Le portail Adobe Admin Console propose aux utilisateurs de l’entreprise une méthode d’authentification des offres Adobe pour les entreprises à l’aide de leurs systèmes existants de gestion des identités via l’intégration de systèmes de gestion des identités utilisant l’authentification unique (SSO). L’authentification unique est activée à l’aide du protocole SAML, protocole normalisé qui connecte des systèmes de gestion des identités à des prestataires de services Cloud tels qu’Adobe. L’authentification unique permet d’échanger en toute sécurité les informations d’authentification entre les différentes parties, le prestataire de services (Adobe) et le fournisseur d’identité (IDP). Le prestataire de services envoie une demande à l’IDP, qui essaie d’authentifier l’utilisateur. Lorsque l’authentification est effectuée, l’IDP envoie un message de réponse afin de connecter l’utilisateur. Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO).

Planification

Lors du déploiement de licences nominatives, quels sont les types d’identité à ma disposition ?

Adobe propose trois types d’identité différents :

  • Adobe ID : l’utilisateur crée et est propriétaire de son compte, Adobe gère les informations d’identification et traite l’authentification.
  • Enterprise ID : l’organisation crée et est propriétaire du compte, Adobe gère les informations d’identification et traite l’authentification.
  • Federated ID : l’organisation crée et est propriétaire du compte, lie le compte avec l’annuaire d’entreprise par l’intermédiaire d’une fédération et l’entreprise ou l’école gère les informations d’identification et traite les connexions par le biais de l’authentification unique.

Pour plus d’informations, voir ici.

Puis-je avoir une combinaison des différents types d’identité dans mon déploiement ?

Oui, vous pouvez avoir une combinaison d’Adobe ID, d’Enterprise ID et de Federated ID, mais pas dans le même domaine déposé.

Les Enterprise ID et les Federated ID sont exclusifs au niveau du domaine. Par conséquent, vous ne pouvez choisir qu’un seul type d’identité. Vous pouvez utiliser les Adobe ID soit avec les Federated ID, soit avec les Enterprise ID.

Par exemple, si une entreprise dépose un seul domaine, l’administrateur informatique peut choisir les Enterprise ID ou les Federated ID. Si une organisation dépose plusieurs domaines au sein d’une entreprise, l’administrateur informatique peut utiliser un domaine avec des Adobe ID et des Enterprise ID et un autre domaine avec des Adobe ID et des Federated ID, etc. Cela signifie que, pour chaque domaine, vous pouvez avoir des Enterprise ID ou des Federated ID avec des Adobe ID.

Quels sont les avantages des Federated ID ?

La gestion de licences Adobe sous des Federated ID est plus rapide, plus simple et plus sécurisée.

  • Les administrateurs informatiques contrôlent l’authentification et le cycle de vie de l’utilisateur.
  • Lorsque vous supprimez un utilisateur de l’annuaire d’entreprise, il ne dispose plus des privilèges requis pour accéder aux applications pour postes de travail, aux services ou aux applications mobiles.
  • Les Federated ID permettent aux entreprises de tirer parti des systèmes de gestion des identités d’utilisateurs déjà en place.
  • Dans la mesure où les utilisateurs finaux utilisent le système de gestion des identités standard de l’entreprise, l’administrateur informatique n’a pas besoin de gérer un processus de gestion des mots de passe distinct.

Lors de la connexion, les utilisateurs finaux sont redirigés vers l’authentification unique standard - et dont ils ont l’habitude - de l’entreprise.

Si j’ai déjà déposé un domaine pour une utilisation avec les Enterprise ID, puis-je basculer sur les Federated ID en utilisant le même domaine ?

La capacité de changer de types d’identité sur un domaine déjà déposé n’est pas encore disponible. Si vous avez déposé un ou plusieurs domaines en les configurant comme Enterprise ID et souhaitez reconfigurer le ou les mêmes domaines comme Federated ID, veuillez soumettre une demande de support en ligne à partir du portail Adobe Admin Console et nous vous avertirons lorsque la fonctionnalité sera disponible.

Puis-je fédérer l’annuaire de mon entreprise avec Adobe à l’aide de mon fournisseur d’identité compatible SAML 2.0 ?

Oui, vous pouvez fédérer l’annuaire de votre entreprise et son infrastructure de connexion et d’authentification avec Adobe à l’aide de votre fournisseur d’identité compatible SAML 2.0.

Adobe prend en charge le lien entre le fournisseur d’identité de votre société et ce que nous appelons le locataire Okta. Adobe n’a aucune interface directe avec les annuaires d’entreprise, mais avec les fournisseurs d’identité.

Si je dépose un domaine, tous les Adobe ID de ce domaine sont-ils migrés vers des Federated ID ?

Non. Lorsqu’un domaine est déposé pour des Federated ID, rien ne change pour ce qui concerne les Adobe ID existants avec des adresses de messagerie dans ce domaine. Les Adobe ID existants dans le portail Admin Console sont conservés.

La prise en charge par Adobe de l’authentification, de l’autorisation ou des deux est-elle prévue ?

L’implémentation des Federated ID d’Adobe prend en charge l’autorisation ; l’authentification est gérée par le fournisseur d’identité (IDP).

En tant qu’entreprise, vous pouvez créer un lien entre vos services d’authentification (en utilisant une structure d’Enterprise ID telle qu’Active Directory) et les services d’Adobe. Cela permet à l’entreprise d’héberger l’authentification. Adobe ne stocke jamais les mots de passe et les administrateurs informatiques ne peuvent pas réinitialiser les mots de passe ni modifier les noms d’utilisateur pour les Federated ID via le portail Adobe Admin Console.

Ai-je la possibilité d’ajouter des utilisateurs en bloc dans le portail Adobe Admin Console ?

Oui, via la fonctionnalité d’importation d’utilisateurs, accessible à partir du portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.

Puis-je effectuer une synchronisation de l’association utilisateur/groupe et de l’annuaire d’entreprise directement dans le portail Admin Console ?

Non. L’interface est effectuée par Adobe avec votre fournisseur d’identité et non directement avec votre annuaire d’entreprise. Nous prenons toutefois en charge l’importation des informations sur les utilisateurs et les groupes depuis votre annuaire d’entreprise dans le portail Adobe Admin Console. Pour plus d’informations, consultez la section Ajout de plusieurs utilisateurs.

Comment migrer depuis des Adobe ID vers des Federated ID ?

Supprimez tous les utilisateurs dotés d’Adobe ID, puis réimportez-les en tant que Federated ID. Si vous avez déployé des Adobe ID vers la production, n’effectuez une migration que si la stratégie de votre entreprise l’impose.

Quels fournisseurs d’identité sont pris en charge par Adobe ?

Adobe utilise la norme industrielle sécurisée et largement adoptée SAML (Security Assertion Markup Language), ce qui signifie que la mise en œuvre de l’authentification unique s’intègre facilement avec n’importe quel fournisseur d’identité prenant en charge le protocole SAML 2.0.

Vous trouverez ci-dessous une liste d’IDP conformes au protocole SAML 2.0 :

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP avec certificat signé en externe
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Si j’ai créé mon propre processus d’authentification fédérée basé sur le protocole SAML, l’intégration fonctionnera-t-elle ?

Oui, dans la mesure où il suit le protocole SAML 2.0.

Est-il nécessaire de disposer d’un fournisseur d’identité conforme au protocole SAML 2.0 avant de configurer un Federated ID avec l’authentification unique ?

Oui, et le fournisseur d’identité doit être conforme au protocole SAML 2.0.

Le fournisseur d’identité SAML doit au moins avoir :

  1. Un certificat IDP
  2. Une URL de connexion IDP
  3. Une liaison IDP Post ou Redirection HTTP
  4. L’URL de l’ACS (Assertion Consumer Service) de l’IDP, qui doit pouvoir accepter des requêtes SAML et l’état de relais

Si vous avez d’autres questions, consultez votre fournisseur d’identité.

Est-ce que la prolongation d’une durée de vie rend le certificat plus vulnérable ?

Non, il n’a jamais été possible de décrypter un certificat 2048 bits. Et, les seules personnes ayant réussi à craquer un certificat 768 bits (le groupe Lenstra), ont estimé qu’il leur aurait pris plus de 1000 ans avec le même matériel pour décrypter un certificat 1024 bits (un exploit environ 32 000 000 fois plus facile que de décrypter un certificat de 2048 bits).

Si vous souhaitez obtenir les dernières nouvelles destinées aux maniaques d’Internet sur les estimations de décryptage de certificats de différentes longueurs, visitez ce site. Pour une photo amusante (exacte mais orientée marketing) sur la manière dont ces certificats sont sécurisés, accédez à ce site web (ou son site web mathématique de sauvegarde).

Un certificat de plus longue durée est-il accepté par les navigateurs, car de nombreux navigateurs rejettent les certificats de serveur dont la durée de vie est supérieure à trois ans ?

Non, cette limite s’applique aux certificats utilisés pour coder le canal de communication entre le navigateur et le serveur. En revanche, ces certificats d’IdP/Okta permettent de signer (et non de coder) les données transmises par ce canal codé. Le navigateur ne voit jamais ces certificats : ils sont utilisés uniquement entre Adobe/Okta et le fournisseur IdP de l’utilisateur.

Est-ce qu’un certificat robuste et à long terme coûte cher ?

Vous pouvez obtenir de bons certificats 2048 bits de qualité commerciale pour environ 10 $ par année de vie. En outre, les certificats utilisés par les IdP peuvent être auto-signés, ce qui signifie qu’ils peuvent être générés gratuitement avec des logiciels de source ouverte.

Est-il possible qu’une personne usurpe mon identité si elle est capable de décrypter mon certificat IdP ?

Non, car il existe deux autres couches de cryptage robuste qui vérifient l’identité de l’IdP, que vous devrez décrypter avant pouvoir prétendre être l’IdP. De plus, ces deux autres couches ne sont pas auto-signées. Ce qui signifie que vous devrez décrypter non seulement le certificat qui applique le cryptage, mais également le certificat du signataire qui a généré ce certificat.

Qui contacter pour résoudre les problèmes d’authentification unique ?

Contactez le support technique Adobe en vous connectant au portail Adobe Admin Console pour ouvrir votre dossier ou planifier une session individuelle avec les services d’expert.

Pour connaître le numéro de téléphone et l’adresse électronique du support technique, référez-vous au courrier électronique de bienvenue et au document PDF qui ont été envoyés à l’administrateur de votre compte.

Comment

Comment définir l’authentification unique (SSO) avec le logiciel Adobe ?

Pour obtenir des instructions détaillées, consultez la section Configuration de l’authentification unique (SSO) afin de mettre en œuvre la fonctionnalité SSO avec des applications de bureau, services et applications mobiles Adobe.

Est-il possible d’envoyer des notifications à des utilisateurs via le portail Admin Console ?

Non. L’envoi de notifications aux utilisateurs finaux via le portail Admin Console n’est pas pris en charge. En tant que client d’entreprise, vous devez envoyer vos propres annonces lorsque les utilisateurs sont prêts à se connecter à l’aide de l’authentification unique au logiciel et aux services Adobe.

Si je désactive un utilisateur/ID de mon annuaire d’entreprise, est-il automatiquement désactivé du portail Admin Console ?

Non, si vous supprimez ou désactivez un utilisateur/ID de votre annuaire d’entreprise, cet utilisateur/ID n’est pas automatiquement supprimé ou désactivé du portail Adobe Admin Console. Cependant, l’utilisateur n’est plus autorisé et ne peut plus se connecter aux applications pour postes de travail, services ou applications mobiles Adobe Creative Cloud, ni aux applications Acrobat DC. Vous devez supprimer manuellement l’utilisateur/ID du portail Admin Console.

Dois-je gérer les habilitations et les groupes et affecter des utilisateurs Federated ID aux groupes ?

Oui, vous devez utiliser le portail Adobe Admin Console pour gérer des utilisateurs, groupes et habilitations. Notez cependant que, lorsque vous créez des groupes sur le portail Admin Console, vous pouvez charger un fichier CSV comportant des informations d’utilisateur et de groupe. Cela crée le compte d’utilisateur et le place dans le groupe désigné.

Les administrateurs informatiques ou les utilisateurs finaux peuvent-ils réinitialiser les mots de passe de Federated ID ?

Non, vous ne pouvez pas réinitialiser les mots de passe des Federated ID à l’aide du portail Adobe Admin Console. Adobe ne stocke pas les informations d’identification des utilisateurs. Pour la gestion des utilisateurs, vous devez utiliser votre fournisseur d’identité.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne