Die Adobe Admin Console ermöglicht es Unternehmensbenutzern, sich mit den vorhandenen Identitätsverwaltungssystemen per Integration in Identitätsverwaltungssysteme mit aktiviertem Single Sign-on (SSO) bei Adobe-Produkten für Unternehmen zu authentifizieren. Single Sign-on wird über SAML aktiviert, einem branchenüblichen Standardprotokoll zum Verbinden von Unternehmensidentitätsverwaltungssystemen mit Cloud-Dienstanbietern wie Adobe. SSO ermöglicht den sicheren Austausch von Authentifizierungsinformationen zwischen zwei Parteien: dem Dienstanbieter (Adobe) und Ihrem Identitätsanbieter (Identity Provider, IdP). Der Dienstanbieter sendet eine Anforderung an Ihren IdP, der versucht, den Benutzer zu authentifizieren. Der IdP sendet nach der Authentifizierung eine Antwortnachricht zum Anmelden des Benutzers. Ausführliche Anweisungen finden Sie unter Konfigurieren von Single Sign-on.

Planung

Welche Identitätstypen sind beim Bereitstellen von personengebundenen Lizenzen möglich?

Adobe bietet drei verschiedene Identitätstypen:

  • Enterprise ID: Die Organisation erstellt ein Konto, dessen Eigentümer sie ist. Adobe verwaltet die Anmeldeinformationen und verarbeitet die Anmeldung.
  • Federated ID: Die Organisation erstellt ein Konto, dessen Eigentümer sie ist, und stellt per Verbund eine Verbindung mit dem Unternehmensverzeichnis her. Das Unternehmen oder die Bildungseinrichtung verwaltet die Anmeldeinformationen und verarbeitet die Anmeldung per Single Sign-on.
  • Adobe ID: Der Benutzer erstellt ein Konto, dessen Eigentümer er ist. Adobe verwaltet die Anmeldeinformationen und verarbeitet die Anmeldung.

Adobe empfiehlt Organisationen, sich für Enterprise ID oder Federated ID zu entscheiden, um die Kontrolle über das Konto und das Dateneigentum zu behalten. Weitere Informationen finden Sie hier.

Können in meiner Bereitstellung verschiedene Identitätstypen verwendet werden?

Ja. Sie können eine Kombination von Enterprise IDs, Federated IDs und Adobe IDs verwenden, allerdings nicht innerhalb derselben beanspruchten Domäne.

Enterprise ID und Federated ID schließen sich auf Domänenebene gegenseitig aus. Deshalb können Sie sich nur für jeweils eine entscheiden. Sie können Adobe IDs zusammen mit Federated IDs oder zusammen mit Enterprise IDs verwenden.

Wenn z. B. ein Unternehmen nur eine Domäne beansprucht, kann der IT-Administrator Enterprise IDs oder Federated IDs wählen. Wenn eine Organisation mehrere Domänen in einem Unternehmen beansprucht, kann der IT-Administrator eine Domäne mit Adobe IDs und Enterprise IDs, eine weitere Domäne mit Adobe IDs und Federated IDs verwenden usw. Das bedeutet, dass Sie für jede Domäne entweder Enterprise IDs oder Federated IDs zusammen mit Adobe IDs verwenden können.

Welche Vorteile bieten Federated IDs?

Die Verwaltung von Adobe-Lizenzen unter Federated IDs ist schneller, einfacher und bietet höhere Sicherheit.

  • IT-Administratoren steuern die Authentifizierung und den Benutzerlebenszyklus.
  • Wenn Sie einen Benutzer aus dem Unternehmensverzeichnis entfernen, verfügt er über keine Zugriffsrechte für die Desktop-Applikationen, Dienste und mobilen Apps mehr.
  • Mit Federated IDs können Organisationen bereits vorhandene Benutzer-Identitätsverwaltungssysteme nutzen.
  • Da die Endanwender das Standardidentitätssystem Ihrer Organisation verwenden, braucht die IT-Abteilung keinen eigenen Kennwortverwaltungsprozess zu verwalten.

Die Endanwender werden bei der Anmeldung zur vertrauten, standardmäßigen Single Sign-on-Umgebung Ihrer Organisation weitergeleitet.

Wenn ich bereits eine Domäne für die Verwendung mit Enterprise IDs beansprucht habe, kann ich dann zu Federated IDs wechseln und dabei dieselbe Domäne verwenden?

Die Möglichkeit, für eine bereits beanspruchte Domäne den Identitätstyp zu wechseln, ist noch nicht verfügbar. Wenn Sie eine oder mehrere Domänen beansprucht haben, um sie als Enterprise IDs zu konfigurieren, und dieselbe(n) Domäne(n) als Federated IDs konfigurieren möchten, senden Sie eine Online-Supportanfrage über die Adobe Admin Console und wir benachrichtigen Sie, sobald die Funktionalität verfügbar ist.

Ist ein Verbund mit meinem Unternehmensverzeichnis und Adobe über meinen SAML 2.0-kompatiblen Identitätsanbieter möglich?

Ja, Sie können einen Verbund Ihres Unternehmensverzeichnisses und der zugehörigen Authentifizierungsinfrastruktur mit Adobe unter Verwendung Ihres SAML 2.0-kompatiblen Identitätsanbieters erstellen.

Adobe ist an der Verbindung zwischen dem Identitätsanbieter Ihres Unternehmens und dem sogenannten Okta-Mandanten beteiligt. Adobe bietet keine direkte Schnittstelle zu Unternehmensverzeichnissen an, sondern zu Identitätsanbietern.

Wenn ich eine Domäne beanspruche, werden dann alle Adobe IDs in dieser Domäne zu Federated IDs migriert?

Nein. Wenn eine Domäne für Federated IDs beansprucht wird, ändert sich an den vorhandenen Adobe IDs mit E‑Mail-Adressen in dieser Domäne nichts. Vorhandene Adobe IDs in der Admin Console werden beibehalten.

Wie migriere ich von einem alten Adobe ID-Konto zu einem neuen Konto mit Enterprise ID oder Federated ID?

Die Elementmigration ist ein automatisierter Vorgang. Wenn Sie diesen Vorgang veranlassen, werden alle derzeit in Ihrem Adobe ID-Konto gespeicherten unterstützten Inhalte in Ihr Enterprise/Federated ID-Konto migriert. Weitere Informationen finden Sie unter Automatisierte Elementmigration.

Unterstützt Adobe Authentifizierung, Autorisierung oder beides?

Die Federated ID-Implementierung von Adobe unterstützt Autorisierung. Authentifizierung erfolgt über Ihren Identitätsanbieter (Identity Provider, IdP).

Als Unternehmen können Sie eine Verbindung zwischen Ihren Authentifizierungsdiensten (unter Verwendung einer Enterprise ID-Struktur, z. B. Active Directory) und den Authentifizierungsdiensten von Adobe erstellen. Dies ermöglicht dem Unternehmen das Hosten der Authentifizierung. Adobe speichert Kennwörter unter keinen Umständen und IT‑Administratoren können über die Adobe Admin Console keine Kennwörter für Federated IDs zurücksetzen und keine Benutzernamen für Federated IDs bearbeiten.

Kann ich in der Adobe Admin Console mehrere Benutzer auf einmal hinzufügen?

Ja, über die Funktion „Benutzer importieren“, die in der Adobe Admin Console verfügbar ist. Weitere Informationen finden Sie unter Verwalten von Benutzern.

Kann ich direkt in der Admin Console die Zuordnung von Benutzern zu Gruppen mit dem Unternehmensverzeichnis synchronisieren?

Nein. Adobe ist mit Ihrem Identitätsanbieter und nicht direkt mit Ihrem Unternehmensverzeichnis verbunden. Wir unterstützen jedoch das Importieren von Benutzer- und Gruppeninformationen aus Ihrem Unternehmensverzeichnis in die Adobe Admin Console. Weitere Informationen finden Sie unter Verwalten von Benutzern.

Wie migriere ich Adobe IDs zu Federated IDs?

Adobe empfiehlt allen Unternehmensadministratoren, ihre Benutzer mit Adobe ID auf Federated IDs umzustellen. Durch Ausführen dieser Schritte können Sie von Adobe IDs zu Federated IDs migrieren.

Welche Identitätsanbieter werden von Adobe unterstützt?

Adobe verwendet den sicheren und allgemein akzeptierten Branchenstandard Security Assertion Markup Language (SAML). Daher lässt sich die SSO-Implementierung problemlos in beliebige Identitätsanbieter integrieren, die SAML 2.0 unterstützen.

In der folgenden Liste werden einige IdPs aufgeführt, die mit SAML 2.0 kompatibel sind:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • PingFederate
  • Salesforce-IdP mit extern signiertem Zertifikat
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Ist eine Integration möglich, wenn ich einen eigenen SAML-basierten Verbundauthentifizierungsprozess erstellt habe?

Ja, sofern er dem SAML 2.0-Protokoll entspricht.

Wird für die Einrichtung einer Verbundidentität mit Single Sign-on ein SAML 2.0-Identitätsanbieter vorausgesetzt?

Ja. Außerdem muss der Identitätsanbieter mit SAML 2.0 kompatibel sein.

Der SAML-Identitätsanbieter muss mindestens die unten genannten Voraussetzungen erfüllen.

  1. IDP-Zertifikat
  2. URL für die IDP-Anmeldung
  3. IDP-Bindung: „HTTP-Post“ oder „HTTP-Redirect“
  4. Die ACS-URL (Assertion Consumer Service) des IDP. Diese muss SAML-Anforderungen und „RelayState“ akzeptieren können.

Wenden Sie sich an Ihren Identitätsanbieter, wenn Sie weitere Fragen haben.

Beeinträchtigt eine längere Lebensdauer die Sicherheit des Zertifikats?

Nein, es ist bislang noch nie gelungen, ein 2048-Bit-Zertifikat zu entschlüsseln. Die Entschlüsselung eines Zertifikats mit lediglich 768 Bit ist der Lenstra-Gruppe gelungen, die davon ausgeht, dass das Entschlüsseln eines 1024-Zertifikats mit der gleichen Hardware länger als 1000 Jahre dauern würde. Die Entschlüsselung eines 2048-Bit-Zertifikats wäre 32.000.000-mal schwieriger.

Auf dieser Website finden Sie die aktuellen technischen Informationen zur Entschlüsselung von Zertifikaten mit verschiedenen Bit-Längen. Einen informellen, exakten, aber für Marketingzwecke erstellten Überblick über die Sicherheit dieser Zertifikate finden Sie auf dieser Website (oder der Website mit den zugrunde liegenden Berechnungen).

Wird ein länger gültiges Zertifikat von Browsern akzeptiert, obwohl viele Browser Serverzertifikate mit einer Lebensdauer von mehr als drei Jahren ablehnen?

Nein, dieser Grenzwert gilt für Zertifikate, die zum Verschlüsseln der Kommunikationsübertragung zwischen dem Browser und dem Server verwendet werden. IdP-/Okta-Zertifikate werden hingegen zum Signieren (nicht zum Verschlüsseln) der über diese verschlüsselte Verbindung weitergeleiteten Daten verwendet. Diese Zertifikate werden vom Browser nie gelesen, sondern nur zwischen Adobe/Okta und dem IdP des Kunden verwendet.

Ist ein Zertifikat mit starker Verschlüsselung und langer Laufzeit teuer?

Empfehlenswerte kommerzielle 2048-Bit-Zertifikate sind für ca. 10 $/Lebensjahr erhältlich. Zertifikate, die von IdPs verwendet werden, können auch selbst signiert sein, d. h., sie können kostenlos mit Open-Source-Software generiert werden.

Wenn es jemandem gelingt, das Zertifikat meines IdP zu entschlüsseln, kann er dann auch meine Identität annehmen?

Nein, um sich als den IdP auszugeben, müssten zwei Schichten mit starker Verschlüsselung entschlüsselt werden, mit denen die Identität des IdP überprüft wird. Beide dieser Schichten werden nicht selbst signiert, d. h., Sie müssten nicht nur das Zertifikat zum Erzwingen der Verschlüsselung, sondern auch das Zertifikat des Unterzeichners entschlüsseln, der das Zertifikat generiert hat.

An wen wende ich mich, um SSO-Probleme zu beheben?

Wenden Sie sich an den technischen Support von Adobe, indem Sie sich bei der Adobe Admin Console anmelden, um eine Anfrage zu stellen, oder vereinbaren Sie eine persönliche Expert Services-Sitzung.

Die Telefonnummern und E-Mail-Adressen für den Premium-Support finden Sie in der Begrüßungs-E-Mail und der angehängten PDF-Datei, die an Ihren Kontoadministrator gesendet wurden.

Erfordert jedes Verzeichnis in der Admin Console einen eigenen Endpunkt für die SAML-Authentifizierungsanforderungen, wobei der Endpunkt die vollständige URL ist, an die die Anforderung umgeleitet wird? Oder kann ein IdP einen einzelnen Endpunkt anbieten, auf den von mehreren Verzeichnissen zugegriffen wird, und anhand des Inhalts der empfangenen Anforderung bestimmen, von welchem Verzeichnis (oder von welcher Domäne in diesem Verzeichnis) die Anforderung stammt?

Ein URL-Endpunkt kann für mehrere Verzeichnisse verwendet werden. Die Verbundmetadaten werden jedoch für jeden IdP gesondert verwaltet. Daher muss der gemeinsame IdP-Endpunkt Anforderungen verarbeiten, deren Inhalt unterschiedlich ist.

Unterstützt Adobe das beständige Format für das NameID-Element in der SAML-Authentifizierungsantwort?

Ja, wenn die SAML-Integration des Verzeichnisses das username-Format verwendet und die Benutzernamen in der Admin Console mit den angegebenen beständigen IDs identisch sind. Dies setzt jedoch voraus, dass die beständigen IDs zu dem Zeitpunkt verfügbar sind, zu dem Benutzer mit der Admin Console synchronisiert werden. Dies ist kein alltägliches Szenario, weshalb in der Praxis das beständige Format für das NameID-Element nicht unterstützt wird.

Unterstützt Adobe die Verwendung des NameQualifier-Attributs im NameID-Element? Muss der Wert des NameQualifier-Attributs mit dem Wert des NameID-Elements kombiniert werden, um den eindeutigen Benutzernamen in der Admin Console zu erzeugen, und muss die NameID selbst nicht eindeutig sein?

Nein. In der Admin Console wird der Wert des NameID-Elements als Benutzername verwendet. Der NameQualifier wird ignoriert.

In der Adobe-Dokumentation wird angegeben, dass SAML-IdP-Antworten für jeden Benutzer einen Vor- und Nachnamen sowie eine E-Mail-Zusicherung enthalten müssen. Sind diese obligatorisch und müssen sie mit den Daten im Verzeichnis in der Admin Console übereinstimmen?

Der Vorname, der Nachname und die E-Mail-Zusicherung für jeden Benutzer sind obligatorisch. Sie müssen jedoch nicht mit den Daten im Verzeichnis übereinstimmen, aber die E-Mail-Adresse muss für jeden Benutzer eindeutig sein.

Unterstützt Adobe SHA256-Zertifikate für den IdP und den Dienstanbieter?

Nur ausnahmsweise. Dies wird jedoch nicht empfohlen, da es zu einem erheblichen Verwaltungsaufwand beim Aktualisieren eines Teils der Konfiguration führt.

Kann ein IT-Administrator das Signaturzertifikat bereitstellen, das vom Dienstanbieter auf Verzeichnisbasis verwendet werden soll (zum Signieren von Anforderungen und Metadaten)?

Nein. Dies wird derzeit nicht unterstützt.

Kann Adobe die Informationen zur Zertifizierungsstelle bereitstellen, die zum Ausstellen des Dienstanbieterzertifikats verwendet wird?

Okta-Zertifikate sind standardmäßig selbstsigniert. In Ausnahmefällen (und möglicherweise gegen Gebühr) kann das Zertifikat stattdessen von einer öffentlichen Zertifizierungsstelle signiert werden.

Anleitungen

Wie richte ich Single Sign-on (SSO) mit Adobe-Software ein?

Ausführliche Anweisungen zum Einrichten von SSO mit Desktop-Applikationen, Diensten und mobilen Apps von Adobe finden Sie unter Konfigurieren von Single Sign-on.

Ist es möglich, über die Admin Console Ankündigungen an Benutzer zu senden?

Nein. Das Senden von Benachrichtigungen an Endanwender über die Admin Console wird nicht unterstützt. Als Unternehmenskunde müssen Sie eigene Ankündigungen verteilen, sobald Benutzer SSO mit Adobe-Software und ‑Diensten verwenden können.

Wenn ich Benutzer/IDs in meinem Unternehmensverzeichnis deaktiviere, werden sie auch automatisch in der Admin Console deaktiviert?

Nein, wenn Sie einen Benutzer/eine ID in Ihrem Unternehmensverzeichnis deaktivieren, wird der Benutzer/die ID nicht automatisch aus der Adobe Admin Console entfernt oder deaktiviert. Der Benutzer kann sich jedoch nicht mehr bei Adobe Creative Cloud-Desktop-Applikationen, ‑Diensten, mobilen Apps oder Acrobat DC-Applikationen anmelden und verfügt nicht mehr über die entsprechenden Berechtigungen. Sie müssen den Benutzer/die ID manuell aus der Admin Console entfernen.

Muss ich Berechtigungen und Gruppen verwalten und Benutzer mit Federated IDs Gruppen zuweisen?

Ja. Sie müssen Benutzer, Gruppen und Berechtigungen mit der Adobe Admin Console verwalten. Beachten Sie jedoch, dass Sie nach dem Erstellen von Gruppen in der Admin Console eine CSV-Datei hochladen können, die Benutzer- und Gruppeninformationen enthält. Hierdurch wird das Benutzerkonto erstellt und die Benutzer werden in der vorgesehenen Gruppe platziert.

Können IT-Administratoren oder Endanwender Kennwörter für Federated IDs zurücksetzen?

Nein. Sie können Kennwörter für Federated IDs nicht mit der Adobe Admin Console zurücksetzen. Adobe speichert keine Anmeldeinformationen von Benutzern. Verwenden Sie für die Benutzerverwaltung Ihren Identitätsanbieter.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie