et les droits des utilisateurs.

Oui, dans la mesure où il suit le protocole SAML 2.0.

Oui, et le fournisseur d’identité doit être conforme au protocole SAML 2.0.

Le fournisseur d’identité SAML doit au moins avoir :

  1. Un certificat IDP
  2. Une URL de connexion IDP
  3. Une liaison IDP Post ou Redirection HTTP
  4. L’URL de l’ACS (Assertion Consumer Service) de l’IDP, qui doit pouvoir accepter des requêtes SAML et l’état de relais

Si vous avez d’autres questions, consultez votre fournisseur d’identité.

Non, il n’a jamais été possible de décrypter un certificat 2048 bits. Et, les seules personnes ayant réussi à craquer un certificat 768 bits (le groupe Lenstra), ont estimé qu’il leur aurait pris plus de 1000 ans avec le même matériel pour décrypter un certificat 1024 bits (un exploit environ 32 000 000 fois plus facile que de décrypter un certificat de 2048 bits).

Si vous souhaitez obtenir les dernières nouvelles destinées aux maniaques d’Internet sur les estimations de décryptage de certificats de différentes longueurs, visitez ce site. Pour une photo amusante (exacte mais orientée marketing) sur la manière dont ces certificats sont sécurisés, accédez à ce site web (ou son site web mathématique de sauvegarde).

Non, cette limite s’applique aux certificats utilisés pour coder le canal de communication entre le navigateur et le serveur. En revanche, ces certificats d’IdP permettent de signer (et non de coder) les données transmises par ce canal codé. Le navigateur ne voit jamais ces certificats : ils sont utilisés uniquement entre Adobe et le fournisseur IdP de l’utilisateur.

Vous pouvez obtenir de bons certificats 2048 bits de qualité commerciale pour environ 10 $ par année de vie. En outre, les certificats utilisés par les IdP peuvent être auto-signés, ce qui signifie qu’ils peuvent être générés gratuitement avec des logiciels de source ouverte.

Non, car il existe deux autres couches de cryptage robuste qui vérifient l’identité de l’IdP, que vous devrez décrypter avant pouvoir prétendre être l’IdP. De plus, ces deux autres couches ne sont pas auto-signées. Ce qui signifie que vous devrez décrypter non seulement le certificat qui applique le cryptage, mais également le certificat du signataire qui a généré ce certificat.

Pour connaître le numéro de téléphone et l’adresse e-mail du support technique, référez-vous au courrier électronique de bienvenue et au document PDF qui ont été envoyés à l’administrateur de votre compte.

Le même nœud final d’URL peut être utilisé pour plusieurs répertoires. Cependant, les métadonnées de fédération seront gérées séparément pour chaque fournisseur d’identité. Par conséquent, le nœud final de fournisseur d’identité commun devra gérer des demandes dont le contenu est différent.

Oui, si l’intégration SAML du répertoire utilise le format Nom d’utilisateur et que les noms d’utilisateur de l’Admin Console sont identiques aux ID persistants fournis. Cependant, cela nécessiterait que les ID persistants soient disponibles au moment où les utilisateurs sont synchronisés sur l’Admin Console. Ce n’est pas un scénario commun et donc, en pratique, le format persistant pour l’élément NameID ne serait pas pris en charge.

Non. La valeur de l’élément NameID est utilisée comme nom d’utilisateur sur l’Admin Console ; le NameQualifier est ignoré.

Le prénom, le nom de famille et l’adresse électronique sont obligatoires pour chaque utilisateur. Cependant, ils ne doivent pas forcément correspondre aux données du répertoire, mais l’adresse électronique doit être unique pour chaque utilisateur.

Oui. Adobe prend en charge les certificats SHA256. Pour en savoir plus, consultez la section Configuration d’identité.

Oui. Vous devrez fournir les certificats signés par l’autorité de certification au service clientèle Adobe et nous les transférerons pour eux.

Pour continuer, connectez-vous au portail Admin Console, puis accédez à la section Support > Résumé du support et cliquez sur Créer un cas. Pour plus d’informations, consultez la section Comment créer et gérer des dossiers de support.

Par défaut, les certificats Okta sont auto-signés. De manière exceptionnelle (et éventuellement moyennant des frais), ils peuvent faire signer le certificat par une autorité de certification publique à la place.

Comment

Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO) afin de mettre en œuvre la fonctionnalité SSO avec des applications de bureau, services et applications mobiles Adobe.

Non. L’envoi de notifications aux utilisateurs finaux via le portail Admin Console n’est pas pris en charge. En tant que client d’entreprise, vous devez envoyer vos propres annonces lorsque les utilisateurs sont prêts à se connecter à l’aide de l’authentification unique au logiciel et aux services Adobe.

Non, si vous supprimez ou désactivez un utilisateur/ID de votre annuaire d’entreprise, cet utilisateur/ID n’est pas automatiquement supprimé ou désactivé du portail Adobe Admin Console. Cependant, l’utilisateur n’est plus autorisé et ne peut plus se connecter aux applications pour postes de travail, services ou applications mobiles Adobe Creative Cloud, ni aux applications Acrobat DC. Vous devez supprimer manuellement l’utilisateur/ID du portail Admin Console.

Oui, vous devez utiliser le portail Adobe Admin Console pour gérer des utilisateurs, groupes et habilitations. Notez cependant que, lorsque vous créez des groupes sur le portail Admin Console, vous pouvez charger un fichier CSV comportant des informations d’utilisateur et de groupe. Cela crée le compte utilisateur et le place dans le groupe désigné.

Non, vous ne pouvez pas réinitialiser les mots de passe des Federated ID à l’aide du portail Adobe Admin Console. Adobe ne stocke pas les informations d’identification des utilisateurs. Pour la gestion des utilisateurs, vous devez utiliser votre fournisseur d’identité.

Questions fréquentes : migration du répertoire vers un nouveau fournisseur d’authentification

Trouvez des réponses à vos questions concernant la migration des répertoires vers l’authentification en SHA-2 ou vers un autre fournisseur d’authentification.

Avant de commencer, assurez-vous de répondre aux exigences d’accès pour pouvoir suivre la procédure de migration. Tenez également compte des points suivants pour garantir une migration fluide et sans erreur pour les répertoires de votre entreprise :

  • Les administrateurs doivent créer une nouvelle application SAML sur leur configuration IdP pour pouvoir la configurer. S’ils modifient l’application existante, ils réécriront toute configuration existante active, subiront des temps d’arrêt et supprimeront la possibilité de basculer entre les IdP disponibles dans le portail Adobe Admin Console.
  • Les administrateurs doivent s’assurer que tous les utilisateurs requis sont affectés à l’application SAML nouvellement créée ou peuvent l’utiliser.
  • Les administrateurs doivent s’assurer que le format du nom d’utilisateur pour le nouveau profil d’authentification dans leur IdP correspond à ce qui est utilisé par le profil existant pour la connexion utilisateur. Ils peuvent utiliser la fonction de test disponible sur le profil d’authentification pour le vérifier. Ce lien de test peut être copié dans le presse-papier et partagé avec d’autres utilisateurs pour validation depuis leur ordinateur.
  • Les administrateurs doivent tester le nouveau IdP avant de l’activer avec 2 à 3 comptes actifs du répertoire.

Les journaux d’erreurs ne seront pas disponibles pour cette fonctionnalité. Cependant, le processus de test permet à l’administrateur de valider les erreurs pertinentes avant l’activation. En outre, certaines limitations de cette fonction sont répertoriées ci-dessous :

  • Un répertoire peut avoir jusqu’à deux profils d’authentification, et les deux profils doivent être pour différents types d’authentification.
    Cela signifie que Microsoft Azure AD (qui utilise Open ID Connect) peut être avec d’autres fournisseurs SAML, mais Google (qui utilise lui-même SAML) ne peut pas être avec d’autres fournisseurs SAML dans le même répertoire.
  • Cette fonctionnalité ne permet pas aux administrateurs de migrer leur fournisseur d’identité pour activer la fonctionnalité de synchronisation de répertoire (Azure AD Connector et Google Connector). Cependant, les clients qui migrent vers Microsoft Azure ou Google en tant qu’IdP puissent utiliser une autre forme de stratégie de gestion des utilisateurs. Pour en savoir plus, consultez la section Utilisateurs du portail Adobe Admin Console.