Configurazione dell’identità

Una directory in Admin Console è un’entità che contiene risorse, ad esempio, gli utenti e criteri, ad esempio, l’autenticazione. Queste directory sono simili a LDAP o Active Directory.

Provider di identità dell’organizzazione, ad esempio, Active Directory, Azure, Ping, Okta, InCommon o Shibboleth.

Creato, posseduto e gestito dall’utente finale. Adobe esegue l’autenticazione e l’utente finale gestisce l’identità. Gli utenti mantengono il controllo completo sui file e i dati associati al relativo ID. Gli utenti possono acquistare altri prodotti e servizi da Adobe. Gli amministratori invitano gli utenti a partecipare all’organizzazione e possono rimuoverli. Tuttavia, non è possibile impedire agli utenti di accedere ai loro account Adobe ID. L’amministratore non può eliminare o requisire gli account. Prima di utilizzare gli Adobe ID, non è richiesta nessuna configurazione.

I seguenti sono alcuni requisiti e casi, in cui si consiglia di utilizzare gli Adobe ID:

• Se desideri consentire agli utenti di creare, possedere e gestire le loro identità.
• Se desideri consentire agli utenti di acquistare o eseguire la registrazione ad altri servizi e prodotti Adobe.
• Se gli utenti dovranno utilizzare altri servizi Adobe che non supportano attualmente Enterprise ID o Federated ID.
• Se gli utenti dispongono già di Adobe ID e dati associati, ad esempio, file, font o impostazioni. 
• Nelle installazioni educational, in cui gli studenti possono mantenere i loro Adobe ID dopo la laurea.
• Se sono presenti consulenti e collaboratori esterni che non utilizzano indirizzi e-mail nei domini controllati dall’azienda.
• Se disponi di un abbonamento Adobe teams, dovrai utilizzare questo tipo di identità.

Creato, posseduto e gestito da un’organizzazione. Adobe ospita l’Enterprise ID ed esegue l’autenticazione, ma l’organizzazione mantiene l’Enterprise ID. Gli utenti finali non possono effettuare la registrazione a un Enterprise ID né crearlo; inoltre, non possono effettuare la registrazione ad altri prodotti e servizi da Adobe utilizzando un Enterprise ID.

Gli amministratori creano un Enterprise ID e lo inviano a un utente. Gli amministratori possono revocare l’accesso a prodotti e servizi assumendo il controllo dell’account o eliminando l’Enterprise ID per bloccare in maniera permanente l’accesso a dati associati.

I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare gli Enterprise ID:

• Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
• Se devi accedere con urgenza ai file e ai dati associati a un ID.
• Se devi poter bloccare completamente o eliminare un account utente.

Creato e posseduto da un’organizzazione e collegato alla directory aziendale tramite federazione. L’organizzazione gestisce le credenziali e i processi Single Sign-On tramite un provider di identità (IdP) SAML2.

I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare i Federated ID:

• Se desideri eseguire il provisioning degli utenti in base alla directory enterprise dell’organizzazione.
• Se desideri gestire l’autenticazione degli utenti.
• Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
• Se desideri consentire agli utenti di utilizzare lo stesso indirizzo e-mail per effettuare la registrazione per un Adobe ID.

Il segmento di un indirizzo e-mail dopo il simbolo @. Per utilizzare un dominio con Enterprise ID o Federated ID, devi prima di tutto convalidarne la proprietà.

Ad esempio, se un’organizzazione possiede più domini (geometrixx.com, support.geometrixx.com, contact.geometrixx.com) ma per l’autenticazione dei dipendenti utilizza geometrixx.com. In tal caso, l’organizzazione utilizzerà il dominio geometrixx.com per configurare la sua identità in Admin Console.

• Collabora con i responsabili della directory IdP e i responsabili del DNS per configurare l’identità in Admin Console. Questo documento è destinato agli amministratori di sistema che avranno accesso ad Admin Console. Questa figura dovrà collaborare con le altre persone che, generalmente, non avranno accesso ad Admin Console.

• Aggiorna i token DNS per convalidare la proprietà del dominio

• Crea i connettori nell’IdP

Le identità utente sono verificate con un’origine di autenticazione. Per utilizzare Enterprise ID o Federated ID, imposta la tua origine di autenticazione aggiungendo un dominio. Ad esempio, se il tuo indirizzo e-mail è mario@esempio.com, esempio.com è il dominio. Aggiungendo un dominio puoi creare Enterprise ID o Federated ID con gli indirizzi e-mail nel dominio. Un dominio può essere utilizzato con Enterprise ID o Federated ID, ma non con entrambi. Puoi tuttavia aggiungere più domini.

Un’organizzazione deve convalidare la proprietà di un dominio. Un’organizzazione può anche aggiungere più domini. Tuttavia, un dominio può essere aggiunto una sola volta. Domini pubblici e generici noti, ad esempio, gmail.com o yahoo.com, non possono essere aggiunti.

Per ulteriori informazioni sui tipi di identità, consulta Gestire i tipi di identità.

La directory è creata.

Nel caso di una directory per il tipo di identità Enterprise ID, la procedura è terminata. Inizia a configurare i domini in Admin Console.

Se hai scelto di creare una directory per il tipo di identità Federated ID, prima di poterla utilizzare, Adobe dovrà effettuarne il provisioning. Mentre attendi il completamento del provisioning della directory da parte di Adobe, puoi tuttavia continuare con altre attività. Puoi quindi iniziare a configurare i domini in Admin Console.

Dopo aver ricevuto il messaggio e-mail di conferma dell’avvenuto provisioning della directory da Adobe, configura le impostazioni SAML per la directory.

Quando le organizzazioni configurano e abilitano Single Sign-On (SSO), gli utenti all’interno dell’organizzazione sono in grado di utilizzare le loro credenziali aziendali per accedere al software Adobe. Ciò consente agli utenti di utilizzare una singola credenziale per accedere ad app desktop, servizi e app per dispositivi mobili Adobe.

Adobe Admin Console offre un metodo che consente agli utenti enterprise di eseguire l’autenticazione utilizzando l’identità aziendale esistente. Gli Adobe Federated ID consentono l’integrazione con un sistema di gestione dell’identità SSO (Single Sign-On). Single Sign-On viene abilitato utilizzando SAML, un protocollo standard del settore che collega sistemi di gestione dell’identità Enterprise a fornitori di servizi cloud come Adobe.

SSO consente di scambiare in modo sicuro informazioni di autenticazione tra due parti: il fornitore di servizi (Adobe) e il provider di identità (IdP). Il fornitore di servizi invia una richiesta all’IdP, che tenta di autenticare l’utente. Se l’autenticazione ha esito positivo, l’IdP invia un messaggio di risposta per consentire all’utente di accedere.

Per impostare correttamente SSO per il software Adobe, gli amministratori IT necessitano delle seguenti informazioni:

• Una conoscenza di SAML 2.0
• Un provider di identità (IdP) che supporti SAML 2.0 e che, come minimo, deve disporre di:
  • Un certificato IDP
  • Un URL di accesso IDP
  • Un’associazione IDP: HTTP-POST o HTTP-Redirect
  • Un URL del servizio ACS (Assertion Consumer Service)
• L’accesso alla configurazione DNS per il processo di richiesta del dominio

Per consentire agli utenti di accedere, non è necessario che l’URL di accesso dell’IdP sia accessibile esternamente. Tuttavia, se l’URL è disponibile solo dalla rete interna dell’organizzazione, gli utenti possono accedere ai prodotti Adobe solo quando connessi direttamente, tramite Wi-Fi o VPN, alla rete interna dell’organizzazione. Non è necessario che la pagina di accesso sia disponibile solo tramite HTTPS, ma è consigliabile per motivi di sicurezza.

I servizi cloud Adobe offrono SSO utilizzando un connettore SaaS SAML 2.0 fornito da Okta. Il connettore viene utilizzato per comunicare con il provider di identità allo scopo di fornire servizi di autenticazione. Non è necessario utilizzare Okta come il proprio servizio di provider di identità poiché Okta si connette a molti provider di servizi di identità SAML 2.0. Per ulteriori informazioni, consulta SSO / Domande frequenti.

Se l’organizzazione desidera eseguire il test dell’integrazione SSO, si consiglia di richiedere un dominio di prova di cui si è proprietari, a condizione che l’organizzazione disponga di un provider di identità con identità impostate nel dominio di prova. Ciò consente di provare l’integrazione prima di richiedere i domini principali, fino a quando non si conosce il processo di richiesta e configurazione del dominio.

Se disponi già di un provider di identità (IdP), puoi configurare facilmente SSO utilizzando il connettore SaaS SAML 2.0 fornito da Okta.

La directory è ora configurata per Single Sign-On.

Ora puoi aggiungere i domini in Admin Console, se non hai già completato questa parte della procedura. Se li hai già aggiunti in Admin Console, puoi collegare i domini richiesti a questa directory.

Non è necessario che i domini che aggiungi ad Admin Console siano registrati con lo stesso IdP. Tuttavia, quando li colleghi a una directory, dovrai collegare i domini di IdP diversi a directory diverse.

Non puoi aggiungere un dominio ad Admin Console se è già stato aggiunto alla Admin Console di un'altra organizzazione. Puoi tuttavia richiedere l’accesso a tale dominio.

I domini sono ora aggiunti ad Admin Console. Devi tuttavia ancora dimostrare di esserne il proprietario.

Un’organizzazione deve dimostrare la proprietà di un dominio. Un’organizzazione può aggiungere tutti i domini necessari ad Admin Console.

Admin Console consente all’organizzazione di utilizzare un unico token DNS per dimostrare la proprietà di tutti questi domini. Inoltre, Admin Console non richiede la convalida DNS per i domini secondari. Questo significa che utilizzando un token DNS per dimostrare la proprietà di un dominio, tutti i domini secondari di tale dominio sono convalidati immediatamente quando sono aggiunti ad Admin Console.

Admin Console tenta di convalidare i domini aggiunti diverse volte al giorno, per cui, dopo aver configurato correttamente i record DNS, non devi intraprendere nessuna azione per convalidare il dominio.

Se devi convalidare immediatamente il dominio, puoi effettuare questa operazione da Admin Console. Per convalidare manualmente i domini:

Ora puoi collegare i domini convalidati alle directory pertinenti in Admin Console.

Se aggiungi domini esistenti ad Admin Console, verrà visualizzato il seguente messaggio:

Se richiedi l’accesso a questo dominio, il tuo nome, il tuo indirizzo e-mail e il nome della tua organizzazione sono condivisi con la richiesta agli amministratori di sistema dell’organizzazione proprietaria.

Il tipo di directory (Enterprise o Federated) dipende da come è stato configurato dall’organizzazione proprietaria. Questo significa che dovrai utilizzare il tipo di directory scelto dall’organizzazione proprietaria.

Poiché sei il trustee e il dominio è già stato configurato dal proprietario (consulta Verifica della proprietà dei domini in Configurare i domini per dettagli), non devi intraprendere alcuna azione aggiuntiva. Quando la richiesta di accesso è approvata dal proprietario, la tua organizzazione potrà accedere alla directory e a tutti i domini a essa collegati, come configurato dall’organizzazione proprietaria.

Se la richiesta di accesso alla directory è approvata dall’organizzazione proprietaria, riceverai una notifica tramite e-mail. La richiesta di affidabilità è rimossa e la directory affidabile e i relativi domini sono visualizzati con lo stato Attivo (affidabile) negli elenchi Directory e Domini.

Ora puoi aggiungere gli utenti finali e i gruppi di utenti e assegnarli ai profili di prodotto.

In qualità di organizzazione trustee, se non hai più necessità di accedere alla directory affidabile, puoi, in qualsiasi momento, ritirare il tuo stato di trustee.

Se ritiri l’accesso da una directory affidabile, qualsiasi utente Enterprise ID o Federated ID appartenente ai domini in tale directory (cioè, che accede utilizzando le credenziali del dominio) è rimosso dalla tua organizzazione. Questi utenti perdono inoltre l’accesso a qualsiasi software concesso loro dalla tua organizzazione.

Una notifica tramite e-mail è inviata agli amministratori di sistema delle organizzazione trustee.

La richiesta di accesso alla directory di tua proprietà può anche essere rifiutata.

Il motivo del rifiuto è condiviso tramite e-mail con l’organizzazione richiedente. Tuttavia, non sono condivise le tue informazioni relative a e-mail, nome e organizzazione.

L’accesso di un’organizzazione trustee alla quale era stato precedentemente concesso, può essere revocato.

Se revochi l’accesso di un’organizzazione trustee, gli utenti con account Enterprise ID o Federated ID di qualsiasi dominio in tale directory sono rimossi dall’organizzazione trustee. Questi utenti perdono inoltre l’accesso a qualsiasi software o servizio concesso loro dall’organizzazione trustee.

Puoi revocare la chiave dedicata di crittografia per una directory.