登入 Admin Console,並瀏覽至「設定」。
上次更新時間
2026年5月4日
了解聯合來賓存取權如何簡化與外部合作夥伴的協作,同時維持與內部團隊相同的安全性和存取權標準。
註解:
聯合來賓存取權目前處於試驗階段,可用性有限。並非所有客戶都能看到此功能。
概觀
Adobe 的聯合來賓存取權功能可讓企業客戶將外部代理商、廠商或顧問工作人員導入 Adobe 生態系統,並採用與內部員工相同的安全性和驗證標準。
先前,建立聯合 ID 使用者需要網域所有權。此要求阻止組織新增具有外部網域的使用者,包括無法宣告的網域(例如 gmail.com)以及其他組織擁有的可宣告網域。
聯合來賓存取權功能可讓企業客戶將任何電子郵件地址的使用者新增為自己的聯合使用者。它確保對內部員工和外部合作夥伴一致地強制執行 SSO。
此功能目前支援 Workfront 和 AEM Assets as a Cloud Service,並計劃擴充對其他產品的支援。
聯合來賓存取權的優點
以下是聯合來賓存取權功能的優點:
- 無縫協作:外部合作夥伴可毫無阻礙地存取 Adobe 工具。
- 統一安全性:企業可對所有使用者強制執行一致的 SSO 和驗證原則。
- 營運效率:它消除了先前用於上線廠商的因應措施需求。
- 控制存取權:聯合來賓帳戶與內部帳戶隔離,確保權利和資產保持分離。
企業情境和使用案例
聯合來賓存取權在企業依賴外部專業知識的情境中特別有價值。與代理商合作的行銷團隊、聘請顧問的 IT 部門,或跨多家公司協作的大型組織,都可以整合外部投稿人而不會影響安全性。
例如,想像一家公司從 vendor.com 聘請 Mary 進行短期專案。Mary 可能已經透過她的雇主擁有聯合帳戶。先前,聘僱公司只能透過 Mary 現有的聯合帳戶將她加入其 Adobe 環境,該帳戶的驗證由她的雇主控制。
透過聯合來賓存取權,聘僱公司可以將 Mary 新增為其目錄的聯合來賓。 在這種情況下,她可以使用聘僱公司的 SSO 登入來存取工具,例如 Workfront 或 AEM Assets。她不需要在聘僱公司網域上使用單獨的電子郵件。
Mary 的聯合來賓帳戶完全獨立於她雇主擁有的帳戶,具有單獨的權利和資產,確保組織資料的清楚分離。她可以使用帳戶切換器在帳戶之間切換。每次切換帳戶時,Mary 必須登出,然後使用其他帳戶的登入方法重新驗證。此程序確保帳戶之間的分離得以維持。
對於聘僱公司而言,像 Mary 這樣的外部合作夥伴可以透過用於內部員工的相同驗證和存取權控制來導入和管理。對於 Mary 的雇主而言,聯合來賓存取權不需要任何變更。她的帳戶、權利和資產保持不受影響,兩個組織都無法看到對方的帳戶。
聯合來賓帳戶
聯合來賓存取權引入了聯合來賓的新帳戶概念。聯合來賓是現有聯合 ID 帳戶類型的新變化版本,擴展以支援企業未擁有或聲明的電子郵件網域。
它允許企業將外部合作夥伴加入其聯合目錄,並透過組織的 IdP 對其進行驗證,而無需擁有聯合來賓電子郵件網域的所有權。與所有聯合 ID 帳戶一樣,每個聯合來賓帳戶的範圍都限定於建立它的組織,具有自己獨立的權利、資產和聯合。它與其他組織中使用相同電子郵件的任何其他帳戶保持完全分離。
網域管理
聘僱公司管理員可以透過 Admin Console 中新的 來賓網域 標籤新增外部網域。它使他們能夠將具有外部電子郵件網域的使用者新增為其組織擁有的獨立 Federated ID 帳戶。
與聲明的網域不同,來賓網域不需要所有權證明。 您可以新增可聲明和不可聲明的網域。對於由其他 Adobe 組織聲明的網域,網域所有者可以控制其網域是否可以用作來賓網域。
如果網域所有者要求將其聲明的網域封鎖,不得用於來賓網域,您將無法將該網域新增為來賓網域。如果您已經新增了該來賓網域,則無法使用該網域新增任何新的聯合來賓。任何具有來賓網域的現有聯合來賓將無法登入,直到網域所有者再次允許使用來賓網域為止。
若要直接將來賓網域新增至 Admin Console 目錄,請執行下列步驟。
-
-
從目錄清單中,開啟您要新增來賓網域的目錄。
-
前往目錄內的來賓網域標籤,並新增來賓網域。
依預設,所有聲明的網域都設定為允許聯合來賓存取權的來賓網域使用。
身為網域所有者,您可能不希望其他組織使用您聲明的網域作為來賓網域。雖然來賓網域使用不會影響您對網域的所有權和您的使用者,但您可以審閱您聲明的網域的使用方式,並決定是否要停止此類使用。
若要審閱 Adobe 中的其他組織將您聲明的網域用作來賓網域的情況
-
登入 Admin Console,並瀏覽至「設定」>「身分設定」。
-
在「身分設定」中,移至「網域」標籤。
-
選取更多選項 (…),然後選取下載聯合來賓存取權報告。
若要阻止或允許所有組織使用您聲明的網域作為來賓網域,請聯絡 Adobe 支援以提出您的請求。此變更將以每個網域為基礎套用。
當您阻止來賓網域使用時,Adobe 中的其他組織都無法將該網域新增為來賓網域。已新增來賓網域的組織將看到其對該網域的存取權被阻止。此外,他們無法使用該網域建立新的聯合來賓。任何具有來賓網域的現有聯合來賓帳戶都將被阻止登入此類帳戶。
安全性和保護措施
您的 IdP 始終是權威來源。若要將任何外部合作夥伴上線為聯合來賓,他們必須在您的 IDP 中已有帳戶。這模擬了您通常將內部員工上線為聯合 ID 使用者的方式。
所有聯合來賓都必須在初次登入前完成一次性驗證流程。Adobe 會將驗證代碼傳送至聯合來賓的電子郵件,並要求聯合來賓審閱並同意以聯合來賓身分加入邀請組織。如果未完成流程,聯合來賓將被要求在首次登入前完成流程。
管理員體驗
使用者體驗
-
登入 Admin Console,並瀏覽至「設定」>「身分設定」。
-
在「身分設定」中,移至「來賓網域」標籤。
-
尋找要與聯合來賓共用的登入連結。
登入連結可供同一目錄中的任何使用者使用,無論他們是否為聯合來賓。
如果您的電子郵件連結到 Adobe 的多個帳戶,您可以使用帳戶切換器來尋找共用相同電子郵件的所有帳戶。登入任何帳戶後,您將看到可以切換到的帳戶清單。
新的帳戶切換器讓使用者可以在連結到相同電子郵件的聯合帳戶之間切換。與輪廓切換不同,帳戶切換需要重新驗證,因為每個帳戶都有自己的聯合和/或驗證方法。管理員也可以提供與特定目錄相關的特殊登入連結,確保使用者被導向正確的 IdP。
Global Admin Console 階層
全域 Admin Console 階層建立了來賓網域在組織間的管理和共用方式。只有啟用聯合來賓存取權功能的組織才能新增來賓網域。一旦父系組織新增一個,它就會對階層中的所有下層組織和整個主控台可見,確保外部使用者和聯合來賓的一致上線。
擁有組織可以與階層中的其他組織建立信任關係,將網域用作任何其他聲明的網域。集中式 Identity Management 可以在根層級維護,因為並非每個組織都需要啟用聯合來賓存取權。來賓網域只能由階層內的一個目錄新增,階層外的組織無法看到或使用來賓網域,即使存在信任關係,也能確保受控的可見度。在這種情況下,使用者會以 Adobe 或網域所有者管理的企業 ID 身分新增。如果相同的電子郵件地址在多個組織中註冊,系統會建立個別的聯合來賓帳戶,要求使用者在帳戶之間切換。
常見問題
這表示您的組織中未啟用聯合來賓存取權。此功能目前處於試驗階段,僅在特定組織中提供。如果您有興趣使用此功能,請聯絡 Adobe 支援。
您嘗試新增的外部網域可能會因為多種原因而在來賓網域新增過程中失敗,包括:
- 網域所有者封鎖了對該網域的來賓存取權。
- 該網域已在您組織內的目錄中新增為來賓網域。
- 該網域已由您 Global Admin Console 階層中的另一個組織新增為來賓網域。
- 網域無效或不完整。
目前僅完全支援 Workfront 和 AEM Assets。任何其他產品指派都會導致聯合來賓的佈建狀態為無存取權。
若要檢閱使用者的完整佈建狀態,請下載「授權狀態報告」:
登入 Admin Console,並瀏覽至「使用者」。
選取更多選項 (…),然後選取授權狀態報告。
當網域所有者封鎖其聲明網域的來賓網域存取權時,您將無法再使用該來賓網域進行聯合來賓存取。
您將無法新增任何使用此類來賓網域的新聯合來賓。
使用該來賓網域的現有聯合來賓將被置於「已撤銷聯合來賓」狀態。在此狀態下,已撤銷的聯合來賓無法登入其帳戶。先前指派給他們的任何權利將被置於無存取權佈建狀態。
當網域所有者還原來賓網域存取權時,先前撤銷的聯合來賓會重新啟用。每個聯合來賓都可以再次登入,權利佈建狀態會更新為已完成,允許繼續使用指派的產品。
是的,所有現有的使用者管理功能都適用於聯合來賓。如果您想查看使用者是否為聯合來賓,可以在請求中新增federatedGuestInfo=true,並選擇加入以擷取此額外詳細資訊。
在您登入聯合來賓帳戶之前,必須完成一次性驗證流程。
您無法透過在 Adobe 的標準登入頁面直接輸入電子郵件來存取聯合來賓帳戶。相反地,您必須使用以下其中一種方法:
- 透過組織的 IdP 入口網站或內部網路 (如果由管理員設定)
- 使用管理員提供的登入連結
- 登入連結到您電子郵件的其他帳戶 (企業/個人)。使用帳戶切換器登入您的聯合來賓帳戶。
聯絡 Adobe 支援。Adobe 將代表您更新設定,變更將以每個網域為基礎套用。
