身為 Admin Console 的系統管理員,您首先要做的其中一項工作就是,根據要對用戶進行驗證的項目來定義和設定身分識別系統。當您的組織購買 Adobe 產品及服務的授權時,您必須將這些授權佈建給用戶。因此,您需要一個驗證這些用戶的方法。

Adobe 提供下列身分類型,您可以用來驗證用戶:

  • Adobe ID
  • Enterprise ID
  • Federated ID

如果想要讓您網域中的用戶各自取得組織所擁有及控制的不同帳戶,您必須使用 Enterprise ID 或 Federated ID (適用於單一登入) 身分類型。

如果您計劃使用 Enterprise ID 或 Federated ID 來驗證用戶,您必須設定適合的身分識別系統,本文會提供必要的詳細資料。

註解:

本文件中所述的設定目錄設定網域程序完全不相關。這表示您可以依任何順序執行或同時執行這些程序。不過,將電子郵件網域連結至目錄的程序,只有在您完成這兩個程序之後才能執行。

關鍵術語和概念

在我們開始說明程序之前,以下是一些您必須了解的概念和術語:

目錄

Admin Console 中的目錄是一個存放用戶和原則 (例如驗證) 等資源的實體。這些目錄與 LDAP 或 Active Directory 類似。

IdP

組織身分提供者,例如 Active Directory、Azure、Ping、Okta、InCommon 或 Shibboleth。

Adobe ID

由用戶所建立、擁有和管理。Adobe 會執行驗證,而用戶會負責管理身分識別。用戶對於與其 ID 相關聯的檔案和資料將保有完整控制權。用戶可以向 Adobe 購買額外的產品和服務。管理員可邀請用戶加入組織,也可以將其移除。但是,用戶的 Adobe ID 帳戶無法被鎖定。管理員無法刪除或接管帳戶。您不需要進行任何設定,即可開始使用 Adobe ID。

以下是建議使用 Adobe ID 的一些條件和案例:

  • 如果您想要讓用戶建立、擁有及管理其身分識別。
  • 如果您想要允許用戶購買或註冊其他 Adobe 產品和服務。
  • 如果用戶必須使用其他 Adobe 服務,但是這些服務目前不支援 Enterprise ID 或 Federated ID。
  • 如果用戶已經有 Adobe ID 及相關的資料,例如檔案、字型或設定。 
  • 學生即使畢業後依然可以保留其 Adobe ID 的教育機構安裝。
  • 如果您的承包商和自由接案者所使用的電子郵件地址不屬於您所控制的網域。
  • 如果您有 Adobe 團隊合約,就必須使用這種身分類型

Enterprise ID

由組織所建立、擁有和管理。Adobe 會代管 Enterprise ID 並執行驗證,但是組織會負責維護 Enterprise ID。用戶無法註冊及建立 Enterprise ID,也無法使用 Enterprise ID 向 Adobe 註冊其他產品和服務。

管理員會建立 Enterprise ID 並發放給用戶。管理員可以藉由接管帳戶或刪除 Enterprise ID 來永久封鎖相關資料的存取權,以撤銷產品和服務的存取權。

以下是建議使用 Enterprise ID 的一些條件和案例:

  • 如果您必須持續嚴格控管提供給用戶的應用程式和服務。
  • 如果您必須緊急存取與某個 ID 相關聯的檔案和資料。
  • 如果您需要完全封鎖或刪除用戶帳戶的功能。

Federated ID

由組織所建立和擁有,並且透過聯盟連結至企業目錄。組織透過 SAML2 身分提供者 (IdP) 管理認證並處理單一登入。

以下是建議使用 Federated ID 的一些條件和案例:

  • 如果您想要根據貴組織的企業目錄來佈建用戶。
  • 如果您想要管理用戶的驗證。
  • 如果您必須持續嚴格控管提供給用戶的應用程式和服務。
  • 如果您想要允許用戶使用相同的電子郵件地址來註冊 Adobe ID。

驗證網域

在電子郵件地址 @ 符號之後的部分。若要搭配 Enterprise ID 或 Federated ID 來使用網域,首先必須驗證您對該網域的擁有權。

例如,如果組織擁有多個網域 (geometrixx.comsupport.geometrixx.comcontact.geometrixx.com),但是其員工透過 geometrixx.com 進行驗證。在這種情況下,組織會使用 geometrixx.com 網域在 Admin Console 上設定這些用戶的身分。

負責進行此設定的角色

系統管理員

  • 與 IdP 目錄管理員及 DNS 管理員合作在 Admin Console 中設定身分。本文件專門針對有權存取 Admin Console 的系統管理員來討論。角色應該會和其他 (通常) 無法存取 Admin Console 的角色一起合作。

DNS 管理員

  • 更新 DNS 字符以驗證網域擁有權

身分提供者 (IdP) 目錄管理員

  • 在 IdP 中建立連接器

使用網域的身分類型

用戶身分是根據驗證來源進行驗證。若要使用 Enterprise ID 或 Federated ID,請新增網域以設定您專屬的驗證來源。舉例來說,如果您的電子郵件地址是 john@example.com,example.com 就是您的網域。新增網域可讓您使用該網域中的電子郵件地址來建立 Enterprise ID 或 Federated ID。網域可以搭配 Enterprise ID 或 Federated ID 使用,但是不可同時搭配兩者使用。不過,您可以新增多個網域。

組織必須驗證其對於網域的控制權。組織也可以新增多個網域。但是,一個網域只能被新增一次。已知的公用和通用網域 (例如 gmail.com 或 yahoo.com) 無法被新增。

若要深入了解身分類型,請參閱「管理身分類型」。

設定目錄

若要使用 Enterprise ID 或 Federated ID,請先從設定您可以將一個或多個網域連結到的目錄開始著手。

若要設定目錄:

  1. 在 Admin Console 中建立目錄。
  2. (僅限 Federated ID) Adobe 將會佈建目錄。這通常最多需要 48 小時。
  3. 如果您將組織設定為使用 Enterprise ID 身分,則您可開始將電子郵件網域連結至目錄。
  4. (僅限 Federated ID) 在 Adobe 佈建目錄之後,請設定該目錄的 SAML 設定。

建立目錄

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 導覽至「目錄」索引標籤中,按一下「建立目錄」。

  3. 在「建立目錄」畫面中,輸入目錄的名稱。

  4. 選擇「Federated ID」或「Enterprise ID」,然後按一下「建立目錄」。

此時便會建立您的目錄。

如果您選擇建立 Enterprise ID 身分類型目錄,此程序已完成。請繼續進行,並在 Admin Console 中設定您的網域

如果您選擇建立 Federated ID 身分類型目錄,則 Adobe 必須先佈建目錄,您才能在其中繼續執行任何其他作業。不過,Adobe 佈建目錄時,您不必在一旁等待。您可以繼續進行程序,並在 Admin Console 中設定您的網域

註解:

佈建 Federated ID 類型目錄通常最多需要 48 小時來完成。完成後,您會收到電子郵件通知。

設定單一登入 (Federated ID 目錄的必要設定)

收到 Adobe 確認目錄已佈建的電子郵件之後,請設定目錄的 SAML 設定。

當組織設定並啟用單一登入 (SSO) 時,該組織的用戶便能夠使用其公司認證來存取 Adobe 軟體。如此一來,用戶就可以使用單一認證存取 Adobe 桌面應用程式、服務和行動應用程式。

Adobe Admin Console 為企業用戶提供一個方法,讓他們使用其現有的公司身分進行驗證。Adobe Federated ID 能夠與單一登入 (SSO) 身分管理系統整合。單一登入會使用 SAML 加以啟用,SAML 是一種產業標準通訊協定,可將企業身分管理系統連接到雲端服務提供者 (像是 Adobe)。

SSO 可以在兩方之間安全地交換驗證資訊:服務提供者 (Adobe) 和您的身分提供者 (IdP)。服務提供者會將要求傳送至您的 IdP,IdP 則會嘗試驗證用戶。如果驗證成功,IdP 會傳送回應訊息將用戶登入。

SSO 需求

IT 管理員必須具備以下條件,才能成功地為 Adobe 軟體設定 SSO:

  • 了解 SAML 2.0
  • 支援 SAML 2.0 的身分提供者 (IdP),並且至少必須具備以下條件:
    • IDP 憑證
    • IDP 登入 URL
    • IDP 繫結:HTTP-POST 或 HTTP-Redirect
    • 聲明消費者服務 URL
  • 網域申請程序適用的 DNS 設定存取權

用戶並非只能從外部存取 IdP 的登入 URL 才能登入。不過,如果只能在組織的內部網路中進行存取,用戶就只有在與組織內部網路直接連接或透過 WiFi 或 VPN 連接時,才能登入 Adobe 產品。登入頁面並不是只能透過 HTTPS 存取,但基於安全考量,我們建議您這麼做。

註解:

目前 Adobe 不支援 IdP 起始的 SSO。

Adobe 的雲端服務使用 Okta 所提供的 SaaS SAML 2.0 連接器來提供 SSO。此連接器是用來與您的身分提供者通訊,以便提供驗證服務。您不需要使用 Okta 當做您的身分提供者服務,因為 Okta 會連接到許多 SAML 2.0 身分服務提供者。如需詳細資訊,請參閱「SSO/常見問題」。

如果您的組織想要測試 SSO 整合,建議申請您專屬的測試網域,前提是組織使用的身分提供者具有該測試網域中所設定的身分。如此一來,您就可以在申請主要網域之前先測試整合,直到您對於網域申請和設定程序感到安心為止。

進行 SAML 設定

如果您已經有身分提供者 (IdP),就可以輕鬆地使用 Okta 提供的 SaaS SAML 2.0 連接器進行您的 SSO 設定。

註解:

在您可以選擇當做身分提供者的多家廠商中,Okta 是其中一家。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「目錄」索引標籤。

  3. 針對需要設定的目錄,按一下「設定」。

    目錄已佈建
  4. 在顯示的「設定目錄」畫面中:

    單一登入設定

    IDP 憑證:若要上傳您的 IdP 用來簽署 SAML 回應或聲明的憑證 (.cer),請按一下「上傳」。

    如果您沒有此憑證,請聯絡您的身分提供者,以取得下載憑證檔的指示。

    憑證提示:

    • PEM (base-64 編碼 X.509) 格式
    • 副檔名為 .cer (不是 .pem.cert)
    • 未加密
    • SHA-1
    • 多行格式 (使用單行將會失敗)
    • 必須持續至少 3 年 (這免除了這段生命週期的維護工作,而且不會危害安全性)

    註解:

    在 Federated ID 交握的 Adobe 端所使用的 Okta 憑證是為期 20 年的憑證。就是這樣,您才可以依據自己選擇的排程進行憑證輪換,而不是由 Adobe/Okta 來強制執行此作業。  

    IDP 繫結:選擇傳輸 SAML 通訊協定訊息的方法。

    • 使用 HTTP-Post 透過瀏覽器以 XHTML 表格形式傳輸授權要求。IdP 也會以內含 XHTML 表格的文件當做回應。
    • 使用 HTTP-Redirect 在 HTTP GET 要求的 URL 查詢字串中透過 SAMLRequest 字串參數傳輸授權要求。IdP 會以 URL 中的 SAMLResponse 字串參數當做回應。

    用戶登入設定:選擇「電子郵件地址」或「用戶名稱」,指定此網域的用戶如何識別自己。

    IDP 發行者:輸入發佈 SAML 要求之身分提供者的實體 ID。

    您的 SAML 聲明「必須」完全正確地參照此字串。拼寫、字元或格式有任何差異,都會導致錯誤。

    IDP 登入 URL:輸入 IDP 登入 URL/SSO 位址。這是為驗證用戶而重新導向的 URL。

  5. 按一下「儲存」。

  6. 按一下「下載中繼資料」。

    中繼資料檔案會下載到您的本機磁碟。使用這個檔案來設定 SAML 與身分提供者的整合。

    您的身分提供者需要這個檔案才能啟用單一登入。

    注意:

    如果是 OpenAthens 或 Shibboleth 之類的一般 SAML 身分提供者,請傳送用戶名稱 (通常是電子郵件地址) 當做 NameID (格式為「未指定」)。也請傳送下列屬性 (區分大小寫):FirstName、LastName、Email。

    這些屬性必須符合透過 Admin Console 所設定的項目。如果未在 IDP 中設定這些屬性當做 SAML 2.0 連接器設定的一部分來傳送,驗證將無法運作。

  7. 與身分提供者 (IdP) 目錄管理員合作,才能透過身分提供者完成 SSO 設定。

    注意:

    如果 Federated ID 在作用中,對設定進行任何變更都可能會造成用戶的 SSO 登入失敗。變更過的設定會產生新的中繼資料檔案,這個檔案必須在 IdP 中重新設定。

  8. 透過身分提供者完成 SSO 設定之後,登入 Admin Console 並瀏覽至「設定 > 身分」。

  9. 針對相關的目錄,按一下「設定」。

  10. 在「設定目錄」畫面中,核取「我已使用身分提供者完成設定」,然後按一下「完成」。

您的目錄現已設定成可進行單一登入。

如果您尚未將網域新增至 Admin Console,您可以這麼做。如果您已經將網域新增至 Admin Console,則可以將所需的網域連結至此目錄。

設定網域

驗證您的用戶所憑藉的網域,必須先在 Admin Console 中設定完成。

若要設定網域:

  1. 將網域新增至 Admin Console
  2. 新增特殊 DNS 記錄,以準備驗證網域擁有權
  3. 驗證網域

新增網域

您新增至 Admin Console 的網域不需要向相同的 IdP 註冊。不過,當您將這些網域連結至目錄時,就必須透過不同的 IdP 將網域連結至不同的目錄。

如果某個網域已經新增至其他組織的 Admin Console,您無法將該網域新增至自己的 Admin Console。但是可以要求該網域的存取權。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 在「網域」索引標籤中,按一下「新增網域」。

  3. 在「輸入網域」畫面中,輸入最多 15 個網域的清單,然後按一下「新增網域」。

  4. 在「新增網域」畫面中,確認這個網域清單,然後按一下「新增網域」。

    確認要新增的網域

您的網域現已新增至 Admin Console。不過,仍然需要證明您對這些網域的擁有權。

證明網域的擁有權 (使用 DNS 字符)

組織必須證明其對網域的擁有權。組織可以將任意數目的網域新增至 Admin Console。

Admin Console 允許一個組織使用單一 DNS 字符來證明其所有網域的擁有權。此外,Admin Console 並不需要對子網域進行 DNS 驗證。這表示,當您使用 DNS 字符,證明您對網域的擁有權後,該網域所有的子網域在新增至 Admin Console 時都會立即通過驗證。

  1. 當您收到 DNS 字符時,您需要與 DNS 管理員合作,針對您所新增的網域加入特殊的 DNS 記錄。

  2. 若要確認您確實擁有此網域,您必須新增一筆 TXT 記錄,其中包含產生的 DNS 字符。確切的指示需視您的網域主機而定,但請依照「確認網域的擁有權」中的一般指導方針進行。

  3. 您必須新增資訊至您的 DNS 伺服器,才能完成此步驟。請提前讓 DNS 管理員知道,好讓這個步驟可以適時完成。

    Adobe 會定期檢查您網域的 DNS 記錄。只要這些記錄正確,網域就會自動通過驗證。如果您想要立即驗證網域,您可以登入 Admin Console,並以手動方式驗證。請參閱「網域驗證」。

網域驗證

Admin Console 會一天數次嘗試驗證您新增的網域,因此只要正確設定 DNS 記錄,就不需要採取任何動作來驗證網域。

手動驗證網域

如果您需要立即驗證網域,可以在 Admin Console 上進行。若要手動驗證網域:

  1. 登入 Admin Console.

  2. 瀏覽至「設定 > 身分」,然後移至「網域」索引標籤。

  3. 按一下「驗證」。

    驗證網域
  4. 在「驗證網域擁有權」畫面中,按一下「立即驗證」。

您現在可以連結通過驗證的網域至 Admin Console 中所需的目錄。

將網域連結至目錄

在 Admin Console 中設定好目錄網域之後,您必須將網域連結至目錄。

您可以將多個網域連結至相同的目錄。不過,所有連結至單一目錄的網域都必須共用相同的 SSO 設定。

注意:

您無法將同一個網域連結至多個目錄。此外,目前如果需要移除網域與目錄之間的連結,請聯絡 Adobe 支援。因此,請先計劃網域與目錄之間的連結,再開始進行下列程序。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「網域」索引標籤。

  3. 按一下網域名稱左側的核取方塊,然後按一下「連結至目錄」。

    如果您想要將多個網域連結至相同的目錄,請複選這些網域的核取方塊。

    將網域連結至目錄
  4. 在「連結至目錄」畫面中,從下拉式清單選擇目錄,然後按一下「連結」。

若要讓用戶開始使用組織已授權的 Adobe 產品及服務,請新增「用戶」和「用戶群組」,並指派到「產品描述檔」。

目錄託管

網域的擁有權只能由單一組織申請取得。所以請考慮以下案例︰

Geometrixx 公司有多個部門,每個部門都有自己的 Admin Console,而且是唯一的。此外,每個部門也都想要使用 Federated 用戶 ID,並且全都使用 geometrixx.com 網域。在這種情況下,每個部門的系統管理員都會想要申請此網域,作驗證之用。Admin Console 會避免讓網域新增至多個不同組織的 Admin Console。然而,網域一旦由某個部門新增了,其他部門仍可代表他們組織的 Admin Console 來要求存取該網域所連結到的目錄。

目錄託管可讓目錄擁有者信任其他系統管理員 (受託人)。在此之後,Admin Console 中的受託人組織就可以將用戶新增至受信任目錄內的任何網域。

簡言之,如果您計劃在 Admin Console 使用 Enterprise ID 或 Federated ID,就必須新增與您的組織相關聯的網域。如果其他組織先前已新增此網域,您必須以受託人身分來要求存取包含該網域的目錄。

如需要求目錄的存取權,請參閱上述「設定網域」中「新增網域」程序的步驟。

注意:

身為目錄的擁有者,如果核准對該目錄的存取權要求,受託人組織就可以存取所有連結至該目錄的網域,以及任何在未來連結至該目錄的網域。因此,設定您組織中的身分識別系統時,務必先計劃網域與目錄之間的連結。

網域受託人

要求存取權

如果您新增現有網域至 Admin Console,您會收到下列訊息的提示:

要求存取權

如果您要求此網域的存取權,網域擁有組織的系統管理員將會在要求中看到您的姓名、電子郵件和組織名稱。

目錄類型 (Enterprise 或 Federated) 取決於網域擁有組織如何設定。這表示,您必須使用網域擁有組織所選擇的任何目錄類型。

由於網域已由擁有者設定 (請參閱「設定網域」中的「證明網域的擁有權」,以取得詳細資訊),您身為受託人,並不需要執行任何其他動作。當擁有者接受存取權要求,您的組織就可以存取由網域擁有組織設定的目錄和其所有網域。

檢查要求狀態

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「存取權要求」索引標籤,並針對每個您已要求存取權的目錄檢查狀態。

  3. 您也可以按一下存取權要求清單中的列項目,然後按一下「重新傳送要求」或「取消要求」。

如果網域擁有組織接受您的目錄存取權要求,您會收到電子郵件通知。您的信任要求會在「目錄和網域」清單中消失,改為顯示受信任目錄及其網域,而且狀態變成「作用中 (受信任)」。

繼續進行程序並新增用戶用戶群組,然後將其指派給產品描述檔

退回受託人地位

身為受託人組織,如果不再需要存取受信任目錄,隨時都可以退回受託人地位。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 在「目錄」索引標籤中,按一下您想要退回存取權的共用目錄。

  3. 在目錄詳細資料抽屜中,按一下「退回」。

如果您退回對受信任目錄的存取權,會從您的組織移除屬於該目錄網域的任何 Enterprise ID 或 Federated ID 用戶 (指使用網域憑證登入的人)。此外,這些用戶會失去由您的組織授與的軟體存取權。

網域擁有者

身為網域擁有組織的系統管理員,可以選擇接受或拒絕對您所擁有之目錄的存取權要求。 

收到一個電子郵件要求存取您擁有的目錄時,您可以直接在這個電子郵件中選擇接受或拒絕該要求。您也可以移至「存取權要求」索引標籤來管理這些申請的要求。

接受存取權要求

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「存取權要求」索引標籤。

  3. 若要接受所有的要求,請按一下「全部接受」。

    或者,要接受特定申請的要求,就按一下每一列左邊的核取方塊,然後按一下「接受」。

  4. 在「接受存取要求」畫面中,按一下「接受」。

受託人組織的系統管理員會收到電子郵件通知。

拒絕要求

您也可以選擇拒絕對您所擁有之目錄的存取權要求。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「存取權要求」索引標籤。

  3. 按一下每一列左邊的核取方塊,然後按一下「拒絕」。

  4. 在「拒絕存取權要求」畫面中,輸入拒絕要求的原因,然後按一下「拒絕」。

您所提供的原因會透過電子郵件與提出要求的組織分享。然而,您的電子郵件、名稱和組織資訊會保密。

撤銷存取權

您可以撤銷先前提供給受託人組織的存取權。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「受託人」索引標籤。

  3. 按一下每一列左邊的核取方塊,然後按一下「撤銷」。

  4. 在「撤銷受託人」畫面中,按一下「撤銷」。

如果您撤銷受託人組織的存取權,該目錄任何網域之 Enterprise ID 或 Federated ID 帳戶的用戶,都會從受託人組織移除。此外,這些用戶還會失去受託人組織所授與的任何軟體或服務存取權。

管理加密金鑰

雖然 Creative Cloud 和 Document Cloud 中的所有資料都已加密,但您可以選擇讓 Adobe 為您所建立之目錄中的帳戶產生專用加密金鑰。

啟用加密金鑰

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 在「目錄」索引標籤中,按一下需要啟用加密之目錄的名稱。

  3. 按一下「設定」。

  4. 在「專用加密金鑰」區段中,按一下「啟用」。

    啟用加密金鑰
  5. 在「啟用專用加密金鑰」對話框中,按一下「啟用」。

撤銷加密金鑰

您可以選擇撤銷目錄的專用加密金鑰。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 在「目錄」索引標籤中,按一下需要撤銷加密之目錄的名稱。

  3. 在「詳細資料」畫面中,按一下「設定」。

  4. 在「專用加密金鑰」區段中,按一下「撤銷」。

    撤銷加密金鑰
  5. 在「撤銷專用加密金鑰」對話框中,按一下「撤銷」。

移除目錄和網域

您可以從 Admin Console 移除不再使用的目錄和網域。

移除目錄

註解:

目錄若有下列項目,您無法將其移除:

  • 作用中的用戶
  • 已連結的網域
  • 受託人

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「目錄」索引標籤。

  3. 按一下一個或多個目錄名稱左側的核取方塊,然後按一下「刪除」。

  4. 在「移除目錄」畫面中,按一下「移除」。

移除網域

註解:

如果某個網域有 Admin Console 中的用戶在使用,或是這個網域已連結至一個或多個目錄,您將無法移除該網域。

  1. 登入 Admin Console,並瀏覽至「設定 > 身分」。

  2. 移至「網域」索引標籤。

  3. 按一下一個或多個網域名稱左側的核取方塊,然後按一下「刪除」。

  4. 在「移除網域」畫面中,按一下「移除」。

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策