Su questa pagina
- Termini e concetti principali
- Creazione di directory
- Configurazione dei domini
- Collegamento di domini alle directory
- Gestione degli utenti
- Affidabilità della directory
- Gestire le chiavi di crittografia
- Migrazione a un nuovo provider di autenticazione
- Spostamento di domini tra directory
- Eliminazione delle directory e rimozione dei domini
某些 Creative Cloud 应用程序、服务和功能在中国不可用。
Nota:
Se nell’organizzazione sono ancora presenti directory autenticate con SHA-1, effettua l’aggiornamento senza problemi in Admin Console alla protezione avanzata del certificato SHA-2. Aggiungi e attiva un nuovo profilo di autenticazione nella directory esistente per effettuare la migrazione da SHA-1 a SHA-2 senza interrompere le attività. Per ulteriori informazioni, consulta Migrazione a un nuovo provider di autenticazione.
Tieni presente che per impostazione predefinita l’autenticazione SHA-2 è attivata per tutte le nuove directory create.
Configura le directory: per utilizzare Enterprise ID o Federated ID, inizia configurando una directory alla quale puoi collegare uno o più domini.
Ulteriori informazioni >
Configura i domini: gli utenti finali sono autenticati con i domini che devi configurare in Admin Console.
Ulteriori informazioni >
Collega i domini alle directory: dopo aver configurato le directory e i domini, raggruppa i domini collegandoli alle directory.
Ulteriori informazioni >
Affidabilità della directory: utilizza l’affidabilità della directory per considerare affidabili gli amministratori di sistema di altre organizzazioni.
Ulteriori informazioni >
Effettua la migrazione delle directory SHA-1 a SHA-2: aggiorna le directory precedenti autenticate SHA-1 al profilo SHA-2.
Ulteriori informazioni >
Sposta i domini tra le directory struttura le directory spostando i domini tra le directory in Admin Console.
Ulteriori informazioni >
In qualità di amministratore di sistema di Admin Console, una delle prima attività che dovrai intraprendere è definire e configurare un sistema di identità con cui autenticare gli utenti finali. Le licenze che saranno acquistate dall’organizzazione per i prodotti e i servizi Adobe dovranno essere distribuite agli utenti finali. Per eseguire questa attività, devi poter autenticare questi utenti.
Per autenticare gli utenti finali, Adobe offre i seguenti tipi di identità:
- Adobe ID
- Enterprise ID
- Federated ID
Se desideri che gli account degli utenti nel tuo dominio siano separati e controllati dalla tua organizzazione, devi utilizzare i tipi di identità Enterprise ID o Federated ID (per Single- Sign-On).
Questo articolo illustra in dettaglio la configurazione del sistema di identità necessario per autenticare gli utenti utilizzando gli Enterprise ID o i Federated ID.
Questo articolo illustra in dettaglio la configurazione del sistema di identità necessario per autenticare gli utenti utilizzando gli Enterprise ID o i Federated ID.
Nota:
Le procedure di configurazione della directory e configurazione del dominio sono completamente separate. Questo significa che puoi eseguirle in qualsiasi ordine o in parallelo. Tuttavia, la procedura di collegamento dei domini degli indirizzi delle e-mail alle directory potrà essere eseguita solo dopo aver completato entrambe queste procedure.
Provider di identità dell’organizzazione, ad esempio, Active Directory, Microsoft Azure, Ping, Okta, InCommon o Shibboleth.
Per ulteriori informazioni sulla configurazione di SSO per Creative Cloud con alcuni degli IdP più utilizzati, consulta Altri contenuti simili alla fine dell’articolo.
Creato, posseduto e gestito da un’organizzazione. Adobe ospita l’Enterprise ID ed esegue l’autenticazione, ma l’organizzazione mantiene l’Enterprise ID. Gli utenti finali non possono effettuare la registrazione a un Enterprise ID né crearlo; inoltre, non possono effettuare la registrazione ad altri prodotti e servizi da Adobe utilizzando un Enterprise ID.
Gli amministratori creano un Enterprise ID e lo inviano a un utente. Gli amministratori possono revocare l’accesso a prodotti e servizi assumendo il controllo dell’account o eliminando l’Enterprise ID per bloccare in maniera permanente l’accesso a dati associati.
I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare gli Enterprise ID:
- Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
- Se devi accedere con urgenza ai file e ai dati associati a un ID.
- Se devi poter bloccare completamente o eliminare un account utente.
Creato e posseduto da un’organizzazione e collegato alla directory aziendale tramite federazione. L’organizzazione gestisce le credenziali e i processi Single Sign-On tramite un provider di identità (IdP) SAML2.
I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare i Federated ID:
- Se desideri eseguire il provisioning degli utenti in base alla directory enterprise dell’organizzazione.
- Se desideri gestire l’autenticazione degli utenti.
- Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
- Se desideri consentire agli utenti di utilizzare lo stesso indirizzo e-mail, aggiungi un Adobe ID.
Nota:
Il provider di identità deve essere conforme a TLS 1.2.
Creato, posseduto e gestito dall’utente finale. Adobe esegue l’autenticazione e l’utente finale gestisce l’identità. Gli utenti mantengono il controllo completo sui file e i dati associati al relativo ID. Gli utenti possono acquistare altri prodotti e servizi da Adobe. Gli amministratori invitano gli utenti a partecipare all’organizzazione e possono rimuoverli. Tuttavia, non è possibile impedire agli utenti di accedere ai loro account Adobe ID. L’amministratore non può eliminare o requisire gli account. Prima di utilizzare gli Adobe ID, non è richiesta nessuna configurazione.
I seguenti sono alcuni requisiti e casi, in cui si consiglia di utilizzare gli Adobe ID:
- Se desideri consentire agli utenti di creare, possedere e gestire le loro identità.
- Se desideri consentire agli utenti di acquistare o eseguire la registrazione ad altri servizi e prodotti Adobe.
- Se gli utenti dovranno utilizzare altri servizi Adobe che al momento non supportano Enterprise ID o Federated ID.
- Se gli utenti dispongono già di Adobe ID e dati associati, ad esempio, file, font o impostazioni.
- Nelle configurazioni per il settore dell’istruzione, in cui gli studenti possono mantenere i loro Adobe ID dopo il diploma o la laurea.
- Se sono presenti consulenti e collaboratori esterni che non utilizzano indirizzi e-mail nei domini controllati dall’azienda.
- Se disponi di un abbonamento Adobe teams, dovrai utilizzare questo tipo di identità.
Il segmento di un indirizzo e-mail dopo il simbolo @. Per utilizzare un dominio con Enterprise ID o Federated ID, devi prima di tutto convalidarne la proprietà.
Ad esempio, se un’organizzazione possiede più domini (geometrixx.com, support.geometrixx.com, contact.geometrixx.com) ma per l’autenticazione dei dipendenti utilizza geometrixx.com. In tal caso, l’organizzazione utilizzerà il dominio geometrixx.com per configurare la sua identità in Admin Console.
- Collabora con i responsabili della directory IdP e i responsabili del DNS per configurare l’identità in Admin Console. Questo documento è destinato agli amministratori di sistema che avranno accesso ad Admin Console. Questa figura dovrà collaborare con le altre persone che, generalmente, non avranno accesso ad Admin Console.
Le identità utente sono verificate con un’origine di autenticazione. Per utilizzare Enterprise ID o Federated ID, imposta la tua origine di autenticazione aggiungendo un dominio. Ad esempio, se il tuo indirizzo e-mail è mario@esempio.com, esempio.com è il dominio. Aggiungendo un dominio puoi creare Enterprise ID o Federated ID con gli indirizzi e-mail nel dominio. Un dominio può essere utilizzato con Enterprise ID o Federated ID, ma non con entrambi. Puoi tuttavia aggiungere più domini.
Un’organizzazione deve convalidare la proprietà di un dominio. Un’organizzazione può anche aggiungere più domini. Tuttavia, un dominio può essere aggiunto una sola volta. Domini pubblici e generici noti, ad esempio, gmail.com o yahoo.com, non possono essere aggiunti.
Per ulteriori informazioni sui tipi di identità, consulta Gestire i tipi di identità.
SHA-1 e SHA-2 sono i modelli di certificati responsabili della sicurezza dei profili di autenticazione della directory. Poiché SHA-2 offre una sicurezza migliore rispetto ai certificati SHA-1 precedenti, tutti i profili di autenticazione nuovi e migrati utilizzano il certificato SHA-2.
Per utilizzare Enterprise ID o Federated ID, inizia creando una directory alla quale puoi collegare uno o più domini.
Nota:
Adobe non supporta al momento flussi di lavori avviati da IdP.
Se l’organizzazione ha configurato (o prevede di configurare) Microsoft Azure come provider SSO, si consiglia di utilizzare il connettore Azure. Segui i passaggi descritti nella sezione Configurazione del connettore di Azure: creazione di una directory.
Se l’organizzazione ha configurato (o prevede di configurare) una federazione Google come provider SSO, si consiglia di utilizzare il connettore Google. Inoltre, segui i passaggi descritti nella sezione Configurazione della federazione Google: creare una directory in Adobe Admin Console.
Utilizza la procedura seguente se l’organizzazione utilizza uno o più dei seguenti elementi:
- Enterprise ID
- Un provider SAMLdiverso da Azure o Google
- Microsoft Azure o federazione Google. Ma non stai usano i nostri connettori.
-
Accedi ad Admin Console e seleziona Impostazioni > Identità.
-
Scegli Federated ID e fai clic su Avanti e passa al punto 5.
Seleziona Enterprise ID, quindi fai clic su Crea directory.
Se crei una directory Enterprise ID, questa procedura di directory è completata.
Continua e configura i domini.
-
Usa la schermata Aggiungi profilo SAML per ottenere le informazioni di configurazione per il tuo provider di identità.
Alcuni provider di identità (IdP) accettano un file di metadati che può essere caricato mentre altri potrebbero richiedere l’URL ACS e l’ID entità. Ad esempio:
- Per Azure Active Directory: carica il file di metadati.
- Per Google: copia i valori per ACS URL e Entity ID e utilizzali nel software IdP di Google.
- Per SalesForce: scarica il file di metadati, estrai le informazioni del certificato dal file e utilizzale nel software IdP di SalesForce.
Nota:
Le opzioni di Azure e Google sopra riportate sono necessarie se si è scelto di non utilizzare i nostri connettori di Azure e Google, rispettivamente.
- Se utilizzi il connettore di Azure, segui i passaggi descritti nell’articolo Configurare Microsoft Azure ADConnector.
- Se utilizzi il connettore Google, segui i passaggi descritti nell’articolo Configurare Federazione Google.
Scegli uno dei metodi in base alle opzioni riportate di seguito.
Metodo 1:
Fai clic su Scarica il file di metadati di Adobe.
Il file di metadati è scaricato nel disco locale. Utilizza questo file per configurare l’integrazione SAML con il provider di identità.
Metodo 2:
Copia i valori per ACS URL e Entity ID.
-
Torna ad Adobe Admin Console e carica il file di metadati dell’IdP nella finestra Aggiungi profilo SAML e fai clic su Fine.
La directory è creata.
- Nel caso di una directory per il tipo di identità Enterprise ID, la configurazione è terminata.
- Se hai deciso di creare una directory utilizzando l’opzione Altri provider SAML, questa utilizza automaticamente l’autenticazione SHA-2. Le directory create in precedenza utilizzando l’autenticazione SHA-1 possono ora essere aggiornate a SHA-2 e migrate a un altro provider di identità. Per i dettagli, consulta Migrazione a un nuovo provider di autenticazione.
Puoi quindi configurare i domini in Admin Console.
Nota:
Se la directory dell’organizzazione è configurata tramite il connettore di Microsoft Azure AD o la sincronizzazione della federazione Google non devi aggiungere manualmente i domini. I domini selezionati convalidati nella configurazione del provider di identità sono sincronizzati automaticamente in Adobe Admin Console.
Gli utenti finali sono autenticati con i domini che devi configurare in Admin Console.
Per configurare i domini:
- Aggiungi i domini in Admin Console.
- Preparati a convalidare la proprietà del dominio aggiungendo un record DNS speciale
- Convalida i domini
Non è necessario che i domini che aggiungi ad Admin Console siano registrati con lo stesso IdP. Tuttavia, quando li colleghi a una directory, dovrai collegare i domini di IdP diversi a directory diverse.
Non puoi aggiungere un dominio ad Admin Console se è già stato aggiunto alla Admin Console di un’altra organizzazione. Puoi tuttavia richiedere l’accesso a tale dominio.
-
Accedi ad Admin Console e seleziona Impostazioni > Identità.
Un’organizzazione deve dimostrare la proprietà di un dominio. Un’organizzazione può aggiungere tutti i domini necessari ad Admin Console.
Admin Console consente all’organizzazione di utilizzare un unico token DNS per dimostrare la proprietà di tutti questi domini. Inoltre, Admin Console non richiede la convalida DNS per i domini secondari. Questo significa che utilizzando un token DNS per dimostrare la proprietà di un dominio, tutti i domini secondari di tale dominio sono convalidati immediatamente quando sono aggiunti ad Admin Console.
-
Accedi ad Admin Console e seleziona Impostazioni > Identità, quindi la scheda Domini.
-
Per verificare di essere il proprietario del dominio, devi aggiungere un record TXT con il token DNS generato. Le istruzioni esatte dipendono dal tuo host del dominio. Per linee guida generiche, consulta verifica la proprietà di un dominio.
-
Aggiungi le informazioni ai server DNS per completare questo passaggio. Avvisa in anticipo il responsabile del DNS, in modo che questo passaggio possa essere completato tempestivamente.
Adobe verifica periodicamente i record DNS del tuo dominio. Se i record DNS sono corretti, il dominio verrà convalidato automaticamente. Per convalidare immediatamente il dominio, puoi accedere ad Admin Console e convalidarlo manualmente. A questo punto, devi convalidare i domini.
e seleziona Token DNS di accesso dall’elenco a discesa.Admin Console tenta di convalidare i domini aggiunti diverse volte al giorno, per cui, dopo aver configurato correttamente i record DNS, non devi intraprendere nessuna azione per convalidare il dominio.
Se devi convalidare immediatamente il dominio, puoi effettuare questa operazione da Admin Console. Per convalidare manualmente i domini:
Durante il tentativo di validazione è possibile che vengano visualizzati messaggi di errore dato che per rendere effettive le modifiche possono essere necessarie fino a 72 ore. Per ulteriori informazioni, consulta le domande frequenti relative al record DNS.
Dopo aver verificato la proprietà del dominio, collega i domini convalidati alle directory pertinenti in Admin Console.
Dopo aver completato la configurazione di Enterprise ID o Federated ID, sei pronto a fornire agli utenti i prodotti e i servizi Adobe acquistati.
Leggi un’introduzione agli utenti in Admin Console. In alternativa, entra subito in Admin Console e aggiungi utenti, utilizzando uno dei seguenti metodi:
- Se hai configurato il connettore Azure, scopri come configurare utenti e gruppi in Azure AD.
- Se hai configurato il connettore Google, scopri come autorizzare e configurare il provisioning degli utenti nella Console di amministrazione Google.
- In caso contrario,aggiungi singoli utenti, usa il caricamento in blocco con CSV, lo strumento User Sync o User Management REST API
Una volta aggiunti gli utenti ad Admin Console, effettua il provisioning degli utenti assegnandoli ai profili di prodotto.
La proprietà di un dominio può essere registrata solo da una singola organizzazione. Considera quindi il seguente scenario:
All’interno della società Geometrixx sono presenti più reparti, ognuno dei quali dispone della propria Admin Console. Ogni reparto desidera inoltre utilizzare Federated ID per gli utenti nello stesso dominio, geometrixx.com. In questo caso, l’amministratore di sistema di ciascuno di questi reparti deve registrare questo dominio per l’autenticazione. Admin Console non consente di aggiungere un dominio alle Admin Console di organizzazioni diverse. Tuttavia, quando il dominio è stato aggiunto da un reparto, gli altri reparti possono richiedere l’accesso alla directory a cui è collegato per conto della Admin Console della loro organizzazione.
L’affidabilità della directory consente al proprietario della directory di considerare affidabili gli altri amministratori di sistema (trustee). Dopo questo passaggio, le organizzazione trustee in Admin Console possono aggiungere utenti a qualsiasi dominio all’interno della directory affidabile.
Riepilogando. Per utilizzare Enterprise ID o Federated ID in Admin Console, devi aggiungere il dominio associato alla tua organizzazione. Se questo dominio è stato precedentemente aggiunto da un’altra organizzazione, devi richiedere l’accesso come trustee alla directory contenente tale dominio.
Per richiedere l’accesso a una directory, consulta i passaggi nella procedura Aggiungi i domini in Configurare i domini sopra riportata.
Attenzione:
Se da proprietario approvi una richiesta di accesso alla directory, l’organizzazione trustee avrà accesso a tutti i domini collegati a tale directory e a tutti i domini che vi saranno collegati in futuro. La pianificazione del collegamento da dominio a directory è pertanto un elemento essenziale nella configurazione del sistema di identità dell’organizzazione.
Se richiedi l’accesso a questo dominio, il tuo nome, il tuo indirizzo e-mail e il nome della tua organizzazione sono condivisi con la richiesta agli amministratori di sistema dell’organizzazione proprietaria.
Il tipo di directory (Enterprise o Federated) dipende da come è stato configurato dall’organizzazione proprietaria. Questo significa che dovrai utilizzare il tipo di directory scelto dall’organizzazione proprietaria.
Poiché sei il trustee e il dominio è già stato configurato dal proprietario (consulta Verifica della proprietà dei domini in Configurare i domini per dettagli), non devi intraprendere alcuna azione aggiuntiva. Quando la richiesta di accesso è approvata dal proprietario, la tua organizzazione potrà accedere alla directory e a tutti i domini a essa collegati, come configurato dall’organizzazione proprietaria.
Se la richiesta di accesso alla directory è approvata dall’organizzazione proprietaria, riceverai una notifica tramite e-mail. La richiesta di affidabilità è rimossa e la directory affidabile e i relativi domini sono visualizzati con lo stato Attivo (affidabile) negli elenchi Directory e Domini.
Ora puoi aggiungere gli utenti finali e i gruppi di utenti e assegnarli ai profili di prodotto.
In qualità di organizzazione trustee, se non hai più necessità di accedere alla directory affidabile, puoi, in qualsiasi momento, ritirare il tuo stato di trustee.
Se ritiri l’accesso da una directory affidabile, qualsiasi utente Enterprise ID o Federated ID appartenente ai domini in tale directory (cioè, che accede utilizzando le credenziali del dominio) è rimosso dalla tua organizzazione. Questi utenti perdono inoltre l’accesso a qualsiasi software concesso loro dalla tua organizzazione.
Come amministratore di sistema di un’organizzazione proprietaria, puoi approvare o rifiutare le richieste di accesso alle directory di cui sei proprietario.
Quando ricevi un messaggio e-mail di richiesta per l’accesso a una directory di tua proprietà, puoi approvare o rifiutare la richiesta direttamente dall’email stessa. Per gestire le richieste di registrazione, puoi anche accedere alla scheda Richieste di accesso.
Utilizzando Creative Cloud o Document Cloud for enterprise, gli utenti finali possono archiviare i file in maniera sicura e protetta. Gli utenti possono inoltre condividere file e collaborare con altri utenti. Possono accedere ai file tramite il sito Web Creative Cloud, l’app desktop Creative Cloud e l’app per dispositivi mobili Creative Cloud. L’archiviazione è disponibile con Creative Cloud o Document Cloud for enterprise solo se è inclusa nel contratto dell’organizzazione con Adobe.
Anche se tutti i dati in Creative Cloud e Document Cloud sono crittografati, per aggiungere livelli di controllo e protezione aggiuntivi, puoi scegliere di richiedere ad Adobe di generare una chiave dedicata di crittografia per alcune o tutte le directory dell’organizzazione. Il contenuto viene quindi crittografato utilizzando la crittografia standard con una chiave di crittografia dedicata. Se necessario, la chiave di crittografia può essere revocata da Admin Console.
Le chiavi dedicate di crittografia sono disponibili solo con i piani Creative Cloud o Document Cloud for enterprise con servizi condivisi che comprendono archiviazione e servizi.
Per ulteriori dettagli, consulta come gestire la chiave di crittografia in Admin Console.
Se sono ancora presenti directory che utilizzano l’autenticazione SHA-1, ora puoi effettuare senza problemi la migrazione da profili di autenticazione SHA-1 a SHA-2 senza dover creare esplicitamente una nuova directory.
La migrazione consente inoltre di effettuare la migrazione a un provider di identità diverso per una determinata directory.
Attenzione:
Non rimuovere la configurazione esistente nell’IdP fino a quando non hai confermato che la nuova configurazione è andata a buon fine con 2 o 3 account attivi della directory.
Se la rimuovi prima della verifica, non potrai più tornare alla configurazione precedente e dovrai sostenere tempi di inattività mentre risolvi i problemi. Per ulteriori informazioni, segui la procedura di migrazione.
Per effettuare la migrazione a un profilo di autenticazione SHA-2, devono essere soddisfatti i requisiti seguenti:
- Accesso ad Admin Console dell’organizzazione con credenziali di amministratore di sistema
- La directory SHA-1 esistente deve essere configurata per la federazione in Admin Console
- Accesso per configurare il provider di identità dell’organizzazione (ad esempio, Microsoft Azure Portal, Console di amministrazione Google e così via)
Per informazioni su altri aspetti da considerare durante l’implementazione, consulta Considerazioni sull’implementazione.
Quando i requisiti di accesso e le considerazioni di implementazione sono stati soddisfatti, segui la procedura riportata di seguito per modificare il profilo di autenticazione ed effettuare la migrazione della directory:
-
-
- Copia l’URL ACS e l’ID entità dalla schermata Modifica configurazione SAML.
- In un’altra finestra, accedi alla Console di amministrazione Google con le credenziali dell’amministratore Google e seleziona Apps > SAML Apps.
- Usa il segno + per aggiungere una nuova app e seleziona l’app Adobe. Scarica quindi i metadati IDP nell’opzione 2 e caricali in Modifica configurazione SAML in Adobe Admin Console. Fai quindi clic su Salva.
- Conferma le Informazioni di base per Adobe. Per terminare, immetti l’URL ACS e l’ID entità copiati in precedenza in Service Provider Details.
- Seleziona infine Apps > SAML apps > Settings for Adobe > Service Status. Imposta Service Status su ON for everyone e Salva.
-
Per altri provider SAML:
- Accedi all’applicazione del provider di identità in una finestra diversa e crea una nuova app SAML. (Non modificare l’app SAML esistente per evitare interruzioni durante la migrazione).
- In base alle impostazioni del provider di identità, copia il file di metadati o l’URL ACS e l’ID entità da Adobe Admin Console nelle impostazioni del provider di identità.
- Carica il file di metadati dall’impostazione del provider di identità in Adobe Admin Console. Fai quindi clic su Salva.
-
In Adobe Admin Console > Dettagli directory, viene creato il nuovo profilo di autenticazione. Utilizza la funzione Verifica per controllare se la configurazione è corretta e garantire che tutti gli utenti finali abbiano accesso alle app SAML.
La funzione Verifica garantisce che il formato del nome utente per il nuovo profilo di autenticazione nell’IdP corrisponda alle informazioni utente per il profilo esistente per l’accesso utente.
-
Fai clic su Attiva per effettuare la migrazione al nuovo profilo di autenticazione. Al termine, nel nuovo profilo viene visualizzato In uso.
Dopo l’attivazione, verifica che il valore del campo Subject nell’asserzione dalla nuova configurazione SAML corrisponda al formato nome utente degli utenti esistenti in Admin Console.
Attenzione:
Quando la nuova configurazione dell’IdP è attiva, il profilo Okta SHA-1 rimarrà inattivo e disponibile per sette giorni, dopodiché la scheda del profilo inattiva verrà rimossa automaticamente dalla directory in Adobe Admin Console. Il solo modo per ripristinare un profilo Okta rimosso consiste nell’effettuare una richiesta di supporto con gli ingegneri di Adobe.
Una volta effettuata la migrazione della directory al provider SAML supportato da SHA-2, puoi spostare i domini da altre directory SHA-1 alla nuova directory con la migrazione dei domini.
Per ulteriori informazioni su alcune limitazioni ed evitare errori durante la configurazione, consulta Domande frequenti: migrazione della directory a un nuovo provider di autenticazione.
Le organizzazioni possono strutturare le directory spostando i domini dalle directory di origine alle directory di destinazione in Admin Console. Puoi riorganizzare il collegamento tra dominio e directory in base alle esigenze dell’organizzazione senza che gli utenti finali perdano l’accesso a prodotti, servizi o risorse archiviate. Il consolidamento dei domini configurati per lo stesso provider di identità in un’unica directory semplifica la gestione per i team IT.
Se prevedi di effettuare la migrazione di domini da una directory a un’altra che contiene un nuovo provider di identità (Azure, Google o altri SAML) con autenticazione SHA-2, dovrai replicare la nuova configurazione IdP in entrambe le directory. La nuova configurazione IdP consente di provare gli accessi per gli utenti di tutti i domini presenti nella directory. A seconda del nuovo provider di identità, effettua le operazioni riportate di seguito:
- Per Microsoft Azure: aggiungi un nuovo IdP Azure alla directory e accedi allo stesso tenant Azure.
- Per altri provider SAML (compreso Google): carica lo stesso file di metadati che punterà alla stessa app SAML nel tuo IdP.
Al termine della migrazione del dominio, gli utenti che appartengono alla nuova directory potranno ancora accedere. In questo modo elimini i tempi di inattività e garantisci l’accesso immediato alle app e ai servizi Adobe assegnati.
Nota:
Durante il trasferimento del dominio, gli utenti sono disconnessi dai loro account e non possono accedere a una nuova sessione. Si consiglia di modificare le directory fuori dagli orari di ufficio per ridurre le interruzioni alle attività degli utenti.
Puoi trarre vantaggio da questa funzionalità negli scenari seguenti:
- Nelle directory supportate da SHA-1 precedenti sono presenti domini e vuoi passare alle directory supportate da SHA-2.
- Desideri effettuare la migrazione di una directory esistente a un altro provider di identità con un profilo di autenticazione SHA-2.
- Le directory disponibili sono in una relazione affidabile o desideri condividere le directory in modo affidabile, senza consentire l’accesso a tutti i domini all’interno della directory affidabile.
- Devi raggruppare le directory in base ai team e ai reparti dell’organizzazione.
- Hai diverse directory collegate a singoli domini e vuoi consolidarle.
- Hai collegato per sbaglio un dominio alla directory errata.
- Desideri spostare autonomamente un dominio da Enterprise ID a Federated ID o da Federated ID a Enterprise ID.
Esempio di utilizzo |
Approccio suggerito |
Per spostare un dominio da un’organizzazione Admin Console a un’altra |
|
Per spostare domini tra le directory che si trovano in una relazione affidabile tra di loro |
|
Per spostare domini tra le directory che si trovano in una relazione affidabile ma non tra di loro |
Ritira la relazione affidabile, sposta i domini, quindi stabilisci nuovamente la relazione affidabile. |
Attenzione:
Il passaggio di domini da e per una directory crittografata non è attualmente supportato.
Segui la procedura riportata di seguito per trasferire i domini da una directory di origine a una directory di destinazione:
-
Accedi ad Adobe Admin Console e seleziona Impostazioni.
Passi quindi alla sezione Domini in Impostazioni > Identità. Sono elencati tutti i domini e i relativi stati.
Quando i domini sono stati trasferiti correttamente, gli amministratori di sistema ricevono un messaggio e-mail relativo al trasferimento del dominio. Puoi quindi modificare i nomi delle directory e eliminare le directory vuote secondo necessità.
Nota:
Non puoi eliminare una directory che contiene:
- Utenti attivi
- Domini collegati
- Trustee
Nota:
Non puoi rimuovere un dominio se in Admin Console sono presenti utenti con tale dominio o se il dominio è collegato a una o più directory.