Le portail Adobe Admin Console propose aux utilisateurs de l’entreprise une méthode d’authentification des offres Adobe pour les entreprises à l’aide de leurs systèmes existants de gestion des identités via l’intégration de systèmes de gestion des identités utilisant l’authentification unique (SSO). L’authentification unique est activée à l’aide du protocole SAML, protocole normalisé qui connecte des systèmes de gestion des identités à des prestataires de services Cloud tels qu’Adobe. L’authentification unique permet d’échanger en toute sécurité les informations d’authentification entre les différentes parties, le prestataire de services (Adobe) et le fournisseur d’identité (IDP). Le prestataire de services envoie une demande à l’IDP, qui essaie d’authentifier l’utilisateur. Lorsque l’authentification est effectuée, l’IDP envoie un message de réponse afin de connecter l’utilisateur. Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO).

Planification

Adobe propose trois types d’identité différents :

  • Enterprise ID : l’organisation crée et détient le compte. Adobe gère les informations d’identification et traite l’authentification.
  • Federated ID : l’organisation crée et est propriétaire du compte, lie le compte avec l’annuaire d’entreprise par l’intermédiaire d’une fédération et l’entreprise ou l’école gère les informations d’identification et traite les connexions par le biais de l’authentification unique.
  • Adobe ID : l’utilisateur crée et détient le compte. Adobe gère les informations d’identification et traite l’authentification.

Adobe recommande aux entreprises de choisir un type Enterprise ID ou Federated ID pour contrôler la propriété des comptes et des données. Pour plus d’informations, voir ici.

Oui, vous pouvez avoir une combinaison d’Adobe ID, d’Enterprise ID et de Federated ID, mais pas dans le même domaine déposé.

Les Enterprise ID et les Federated ID sont exclusifs au niveau du domaine. Par conséquent, vous ne pouvez choisir qu’un seul type d’identité. Vous pouvez utiliser les Adobe ID soit avec les Federated ID, soit avec les Enterprise ID.

Par exemple, si une entreprise dépose un seul domaine, l’administrateur informatique peut choisir les Enterprise ID ou les Federated ID. Si une organisation dépose plusieurs domaines au sein d’une entreprise, l’administrateur informatique peut utiliser un domaine avec des Adobe ID et des Enterprise ID et un autre domaine avec des Adobe ID et des Federated ID, etc. Cela signifie que, pour chaque domaine, vous pouvez avoir des Enterprise ID ou des Federated ID avec des Adobe ID.

La gestion de licences Adobe sous des Federated ID est plus rapide, plus simple et plus sécurisée.

  • Les administrateurs informatiques contrôlent l’authentification et le cycle de vie de l’utilisateur.
  • Lorsque vous supprimez un utilisateur de l’annuaire d’entreprise, il ne dispose plus des privilèges requis pour accéder aux applications pour postes de travail, aux services ou aux applications mobiles.
  • Les Federated ID permettent aux entreprises de tirer parti des systèmes de gestion des identités d’utilisateurs déjà en place.
  • Dans la mesure où les utilisateurs finaux utilisent le système de gestion des identités standard de l’entreprise, l’administrateur informatique n’a pas besoin de gérer un processus de gestion des mots de passe distinct.

Lors de la connexion, les utilisateurs finaux sont redirigés vers l’authentification unique standard - et dont ils ont l’habitude - de l’entreprise.

La capacité de changer de types d’identité sur un domaine déjà déposé n’est pas encore disponible. Si vous avez déposé un ou plusieurs domaines en les configurant comme Enterprise ID et souhaitez reconfigurer le ou les mêmes domaines comme Federated ID, veuillez soumettre une demande de support en ligne à partir du portail Adobe Admin Console et nous vous avertirons lorsque la fonctionnalité sera disponible.

Oui, vous pouvez fédérer l’annuaire de votre entreprise et son infrastructure de connexion et d’authentification avec Adobe à l’aide de votre fournisseur d’identité compatible SAML 2.0.

Adobe prend en charge le lien entre le fournisseur d’identité de votre société et ce que nous appelons le locataire Okta. Adobe n’a aucune interface directe avec les annuaires d’entreprise, mais avec les fournisseurs d’identité.

Non. Lorsqu’un domaine est déposé pour des Federated ID, rien ne change pour ce qui concerne les Adobe ID existants avec des adresses de messagerie dans ce domaine. Les Adobe ID existants dans le portail Admin Console sont conservés.

La migration des actifs est un processus automatisé. Lorsque vous lancez ce processus, tout le contenu pris en charge qui est actuellement stocké dans votre compte Adobe ID est migré vers votre compte Enterprise/Federated ID. Pour en savoir plus, reportez-vous à la section Migration automatisée des actifs.

L’implémentation des Federated ID d’Adobe prend en charge l’autorisation ; l’authentification est gérée par le fournisseur d’identité (IDP).

En tant qu’entreprise, vous pouvez créer un lien entre vos services d’authentification (en utilisant une structure d’Enterprise ID telle qu’Active Directory) et les services d’Adobe. Cela permet à l’entreprise d’héberger l’authentification. Adobe ne stocke jamais les mots de passe et les administrateurs informatiques ne peuvent pas réinitialiser les mots de passe ni modifier les noms d’utilisateur pour les Federated ID via le portail Adobe Admin Console.

Oui, via la fonctionnalité d’importation d’utilisateurs, accessible à partir du portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.

Non. L’interface est effectuée par Adobe avec votre fournisseur d’identité et non directement avec votre annuaire d’entreprise. Nous prenons toutefois en charge l’importation des informations sur les utilisateurs et les groupes depuis votre annuaire d’entreprise dans le portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.

Adobe recommande à tous les administrateurs d’entreprise de basculer leurs utilisateurs Adobe ID vers des Federated ID. Vous pouvez migrer des Adobe ID vers des Federated ID à l’aide de cette procédure.

Adobe utilise la norme industrielle sécurisée et largement adoptée SAML (Security Assertion Markup Language), ce qui signifie que la mise en œuvre de l’authentification unique s’intègre facilement avec n’importe quel fournisseur d’identité prenant en charge le protocole SAML 2.0.

Vous trouverez ci-dessous une liste d’IDP conformes au protocole SAML 2.0 :

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP avec certificat signé en externe
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Oui, dans la mesure où il suit le protocole SAML 2.0.

Oui, et le fournisseur d’identité doit être conforme au protocole SAML 2.0.

Le fournisseur d’identité SAML doit au moins avoir :

  1. Un certificat IDP
  2. Une URL de connexion IDP
  3. Une liaison IDP Post ou Redirection HTTP
  4. L’URL de l’ACS (Assertion Consumer Service) de l’IDP, qui doit pouvoir accepter des requêtes SAML et l’état de relais

Si vous avez d’autres questions, consultez votre fournisseur d’identité.

Non, il n’a jamais été possible de décrypter un certificat 2048 bits. Et, les seules personnes ayant réussi à craquer un certificat 768 bits (le groupe Lenstra), ont estimé qu’il leur aurait pris plus de 1000 ans avec le même matériel pour décrypter un certificat 1024 bits (un exploit environ 32 000 000 fois plus facile que de décrypter un certificat de 2048 bits).

Si vous souhaitez obtenir les dernières nouvelles destinées aux maniaques d’Internet sur les estimations de décryptage de certificats de différentes longueurs, visitez ce site. Pour une photo amusante (exacte mais orientée marketing) sur la manière dont ces certificats sont sécurisés, accédez à ce site web (ou son site web mathématique de sauvegarde).

Non, cette limite s’applique aux certificats utilisés pour coder le canal de communication entre le navigateur et le serveur. En revanche, ces certificats d’IdP/Okta permettent de signer (et non de coder) les données transmises par ce canal codé. Le navigateur ne voit jamais ces certificats : ils sont utilisés uniquement entre Adobe/Okta et le fournisseur IdP de l’utilisateur.

Vous pouvez obtenir de bons certificats 2048 bits de qualité commerciale pour environ 10 $ par année de vie. En outre, les certificats utilisés par les IdP peuvent être auto-signés, ce qui signifie qu’ils peuvent être générés gratuitement avec des logiciels de source ouverte.

Non, car il existe deux autres couches de cryptage robuste qui vérifient l’identité de l’IdP, que vous devrez décrypter avant pouvoir prétendre être l’IdP. De plus, ces deux autres couches ne sont pas auto-signées. Ce qui signifie que vous devrez décrypter non seulement le certificat qui applique le cryptage, mais également le certificat du signataire qui a généré ce certificat.

Pour connaître le numéro de téléphone et l’adresse e-mail du support technique, référez-vous au courrier électronique de bienvenue et au document PDF qui ont été envoyés à l’administrateur de votre compte.

Le même nœud final d’URL peut être utilisé pour plusieurs répertoires. Cependant, les métadonnées de fédération seront gérées séparément pour chaque fournisseur d’identité. Par conséquent, le nœud final de fournisseur d’identité commun devra gérer des demandes dont le contenu est différent.

Oui, si l’intégration SAML du répertoire utilise le format Nom d’utilisateur et que les noms d’utilisateur de l’Admin Console sont identiques aux ID persistants fournis. Cependant, cela nécessiterait que les ID persistants soient disponibles au moment où les utilisateurs sont synchronisés sur l’Admin Console. Ce n’est pas un scénario commun et donc, en pratique, le format persistant pour l’élément NameID ne serait pas pris en charge.

Non. La valeur de l’élément NameID est utilisée comme nom d’utilisateur sur l’Admin Console ; le NameQualifier est ignoré.

Le prénom, le nom de famille et l’adresse électronique sont obligatoires pour chaque utilisateur. Cependant, ils ne doivent pas forcément correspondre aux données du répertoire, mais l’adresse électronique doit être unique pour chaque utilisateur.

Sur exception uniquement. Cependant, cela n’est pas recommandé car cela demande beaucoup de temps d’administration pour mettre à jour une partie de la configuration.

Non. Cela n’est actuellement pas possible.

Par défaut, les certificats Okta sont auto-signés. De manière exceptionnelle (et éventuellement moyennant des frais), ils peuvent faire signer le certificat par une autorité de certification publique à la place.

Comment

Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO) afin de mettre en œuvre la fonctionnalité SSO avec des applications de bureau, services et applications mobiles Adobe.

Non. L’envoi de notifications aux utilisateurs finaux via le portail Admin Console n’est pas pris en charge. En tant que client d’entreprise, vous devez envoyer vos propres annonces lorsque les utilisateurs sont prêts à se connecter à l’aide de l’authentification unique au logiciel et aux services Adobe.

Non, si vous supprimez ou désactivez un utilisateur/ID de votre annuaire d’entreprise, cet utilisateur/ID n’est pas automatiquement supprimé ou désactivé du portail Adobe Admin Console. Cependant, l’utilisateur n’est plus autorisé et ne peut plus se connecter aux applications pour postes de travail, services ou applications mobiles Adobe Creative Cloud, ni aux applications Acrobat DC. Vous devez supprimer manuellement l’utilisateur/ID du portail Admin Console.

Oui, vous devez utiliser le portail Adobe Admin Console pour gérer des utilisateurs, groupes et habilitations. Notez cependant que, lorsque vous créez des groupes sur le portail Admin Console, vous pouvez charger un fichier CSV comportant des informations d’utilisateur et de groupe. Cela crée le compte d’utilisateur et le place dans le groupe désigné.

Non, vous ne pouvez pas réinitialiser les mots de passe des Federated ID à l’aide du portail Adobe Admin Console. Adobe ne stocke pas les informations d’identification des utilisateurs. Pour la gestion des utilisateurs, vous devez utiliser votre fournisseur d’identité.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne