設定目錄:若要使用 Enterprise ID 或 Federated ID,請先從設定您可以將一個或多個網域連結到的目錄開始著手。了解更多 >
身為 Admin Console 的系統管理員,您首先要做的其中一項工作就是,根據要對用戶進行驗證的項目來定義和設定身分識別系統。當您的組織購買 Adobe 產品及服務的授權時,您必須將這些授權佈建給用戶。因此,您需要一個驗證這些用戶的方法。
Adobe 提供下列身分類型,您可以用來驗證用戶:
如果想要讓您網域中的用戶各自取得組織所擁有及控制的不同帳戶,您必須使用 Enterprise ID 或 Federated ID (適用於單一登入) 身分類型。
為了提供像是企業儲存空間和其他企業級功能等權益,我們正將所有現有 Adobe ID 遷移到 Business ID。 所有新企業客戶的團隊成員都將使用 Business ID。
您的組織排定進行這項升級時,您會事先收到通知。如需詳細資訊,請參閱 Business ID 和新的儲存功能簡介。 在您的組織轉移之前,您將可繼續使用 Adobe ID 類型來存取組織的支援服務。然後,Adobe ID 支持將只保留給個人客戶。
如果您計劃使用 Enterprise ID 或 Federated ID 來驗證用戶,您必須設定適合的身分識別系統,本文會提供必要的詳細資料。
本文件中所述的設定目錄和設定網域程序完全不相關。這表示您可以依任何順序執行或同時執行這些程序。不過,將電子郵件網域連結至目錄的程序,只有在您完成這兩個程序之後才能執行。
在我們開始說明程序之前,以下是一些您必須了解的概念和術語:
Admin Console 中的目錄是一個存放用戶和原則 (例如驗證) 等資源的實體。這些目錄與 LDAP 或 Active Directory 類似。
組織身分提供者,例如 Active Directory、Microsoft Azure、Ping、Okta、InCommon 或 Shibboleth。
若要了解透過一些常用 IdP 為 Creative Cloud 設定 SSO 的詳細資訊,請參閱本文結尾的「更多類似項目」。
由業務建立和擁有。由用戶管理。 Business ID (以及與此 ID 相關的所有資產) 是由該業務擁有。 用戶無法註冊及建立個人 Business ID,也無法使用 Business ID 註冊 Adobe 的其他產品和服務。
您不需要進行任何設定,即可開始使用 Business ID。 管理員可邀請用戶加入組織,也可以將其移除。管理員可以刪除或接管帳戶。 管理員可建立 Business ID 並發放給用戶。管理員可以藉由接管帳戶或刪除 Business ID 來永久封鎖相關資料的存取權,以撤銷產品和服務的存取權。
以下是建議使用 Business ID 的一些條件和案例:
為了提供像是企業儲存空間和其他企業級功能等權益,我們正將所有現有 Adobe ID 遷移到 Business ID。 所有新企業客戶的團隊成員都將使用 Business ID。
您的組織排定進行這項升級時,您會事先收到通知。如需詳細資訊,請參閱 Business ID 和新的儲存功能簡介。 在您的組織轉移之前,您將可繼續使用 Adobe ID 類型來存取組織的支援服務。然後,Adobe ID 支持將只保留給個人客戶。
由組織所建立、擁有和管理。Adobe 會代管 Enterprise ID 並執行驗證,但是組織會負責維護 Enterprise ID。用戶無法註冊及建立 Enterprise ID,也無法使用 Enterprise ID 向 Adobe 註冊其他產品和服務。
管理員會建立 Enterprise ID 並發放給用戶。管理員可以藉由接管帳戶或刪除 Enterprise ID 來永久封鎖相關資料的存取權,以撤銷產品和服務的存取權。
以下是建議使用 Enterprise ID 的一些條件和案例:
由組織所建立和擁有,並且透過聯盟連結至企業目錄。組織透過 SAML2 身分提供者 (IdP) 管理認證並處理單一登入。
以下是建議使用 Federated ID 的一些條件和案例:
身份識別提供者必須符合 TLS 1.2 協定。
由用戶所建立、擁有和管理。Adobe 會執行驗證,而用戶則負責管理身分。用戶對於與其 ID 相關聯的檔案和資料將保有完整控制權。用戶可以向 Adobe 購買額外的產品和服務。管理員可邀請用戶加入組織,也可以將其移除。但是,用戶的 Adobe ID 帳戶無法被鎖定。管理員無法刪除或接管帳戶。您不需要進行任何設定,即可開始使用 Adobe ID。
以下是建議使用 Adobe ID 的一些條件和案例:
在電子郵件地址 @ 符號之後的部分。若要搭配 Enterprise ID 或 Federated ID 來使用網域,首先必須驗證您對該網域的擁有權。
例如,如果組織擁有多個網域 (geometrixx.com、support.geometrixx.com、contact.geometrixx.com),但是其員工透過 geometrixx.com 進行驗證。在這種情況下,組織會使用 geometrixx.com 網域在 Admin Console 上設定這些用戶的身分。
用戶身分是根據驗證來源進行驗證。若要使用 Enterprise ID 或 Federated ID,請新增網域以設定您專屬的驗證來源。舉例來說,如果您的電子郵件地址是 john@example.com,example.com 就是您的網域。新增網域可讓您使用該網域中的電子郵件地址來建立 Enterprise ID 或 Federated ID。網域可以搭配 Enterprise ID 或 Federated ID 使用,但是不可同時搭配兩者使用。不過,您可以新增多個網域。
組織必須驗證其對於網域的控制權。組織也可以新增多個網域。但是,一個網域只能被新增一次。已知的公用和通用網域 (例如 gmail.com 或 yahoo.com) 無法被新增。
若要深入了解身分類型,請參閱「管理身分類型」。
若要使用 Enterprise ID 或 Federated ID,請先從建立您可以將一個或多個網域連結到的目錄開始著手。預設情況下,您的組織有一個不需要任何設定的 Business ID 目錄。
Adobe 目前不支援 IdP 起始的工作流程。
如果您的組織 (或計劃) 已設定 Microsoft Azure 為您的 SSO 提供者,我們建議您透過 Azure Federation 進行身份驗證。同時,請按照「使用 Microsoft Azure 對您的用戶進行身份驗證:建立目錄」內的詳細步驟進行。
如果您的組織 (或計劃) 已設定 Google 聯盟 為您的 SSO 提供者,我們建議您透過 Google 聯盟進行身份驗證。同時,請按照「使用 Google 聯盟對您的用戶進行身份驗證:在 Adobe Admin Console 建立目錄」區段內的詳細步驟進行。
如果您的組織正在使用以下之一或更多,請使用以下程序:
登入 Admin Console,並瀏覽至「設定 > 身分」。
瀏覽至「目錄」索引標籤中,按一下「建立目錄」。
在「建立目錄」畫面中,輸入目錄的名稱。
選擇 Federated ID,然後按一下「下一步」並繼續執行步驟 5。
選擇 Enterprise ID,然後按一下「建立目錄」。
如果您建立 Enterprise ID 目錄,則您已完成此目錄程序。
請繼續設定您的網域。
(限 Federated ID) 選擇「其他 SAML 提供者」,按一下「下一步」。
使用 新增 SAML 描述檔畫面取得設定您的身分提供者的資訊。
有些身分提供者 (IdP) 接受您可以上傳的中繼資料檔案,其他的可能需要 ACS URL 和 實體 ID。例如:
如果您選擇不各別使用我們的 Azure 和 Google 連接器,則需要上面的 Azure 或 Google 聯盟選項。
從以下選項所提供的方法中選擇一種。
方法 1:
按一下「下載 Adobe 中繼資料檔案」。
中繼資料檔案會下載到您的本機磁碟。使用這個檔案來設定 SAML 與身分提供者的整合。
方法 2:
複製 ACS URL 和實體 ID。
切換到您的 IdP 應用程式視窗,然後上傳中繼資料檔案,或指定 ACS URL 和實體 ID。完成後,下載 IdP 中繼資料檔案。
返回 Adobe Admin Console,並在「新增 SAML 設定檔」視窗中上傳 IdP 中繼資料檔案,然後按一下「完成」。
如果使用 Microsoft Azure AD 或 Google 聯盟設定組織目錄,則無需手動新增網域。在識別提供者的設定中經過驗證的已選取網域,將會自動同步到 Adobe Admin Console。
驗證您的用戶所憑藉的網域,必須先在 Admin Console 中設定完成。
若要設定網域:
您新增至 Admin Console 的網域不需要向相同的 IdP 註冊。不過,當您將這些網域連結至目錄時,就必須透過不同的 IdP 將網域連結至不同的目錄。
如果某個網域已經新增至其他組織的 Admin Console,您無法將該網域新增至自己的 Admin Console。但是,您可以要求該網域的存取權。
登入 Admin Console,並瀏覽至「設定 > 身分」。
在「網域」索引標籤中,按一下「新增網域」。
在「新增網域」畫面中,輸入 1 個或多個網域,然後按一下「新增網域」。您一次只能宣告和驗證 15 個網域,然後才能再新增其他網域。
在「新增網域」畫面中,確認這個網域清單,然後按一下「新增網域」。
您的網域現已新增至 Admin Console。現在,可以證明這些網域的所有權。
組織必須證明其對網域的擁有權。組織可以將任意數目的網域新增至 Admin Console。
Admin Console 允許一個組織使用單一 DNS 字符來證明其所有網域的擁有權。此外,Admin Console 並不需要對子網域進行 DNS 驗證。這表示,當您使用 DNS 字符,證明您對網域的擁有權後,該網域所有的子網域在新增至 Admin Console 時都會立即通過驗證。
登入 Admin Console,並瀏覽至「設定 > 身分」,然後移至「網域」索引標籤。
按一下 ,然後從下拉式清單中選擇「存取 DNS 字符」。
與 DNS 管理員合作,針對您所新增的網域加入特殊的 DNS 記錄。
若要確認您確實擁有此網域,您必須新增一筆 TXT 記錄,其中包含產生的 DNS 字符。具體的指示需視您的網域主機而定。如需通用的指南,請參閱「確認網域的擁有權」。
將資訊新增至您的 DNS 伺服器以完成此步驟。請提前讓 DNS 管理員知道,好讓這個步驟可以適時完成。
Adobe 會定期檢查您網域的 DNS 記錄。如果 DNS 記錄正確,網域就會自動通過驗證。如果您想要立即驗證網域,您可以登入 Admin Console,並以手動方式驗證。接下來,您需要驗證網域。
Admin Console 會一天數次嘗試驗證您新增的網域,因此只要正確設定 DNS 記錄,就不需要採取任何動作來驗證網域。
如果您需要立即驗證網域,可以在 Admin Console 上進行。若要手動驗證網域:
登入 Admin Console.
瀏覽至「設定 > 身分」,然後移至「網域」索引標籤。
按一下「驗證」。
在「驗證網域擁有權」畫面中,按一下「立即驗證」。
登入 Admin Console,並瀏覽至「設定 > 身分」。
移至「網域」索引標籤。
按一下網域名稱左側的核取方塊,然後按一下「連結至目錄」。
如果您想要將多個網域連結至相同的目錄,請複選這些網域的核取方塊。
在「連結至目錄」畫面中,從下拉式清單選擇目錄,然後按一下「連結」。
您完成 Enterprise ID 或 Federated ID 設定後,即可為用戶提供所購的 Adobe 產品和服務。
在 Admin Console 閱讀「用戶介紹」。或者可使用以下一種方法,直接將用戶新增至 Admin Console:
新增用戶到 Admin Console 後,可透過將用戶指派給產品描述檔來佈建用戶。
網域的擁有權只能由單一組織申請取得。所以請考慮以下案例︰
Geometrixx 公司有多個部門,每個部門都有自己的 Admin Console,而且是唯一的。此外,每個部門也都想要使用 Federated 用戶 ID,並且全都使用 geometrixx.com 網域。在這種情況下,每個部門的系統管理員都會想要申請此網域,作驗證之用。Admin Console 會避免讓網域新增至多個組織的 Admin Console。然而,網域一旦由某個部門新增了,其他部門仍可代表他們組織的 Admin Console 來要求存取該網域所連結到的目錄。
目錄託管可讓目錄擁有者信任其他系統管理員 (受託人)。在此之後,Admin Console 中的受託人組織就可以將用戶新增至受信任目錄內的任何網域。
總而言之,如果您計劃在 Admin Console 使用 Enterprise ID 或 Federated ID,就必須新增網域。如果其他組織先前已新增此網域,您必須要求包含該網域之目錄的受託人存取權。但是,當受託人組織將用戶新增到受信任的網域時,他們會被組織為 Business ID 用戶。即使將他們設為 Business ID 用戶,他們也會透過所屬組織的驗證框架進行身份驗證。
如需要求目錄的存取權,請參閱「設定網域」中「新增網域」程序的步驟。
如果您新增現有網域至 Admin Console,您會收到下列訊息的提示:
如果您要求此網域的存取權,網域擁有組織的系統管理員將會在要求中看到您的姓名、電子郵件和組織名稱。
新目錄類型是 Business ID,用戶驗證取決於擁有組織的設定方式。
由於網域已由擁有者設定 (請參閱「設定網域」中的「證明網域的擁有權」,以取得詳細資訊),您身為受託人,並不需要執行任何其他動作。當擁有者接受存取權要求,您的組織就可以存取由網域擁有組織設定的目錄和其所有網域。
身為受託人組織,如果不再需要存取受信任目錄,隨時都可以退回受託人地位。
登入 Admin Console,並瀏覽至「設定 > 身分」。
在「目錄」索引標籤中,按一下您想要退回存取權的共用目錄。
在目錄詳細資料抽屜中,按一下「退回」。
如果您撤銷對受信任目錄的存取權,則與該目錄中的網域相關聯的所有用戶都將從您的組織中移除。但是,這些用戶仍然可以存取指派給他們的應用程式、服務和儲存空間。
若要阻止用戶使用該軟體,請從「Admin Console > 用戶 > 移除用戶」將其移除。然後,您可以收回已刪除用戶的資產,因為您的組織擁有這些資產。
身為網域擁有組織的系統管理員,可以選擇接受或拒絕對您所擁有之目錄的存取權要求。
收到一個電子郵件要求存取您擁有的目錄時,您可以直接在這個電子郵件中選擇接受或拒絕該要求。您也可以移至「存取權要求」索引標籤來管理這些申請的要求。
登入 Admin Console,並瀏覽至「設定 > 身分」。
移至「存取權要求」索引標籤。
若要接受所有的要求,請按一下「全部接受」。
或者,要接受特定申請的要求,就按一下每一列左邊的核取方塊,然後按一下「接受」。
在「接受存取要求」畫面中,按一下「接受」。
受託人組織的系統管理員會收到電子郵件通知。
您可以撤銷先前提供給受託人組織的存取權。
登入 Admin Console,並瀏覽至「設定 > 身分」。
移至「受託人」索引標籤。
按一下每一列左邊的核取方塊,然後按一下「撤銷」。
在「撤銷受託人」畫面中,按一下「撤銷」。
如果您撤銷對受信任目錄的存取權,則與該目錄中的網域相關聯的所有用戶都將從受信任目錄中移除。但是,這些用戶仍然可以存取指派給他們的應用程式、服務和儲存空間。
若要阻止用戶使用軟體,受託人管理員可從「Admin Console > 用戶 > 移除用戶」將其移除。然後,他們可以收回已刪除用戶的資產,因為受託人組織擁有這些資產。
將用戶新增到受託人組織時,總是會以 Business ID 用戶的身分新增該用戶。受託人組織的新用戶或擁有組織的現有用戶全都適用。 在擁有組織上,用戶將作為 Federated ID 或 Enterprise ID 類型的用戶提供,而在所有受託人組織上則是作為 Business ID 用戶提供。但當受託人組織的用戶登入 Adobe 應用程式或服務,系統會提示用戶 Federated ID 或 Enterprise ID 登入工作流程,如同在擁有組織上設定。
此外,用戶可能也會獲得擁有或受託人組織的權益。在此情況下,我們將為用戶所屬的每個組織 (擁有或受託人) 建立描述檔。描述檔有助於確保權益和資產隔離於每個組織。因此,用戶在特定描述檔下建立的資產屬於該組織。如果用戶離開組織,將由該組織的管理員收回資產。
閱讀更多:
遷移受託人組織後,您的所有用戶都將登出其帳戶,並且需要重新登入。由於這些用戶也是擁有組織中的用戶,因此他們也會獲得擁有和受託人組織的權益。在此情況下,我們會設定用戶的描述檔。當重新登入其帳戶時,系統可能會顯示描述檔選擇器,提示您的用戶。
必要時,您的用戶可能會閱讀如何管理 Adobe 描述檔。
使用適用於企業的 Creative Cloud 或 Document Cloud,用戶就能安全無虞地儲存檔案。另外,用戶可以與其他人共用檔案及協作。用戶可透過 Creative Cloud 網站、Creative Cloud 桌面應用程式和 Creative Cloud 行動應用程式來存取檔案。只有在貴組織與 Adobe 的合約中包含儲存空間時,適用於企業的 Creative Cloud 或 Document Cloud 才會提供儲存空間。
雖然 Creative Cloud 和 Document Cloud 上的所有資料都有加密,但如果要額外提升控制和安全性等級,您可以選擇讓 Adobe 針對組織產生專用加密金鑰。然後,內容便會以專用加密金鑰進行標準加密。必要時,您可以從 Admin Console 撤銷加密金鑰。
只有包含儲存空間與服務的適用於企業的 Creative Cloud 或 Document Cloud 含共用服務計劃,才有提供專用加密金鑰。
如需詳細資訊,請參閱如何在 Admin Console 上管理加密金鑰。
自助服務選項可用於將已建立的目錄遷移到 Adobe Admin Console 內部新的身份驗證提供者。
如欲遷移至新的驗證提供者,您必須符合以下需求:
如需更多資訊,可查找 實作注意事項。
在確認存取需求和實作注意事項皆符合後,請依照以下步驟編輯您的身份驗證描述檔並遷移目錄:
在 Adobe Admin Console 中,前往「設定 > 目錄」。
針對目錄,選擇「編輯」功能。然後,在「詳細資料」目錄中,選擇「加入新的 IdP」。
選擇身份提供者,以設定新的驗證描述檔。 選取您的組織用來驗證使用者的身分提供者 (IdP)。按一下「下一步」。
根據您選擇的身份提供者,執行以下步驟:
選擇 Azure:使用您的 Microsoft Azure Active Directory Global Admin 憑證
登入 Azure,然後在允許提示訊息中選擇「接受」。您將會回到 Admin Console 中的目錄詳細資料。
選擇 Google:
其他 SAML 提供者:
在「Adobe Admin Console > 目錄詳細資料」中,新的身份驗證描述檔就會建立。使用「測試」驗證設定是否正確設定,以確保所有用戶都可以存取 SAML 應用程式。
「測試」功能可確保其 IDP 中新的驗證描述檔的用戶名稱格式與用戶登入所用的現有描述檔的用戶資訊相符合。
請按一下「啟用」遷移至新的驗證描述檔。完成後,新的描述檔會顯示使用中。
啟動之前,請前往目錄使用者,在 Adobe Admin Console 中>檢查身份提供者的使用者名稱是否與 Admin Console 的使用者名稱相符。
對於 SAML,請確認主題欄位中從新設定所插入的值和 Admin Console 中現有使用者的使用者名稱格式相符。
組織可以在 Admin Console 中將網域從來源目錄移動到目標目錄來建構目錄。您可以根據組織的需要來重新組織網域至目錄的連結,而不會使用戶失去對其產品、服務或所儲存資產的存取權。將為同一個身分提供者設定的網域合併到單一目錄,即可簡化 IT 團隊的管理作業。
如果您計劃將網域從某一目錄遷移到另一個包含使用 SHA-2 驗證的新身份提供者 (Azure、Google 或其他 SAML) 的目錄,則需要在這兩個目錄中都複製新的 IdP 設定。新的 IdP 設定為該目錄內所有網域的用戶啟用測試登入。 根據您的新身分提供者,執行以下操作:
網域遷移完成後,屬於新目錄的用戶仍然可以登入。這樣可以防止出現停機,並確保可以用戶可以立即存取自己已獲指派的 Adobe 應用程式和服務。
在下列情況下,您可以從此功能中受益:
使用案例 |
範例 |
建議的方法 |
---|---|---|
若要在彼此處於相同信任關係的目錄之間移動網域 |
Directory 1 和 Directory 2 皆在 Console A 中設定,且兩者都與 Console B 建立信任關係。 |
請依照移動網域程序進行。 |
若要在彼此處於信任關係的目錄之間移動網域 * 請參閱圖 A 的流程圖 |
Directory 1 在 Console A 中設定,並已與 Console B 建立關係。 在 Console A 中,Directory 1 (Domain X) 中的網域需要移至 Directory 2。 |
|
將一個網域或包含多個網域的一個目錄移至組織中的另一個 Admin Console |
Directory 1 在 Console A 中設定。 但 Directory 1 及其申請的網域需要移至 Console B,以取得擁有權。 |
請聯絡 Adobe 客戶服務。 |
在相同的 Admin Console 中將網域移入或移出加密目錄。 |
Directory 1 已開啟加密,且在相同 Admin Console 中 Directory 2 的網域需要遷移至 Directory 1。 |
目前不支援將網域移入或移出加密的目錄。 |
圖 A
請依照下方的程序,將網域從來源目錄遷移至目標目錄:
登入 Adobe Admin Console,然後前往「設定」。
瀏覽至「網域」,然後選取您想要移至目標目錄的網域。 接著,按一下「編輯目錄」。
在「編輯目錄」畫面上,從下拉式清單中選擇目錄。 使用底部的切換按鈕可開啟或關閉完成通知。 接著按一下「儲存」。
您將會前往「設定 > 身分」下方的「網域」區段。 該頁面會列出所有網域及其狀態。
在網域轉移完成後,系統管理員便會收到網域轉移的電子郵件。 然後,您就能視需要編輯目錄名稱及刪除空目錄。
您可以從 Admin Console 中刪除不再使用的目錄和網域。
您無法刪除含有以下項目的目錄:
登入 Admin Console,並瀏覽至「設定 > 身分」。
移至「目錄」索引標籤。
按一下一個或多個目錄名稱左側的核取方塊,然後按一下「刪除目錄」。
在移除目錄畫面中,按一下「刪除」。
如果某個網域有 Admin Console 中的用戶在使用,或是這個網域已連結至一個或多個目錄,您將無法移除該網域。
登入 Admin Console,並瀏覽至「設定 > 身分」。
移至「網域」索引標籤。
按一下一個或多個網域名稱左側的核取方塊,然後按一下「刪除」。
在「移除網域」畫面中,按一下「移除」。
登入您的帳戶