Configurazione dell’identità

Cerca
Enterprise & Teams Guida utente

Su questa pagina

Prodotti interessati: Creative Cloud for enterprise Document Cloud for enterprise Experience Cloud

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Nota:

Se nell’organizzazione sono ancora presenti directory autenticate con SHA-1, effettua l’aggiornamento senza problemi in Admin Console alla protezione avanzata del certificato SHA-2. Aggiungi e attiva un nuovo profilo di autenticazione nella directory esistente per effettuare la migrazione da SHA-1 a SHA-2 senza interrompere le attività. Per ulteriori informazioni, consulta Migrazione a un nuovo provider di autenticazione.

Tieni presente che per impostazione predefinita l’autenticazione SHA-2 è attivata per tutte le nuove directory create.

setup-dir

Configura le directory: per utilizzare Enterprise ID o Federated ID, inizia configurando una directory alla quale puoi collegare uno o più domini.
Ulteriori informazioni >


setup-domains

Configura i domini: gli utenti finali sono autenticati con i domini che devi configurare in Admin Console.
Ulteriori informazioni >


link-domains-to-dirs

Collega i domini alle directory: dopo aver configurato le directory e i domini, raggruppa i domini collegandoli alle directory.
Ulteriori informazioni >


dir-trusting

Affidabilità della directory: utilizza l’affidabilità della directory per considerare affidabili gli amministratori di sistema di altre organizzazioni.
Ulteriori informazioni >


cq5dam_web_1280_1280

Effettua la migrazione delle directory SHA-1 a SHA-2: aggiorna le directory precedenti autenticate SHA-1 al profilo SHA-2.
Ulteriori informazioni >


move-domains

Sposta i domini tra le directory struttura le directory spostando i domini tra le directory in Admin Console.
Ulteriori informazioni >


In qualità di amministratore di sistema di Admin Console, una delle prima attività che dovrai intraprendere è definire e configurare un sistema di identità con cui autenticare gli utenti finali. Le licenze che saranno acquistate dall’organizzazione per i prodotti e i servizi Adobe dovranno essere distribuite agli utenti finali. Per eseguire questa attività, devi poter autenticare questi utenti.

Per autenticare gli utenti finali, Adobe offre i seguenti tipi di identità:

  • Business ID
  • Enterprise ID
  • Federated ID
  • Adobe ID (legacy)

Se desideri che gli account degli utenti nel tuo dominio siano separati e controllati dalla tua organizzazione, devi utilizzare i tipi di identità Enterprise ID o Federated ID (per Single- Sign-On).

Questo articolo illustra in dettaglio la configurazione del sistema di identità necessario per autenticare gli utenti utilizzando gli Enterprise ID o i Federated ID.

Nota:

Le procedure di configurazione della directory e configurazione del dominio sono completamente separate. Questo significa che puoi eseguirle in qualsiasi ordine o in parallelo. Tuttavia, la procedura di collegamento dei domini degli indirizzi delle e-mail alle directory potrà essere eseguita solo dopo aver completato entrambe queste procedure.

Termini e concetti principali

Prima di illustrare le procedure, è necessario spiegare alcuni concetti e termini:

Una directory in Admin Console è un’entità che contiene risorse, ad esempio, gli utenti e criteri, ad esempio, l’autenticazione. Queste directory sono simili a LDAP o Active Directory.

Provider di identità dell’organizzazione, ad esempio, Active Directory, Azure, Ping, Okta, InCommon o Shibboleth.

Per ulteriori informazioni sulla configurazione di SSO per Creative Cloud con alcuni degli IdP più utilizzati, consulta Altri contenuti simili alla fine dell’articolo.

Creato e di proprietà dell’azienda. Gestito dall’utente finale. Il Business ID (e tutte le risorse associate a questo ID) è di proprietà dell’azienda. Gli utenti finali non possono registrare e creare un Business ID e non possono neanche effettuare la registrazione ad altri prodotti e servizi di Adobe utilizzando un Business ID.

Prima di utilizzare i Business ID, non è richiesta nessuna configurazione. Gli amministratori invitano gli utenti a partecipare all’organizzazione e possono rimuoverli. Gli amministratori possono eliminare o requisire gli account. Gli amministratori creano un Business ID e lo assegnano a un utente. Gli amministratori possono revocare l’accesso a prodotti e servizi assumendo il controllo dell’account o eliminando il Business ID per bloccare permanentemente l’accesso a dati associati. 

I seguenti sono alcuni requisiti e scenari, in cui si consiglia di utilizzare i Business ID:

Creato, posseduto e gestito da un’organizzazione. Adobe ospita l’Enterprise ID ed esegue l’autenticazione, ma l’organizzazione mantiene l’Enterprise ID. Gli utenti finali non possono effettuare la registrazione a un Enterprise ID né crearlo; inoltre, non possono effettuare la registrazione ad altri prodotti e servizi da Adobe utilizzando un Enterprise ID.

Gli amministratori creano un Enterprise ID e lo inviano a un utente. Gli amministratori possono revocare l’accesso a prodotti e servizi assumendo il controllo dell’account o eliminando l’Enterprise ID per bloccare in maniera permanente l’accesso a dati associati.

I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare gli Enterprise ID:

  • Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
  • Se devi accedere con urgenza ai file e ai dati associati a un ID.
  • Se devi poter bloccare completamente o eliminare un account utente.

Creato e posseduto da un’organizzazione e collegato alla directory aziendale tramite federazione. L’organizzazione gestisce le credenziali e i processi Single Sign-On tramite un provider di identità (IdP) SAML2.

I seguenti sono alcuni requisiti e casi in cui si consiglia di utilizzare i Federated ID:

  • Se desideri eseguire il provisioning degli utenti in base alla directory enterprise dell’organizzazione.
  • Se desideri gestire l’autenticazione degli utenti.
  • Se devi mantenere un rigoroso controllo sulle app e i servizi disponibili per un utente.
  • Se desideri consentire agli utenti di utilizzare lo stesso indirizzo e-mail, aggiungi un Business ID o registrati per un Adobe ID.

Nota:

Il provider di identità deve essere conforme a TLS 1.2.

Creato, posseduto e gestito dall’utente finale. Adobe esegue l’autenticazione e l’utente finale gestisce l’identità. Gli utenti mantengono il controllo completo sui file e i dati associati al relativo ID. Gli utenti possono acquistare altri prodotti e servizi da Adobe. Gli amministratori invitano gli utenti a partecipare all’organizzazione e possono rimuoverli. Tuttavia, non è possibile impedire agli utenti di accedere ai loro account Adobe ID. L’amministratore non può eliminare o requisire gli account. Prima di utilizzare gli Adobe ID, non è richiesta nessuna configurazione.

I seguenti sono alcuni requisiti e casi, in cui si consiglia di utilizzare gli Adobe ID:

  • Se desideri consentire agli utenti di creare, possedere e gestire le loro identità.
  • Se desideri consentire agli utenti di acquistare o eseguire la registrazione ad altri servizi e prodotti Adobe.
  • Se gli utenti dovranno utilizzare altri servizi Adobe che al momento non supportano Enterprise ID o Federated ID.
  • Se gli utenti dispongono già di Adobe ID e dati associati, ad esempio, file, font o impostazioni. 
  • Nelle configurazioni per il settore dell’istruzione, in cui gli studenti possono mantenere i loro Adobe ID dopo il diploma o la laurea.
  • Se sono presenti consulenti e collaboratori esterni che non utilizzano indirizzi e-mail nei domini controllati dall’azienda.
  • Se disponi di un abbonamento Adobe teams, dovrai utilizzare questo tipo di identità.

Il segmento di un indirizzo e-mail dopo il simbolo @. Per utilizzare un dominio con Enterprise ID o Federated ID, devi prima di tutto convalidarne la proprietà.

Ad esempio, se un’organizzazione possiede più domini (geometrixx.com, support.geometrixx.com, contact.geometrixx.com) ma per l’autenticazione dei dipendenti utilizza geometrixx.com. In tal caso, l’organizzazione utilizzerà il dominio geometrixx.com per configurare la sua identità in Admin Console.

Amministratore di sistema

  • Collabora con i responsabili della directory IdP e i responsabili del DNS per configurare l’identità in Admin Console. Questo documento è destinato agli amministratori di sistema che avranno accesso ad Admin Console. Questa figura dovrà collaborare con le altre persone che, generalmente, non avranno accesso ad Admin Console.

Responsabile del DNS

  • Aggiorna i token DNS per convalidare la proprietà del dominio

Responsabile della directory del provider di identità (IdP)

  • Crea i connettori nell’IdP

Le identità utente sono verificate con un’origine di autenticazione. Per utilizzare Enterprise ID o Federated ID, imposta la tua origine di autenticazione aggiungendo un dominio. Ad esempio, se il tuo indirizzo e-mail è mario@esempio.com, esempio.com è il dominio. Aggiungendo un dominio puoi creare Enterprise ID o Federated ID con gli indirizzi e-mail nel dominio. Un dominio può essere utilizzato con Enterprise ID o Federated ID, ma non con entrambi. Puoi tuttavia aggiungere più domini.

Un’organizzazione deve convalidare la proprietà di un dominio. Un’organizzazione può anche aggiungere più domini. Tuttavia, un dominio può essere aggiunto una sola volta. Domini pubblici e generici noti, ad esempio, gmail.com o yahoo.com, non possono essere aggiunti.

Per ulteriori informazioni sui tipi di identità, consulta Gestire i tipi di identità.

SHA-1 e SHA-2 sono i modelli di certificati responsabili della sicurezza dei profili di autenticazione della directory. Poiché SHA-2 offre una sicurezza migliore rispetto ai certificati SHA-1 precedenti, tutti i profili di autenticazione nuovi e migrati utilizzano il certificato SHA-2.

Creazione di directory

Per utilizzare Enterprise ID o Federated ID, inizia creando una directory alla quale puoi collegare uno o più domini.

Nota:

Adobe non supporta al momento flussi di lavori avviati da IdP.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Directory, fai clic su Crea directory.

  3. Nella schermata Crea una directory, immettine il nome.

  4. Seleziona Enterprise ID e fai clic su Crea directory oppure seleziona Federated ID e fai clic su Avanti e passa al punto 5.

    Nel caso di una directory Enterprise ID, la procedura è terminata. Inizia a configurare i domini in Admin Console.

  5. (Solo Federated ID) Seleziona il tuo IdP tra le due opzioni fornite, quindi:

    Nota:

    Gli altri passaggi di questa procedura sono necessari solo se scegli Altri provider SAML.

  6. Usa la schermata Aggiungi profilo SAML per ottenere le informazioni di configurazione per il tuo provider di identità.

    Alcuni provider di identità (IdP) accettano un file di metadati che può essere caricato mentre altri potrebbero richiedere l’URL ACS e l’ID entità. Ad esempio:

    • Per Azure Active Directory: carica il file di metadati.
    • Per Google: copia i valori per ACS URL e Entity ID e utilizzali nel software IdP di Google.
    • Per SalesForce: scarica il file di metadati, estrai le informazioni del certificato dal file e utilizzale nel software IdP di SalesForce.

    Scegli uno dei metodi in base alle opzioni riportate di seguito.

    Metodo 1:

    Fai clic su Scarica il file di metadati di Adobe.

    Il file di metadati è scaricato nel disco locale. Utilizza questo file per configurare l’integrazione SAML con il provider di identità.

    Metodo 2:

    Copia i valori per ACS URL e Entity ID.

    Aggiungi profilo SAML

  7. Passa alla finestra dell’applicazione del tuo IdP e carica il file di metadati o specifica i valori per ACS URL e Entity ID. Al termine, scarica il file di metadati dell’IdP.

  8. Torna ad Adobe Admin Console e carica il file di metadati dell’IdP nella finestra Aggiungi profilo SAML e fai clic su Fine.

La directory è creata.

  • Nel caso di una directory per il tipo di identità Enterprise ID, la configurazione è terminata.
  • Se hai deciso di creare una directory utilizzando l’opzione Altri provider SAML, questa utilizza automaticamente l’autenticazione SHA-2. Le directory create in precedenza utilizzando l’autenticazione SHA-1 possono ora essere aggiornate a SHA-2 e migrate a un altro provider di identità. Per i dettagli, consulta Migrazione a un nuovo provider di autenticazione.

Puoi quindi configurare i domini in Admin Console.

Configurazione dei domini

Nota:

Se la directory dell’organizzazione è configurata tramite il connettore di Microsoft Azure AD o la sincronizzazione della federazione Google, non devi aggiungere manualmente i domini. I domini selezionati convalidati nella configurazione del provider di identità sono sincronizzati automaticamente in Adobe Admin Console.

Gli utenti finali sono autenticati con i domini che devi configurare in Admin Console.

Per configurare i domini:

  1. Aggiungi i domini in Admin Console.
  2. Preparati a convalidare la proprietà del dominio aggiungendo un record DNS speciale
  3. Convalida i domini

Non è necessario che i domini che aggiungi ad Admin Console siano registrati con lo stesso IdP. Tuttavia, quando li colleghi a una directory, dovrai collegare i domini di IdP diversi a directory diverse.

Non puoi aggiungere un dominio ad Admin Console se è già stato aggiunto alla Admin Console di un’altra organizzazione. Puoi tuttavia richiedere l’accesso a tale dominio.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Nella scheda Domini, fai clic su Aggiungi domini.

  3. Nella schermata Aggiungi domini, immetti uno o più domini e fai clic su Aggiungi domini. Puoi registrare e convalidare solo 15 domini alla volta e aggiungere successivamente i domini rimanenti.

  4. Nella schermata Aggiungi domini, verifica l’elenco di domini e fai clic su Aggiungi domini.

    Conferma i domini da aggiungere

I domini sono ora aggiunti ad Admin Console. Devi tuttavia ancora dimostrare di esserne il proprietario.

Un’organizzazione deve dimostrare la proprietà di un dominio. Un’organizzazione può aggiungere tutti i domini necessari ad Admin Console.

Admin Console consente all’organizzazione di utilizzare un unico token DNS per dimostrare la proprietà di tutti questi domini. Inoltre, Admin Console non richiede la convalida DNS per i domini secondari. Questo significa che utilizzando un token DNS per dimostrare la proprietà di un dominio, tutti i domini secondari di tale dominio sono convalidati immediatamente quando sono aggiunti ad Admin Console.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità, quindi la scheda Domini.

  2. Fai clic su  e seleziona Token DNS di accesso dall’elenco a discesa.

  3. Collabora con il responsabile del DNS per aggiungere un record DNS speciale per i domini che hai aggiunto.

  4. Per verificare di essere il proprietario del dominio, devi aggiungere un record TXT con il token DNS generato. Le istruzioni esatte dipendono dal tuo host del dominio. Per linee guida generiche, consulta verifica la proprietà di un dominio.

  5. Aggiungi le informazioni ai server DNS per completare questo passaggio. Avvisa in anticipo il responsabile del DNS, in modo che questo passaggio possa essere completato tempestivamente.

    Adobe verifica periodicamente i record DNS del tuo dominio. Se corretti, il dominio verrà convalidato automaticamente. Per convalidare immediatamente il dominio, puoi accedere ad Admin Console e convalidarlo manualmente. Consulta Convalida del dominio.

Admin Console tenta di convalidare i domini aggiunti diverse volte al giorno, per cui, dopo aver configurato correttamente i record DNS, non devi intraprendere nessuna azione per convalidare il dominio.

Convalida manuale dei domini

Se devi convalidare immediatamente il dominio, puoi effettuare questa operazione da Admin Console. Per convalidare manualmente i domini:

  1. Accedi ad Admin Console.

  2. Seleziona Impostazioni > Identità, quindi la scheda Domini.

  3. Fai clic su Convalida.

    Convalida dei domini

  4. Nella schermata Convalida proprietà del dominio, fai clic su Convalida ora.

Durante il tentativo di validazione è possibile che vengano visualizzati messaggi di errore dato che per rendere effettive le modifiche possono essere necessarie fino a 72 ore. Per ulteriori informazioni, consulta le domande frequenti relative al record DNS.

Dopo aver verificato la proprietà del dominio, collega i domini convalidati alle directory pertinenti in Admin Console.

Dopo aver configurato le directory e i domini in Admin Console, devi collegare i domini alle directory.

Puoi collegare più domini alla stessa directory. Tuttavia, tutti i domini che colleghi a una singola directory devono condividere le stesse impostazioni SSO.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Domini.

  3. Seleziona la casella di controllo a sinistra del nome del dominio e fai clic su Collegamento alla directory.

    Per collegare più domini alla stessa directory, seleziona le caselle di controllo accanto a questi domini.

    Collegamento dei domini alla directory

  4. Nella schermata Collegamento alla directory, seleziona la directory dal menu a discesa e fai clic su Collega.

Per consentire agli utenti finali di iniziare a utilizzare i prodotti e i servizi Adobe per i quali l’organizzazione ha ottenuto la licenza, aggiungi gli utenti finali e i gruppi di utenti e assegnali ai profili di prodotto.

Affidabilità della directory

La proprietà di un dominio può essere registrata solo da una singola organizzazione. Considera quindi il seguente scenario:

All’interno della società Geometrixx sono presenti più reparti, ognuno dei quali dispone della propria Admin Console. Ogni reparto desidera inoltre utilizzare Federated ID per gli utenti nello stesso dominio, geometrixx.com.  In questo caso, l’amministratore di sistema di ciascuno di questi reparti deve registrare questo dominio per l’autenticazione. Admin Console non consente di aggiungere un dominio alle Admin Console di organizzazioni diverse. Tuttavia, quando il dominio è stato aggiunto da un reparto, gli altri reparti possono richiedere l’accesso alla directory a cui è collegato per conto della Admin Console della loro organizzazione.

L’affidabilità della directory consente al proprietario della directory di considerare affidabili gli altri amministratori di sistema (trustee). Dopo questo passaggio, le organizzazione trustee in Admin Console possono aggiungere utenti a qualsiasi dominio all’interno della directory affidabile.

Riepilogando. Per utilizzare Enterprise ID o Federated ID in Admin Console, devi aggiungere il dominio associato alla tua organizzazione. Se questo dominio è stato precedentemente aggiunto da un’altra organizzazione, devi richiedere l’accesso come trustee alla directory contenente tale dominio.

Per richiedere l’accesso a una directory, consulta i passaggi nella procedura Aggiungi i domini in Configurare i domini sopra riportata.

Attenzione:

Se da proprietario approvi una richiesta di accesso alla directory, l’organizzazione trustee avrà accesso a tutti i domini collegati a tale directory e a tutti i domini che vi saranno collegati in futuro. La pianificazione del collegamento da dominio a directory è pertanto un elemento essenziale nella configurazione del sistema di identità dell’organizzazione.

Trustee del dominio

Se aggiungi domini esistenti ad Admin Console, verrà visualizzato il seguente messaggio:

Richiedi l’accesso

Se richiedi l’accesso a questo dominio, il tuo nome, il tuo indirizzo e-mail e il nome della tua organizzazione sono condivisi con la richiesta agli amministratori di sistema dell’organizzazione proprietaria.

Il tipo di directory (Enterprise o Federated) dipende da come è stato configurato dall’organizzazione proprietaria. Questo significa che dovrai utilizzare il tipo di directory scelto dall’organizzazione proprietaria.

Poiché sei il trustee e il dominio è già stato configurato dal proprietario (consulta Verifica della proprietà dei domini in Configurare i domini per dettagli), non devi intraprendere alcuna azione aggiuntiva. Quando la richiesta di accesso è approvata dal proprietario, la tua organizzazione potrà accedere alla directory e a tutti i domini a essa collegati, come configurato dall’organizzazione proprietaria.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Richieste di accesso e verifica lo stato di ciascuna directory per la quale hai richiesto l’accesso.

  3. Puoi anche selezionare la riga di una voce nell’elenco delle richieste di accesso e fare clic su Invia nuovamente richiesta o Annulla richiesta.

Se la richiesta di accesso alla directory è approvata dall’organizzazione proprietaria, riceverai una notifica tramite e-mail. La richiesta di affidabilità è rimossa e la directory affidabile e i relativi domini sono visualizzati con lo stato Attivo (affidabile) negli elenchi Directory e Domini.

Ora puoi aggiungere gli utenti finali e i gruppi di utenti e assegnarli ai profili di prodotto.

In qualità di organizzazione trustee, se non hai più necessità di accedere alla directory affidabile, puoi, in qualsiasi momento, ritirare il tuo stato di trustee.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Nella scheda Directory, fai clic sulla directory condivisa dalla quale rimuovere l’accesso.

  3. Nella sezione Dettagli della directory, fai clic su Ritira.

Se ritiri l’accesso da una directory affidabile, qualsiasi utente Enterprise ID o Federated ID appartenente ai domini in tale directory (cioè, che accede utilizzando le credenziali del dominio) è rimosso dalla tua organizzazione. Questi utenti perdono inoltre l’accesso a qualsiasi software concesso loro dalla tua organizzazione.

Proprietario del dominio

Come amministratore di sistema di un’organizzazione proprietaria, puoi approvare o rifiutare le richieste di accesso alle directory di cui sei proprietario. 

Quando ricevi un messaggio e-mail di richiesta per l’accesso a una directory di tua proprietà, puoi approvare o rifiutare la richiesta direttamente dall’email stessa. Per gestire le richieste di registrazione, puoi anche accedere alla scheda Richieste di accesso.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Richiesta di accesso.

  3. Per approvare tutte le richieste, fai clic su Accetta tutto.

    Oppure, per accettare le richieste per registrazioni specifiche, seleziona la casella di controllo a sinistra di ogni riga e fai clic su Accetta.

  4. Nella schermata Accetta richiesta di accesso, fai clic su Accetta.

Una notifica tramite e-mail è inviata agli amministratori di sistema delle organizzazione trustee.

La richiesta di accesso alla directory di tua proprietà può anche essere rifiutata.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Richiesta di accesso.

  3. Seleziona la casella di controllo a sinistra di ciascuna riga e fai clic su Rifiuta.

  4. Nella schermata Rifiuta richiesta di accesso, immetti il motivo del rifiuto della richiesta, quindi fai clic su Rifiuta.

Il motivo del rifiuto è condiviso tramite e-mail con l’organizzazione richiedente. Tuttavia, non sono condivise le tue informazioni relative a e-mail, nome e organizzazione.

L’accesso di un’organizzazione trustee alla quale era stato precedentemente concesso, può essere revocato.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Trustee.

  3. Seleziona la casella di controllo a sinistra di ciascuna riga e fai clic su Revoca.

  4. Nella schermata Revoca trustee, fai clic su Revoca.

Se revochi l’accesso di un’organizzazione trustee, gli utenti con account Enterprise ID o Federated ID di qualsiasi dominio in tale directory sono rimossi dall’organizzazione trustee. Questi utenti perdono inoltre l’accesso a qualsiasi software o servizio concesso loro dall’organizzazione trustee.

Gestire le chiavi di crittografia

Anche se tutti i dati in Creative Cloud e Document Cloud sono crittografati, puoi richiedere ad Adobe di generare chiavi di crittografia dedicate per gli account creati nella directory.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Nella scheda Directory, fai clic sul nome della directory per la quale vuoi attivare la crittografia.

  3. Fai clic su Impostazioni.

  4. Nella sezione Chiave dedicata di crittografia, fai clic su Attiva.

    Attiva la chiave di crittografia

  5. Nella finestra di dialogo Attiva la chiave dedicata di crittografia, fai clic su Attiva.

Puoi revocare la chiave dedicata di crittografia per una directory.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Nella scheda Directory, fai clic sul nome della directory per la quale vuoi revocare la crittografia.

  3. Nella schermata Dettagli, fai clic su Impostazioni.

  4. Nella sezione Chiave dedicata di crittografia, fai clic su Revoca.

    Revoca la chiave di crittografia

  5. Nella finestra di dialogo Revoca la chiave dedicata di crittografia, fai clic su Revoca.

Migrazione a un nuovo provider di autenticazione

Se sono ancora presenti directory che utilizzano l’autenticazione SHA-1, ora puoi effettuare senza problemi la migrazione da profili di autenticazione SHA-1 a SHA-2 senza dover creare esplicitamente una nuova directory.

La migrazione consente inoltre di effettuare la migrazione a un provider di identità diverso per una determinata directory.

Attenzione:

Non rimuovere la configurazione esistente nell’IdP fino a quando non hai confermato che la nuova configurazione è andata a buon fine con 2 o 3 account attivi della directory.

Se la rimuovi prima della verifica, non potrai più tornare alla configurazione precedente e dovrai sostenere tempi di inattività mentre risolvi i problemi. Per ulteriori informazioni, segui la procedura di migrazione.

Requisiti di accesso

Per effettuare la migrazione a un profilo di autenticazione SHA-2, devono essere soddisfatti i requisiti seguenti:

  • Accesso ad Admin Console dell’organizzazione con credenziali di amministratore di sistema
  • La directory SHA-1 esistente deve essere configurata per la federazione in Admin Console
  • Accesso per configurare il provider di identità dell’organizzazione (ad esempio, Microsoft Azure Portal, Console di amministrazione Google e così via)

Per informazioni su altri aspetti da considerare durante l’implementazione, consulta Considerazioni sull’implementazione.

Procedura di migrazione

Quando i requisiti di accesso e le considerazioni di implementazione sono stati soddisfatti, segui la procedura riportata di seguito per modificare il profilo di autenticazione ed effettuare la migrazione della directory:

  1. In Adobe Admin Console, seleziona Impostazioni > Directory.

  2. Seleziona l’azione Modifica per la directory. Seleziona quindi Aggiungi nuovo IdP nei Dettagli della directory.

  3. Seleziona il provider di identità per configurare il nuovo profilo di autenticazione. Seleziona il provider di identità (IdP) utilizzato dalla tua organizzazione per autenticare gli utenti. Fai clic su Avanti.

  4. In base a quale provider di identità hai scelto, segui i passaggi riportati di seguito:

    • Per Azure
      accedi ad Azure con le credenziali dell’Amministratore globale di Microsoft Azure Active Directory e Accetta la richiesta di autorizzazione. Passerai nuovamente ai dettagli della directory in Admin Console.

    • Per Google:

      1. Copia l’URL ACS e l’ID entità dalla schermata Modifica configurazione SAML.
      2. In un’altra finestra, accedi alla Console di amministrazione Google con le credenziali dell’amministratore Google e seleziona Apps > SAML Apps.
      3. Usa il segno + per aggiungere una nuova app e seleziona l’app Adobe. Scarica quindi i metadati IDP nell’opzione 2 e caricali in Modifica configurazione SAML in Adobe Admin Console. Fai quindi clic su Salva.
      4. Conferma le Informazioni di base per Adobe. Per terminare, immetti l’URL ACS e l’ID entità copiati in precedenza in Service Provider Details.
      5. Seleziona infine Apps > SAML apps > Settings for Adobe > Service Status. Imposta Service Status su ON for everyone e Salva.
      Service status

    • Per altri provider SAML:

      1. Accedi all’applicazione del provider di identità in una finestra diversa e crea una nuova app SAML. (Non modificare l’app SAML esistente per evitare interruzioni durante la migrazione).
      2. In base alle impostazioni del provider di identità, copia il file di metadati o l’URL ACS e l’ID entità da Adobe Admin Console nelle impostazioni del provider di identità.
      3. Carica il file di metadati dall’impostazione del provider di identità in Adobe Admin Console. Fai quindi clic su Salva.

  5. In Adobe Admin Console > Dettagli directory, viene creato il nuovo profilo di autenticazione. Utilizza la funzione Verifica per controllare se la configurazione è corretta e garantire che tutti gli utenti finali abbiano accesso alle app SAML.

    La funzione Verifica garantisce che il formato del nome utente per il nuovo profilo di autenticazione nell’IdP corrisponda alle informazioni utente per il profilo esistente per l’accesso utente.

  6. Fai clic su Attiva per effettuare la migrazione al nuovo profilo di autenticazione. Al termine, nel nuovo profilo viene visualizzato In uso.

    Dopo l’attivazione, verifica che il valore del campo Subject nell’asserzione dalla nuova configurazione SAML corrisponda al formato nome utente degli utenti esistenti in Admin Console.

    Attenzione:

    Quando la nuova configurazione dell’IdP è attiva, il profilo Okta SHA-1 rimarrà inattivo e disponibile per sette giorni, dopodiché la scheda del profilo inattiva verrà rimossa automaticamente dalla directory in Adobe Admin Console. Il solo modo per ripristinare un profilo Okta rimosso consiste nell’effettuare una richiesta di supporto con gli ingegneri di Adobe. 

Una volta effettuata la migrazione della directory al provider SAML supportato da SHA-2, puoi spostare i domini da altre directory SHA-1 alla nuova directory con la migrazione dei domini.

Per ulteriori informazioni su alcune limitazioni ed evitare errori durante la configurazione, consulta Domande frequenti: migrazione della directory a un nuovo provider di autenticazione.

Spostamento di domini tra directory

Le organizzazioni possono strutturare le directory spostando i domini dalle directory di origine alle directory di destinazione in Admin Console. Puoi riorganizzare il collegamento tra dominio e directory in base alle esigenze dell’organizzazione senza che gli utenti finali perdano l’accesso a prodotti, servizi o risorse archiviate. Il consolidamento dei domini configurati per lo stesso provider di identità in un’unica directory semplifica la gestione per i team IT.

Se prevedi di effettuare la migrazione di domini da una directory a un’altra che contiene un nuovo provider di identità (Azure, Google o altri SAML) con autenticazione SHA-2, dovrai replicare la nuova configurazione IdP in entrambe le directory. La nuova configurazione IdP consente di provare gli accessi per gli utenti di tutti i domini presenti nella directory. A seconda del nuovo provider di identità, effettua le operazioni riportate di seguito:

  • Per Microsoft Azure: aggiungi un nuovo IdP Azure alla directory e accedi allo stesso tenant Azure.
  • Per altri provider SAML (compreso Google): carica lo stesso file di metadati che punterà alla stessa app SAML nel tuo IdP.

Al termine della migrazione del dominio, gli utenti che appartengono alla nuova directory potranno ancora accedere. In questo modo elimini i tempi di inattività e garantisci l’accesso immediato alle app e ai servizi Adobe assegnati. 

Nota:

Durante il trasferimento del dominio, gli utenti sono disconnessi dai loro account e non possono accedere a una nuova sessione. Si consiglia di modificare le directory fuori dagli orari di ufficio per ridurre le interruzioni alle attività degli utenti.

Perché spostare i domini

Puoi trarre vantaggio da questa funzionalità negli scenari seguenti:

  • Nelle directory supportate da SHA-1 precedenti sono presenti domini e vuoi passare alle directory supportate da SHA-2.
  • Desideri effettuare la migrazione di una directory esistente a un altro provider di identità con un profilo di autenticazione SHA-2.
  • Le directory disponibili sono in una relazione affidabile o desideri condividere le directory in modo affidabile, senza consentire l’accesso a tutti i domini all’interno della directory affidabile.
  • Devi raggruppare le directory in base ai team e ai reparti dell’organizzazione.
  • Hai diverse directory collegate a singoli domini e vuoi consolidarle.
  • Hai collegato per sbaglio un dominio alla directory errata.
  • Desideri spostare autonomamente un dominio da Enterprise ID a Federated ID o da Federated ID a Enterprise ID.

Gestione delle directory crittografate o affidabili

Se le directory di origine o di destinazione sono crittografate o si trovano in una relazione affidabile, non puoi spostare direttamente i domini. Per spostare i domini in questi casi, segui le istruzioni riportate:
 

Esempio di utilizzo

Approccio suggerito

Per spostare un dominio da un’organizzazione Admin Console a un’altra

Contatta l’Assistenza clienti Adobe

Per spostare domini tra le directory che si trovano in una relazione affidabile tra di loro

Segui la procedura seguente

Per spostare domini tra le directory che si trovano in una relazione affidabile ma non tra di loro

Ritira la relazione affidabilesposta i domini, quindi stabilisci nuovamente la relazione affidabile.

Attenzione:

Il passaggio di domini da e per una directory crittografata non è attualmente supportato.

Spostamento di domini

Segui la procedura riportata di seguito per trasferire i domini da una directory di origine a una directory di destinazione:

  1. Accedi ad Adobe Admin Console e seleziona Impostazioni.

  2. Passa a Domini e seleziona i domini che vuoi spostare nella directory di destinazione. Fai quindi clic su Modifica directory.

    Modifica directory

  3. Seleziona una directory dall’elenco a discesa nella schermata Modifica directory. Utilizza il selettore in basso per attivare o disattivare le notifiche di completamento. Fai quindi clic su Salva.

    Seleziona directory

Passi quindi alla sezione Domini in Impostazioni > Identità. Sono elencati tutti i domini e i relativi stati.

Quando i domini sono stati trasferiti correttamente, gli amministratori di sistema ricevono un messaggio e-mail relativo al trasferimento del dominio. Puoi quindi modificare i nomi delle directory e eliminare le directory vuote secondo necessità.

Eliminazione delle directory e rimozione dei domini

Da Admin Console puoi eliminare le directory e i domini che non sono più utilizzati.

Nota:

Non puoi eliminare una directory che contiene:

  • Utenti attivi
  • Domini collegati
  • Trustee

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Directory.

  3. Seleziona la casella di controllo a sinistra di uno o più nomi di directory e fai clic su Elimina directory.

  4. Nella schermata Elimina directory, fai clic su Elimina.

Nota:

Non puoi rimuovere un dominio se in Admin Console sono presenti utenti con tale dominio o se il dominio è collegato a una o più directory.

  1. Accedi ad Admin Console e seleziona Impostazioni > Identità.

  2. Seleziona la scheda Domini.

  3. Seleziona la casella di controllo a sinistra di uno o più nomi di dominio e fai clic su Elimina.

  4. Nella schermata Rimuovi domini, fai clic su Rimuovi.