註解:
您現在可以在不同目錄中移動網域,而不會從網域中移除用戶或失去對用戶資產的存取權。
身為 Admin Console 的系統管理員,您首先要做的其中一項工作就是,根據要對用戶進行驗證的項目來定義和設定身分識別系統。當您的組織購買 Adobe 產品及服務的授權時,您必須將這些授權佈建給用戶。因此,您需要一個驗證這些用戶的方法。
Adobe 提供下列身分類型,您可以用來驗證用戶:
- Adobe ID
- Enterprise ID
- Federated ID
如果想要讓您網域中的用戶各自取得組織所擁有及控制的不同帳戶,您必須使用 Enterprise ID 或 Federated ID (適用於單一登入) 身分類型。
如果您計劃使用 Enterprise ID 或 Federated ID 來驗證用戶,您必須設定適合的身分識別系統,本文會提供必要的詳細資料。
註解:
本文件中所述的設定目錄和設定網域程序完全不相關。這表示您可以依任何順序執行或同時執行這些程序。不過,將電子郵件網域連結至目錄的程序,只有在您完成這兩個程序之後才能執行。
IdP
組織身分提供者,例如 Active Directory、Azure、Ping、Okta、InCommon 或 Shibboleth。
若要了解透過一些常用 IdP 為 Creative Cloud 設定 SSO 的詳細資訊,請參閱本文結尾的「更多類似項目」。
Adobe ID
由用戶所建立、擁有和管理。Adobe 會執行驗證,而用戶會負責管理身分識別。用戶對於與其 ID 相關聯的檔案和資料將保有完整控制權。用戶可以向 Adobe 購買額外的產品和服務。管理員可邀請用戶加入組織,也可以將其移除。但是,用戶的 Adobe ID 帳戶無法被鎖定。管理員無法刪除或接管帳戶。您不需要進行任何設定,即可開始使用 Adobe ID。
以下是建議使用 Adobe ID 的一些條件和案例:
- 如果您想要讓用戶建立、擁有及管理其身分識別。
- 如果您想要允許用戶購買或註冊其他 Adobe 產品和服務。
- 如果用戶必須使用其他 Adobe 服務,但是這些服務目前不支援 Enterprise ID 或 Federated ID。
- 如果用戶已經有 Adobe ID 及相關的資料,例如檔案、字型或設定。
- 學生即使畢業後依然可以保留其 Adobe ID 的教育機構安裝。
- 如果您的承包商和自由接案者所使用的電子郵件地址不屬於您所控制的網域。
- 如果您有 Adobe 團隊合約,就必須使用這種身分類型
Enterprise ID
由組織所建立、擁有和管理。Adobe 會代管 Enterprise ID 並執行驗證,但是組織會負責維護 Enterprise ID。用戶無法註冊及建立 Enterprise ID,也無法使用 Enterprise ID 向 Adobe 註冊其他產品和服務。
管理員會建立 Enterprise ID 並發放給用戶。管理員可以藉由接管帳戶或刪除 Enterprise ID 來永久封鎖相關資料的存取權,以撤銷產品和服務的存取權。
以下是建議使用 Enterprise ID 的一些條件和案例:
- 如果您必須持續嚴格控管提供給用戶的應用程式和服務。
- 如果您必須緊急存取與某個 ID 相關聯的檔案和資料。
- 如果您需要完全封鎖或刪除用戶帳戶的功能。
Federated ID
驗證網域
負責進行此設定的角色
使用網域的身分類型
用戶身分是根據驗證來源進行驗證。若要使用 Enterprise ID 或 Federated ID,請新增網域以設定您專屬的驗證來源。舉例來說,如果您的電子郵件地址是 john@example.com,example.com 就是您的網域。新增網域可讓您使用該網域中的電子郵件地址來建立 Enterprise ID 或 Federated ID。網域可以搭配 Enterprise ID 或 Federated ID 使用,但是不可同時搭配兩者使用。不過,您可以新增多個網域。
組織必須驗證其對於網域的控制權。組織也可以新增多個網域。但是,一個網域只能被新增一次。已知的公用和通用網域 (例如 gmail.com 或 yahoo.com) 無法被新增。
若要深入了解身分類型,請參閱「管理身分類型」。
若要使用 Enterprise ID 或 Federated ID,請先從設定您可以將一個或多個網域連結到的目錄開始著手。
若要設定目錄:
- 在 Admin Console 中建立目錄。
- (僅限 Federated ID) Adobe 將會佈建目錄。這通常最多需要 48 小時。
- 如果您將組織設定為使用 Enterprise ID 身分,則您可開始將電子郵件網域連結至目錄。
- (僅限 Federated ID) 在 Adobe 佈建目錄之後,請設定該目錄的 SAML 設定。
建立目錄
設定單一登入 (Federated ID 目錄的必要設定)
收到 Adobe 確認目錄已佈建的電子郵件之後,請設定目錄的 SAML 設定。
當組織設定並啟用單一登入 (SSO) 時,該組織的用戶便能夠使用其公司認證來存取 Adobe 軟體。如此一來,用戶就可以使用單一認證存取 Adobe 桌面應用程式、服務和行動應用程式。
Adobe Admin Console 為企業用戶提供一個方法,讓他們使用其現有的公司身分進行驗證。Adobe Federated ID 能夠與單一登入 (SSO) 身分管理系統整合。單一登入會使用 SAML 加以啟用,SAML 是一種產業標準通訊協定,可將企業身分管理系統連接到雲端服務提供者 (像是 Adobe)。
SSO 可以在兩方之間安全地交換驗證資訊:服務提供者 (Adobe) 和您的身分提供者 (IdP)。服務提供者會將要求傳送至您的 IdP,IdP 則會嘗試驗證用戶。如果驗證成功,IdP 會傳送回應訊息將用戶登入。
IT 管理員必須具備以下條件,才能成功地為 Adobe 軟體設定 SSO:
- 了解 SAML 2.0
- 支援 SAML 2.0 的身分提供者 (IdP),並且至少必須具備以下條件:
- IDP 憑證
- IDP 登入 URL
- IDP 繫結:HTTP-POST 或 HTTP-Redirect
- 聲明消費者服務 URL
- TLS 1.2 已啟用
- 網域申請程序適用的 DNS 設定存取權
用戶並非只能從外部存取 IdP 的登入 URL 才能登入。不過,如果只能在組織的內部網路中進行存取,用戶就只有在與組織內部網路直接連接或透過 WiFi 或 VPN 連接時,才能登入 Adobe 產品。登入頁面並不是只能透過 HTTPS 存取,但基於安全考量,我們建議您這麼做。
註解:
目前 Adobe 不支援 IdP 起始的 SSO。
Adobe 的雲端服務使用 Okta 所提供的 SaaS SAML 2.0 連接器來提供 SSO。此連接器是用來與您的身分提供者通訊,以便提供驗證服務。您不需要使用 Okta 當做您的身分提供者服務,因為 Okta 會連接到許多 SAML 2.0 身分服務提供者。如需詳細資訊,請參閱「SSO/常見問題」。
如果您的組織想要測試 SSO 整合,建議申請您專屬的測試網域,前提是組織使用的身分提供者具有該測試網域中所設定的身分。如此一來,您就可以在申請主要網域之前先測試整合,直到您對於網域申請和設定程序感到安心為止。
如果您已經有身分提供者 (IdP),就可以輕鬆地使用 Okta 提供的 SaaS SAML 2.0 連接器進行您的 SSO 設定。
註解:
在您可以選擇當做身分提供者的多家廠商中,Okta 是其中一家。
-
登入 Admin Console,並瀏覽至「設定 > 身分」。
-
IDP 憑證:若要上傳您的 IdP 用來簽署 SAML 回應或聲明的憑證 (.cer),請按一下「上傳」。
如果您沒有此憑證,請聯絡您的身分提供者,以取得下載憑證檔的指示。
憑證提示:
- PEM (base-64 編碼 X.509) 格式
- 副檔名為 .cer (不是 .pem 或 .cert)
- 未加密
- SHA-1
- 多行格式 (使用單行將會失敗)
- 必須持續至少 3 年 (這免除了這段生命週期的維護工作,而且不會危害安全性)
註解:
在 Federated ID 交握的 Adobe 端所使用的 Okta 憑證是為期 20 年的憑證。就是這樣,您才可以依據自己選擇的排程進行憑證輪換,而不是由 Adobe/Okta 來強制執行此作業。
-
透過身分提供者完成 SSO 設定之後,登入 Admin Console 並瀏覽至「設定 > 身分」。
新增網域
您新增至 Admin Console 的網域不需要向相同的 IdP 註冊。不過,當您將這些網域連結至目錄時,就必須透過不同的 IdP 將網域連結至不同的目錄。
如果某個網域已經新增至其他組織的 Admin Console,您無法將該網域新增至自己的 Admin Console。但是可以要求該網域的存取權。
-
登入 Admin Console,並瀏覽至「設定 > 身分」。
證明網域的擁有權 (使用 DNS 字符)
組織必須證明其對網域的擁有權。組織可以將任意數目的網域新增至 Admin Console。
Admin Console 允許一個組織使用單一 DNS 字符來證明其所有網域的擁有權。此外,Admin Console 並不需要對子網域進行 DNS 驗證。這表示,當您使用 DNS 字符,證明您對網域的擁有權後,該網域所有的子網域在新增至 Admin Console 時都會立即通過驗證。
-
登入 Admin Console,並瀏覽至「設定 > 身分」,然後移至「網域」索引標籤。
-
若要確認您確實擁有此網域,您必須新增一筆 TXT 記錄,其中包含產生的 DNS 字符。具體的指示需視您的網域主機而定。如需通用的指南,請參閱「確認網域的擁有權」。
-
將資訊新增至您的 DNS 伺服器以完成此步驟。請提前讓 DNS 管理員知道,好讓這個步驟可以適時完成。
Adobe 會定期檢查您網域的 DNS 記錄。只要這些記錄正確,網域就會自動通過驗證。如果您想要立即驗證網域,您可以登入 Admin Console,並以手動方式驗證。請參閱「網域驗證」。
,然後從下拉式清單中選擇「存取 DNS 字符」。網域驗證
您現在可以將已驗證的網域連結至 Admin Console 中所需的目錄。
網域的擁有權只能由單一組織申請取得。所以請考慮以下案例︰
Geometrixx 公司有多個部門,每個部門都有自己的 Admin Console,而且是唯一的。此外,每個部門也都想要使用 Federated 用戶 ID,並且全都使用 geometrixx.com 網域。在這種情況下,每個部門的系統管理員都會想要申請此網域,作驗證之用。Admin Console 會避免讓網域新增至多個不同組織的 Admin Console。然而,網域一旦由某個部門新增了,其他部門仍可代表他們組織的 Admin Console 來要求存取該網域所連結到的目錄。
目錄託管可讓目錄擁有者信任其他系統管理員 (受託人)。在此之後,Admin Console 中的受託人組織就可以將用戶新增至受信任目錄內的任何網域。
簡言之,如果您計劃在 Admin Console 使用 Enterprise ID 或 Federated ID,就必須新增與您的組織相關聯的網域。如果其他組織先前已新增此網域,您必須以受託人身分來要求存取包含該網域的目錄。
如需要求目錄的存取權,請參閱上述「設定網域」中「新增網域」程序的步驟。
注意:
身為目錄的擁有者,如果核准對該目錄的存取權要求,受託人組織就可以存取所有連結至該目錄的網域,以及任何在未來連結至該目錄的網域。因此,設定您組織中的身分識別系統時,務必先計劃網域與目錄之間的連結。
要求存取權
檢查要求狀態
身為網域擁有組織的系統管理員,可以選擇接受或拒絕對您所擁有之目錄的存取權要求。
收到一個電子郵件要求存取您擁有的目錄時,您可以直接在這個電子郵件中選擇接受或拒絕該要求。您也可以移至「存取權要求」索引標籤來管理這些申請的要求。
接受存取權要求
拒絕要求
組織現在可以在 Admin Console 中將網域從來源目錄移動到目標目錄來建構目錄。您可以根據組織的需要來重新組織網域至目錄的連結,而不會使用戶失去對其產品、服務或所儲存資產的存取權。將為同一個身分提供者設定的網域合併到單一目錄,即可簡化 IT 團隊的管理作業。
注意:
在網域遷移期間,用戶會從其帳戶登出且無法登入新的工作階段。建議您在非高峰時段編輯目錄,以盡量減少用戶的服務中斷時間。
在下列情況下,您可以從此功能中受益:
- 您擁有處於信任關係的目錄或想要共用目錄以建立信任,而無需允許存取受信任目錄中的所有網域。
- 您必須根據組織團隊和部門對目錄進行分組。
- 您有多個連結至單一網域的目錄,並想要進行合併。
- 您不小心將網域連結到不正確的目錄。
- 您想要透過自助方式將網域從 Enterprise ID 移至 Federated ID。
-
登入 Adobe Admin Console,然後移至「設定」。
在網域遷移完成後,系統管理員便會收到網域遷移的電子郵件。然後,您就能視需要編輯目錄名稱及刪除空目錄。
