Configurazione dell’identità

Una directory in Admin Console è un’entità che contiene risorse, ad esempio, gli utenti e criteri, ad esempio, l’autenticazione. Queste directory sono simili a LDAP o Active Directory.

Provider di identità dell’organizzazione, ad esempio, Active Directory, Azure, Ping, Okta, InCommon o Shibboleth.

Per ulteriori informazioni sulla configurazione di SSO per Creative Cloud con alcuni degli IdP più utilizzati, consulta Altri contenuti simili alla fine dell’articolo.

Creato, posseduto e gestito dall’utente finale. Adobe esegue l’autenticazione e l’utente finale gestisce l’identità. Gli utenti mantengono il controllo completo sui file e i dati associati al relativo ID. Gli utenti possono acquistare altri prodotti e servizi da Adobe. Gli amministratori invitano gli utenti a partecipare all’organizzazione e possono rimuoverli. Tuttavia, non è possibile impedire agli utenti di accedere ai loro account Adobe ID. L’amministratore non può eliminare o requisire gli account. Prima di utilizzare gli Adobe ID, non è richiesta nessuna configurazione.

I seguenti sono alcuni requisiti e casi, in cui si consiglia di utilizzare gli Adobe ID:

• Se desideri consentire agli utenti di creare, possedere e gestire le loro identità.
• Se desideri consentire agli utenti di acquistare o eseguire la registrazione ad altri servizi e prodotti Adobe.
• Se gli utenti dovranno utilizzare altri servizi Adobe che non supportano attualmente Enterprise ID o Federated ID.
• Se gli utenti dispongono già di Adobe ID e dati associati, ad esempio, file, font o impostazioni. 
• Nelle installazioni educational, in cui gli studenti possono mantenere i loro Adobe ID dopo la laurea.
• Se sono presenti consulenti e collaboratori esterni che non utilizzano indirizzi e-mail nei domini controllati dall’azienda.
• Se disponi di un abbonamento Adobe teams, dovrai utilizzare questo tipo di identità.

Creato, posseduto e gestito da un’organizzazione. Adobe ospita l’Enterprise ID ed esegue l’autenticazione, ma l’organizzazione mantiene l’Enterprise ID. Gli utenti finali non possono effettuare la registrazione a un Enterprise ID né crearlo; inoltre, non possono effettuare la registrazione ad altri prodotti e servizi da Adobe utilizzando un Enterprise ID.

Gli amministratori creano un Enterprise ID e lo inviano a un utente. Gli amministratori possono revocare l’accesso a prodotti e servizi assumendo il controllo dell’account o eliminando l’Enterprise ID per bloccare in maniera permanente l’accesso a dati associati.

I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare gli Enterprise ID:

• Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
• Se devi accedere con urgenza ai file e ai dati associati a un ID.
• Se devi poter bloccare completamente o eliminare un account utente.

Creato e posseduto da un’organizzazione e collegato alla directory aziendale tramite federazione. L’organizzazione gestisce le credenziali e i processi Single Sign-On tramite un provider di identità (IdP) SAML2.

I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare i Federated ID:

• Se desideri eseguire il provisioning degli utenti in base alla directory enterprise dell’organizzazione.
• Se desideri gestire l’autenticazione degli utenti.
• Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
• Se desideri consentire agli utenti di utilizzare lo stesso indirizzo e-mail per effettuare la registrazione per un Adobe ID.

Il segmento di un indirizzo e-mail dopo il simbolo @. Per utilizzare un dominio con Enterprise ID o Federated ID, devi prima di tutto convalidarne la proprietà.

Ad esempio, se un’organizzazione possiede più domini (geometrixx.com, support.geometrixx.com, contact.geometrixx.com) ma per l’autenticazione dei dipendenti utilizza geometrixx.com. In tal caso, l’organizzazione utilizzerà il dominio geometrixx.com per configurare la sua identità in Admin Console.

• Collabora con i responsabili della directory IdP e i responsabili del DNS per configurare l’identità in Admin Console. Questo documento è destinato agli amministratori di sistema che avranno accesso ad Admin Console. Questa figura dovrà collaborare con le altre persone che, generalmente, non avranno accesso ad Admin Console.

• Aggiorna i token DNS per convalidare la proprietà del dominio

• Crea i connettori nell’IdP

Le identità utente sono verificate con un’origine di autenticazione. Per utilizzare Enterprise ID o Federated ID, imposta la tua origine di autenticazione aggiungendo un dominio. Ad esempio, se il tuo indirizzo e-mail è mario@esempio.com, esempio.com è il dominio. Aggiungendo un dominio puoi creare Enterprise ID o Federated ID con gli indirizzi e-mail nel dominio. Un dominio può essere utilizzato con Enterprise ID o Federated ID, ma non con entrambi. Puoi tuttavia aggiungere più domini.

Un’organizzazione deve convalidare la proprietà di un dominio. Un’organizzazione può anche aggiungere più domini. Tuttavia, un dominio può essere aggiunto una sola volta. Domini pubblici e generici noti, ad esempio, gmail.com o yahoo.com, non possono essere aggiunti.

Per ulteriori informazioni sui tipi di identità, consulta Gestire i tipi di identità.

La directory è creata.

• Nel caso di una directory per il tipo di identità Enterprise ID, la procedura è terminata. Inizia a configurare i domini in Admin Console.
• Se hai deciso di creare una directory utilizzando l’opzione Altri provider SAML, questa utilizza l’autenticazione SHA-2. Le directory create precedentemente utilizzano però l’autenticazione SHA-1. Se necessario, puoi effettuare la migrazione degli utenti dalle directory esistenti (configurate con l’autenticazione SHA-1) alle nuove directory (configurate con l’autenticazione SHA-2). Per dettagli, consulta Migrazione dei certificati da SHA-1 a SHA-2.

Ora procedi con la configurazione dei domini in Admin Console.

Non è necessario che i domini che aggiungi ad Admin Console siano registrati con lo stesso IdP. Tuttavia, quando li colleghi a una directory, dovrai collegare i domini di IdP diversi a directory diverse.

Non puoi aggiungere un dominio ad Admin Console se è già stato aggiunto alla Admin Console di un’altra organizzazione. Puoi tuttavia richiedere l’accesso a tale dominio.

I domini sono ora aggiunti ad Admin Console. Devi tuttavia ancora dimostrare di esserne il proprietario.

Un’organizzazione deve dimostrare la proprietà di un dominio. Un’organizzazione può aggiungere tutti i domini necessari ad Admin Console.

Admin Console consente all’organizzazione di utilizzare un unico token DNS per dimostrare la proprietà di tutti questi domini. Inoltre, Admin Console non richiede la convalida DNS per i domini secondari. Questo significa che utilizzando un token DNS per dimostrare la proprietà di un dominio, tutti i domini secondari di tale dominio sono convalidati immediatamente quando sono aggiunti ad Admin Console.

Admin Console tenta di convalidare i domini aggiunti diverse volte al giorno, per cui, dopo aver configurato correttamente i record DNS, non devi intraprendere nessuna azione per convalidare il dominio.

Se devi convalidare immediatamente il dominio, puoi effettuare questa operazione da Admin Console. Per convalidare manualmente i domini:

Ora puoi collegare i domini convalidati alle directory pertinenti in Admin Console.

Se aggiungi domini esistenti ad Admin Console, verrà visualizzato il seguente messaggio:

Se richiedi l’accesso a questo dominio, il tuo nome, il tuo indirizzo e-mail e il nome della tua organizzazione sono condivisi con la richiesta agli amministratori di sistema dell’organizzazione proprietaria.

Il tipo di directory (Enterprise o Federated) dipende da come è stato configurato dall’organizzazione proprietaria. Questo significa che dovrai utilizzare il tipo di directory scelto dall’organizzazione proprietaria.

Poiché sei il trustee e il dominio è già stato configurato dal proprietario (consulta Verifica della proprietà dei domini in Configurare i domini per dettagli), non devi intraprendere alcuna azione aggiuntiva. Quando la richiesta di accesso è approvata dal proprietario, la tua organizzazione potrà accedere alla directory e a tutti i domini a essa collegati, come configurato dall’organizzazione proprietaria.

Se la richiesta di accesso alla directory è approvata dall’organizzazione proprietaria, riceverai una notifica tramite e-mail. La richiesta di affidabilità è rimossa e la directory affidabile e i relativi domini sono visualizzati con lo stato Attivo (affidabile) negli elenchi Directory e Domini.

Ora puoi aggiungere gli utenti finali e i gruppi di utenti e assegnarli ai profili di prodotto.

In qualità di organizzazione trustee, se non hai più necessità di accedere alla directory affidabile, puoi, in qualsiasi momento, ritirare il tuo stato di trustee.

Se ritiri l’accesso da una directory affidabile, qualsiasi utente Enterprise ID o Federated ID appartenente ai domini in tale directory (cioè, che accede utilizzando le credenziali del dominio) è rimosso dalla tua organizzazione. Questi utenti perdono inoltre l’accesso a qualsiasi software concesso loro dalla tua organizzazione.

Una notifica tramite e-mail è inviata agli amministratori di sistema delle organizzazione trustee.

La richiesta di accesso alla directory di tua proprietà può anche essere rifiutata.

Il motivo del rifiuto è condiviso tramite e-mail con l’organizzazione richiedente. Tuttavia, non sono condivise le tue informazioni relative a e-mail, nome e organizzazione.

L’accesso di un’organizzazione trustee alla quale era stato precedentemente concesso, può essere revocato.

Se revochi l’accesso di un’organizzazione trustee, gli utenti con account Enterprise ID o Federated ID di qualsiasi dominio in tale directory sono rimossi dall’organizzazione trustee. Questi utenti perdono inoltre l’accesso a qualsiasi software o servizio concesso loro dall’organizzazione trustee.

Puoi revocare la chiave dedicata di crittografia per una directory.