- Adobe Entreprise et Équipes : Guide de l’administrateur
- Planification de votre déploiement
- Concepts de base
- Guides de déploiement
- Déploiement de Creative Cloud abonnement Éducation
- Déploiement – Accueil
- Assistant d’intégration pour l’enseignement primaire et secondaire
- Configuration simple
- Synchronisation des utilisateurs
- Roster Sync pour l’enseignement primaire et secondaire (États-Unis)
- Concepts clés de la gestion des licences
- Options de déploiement
- Conseils rapides
- Approbation des applications Adobe dans la console d’administration Google
- Activation d’Adobe Express dans Google Classroom
- Intégration à Canvas LMS
- Intégration à Blackboard Learn
- Configuration de l’authentification unique pour les portails de district et les LMS
- Ajouter des utilisateurs via Roster Sync
- Questions fréquentes sur Kivuto
- Règles d’éligibilité pour les établissements primaires et secondaires
- Configuration de votre organisation
- Types d’identités | Présentation
- Configuration d’identité | Présentation
- Configuration d’une organisation avec Enterprise ID
- Configuration et synchronisation de la fédération Azure AD
- Configuration et synchronisation de la fédération Google
- Configuration de l’organisation avec Microsoft ADFS
- Mettre en place une organisation pour les portails de district et LMS
- Configuration de l’organisation avec d’autres fournisseurs d’identité
- Questions fréquentes et dépannage des erreurs liées à l’authentification unique
- Gestion de la configuration de votre organisation
- Gestion des domaines et répertoires existants
- Activation de la création automatique de compte
- Configuration d’une organisation via l’approbation de répertoires
- Migration vers un nouveau fournisseur d’authentification
- Paramètres des ressources
- Paramètres d’authentification
- Confidentialité et contacts de sécurité
- Paramètres de la console
- Gestion du chiffrement
- Gestion des domaines et répertoires existants
- Gestion des utilisateurs
- Présentation
- Rôles administratifs
- Stratégies de gestion des utilisateurs
- Attribution de licences à un utilisateur de la formule Équipe
- Gestion des utilisateurs depuis l’application pour les équipes
- Ajouter des utilisateurs avec des domaines de messagerie correspondants
- Changement du type d’identité d’un utilisateur
- Gestion des groupes d’utilisateurs
- Gestion des utilisateurs d’un répertoire
- Gestion des développeurs
- Migration d’utilisateurs existants vers le portail Adobe Admin Console
- Migration de la gestion d’utilisateurs vers le portail Adobe Admin Console
- Présentation
- Gestion des produits et des autorisations
- Gestion des produits et des profils de produit
- Gestion des produits
- Achat de produits et de licences
- Gestion des profils de produit pour les utilisateurs de la formule Entreprise
- Gestion des règles d’affectation automatique
- Autorisation donnée aux utilisateurs d’entraîner des modèles personnalisés Firefly
- Examen des demandes de produits
- Gestion des politiques de libre-service
- Gestion des intégrations d’application
- Gestion des autorisations de produit dans Admin Console
- Activation/désactivation de services pour un profil de produit
- Une seule application | Creative Cloud abonnement Entreprise
- Services facultatifs
- Gestion des licences de périphériques partagés
- Gestion des produits et des profils de produit
- Prise en main du portail Admin Console
- Adoption de l’administration générale
- Sélection de l’organisation
- Gestion de la hiérarchie des organisations
- Gestion des profils de produit
- Gestion des administrateurs
- Gestion des groupes d’utilisateurs
- Mise à jour des stratégies d’organisation
- Gestion des modèles de stratégie
- Attribution de produits à vos organisations enfants
- Exécution de tâches en attente
- Exploration des données
- Exportation ou importation d’une structure organisationnelle
- Gestion des ressources et des espaces de stockage
- Stockage
- Migration des ressources
- Récupération des ressources d’un utilisateur
- Migration des ressources des étudiants | Établissements scolaires uniquement
- Gestion des services
- Adobe Stock
- Polices personnalisées
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud abonnement Entreprise – abonnement gratuit
- Déploiement des applications et des mises à jour
- Présentation
- Création de packs
- Personnalisation des packs
- Déploiement de packs
- Déploiement de packs
- Déploiement de packs Adobe à l’aide de Microsoft Intune
- Déploiement de packs Adobe avec SCCM
- Déploiement de packs Adobe avec ARD
- Installation de produits dans le dossier Exceptions
- Désinstallation de produits Creative Cloud
- Utilisation d’Adobe Provisioning Toolkit Enterprise Edition
- Déploiement de packs
- Gestion des mises à jour
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Résolution des problèmes
- Gestion de votre compte Équipe
- Renouvellements
- Gestion des contrats
- Rapports et journaux
- Obtenir de l’aide
Le portail Adobe Admin Console propose aux utilisateurs de l’entreprise une méthode d’authentification des offres Adobe pour les entreprises à l’aide de leurs systèmes existants de gestion des identités via l’intégration de systèmes de gestion des identités utilisant l’authentification unique (SSO). L’authentification unique est activée à l’aide du protocole SAML, protocole normalisé qui connecte des systèmes de gestion des identités à des prestataires de services Cloud tels qu’Adobe. L’authentification unique permet d’échanger en toute sécurité les informations d’authentification entre les différentes parties, le prestataire de services (Adobe) et le fournisseur d’identité (IDP). Le prestataire de services envoie une demande à l’IDP, qui essaie d’authentifier l’utilisateur. Lorsque l’authentification est effectuée, l’IDP envoie un message de réponse afin de connecter l’utilisateur. Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO).
Planification
Adobe propose les types d’identité suivants :
- Enterprise ID : l’entreprise crée et détient un compte. Les comptes sont créés sur un domaine déposé. Adobe gère les identifiants et traite la connexion.
- Federated ID : l’organisation crée et est propriétaire du compte, lie le compte avec l’annuaire d’entreprise par l’intermédiaire d’une fédération et l’entreprise ou l’école gère les informations d’identification et traite les connexions par le biais de l’authentification unique.
- Adobe ID : l’utilisateur crée et détient le compte. Adobe gère les informations d’identification et traite l’authentification. Selon le modèle de stockage, l’utilisateur ou l’organisation est propriétaire du compte et des actifs
.
Nous mettons à jour les organisations (équipes ou entreprises) vers le modèle de stockage d’entreprise, afin d’activer le stockage d’entreprise et d’autres fonctionnalités de niveau entreprise pour les utilisateurs Adobe ID.
Vous serez informé lorsque votre organisation sera sur le point de bénéficier de cette mise à jour. Après la mise à jour, les utilisateurs Adobe ID sont migrés vers le stockage d’entreprise et l’organisation contrôle directement leurs profils professionnels.
Oui, vous pouvez avoir une combinaison d’Adobe ID, d’Enterprise ID et de Federated ID, mais pas dans le même domaine déposé.
Les Enterprise ID et les Federated ID sont exclusifs au niveau du domaine. Par conséquent, vous ne pouvez choisir qu’un seul type d’identité. Vous pouvez utiliser les Adobe ID soit avec les Federated ID, soit avec les Enterprise ID.
Par exemple, si une entreprise dépose un seul domaine, l’administrateur informatique peut choisir les Enterprise ID ou les Federated ID. Si une organisation dépose plusieurs domaines au sein d’une entreprise, l’administrateur informatique peut utiliser un domaine avec des Adobe ID et des Enterprise ID et un autre domaine avec des Adobe ID et des Federated ID, etc. Cela signifie que, pour chaque domaine, vous pouvez avoir des Enterprise ID ou des Federated ID avec des Adobe ID.
La gestion de licences Adobe sous des Federated ID est plus rapide, plus simple et plus sécurisée.
- Les administrateurs informatiques contrôlent l’authentification et le cycle de vie de l’utilisateur.
- Lorsque vous supprimez un utilisateur de l’annuaire d’entreprise, il ne dispose plus des privilèges requis pour accéder aux applications pour ordinateur, aux services ou aux applications mobiles.
- Les Federated ID permettent aux entreprises de tirer parti des systèmes de gestion des identités d’utilisateurs déjà en place.
- Dans la mesure où les utilisateurs finaux utilisent le système de gestion des identités standard de l’entreprise, l’administrateur informatique n’a pas besoin de gérer un processus de gestion des mots de passe distinct.
Lors de la connexion, les utilisateurs finaux sont redirigés vers l’authentification unique standard - et dont ils ont l’habitude - de l’entreprise.
Oui. Vous pouvez passer d’Entreprise ID à des Federated ID en utilisant le même domaine. Pour plus de détails, consultez la section déplacer un domaine d’un répertoire à l’autre.
Oui, vous pouvez fédérer l’annuaire de votre entreprise et son infrastructure de connexion et d’authentification avec Adobe à l’aide de votre fournisseur d’identité compatible SAML 2.0.
Non. Lorsqu’un domaine est déposé pour des Federated ID, rien ne change pour ce qui concerne les Adobe ID existants avec des adresses de messagerie dans ce domaine. Les Adobe ID existants dans le portail Admin Console sont conservés.
La migration des actifs est un processus automatisé. Lorsque vous lancez ce processus, tout le contenu pris en charge qui est actuellement stocké dans votre compte Adobe ID est migré vers votre compte Enterprise/Federated ID. Pour en savoir plus, reportez-vous à la section Migration automatisée des actifs.
L’implémentation des Federated ID d’Adobe prend en charge l’autorisation ; l’authentification est gérée par le fournisseur d’identité (IDP).
En tant qu’entreprise, vous pouvez créer un lien entre vos services d’authentification (en utilisant une structure d’Enterprise ID telle qu’Active Directory) et les services d’Adobe. Cela permet à l’entreprise d’héberger l’authentification. Adobe ne stocke jamais les mots de passe et les administrateurs informatiques ne peuvent pas réinitialiser les mots de passe ni modifier les noms d’utilisateur pour les Federated ID via le portail Adobe Admin Console.
Oui, via la fonctionnalité d’importation d’utilisateurs, accessible à partir du portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.
Non. L’interface est effectuée par Adobe avec votre fournisseur d’identité et non directement avec votre annuaire d’entreprise. Nous prenons toutefois en charge l’importation des informations sur les utilisateurs et les groupes depuis votre annuaire d’entreprise dans le portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.
Adobe recommande à tous les administrateurs d’entreprise de basculer leurs utilisateurs Adobe ID vers des Federated ID. Vous pouvez migrer des Adobe ID vers des Federated ID à l’aide de cette procédure.
Adobe utilise la norme industrielle sécurisée et largement adoptée SAML (Security Assertion Markup Language), ce qui signifie que la mise en œuvre de l’authentification unique s’intègre facilement avec n’importe quel fournisseur d’identité prenant en charge le protocole SAML 2.0.
Vous trouverez ci-dessous une liste d’IDP conformes au protocole SAML 2.0 :
- Okta
- Oracle Identity Federation
- Microsoft ADFS
- Microsoft Azure AD#
- Fédération Google#
- Ping Federate
- Salesforce IdP avec certificat signé en externe
- CA Federation
- ForgeRock OpenAM
- Shibboleth
- NetIQ Access Manager
- OneLogin
- Novell Access Manager
#Si votre fournisseur d’identité est Microsoft Azure AD ou Google, vous pouvez ignorer la méthode basée sur le protocole SAML et utiliser l’Azure AD Connector ou la méthode de fédération Google pour l’authentification unique pour configurer l’authentification unique avec le portail Adobe Admin Console. Ces configurations sont établies et gérées via le portail Adobe Admin Console et utilisent un mécanisme de synchronisation pour gérer les identités et les droits des utilisateurs.
Oui, dans la mesure où il suit le protocole SAML 2.0.
Oui, et le fournisseur d’identité doit être conforme au protocole SAML 2.0.
Le fournisseur d’identité SAML doit au moins avoir :
- Un certificat IDP
- Une URL de connexion IDP
- Une liaison IDP Post ou Redirection HTTP
- L’URL de l’ACS (Assertion Consumer Service) de l’IDP, qui doit pouvoir accepter des requêtes SAML et l’état de relais
Si vous avez d’autres questions, consultez votre fournisseur d’identité.
Non, il n’a jamais été possible de décrypter un certificat 2048 bits. Et, les seules personnes ayant réussi à craquer un certificat 768 bits (le groupe Lenstra), ont estimé qu’il leur aurait pris plus de 1000 ans avec le même matériel pour décrypter un certificat 1024 bits (un exploit environ 32 000 000 fois plus facile que de décrypter un certificat de 2048 bits).
Si vous souhaitez obtenir les dernières nouvelles destinées aux maniaques d’Internet sur les estimations de décryptage de certificats de différentes longueurs, visitez ce site. Pour une photo amusante (exacte mais orientée marketing) sur la manière dont ces certificats sont sécurisés, accédez à ce site web (ou son site web mathématique de sauvegarde).
Non, cette limite s’applique aux certificats utilisés pour coder le canal de communication entre le navigateur et le serveur. En revanche, ces certificats d’IdP permettent de signer (et non de coder) les données transmises par ce canal codé. Le navigateur ne voit jamais ces certificats : ils sont utilisés uniquement entre Adobe et le fournisseur IdP de l’utilisateur.
Vous pouvez obtenir de bons certificats 2048 bits de qualité commerciale pour environ 10 $ par année de vie. En outre, les certificats utilisés par les IdP peuvent être auto-signés, ce qui signifie qu’ils peuvent être générés gratuitement avec des logiciels de source ouverte.
Non, car il existe deux autres couches de cryptage robuste qui vérifient l’identité de l’IdP, que vous devrez décrypter avant pouvoir prétendre être l’IdP. De plus, ces deux autres couches ne sont pas auto-signées. Ce qui signifie que vous devrez décrypter non seulement le certificat qui applique le cryptage, mais également le certificat du signataire qui a généré ce certificat.
Pour connaître le numéro de téléphone et l’adresse e-mail du support technique, référez-vous à l’e-mail de bienvenue et au document PDF qui ont été envoyés à l’administrateur de votre compte.
Le même nœud final d’URL peut être utilisé pour plusieurs répertoires. Cependant, les métadonnées de fédération seront gérées séparément pour chaque fournisseur d’identité. Par conséquent, le nœud final de fournisseur d’identité commun devra gérer des demandes dont le contenu est différent.
Oui, si l’intégration SAML du répertoire utilise le format Nom d’utilisateur et que les noms d’utilisateur de l’Admin Console sont identiques aux ID persistants fournis. Cependant, cela nécessiterait que les ID persistants soient disponibles au moment où les utilisateurs sont synchronisés sur l’Admin Console. Ce n’est pas un scénario commun et donc, en pratique, le format persistant pour l’élément NameID ne serait pas pris en charge.
Non. La valeur de l’élément NameID est utilisée comme nom d’utilisateur sur l’Admin Console ; le NameQualifier est ignoré.
Oui. Adobe prend en charge les certificats SHA256. Pour en savoir plus, consultez la section Configuration d’identité.
Oui. Vous devrez fournir les certificats signés par l’autorité de certification au service clientèle Adobe et nous les transférerons pour eux.
Pour continuer, connectez-vous au portail Admin Console, puis accédez à la section Support > Résumé du support et cliquez sur Créer un cas. Pour plus d’informations, consultez la section Comment créer et gérer des dossiers de support.
Par défaut, les certificats Okta sont auto-signés. De manière exceptionnelle (et éventuellement moyennant des frais), ils peuvent faire signer le certificat par une autorité de certification publique à la place.
Comment
Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO) afin de mettre en œuvre la fonctionnalité SSO avec des applications pour ordinateur, des services et des applications mobiles Adobe.
Non. L’envoi de notifications aux utilisateurs finaux via le portail Admin Console n’est pas pris en charge. En tant que client d’entreprise, vous devez envoyer vos propres annonces lorsque les utilisateurs sont prêts à se connecter à l’aide de l’authentification unique au logiciel et aux services Adobe.
Non, si vous supprimez ou désactivez un utilisateur/ID de votre annuaire d’entreprise, cet utilisateur/ID n’est pas automatiquement supprimé ou désactivé du portail Adobe Admin Console. Cependant, l’utilisateur n’est plus autorisé et ne peut plus se connecter aux applications pour postes de travail, services ou applications mobiles Adobe Creative Cloud, ni aux applications Acrobat Vous devez supprimer manuellement l’utilisateur/ID du portail Admin Console.
Oui, vous devez utiliser le portail Adobe Admin Console pour gérer des utilisateurs, groupes et habilitations. Notez cependant que, lorsque vous créez des groupes sur le portail Admin Console, vous pouvez charger un fichier CSV comportant des informations d’utilisateur et de groupe. Cela crée le compte utilisateur et le place dans le groupe désigné.
Non, vous ne pouvez pas réinitialiser les mots de passe des Federated ID à l’aide du portail Adobe Admin Console. Adobe ne stocke pas les informations d’identification des utilisateurs. Pour la gestion des utilisateurs, vous devez utiliser votre fournisseur d’identité.
Questions courantes : Configuration du répertoire
Trouvez des réponses à vos questions concernant la migration des répertoires vers un nouveau fournisseur d’authentification et la mise à jour des configurations SAML obsolètes.
Avant de commencer, veillez à respecter les conditions d’accès afin de pouvoir suivre la procédure de migration vers un autre fournisseur d’identité. Tenez également compte des points suivants pour garantir une migration fluide et sans erreur pour les répertoires de votre entreprise :
- Les administrateurs doivent créer une nouvelle application SAML sur leur configuration IdP pour pouvoir la configurer. S’ils modifient l’application existante, ils réécriront toute configuration existante active, subiront des temps d’arrêt et supprimeront la possibilité de basculer entre les IdP disponibles dans le portail Adobe Admin Console.
- Les administrateurs doivent s’assurer que tous les utilisateurs requis sont affectés à l’application SAML nouvellement créée ou peuvent l’utiliser.
- Les administrateurs doivent s’assurer que le format du nom d’utilisateur pour le nouveau profil d’authentification dans leur IdP correspond à ce qui est utilisé par le profil existant pour la connexion utilisateur. Ils peuvent utiliser la fonction de test disponible sur le profil d’authentification pour le vérifier. Ce lien de test peut être copié dans le presse-papier et partagé avec d’autres utilisateurs pour validation depuis leur ordinateur.
- Les administrateurs doivent tester le nouveau IdP avant de l’activer avec 2 à 3 comptes actifs du répertoire.
Les journaux d’erreurs ne seront pas disponibles pour ces fonctionnalités. Cependant, le processus de test permet à l’administrateur de valider les erreurs pertinentes avant l’activation. Les limitations à prendre en compte sont les suivantes :
- Un répertoire peut avoir jusqu’à deux profils d’authentification, et les deux profils doivent être pour différents types d’authentification. Cela signifie que Microsoft Azure AD (qui utilise Open ID Connect) peut être utilisé avec d’autres fournisseurs SAML, mais Google (qui utilise lui-même SAML) ne peut pas être utilisé avec d’autres fournisseurs SAML dans le même répertoire.
- Cette fonctionnalité ne permet pas aux administrateurs de migrer leur fournisseur d’identité pour activer la fonctionnalité de synchronisation de répertoire (Azure AD Connector et Google Connector). Cependant, les clients qui migrent vers Microsoft Azure ou Google en tant qu’IdP puissent utiliser une autre forme de stratégie de gestion des utilisateurs. Pour en savoir plus, consultez la section Utilisateurs du portail Adobe Admin Console.
Adobe
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?