Precaución:

A partir del 31 de octubre de 2020, Adobe dejará de ofrecer compatibilidad de los certificados piloto obsoletos de SHA-1 y SHA-256 con directorios federados en la Adobe Admin Console. Será necesario migrar cualquier directorio con un icono de advertencia. Solo tiene que seleccionar el directorio, hacer clic en Editar y seguir el procedimiento de migración para migrarlo.

Tenga en cuenta que todos los directorios recién creados tienen habilitada la autenticación SHA-2 de forma predeterminada.

setup-dir

Configurar directorios: para usar Enterprise ID o Federated ID, comience por configurar un directorio al que pueda vincular uno o más dominios.
Más información >


setup-domains

Configurar dominios: los usuarios finales se autentican frente a los dominios que necesita configurar en Admin Console.
Más información >


link-domains-to-dirs

Vincular dominios a directorios: después de configurar los directorios y los dominios, agrupe los dominios vinculándolos a los directorios.
Más información >


dir-trusting

Apoderamiento de directorios: utilice el apoderamiento de directorios para confiar en administradores del sistema de otras organizaciones.
Más información >


cq5dam_web_1280_1280

Migrar directorios SHA-1 a SHA-2: actualice los directorios autenticados SHA-1 antiguos al perfil SHA-2.
Más información >


move-domains

Mover dominios entre directorios: estructure los directorios moviendo dominios entre directorios dentro de Admin Console.
Más información >


Como administrador del sistema en Admin Console, una de sus primeras tareas es definir y configurar un sistema de identidades con el que se autenticarán los usuarios finales. Dado que la organización compra licencias de productos y servicios de Adobe, será necesario suministrar dichas licencias a los usuarios finales. Por ello, necesitará una forma de autenticar a dichos usuarios.

Adobe le ofrece los siguientes tipos de identidad, que puede utilizar para autenticar a sus usuarios finales:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Si desea disponer de cuentas independientes para los usuarios de su dominio, poseídas y controladas por la organización, debe utilizar los tipos de identidad Enterprise ID o Federated ID (para inicio de sesión único).

Este artículo proporciona los detalles necesarios para configurar el sistema de identidades que necesitará si piensa utilizar Enterprise ID o Federated ID para autenticar a sus usuarios finales.

Este artículo proporciona los detalles necesarios para configurar el sistema de identidades que necesitará si piensa utilizar Enterprise ID o Federated ID para autenticar a sus usuarios finales.

Nota:

Los procedimientos de configuración de directorio y de configuración de dominio descritos en este documento son completamente independientes. Esto significa que puede realizar estos procedimientos en cualquier orden o en paralelo. Sin embargo, el procedimiento para vincular dominios de correo electrónico a directorios se realizará únicamente tras haber terminado estos dos procedimientos.

Términos y conceptos clave

Antes de entrar en los procedimientos, a continuación se explican brevemente algunos conceptos y términos que necesita conocer:

Un directorio, en Admin Console, es una entidad que contiene recursos como usuarios y políticas, por ejemplo, la autenticación. Estos directorios son similares a los directorios LDAP o Active Directories.

Proveedor de identidades de la organización, como son Active Directory, Microsoft Azure, Ping, Okta, InCommon o Shibboleth.

Para obtener más información sobre la configuración de SSO para Creative Cloud con algunos de los IdP de uso común, consulte Temas similares al final del artículo.

Lo crea, posee y administra una organización. Adobe aloja el Enterprise ID y realiza la autenticación, pero la organización es quien mantiene el Enterprise ID. Los usuarios finales no pueden registrarse ni crear un Enterprise ID, ni pueden suscribirse a otros productos y servicios de Adobe con un Enterprise ID.

Los administradores crean el Enterprise ID y lo emiten para los usuarios. Además, los administradores pueden revocar el acceso a los productos y servicios de Adobe al tomar posesión de la cuenta o eliminar el Enterprise ID en cuestión con el fin de bloquear el acceso de forma permanente a los datos asociados.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Enterprise ID:

  • Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
  • Si necesita tener acceso urgente a los archivos y datos asociados a un ID.
  • Si necesita poder bloquear completamente o eliminar una cuenta de usuario.

Lo crea y lo posee una organización, y está vinculado al directorio de la empresa a través de la federación. La organización administra las credenciales y procesa el inicio de sesión único a través de un proveedor de identidades (IdP) SAML2.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Federated ID:

  • Si quiere proporcionar a los usuarios aplicaciones y servicios basándose en el directorio de empresa de la organización.
  • Si quiere administrar la autenticación de los usuarios.
  • Si necesita tener un control estricto sobre las aplicaciones y servicios a los que tienen acceso los usuarios.
  • Si quiere permitir que los usuarios usen la misma dirección de correo electrónico para añadir un Adobe ID.

Nota:

El proveedor de identidades debe ser compatible con TLS 1.2.

Lo crea, posee y administra el usuario final. Adobe realiza la autenticación y el usuario final administra la identidad. Los usuarios conservan el control total sobre los archivos y datos relacionados con su ID. Estos también pueden adquirir productos y servicios adicionales de Adobe. Los administradores invitan a los usuarios a unirse a la organización y pueden eliminarlos de la misma. Sin embargo, a los usuarios no se les puede denegar el acceso a sus cuentas de Adobe ID. El administrador no puede eliminar ni tomar el control de las cuentas. No es necesario realizar ninguna configuración antes de empezar a utilizar los Adobe ID.

A continuación, se mencionan algunos requisitos y casos en los que se recomienda el uso de Adobe ID:

  • Si quiere permitir que los usuarios creen, posean y administren sus identidades.
  • Si quiere permitir que los usuarios adquieran otros productos y servicios de Adobe o se suscriban a ellos.
  • Si se espera que los usuarios usen otros servicios de Adobe que no son compatibles actualmente con los Enterprise ID o los Federated ID.
  • Si los usuarios ya tienen sus Adobe ID y cuentan con datos asociados al mismo, como archivos, fuentes o configuraciones. 
  • Para las instalaciones del sector educativo, en las que los estudiantes pueden conservar su Adobe ID después de graduarse.
  • Si tiene contratistas o trabajadores autónomos que no utilicen las direcciones de correo electrónico de dominios que controle.
  • Si tiene un contrato de equipos de Adobe, deberá utilizar este tipo de identidad.

La parte de una dirección de correo electrónico que va después del signo @ es el dominio. Para usar un dominio con Enterprise o Federated ID, primero debe validar su propiedad de ese dominio.

Por ejemplo, si una organización posee múltiples dominios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), pero sus empleados se autentican frente a geometrixx.com. En este caso, la organización utilizará el dominio geometrixx.com para configurar sus identidades en Admin Console.

Administrador del sistema

  • Trabaja con los administradores de directorio de IdP y los administradores de DNS para configurar la identidad en Admin Console. Este documento está destinado a los administradores del sistema, que tendrán acceso a Admin Console. Esta persona tendrá que trabajar con el resto de personas, que (en la mayoría de los casos) no tendrán acceso a Admin Console.

Administrador de DNS

  • Actualiza los token de DNS para validar la propiedad de los dominios

Administrador del directorio del proveedor de identidades (IdP)

  • Crea conectores en el IdP

Las identidades de los usuarios se verifican frente a una fuente de autenticación. Para usar Enterprise ID o Federated ID, configure su propia fuente de autenticación añadiendo un dominio. Por ejemplo, si su dirección de correo electrónico es juan@ejemplo.com, ejemplo.com es el dominio. Añadir un dominio permite la creación de Enterprise ID y Federated ID con direcciones de correo electrónico del dominio en cuestión. Se puede usar un dominio, bien con los Enterprise ID, bien con los Federated ID, pero no con ambos. Sin embargo, puede añadir varios dominios.

Una organización debe validar su control sobre un dominio. Las organizaciones también pueden añadir varios dominios. Sin embargo, un dominio solo se puede añadir una vez. Además, los dominios públicos y genéricos conocidos, como gmail.com o yahoo.com, no se pueden añadir en ningún caso.

Para obtener más información sobre los tipos de identidad, consulte Administrar tipos de identidad.

SHA-1 y SHA-2 son modelos de certificado responsables de la seguridad de los perfiles de autenticación de su directorio. Dado que SHA-2 ofrece una mayor seguridad que los certificados SHA-1 antiguos, todos los perfiles de autenticación nuevos y migrados utilizan el certificado SHA-2.

Crear directorios

Para usar Enterprise ID o Federated ID, comience por crear un directorio al que pueda vincular uno o más dominios.

Nota:

Adobe no admite actualmente flujos de trabajo iniciados por IdP.

Si su organización tiene configurado (o lo tiene previsto) Microsoft Azure como proveedor de SSO, le recomendamos que use nuestro conector de Azure. Además, siga los pasos que se detallan en la sección Configurar Azure Connector: crear un directorio.

Si su organización tiene configurada (o lo tiene previsto) la federación de Google  como proveedor de SSO, le recomendamos que use nuestro conector de Google. Además, siga los pasos que se detallan en la sección Configurar la federación de Google: crear un directorio en la Adobe Admin Console.

Siga el siguiente procedimiento si su organización está utilizando una o varias de las siguientes opciones:

  • Enterprise ID
  • Otro proveedor de SAML que no sea Azure o Google
  • Microsoft Azure o federación de Google, pero no está usando nuestros conectores.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Directorios y haga clic en Crear directorio.

  3. En la pantalla Crear un directorio, introduzca un nombre para el directorio.

  4. Elija Federated ID y haga clic en Siguiente y salte al paso 5.

    Elija Enterprise ID y haga clic en Crear directorio.

    Si crea un directorio de Enterprise ID, habrá terminado con dicho directorio.

    Continúe y configure sus dominios.

  5. (Solo Federated ID) Elija Otros proveedores de SAML y haga clic en Siguiente.

  6. Utilice la pantalla Añadir perfil de SAML para obtener la información de configuración de su proveedor de identidades.

    Algunos proveedores de identidades (IdP) aceptan un archivo de metadatos que puede cargar, mientras que otros pueden requerir la URL de ACS y el ID de entidad. Por ejemplo:

    • En el caso de Azure Active Directory: cargue el archivo de metadatos.
    • En el caso de Google: copie la URL de ACS y el ID de entidad y úselos en el software de IdP de Google.
    • En el caso de SalesForce: descargue el archivo de metadatos, extraiga la información del certificado del archivo y úsela en el software de IdP de SalesForce.

    Nota:

    Las opciones de Azure y Google anteriores son necesarias si ha decidido no utilizar nuestros conectores de Azure y Google, respectivamente.

    Elija uno de los métodos indicados a continuación.

    Método 1:

    Haga clic en Descargar archivo de metadatos de Adobe.

    El archivo de metadatos se descarga en el disco local. Utilice este archivo para configurar la integración de SAML con el proveedor de identidades.

    Método 2:

    Copie el URL de ACS y el ID de entidad.

    Agregar perfil SAML
  7. Cambie a la ventana de su aplicación de IdP y cargue el archivo de metadatos o especifique el URL de ACS y el ID de entidad. Una vez hecho esto, descargue el archivo de metadatos de IdP.

  8. Regrese a la Adobe Admin Console y cargue el archivo de metadatos de IdP en la ventana Añadir perfil SAML y haga clic en Hecho.

El directorio se creará.

  • Si ha elegido crear un directorio de tipo de identidad Enterprise ID, la configuración ha finalizado.
  • Si ha elegido crear un directorio utilizando la opción Otros proveedores de SAML, este directorio utiliza automáticamente la autenticación SHA-2. Los directorios creados anteriormente con autenticación SHA-1 ahora se pueden actualizar a SHA-2 y migrar a otro proveedor de identidades. Para obtener más información, consulte Migrar a nuevo proveedor de autenticación.

A continuación, puede configurar dominios en Admin Console.

Configurar dominios

Nota:

No es necesario añadir manualmente dominios si el directorio de su organización está configurado mediante la sincronización de Microsoft Azure AD Connector o la federación de Google. Los dominios seleccionados validados en la configuración del proveedor de identidades se sincronizan automáticamente en Adobe Admin Console.

Los usuarios finales se autentican frente a los dominios que necesita configurar en Admin Console.

Para configurar dominios:

  1. Añada dominios a Admin Console
  2. Prepárese para validar la propiedad de los dominios añadiendo un registro especial de DNS
  3. Valide los dominios

Los dominios que añada a Admin Console no necesitan estar registrados con el mismo IdP. Sin embargo, al vincular estos dominios a un directorio, es preciso vincular dominios de diferentes IdP a diferentes directorios.

No puede añadir un dominio a Admin Console si ya se ha añadido a Admin Console de otra organización. Puede, sin embargo, solicitar acceso a ese dominio.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. En la pestaña Dominios, haga clic en Añadir dominios.

  3. En la pantalla Añadir dominios, introduzca uno o varios dominios y haga clic en Añadir dominios. Solo puede reclamar y validar 15 dominios a la vez y añadir posteriormente los dominios restantes.

  4. En la pantalla Añadir dominios, compruebe la lista de dominios y haga clic en Añadir dominios.

    Confirme los dominios a añadir

Los dominios se añadirán a la Admin Console. A continuación, demuestre la propiedad de estos dominios.

Las organizaciones deben demostrar su propiedad de un dominio. Las organizaciones pueden añadir tantos dominios como necesiten a Admin Console.

Admin Console permite que una organización utilice un único token de DNS para demostrar la propiedad de todos sus dominios. Asimismo, Admin Console no requiere validación de DNS para subdominios. Esto significa que cuando utilice el token de DNS y demuestre la propiedad de un dominio, todos los subdominios de ese dominio quedan validados inmediatamente a medida que se añaden a Admin Console.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad; a continuación, vaya a la pestaña Dominios.

  2. Haga clic en  y elija Token DNS de acceso en la lista desplegable.

  3. Trabaje con su administrador de DNS para agregar un registro DNS especial para los dominios que haya agregado.

  4. Para verificar que el dominio le pertenece, debe añadir un registro TXT al token DNS generado. Las instrucciones exactas dependen del host de su dominio. Para directrices genéricas, consulte verificar la titularidad de un dominio.

  5. Agregue información a sus servidores DNS para completar este paso. Hágaselo saber al administrador de DNS con antelación, de modo que este paso se pueda completar a tiempo.

    Adobe comprueba periódicamente los registros DNS de su dominio. Si estos registros son correctos, el dominio se valida automáticamente. Si desea validar el dominio inmediatamente, puede iniciar sesión en la Admin Console y validarlo de forma manual. A continuación, tiene que validar los dominios.

Admin Console intenta validar varias veces al día los dominios que haya añadido, por lo que no es necesario realizar ninguna acción para validar un dominio una vez que los registros de DNS se hayan configurado correctamente.

Validar dominios manualmente

Si necesita validar su dominio inmediatamente, puede hacerlo en Admin Console. Para validar manualmente los dominios:

  1. Inicie sesión en Admin Console.

  2. Vaya a Configuración > Identidad y después a la pestaña Dominios.

  3. Haga clic en Validar.

    Validar dominios
  4. En la pantalla Validar propiedad de dominio, haga clic en Validar ahora.

Es posible que reciba mensajes de error al intentar validar, ya que pueden pasar hasta 72 horas para que los cambios en el DNS entren en vigencia. Para obtener más información, consulte preguntas frecuentes relacionadas con el registro DNS.

Una vez que haya verificado la propiedad de su dominio, vincule los dominios validados a los directorios requeridos de Admin Console.

Después de configurar los directorios y los dominios en Admin Console, debe vincular los dominios a los directorios.

Puede vincular varios dominios al mismo directorio. Sin embargo, todos los dominios que vincule a un único directorio deben compartir la misma configuración de SSO.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Dominios.

  3. Haga clic en la casilla de verificación situada a la izquierda del nombre de dominio y haga clic en Vincular a directorio.

    Si desea vincular varios dominios al mismo directorio, haga una selección múltiple de las casillas de verificación de dichos dominios.

    Vincular dominios a directorio
  4. En la pantalla Vincular a directorio, elija el directorio en la lista desplegable y haga clic en Vincular.

Administrar usuarios

Después de que haya completado la configuración de Enterprise ID o Federated ID, ya podrá poner a disposición de los usuarios los productos y servicios de Adobe adquiridos.

Lea la introducción sobre cómo gestionar usuarios en la Admin Console. O bien, entre directamente y añada usuarios en la Admin Console mediante uno de estos métodos:

Una vez que los usuarios se hayan añadido a la Admin Console, aprovisiónelos asignándolos a perfiles de productos.

Apoderamiento de directorios

La propiedad de un dominio solo puede reivindicarla una única organización. Por consiguiente, considere el siguiente escenario:

Una empresa, Geometrixx, tiene varios departamentos, cada uno de los cuales tiene su propia Admin Console. Además, cada departamento quiere que los usuarios empleen Federated ID, utilizando todos ellos el dominio geometrixx.com.  En este caso, el administrador del sistema de cada uno de estos departamentos querría reivindicar este dominio para autenticación. Admin Console impide que un dominio se añada a las Admin Console de más de una organización diferente. Sin embargo, una vez añadido por un único departamento, otros departamentos pueden solicitar acceso al directorio al que ese dominio está vinculado en nombre de Admin Console de su organización.

El apoderamiento de directorios permite a un propietario de directorio confiar en otros administradores del sistema (apoderados). Después de esto, las organizaciones apoderadas en Admin Console pueden añadir usuarios a cualquier dominio del directorio bajo apoderamiento.

En resumen: Si piensa utilizar Enterprise ID o Federated ID en su Admin Console, debe añadir el dominio asociado con su organización. Si este dominio lo hubiera añadido previamente otra organización, tiene que solicitar acceso como apoderado al directorio que contiene dicho dominio.

Para solicitar acceso a un directorio, consulte los pasos del procedimiento Añadir dominios en el apartado anterior Configurar dominios.

Precaución:

  • Como propietario de un directorio, si aprueba una solicitud de acceso para ese directorio, la organización apoderada tendrá acceso a todos los dominios vinculados a ese directorio, así como a cualquier dominio vinculado a ese directorio en el futuro. Por tanto, la planificación de los vínculos de dominio a directorio es esencial conforme se configura el sistema de identidades de su organización.
  • Antes de añadir, solicitar, revocar o retirar una solicitud de apoderamiento, es muy recomendable que exporte una lista de usuarios en una o varias Admin Console que se utilicen antes de realizar cambios. En esta lista podrá ver de un vistazo todos los datos del usuario, como el nombre, el correo electrónico, los perfiles de producto asignados y las funciones de administrador asignadas en caso de que sea necesario realizar una restauración.
  • Hay ciertos pasos que se pueden seguir para migrar un dominio que incluya una relación de confianza. No es recomendable revocar una relación de confianza al migrar un dominio de confianza para evitar así la pérdida de la cuenta de usuario y el acceso al producto en la organización del apoderado.

Apoderado de dominio

Si añade dominios existentes a la Admin Console, le aparecerá el siguiente mensaje:

Solicitar acceso

Si solicita acceso a este dominio, su nombre, su correo electrónico y el nombre de la organización se comparten en la solicitud al administrador del sistema de la organización propietaria.

El tipo de directorio (Enterprise o Federated) depende de cómo lo haya configurado la organización propietaria. Esto significa que debe utilizar el tipo de directorio que hubiera elegido la organización propietaria.

Dado que el dominio ya lo ha configurado el propietario (consulte Demostrar la propiedad de los dominios en Configurar dominios para obtener más información), como apoderado no tiene que hacer nada más. Cuando la solicitud de acceso la acepte el propietario, su organización tendrá acceso al directorio y a todos sus dominios, en función de cómo lo haya configurado la organización propietaria.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Solicitudes de acceso y compruebe el estado relativo a todos los directorios para los que haya solicitado acceso.

  3. También puede hacer clic en el elemento de fila de la lista de solicitudes de acceso y hacer clic en Volver a enviar solicitud o Cancelar solicitud.

Si la organización propietaria acepta su solicitud de acceso al directorio, en ese caso recibe una notificación por correo electrónico. Su solicitud de apoderamiento desaparece y, en su lugar, aparecen el directorio bajo apoderamiento y sus dominios, con el estado Activo (bajo apoderamiento) en sus listados Directorios y Dominios.

Continúe y añada usuarios finales y grupos de usuarios, y asígnelos a perfiles de productos.

Como organización apoderada, si ya no tiene necesitad de acceder al dominio bajo apoderamiento, puede renunciar a su condición de apoderado en cualquier momento.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. En la pestaña Directorios, haga clic en el directorio compartido para el que desee retirar su acceso.

  3. En la herramienta de detalles del directorio, haga clic en Retirar.

Si retira su acceso a un directorio bajo apoderamiento, todos los usuarios tipo Enterprise ID o Federated ID que pertenezcan a dominios de ese directorio (lo que significa que inician sesión utilizando las credenciales del dominio) se eliminan de su organización. Además, estos usuarios pierden el acceso a cualquier software cuyo acceso les haya concedido su organización.

Propietario de dominio

Como administrador del sistema de una organización propietaria, puede elegir aceptar o rechazar las solicitudes de acceso a los directorios que posea. 

Al recibir una solicitud por correo electrónico para acceder a un directorio que posea, puede optar por aceptarla o rechazarla desde el propio mensaje de correo electrónico. También puede ir a la pestaña Solicitudes de acceso para administrar las solicitudes de reivindicación.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Solicitud de acceso.

  3. Para aceptar todas las solicitudes, haga clic en Aceptar todas.

    O bien, para aceptar solicitudes de determinadas reivindicaciones, haga clic en la casilla de verificación situada a la izquierda de cada fila y haga clic en Aceptar.

  4. En la pantalla Aceptar solicitud de acceso, haga clic en Aceptar.

Se enviará un correo electrónico de notificación a los administradores del sistema de las organizaciones apoderadas.

También puede optar por rechazar la solicitud de acceso a un directorio que posea.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Solicitud de acceso.

  3. Haga clic en la casilla de verificación situada a la izquierda de cada fila y haga clic en Rechazar.

  4. En la pantalla Rechazar solicitud de acceso, introduzca un motivo del rechazo de la solicitud y haga clic en Rechazar.

La razón que facilite se comparte por correo electrónico con la organización solicitante. Sin embargo, su correo electrónico, su nombre y la información de su organización se mantendrán ocultos.

Es posible revocar el acceso de una organización apoderada a la que previamente se haya concedido acceso.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Apoderados.

  3. Haga clic en la casilla de verificación situada a la izquierda de cada fila y haga clic en Revocar.

  4. En la pantalla Revocar apoderado, haga clic en Revocar.

Si se revoca el acceso de una organización apoderada, se eliminan de la organización apoderada los usuarios del tipo Enterprise ID o Federated ID de cualquier dominio de ese directorio. Además, estos usuarios pierden el acceso a cualquier software o servicios cuyo acceso les haya concedido la organización apoderada.

Administración de claves de cifrado

Para obtener más información, consulte cómo administrar cifrado de claves en la Admin Console.

Migrar a nuevo proveedor de autenticación

Hay disponible una opción de autoservicio para migrar los directorios establecidos a un nuevo proveedor de autenticación dentro de Adobe Admin Console.

Precaución:

No elimine la configuración existente en su IdP hasta que haya confirmado que la nueva configuración se ha realizado correctamente con entre 2 y 3 cuentas activas del directorio.

Si se elimina antes de la verificación, perderá la capacidad de volver a la configuración anterior y habrá un tiempo de inactividad mientras se resuelven los problemas. Para obtener más información, siga el procedimiento de migración.

Requisitos de acceso

Para migrar a un nuevo proveedor de autenticación, debe cumplir los siguientes requisitos:

  • Debe tener acceso a Admin Console de su organización con las credenciales de Administrador del sistema
  • Debe tener un directorio existente configurado para la federación en Admin Console
  • Debe tener acceso para configurar el proveedor de identidad de su organización (por ejemplo, Microsoft Azure Portal, la consola de administración de Google, etc.)

Puede encontrar información adicional en Consideraciones sobre la implementación.

Procedimiento de migración

Después de asegurarse de que se cumplen los requisitos de acceso y las consideraciones de implementación, siga el procedimiento que se indica a continuación para editar su perfil de autenticación y migrar su directorio:

  1. En Adobe Admin Console, vaya a Configuración > Directorios.

  2. Seleccione la acción Editar para el directorio. A continuación, seleccione Añadir nuevo IdP en el directorio Detalles.

  3. Seleccione el proveedor de identidades para configurar el nuevo perfil de autenticación. Elija el proveedor de identidades (IdP) que su organización utiliza para autenticar usuarios. Haga clic en Siguiente.

  4. Según su elección del proveedor de identidades, siga los pasos que se indican a continuación:

    • Para Azure
      Inicie sesión en Azure con sus credenciales de administrador global de Microsoft Azure Active Directory y Acepte el mensaje de permiso. Regresará a los detalles de Directorio en Admin Console.

      Consentimiento del administrador global de Microsoft

      Nota:

      • El inicio de sesión de administrador global de Microsoft solo es necesario a la hora de crear una aplicación en el Portal de Azure de la organización. La información de inicio de sesión del administrador global no se almacena y solo se utiliza para el permiso único destinado a crear la aplicación.
      • Al seleccionar el proveedor de identidad para el paso 3 anterior, la opción de Microsoft Azure no debe utilizarse si el campo Nombre de usuario de Adobe Admin Console no coincide con el campo UPN de Azure Portal.
        Si el directorio existente está configurado para que se emplee el Nombre de usuario como Configuración de inicio de sesión del usuario, el nuevo IdP deberá establecerse en la opción Otros proveedores de SAML. La configuración de inicio de sesión se puede confirmar al seleccionar la opción Editar en el directorio actual en Configuración de inicio de sesión del usuario.
      • Si se elige la opción de Microsoft Azure en el paso 3, solo se configurará el proveedor de identidad y no se incluirá ningún servicio de sincronización de directorios en este caso.

    • Para Google:

      1. Copie la URL de ACS y el ID de entidad de la pantalla Editar configuración de SAML.
      2. En otra ventana separada, inicie sesión en la consola de administración de Google con las credenciales de administrador de Google y vaya a Aplicaciones > Aplicaciones de SAML.
      3. Utilice el signo + para añadir una nueva aplicación y seleccione la aplicación de Adobe. A continuación, descargue los metadatos de IDP en Opción 2 y cárguelos en Editar configuración de SAML en Adobe Admin Console. A continuación, haga clic en Guardar.
      4. Confirme la Información básica para Adobe. Introduzca la URL de ACS y el ID de entidad previamente copiados en Detalles del proveedor de servicios para finalizar. Tenga en cuenta que no es necesario configurar Aprovisionamiento de usuarios, ya que actualmente no se admite para directorios existentes.
      5. Por último, vaya a Aplicaciones > Aplicaciones SAML > Configuración para Adobe > Estado del servicio. Active el estado del servicio como ACTIVADO para todos y haga clic en Guardar.
      Estado del servicio
    • Para Otros proveedores de SAML:

      1. Inicie sesión en la aplicación de su proveedor de identidades en una ventana diferente y cree una nueva aplicación SAML. (No edite la aplicación SAML existente para evitar el tiempo de inactividad de la migración).
      2. En función de la configuración del proveedor de identidades, copie el archivo de metadatos o la URL de ACS y el ID de entidad de Adobe Admin Console en la configuración del proveedor de identidades.
      3. Cargue el archivo de metadatos de la configuración del proveedor de identidades en Adobe Admin Console. A continuación, haga clic en Guardar.
  5. En Adobe Admin Console > Información del directorio, se crea el nuevo perfil de autenticación. Utilice la función Prueba para verificar si la configuración está configurada correctamente para garantizar que todos los usuarios finales tengan acceso a las aplicaciones de SAML.

    La función Prueba garantiza que el formato de nombre de usuario del nuevo perfil de autenticación en su IdP coincida con la información de usuario del perfil existente para el inicio de sesión del usuario.

  6. Haga clic en Activar para migrar al nuevo perfil de autenticación. Una vez hecho esto, el nuevo perfil muestra En uso.

    Antes de realizar la activación, vaya a Usuarios del directorio en Adobe Admin Console y compruebe que los nombres de usuario del proveedor de identidad coinciden con los nombres de usuario de Admin Console.

    Para SAML, asegúrese de que el campo Asunto de la aserción de la nueva configuración de SAML coincida con el formato de nombre de usuario de Admin Console.  

    Precaución:

    A partir del 31 de octubre de 2020, Adobe dejará de admitir las configuraciones SAML obsoletas (incluido el certificado piloto SHA-256) para directorios federados en Adobe Admin Consoles.

    Una vez que esté activo un nuevo perfil de autenticación con la actualización de SAML, el perfil obsoleto permanecerá inactivo y disponible durante siete días. Después de 7 días, la tarjeta de perfil inactiva se eliminará automáticamente del directorio en Adobe Admin Console. La única forma de restaurar un perfil obsoleto eliminado es enviar una solicitud de asistencia técnica con Adobe Engineering. 

Después de actualizar la configuración del directorio, puede mover dominios de otros directorios SHA-1 al nuevo directorio utilizando la migración de dominios. Tenga en cuenta que los usuarios de los dominios migrados deben estar en el proveedor de identidad configurado para trabajar con el nuevo directorio de destino.

Para obtener más información sobre las limitaciones y evitar errores que puedan producirse al configurar, consulte Preguntas frecuentes.

Mover dominios entre directorios

Las organizaciones pueden estructurar sus directorios moviendo dominios de directorios de origen a directorios de destino dentro de Admin Console. Puede reorganizar la vinculación de dominio a directorio según las necesidades de su organización sin que los usuarios finales pierdan acceso a sus productos, servicios o contenidos almacenados. La consolidación de dominios configurados para el mismo proveedor de identidades en un solo directorio optimiza la administración para sus equipos de TI.

Si tiene previsto migrar dominios de un directorio a otro que contenga un nuevo proveedor de identidades (Azure, Google u otro SAML) con autenticación SHA-2, deberá replicar la nueva configuración de IdP en ambos directorios. La nueva configuración de IdP permite el inicio de sesión de prueba para los usuarios de todos los dominios del directorio. Realice las siguientes acciones según su nuevo proveedor de identidades:

  • Para Microsoft Azure: agregue un nuevo proveedor de identidades de Azure a su directorio e inicie sesión en el mismo inquilino de Azure.
  • Para otros proveedores de SAML (incluido Google): cargue el mismo archivo de metadatos que señalará a la misma aplicación SAML en su IdP.

Una vez finalizada la migración de dominios, los usuarios que formen parte del nuevo directorio seguirán teniendo la posibilidad de iniciar sesión. Esto eliminará el tiempo de inactividad y garantizará el acceso inmediato a sus aplicaciones y servicios asignados de Adobe. 

Precaución:

  • Las sesiones de los usuarios se cerrarán, y no podrán volver a iniciar una nueva sesión durante la transferencia del dominio. Se recomienda editar directorios en horas de poca actividad para minimizar las interrupciones a los usuarios finales.
  • Hay ciertos pasos que se pueden seguir para migrar un dominio que incluya una relación de confianza. No es recomendable revocar una relación de confianza al migrar un dominio de confianza para evitar así la pérdida de la cuenta del usuario y el acceso al producto en la organización del apoderado.
  • Antes de realizar la migración de cualquier dominio, es muy recomendable que exporte una lista de usuarios en una o varias Admin Console que se utilicen antes de realizar cambios. En esta lista podrá ver de un vistazo todos los datos del usuario, como el nombre, el correo electrónico, los perfiles de producto asignados y las funciones de administrador asignadas en caso de que sea necesario realizar una restauración. 

Por qué mover dominios

Puede beneficiarse de esta función en los siguientes casos:

  • Tiene dominios en directorios compatibles con SHA-1 antiguos y desea trasladarse a directorios compatibles con SHA-2.
  • Desea migrar un directorio existente a otro proveedor de identidades con un perfil de autenticación SHA-2.
  • Tiene directorios en una relación de confianza o desea compartir directorios para establecer una relación de confianza, sin permitir acceso a todos los dominios dentro del directorio de confianza.
  • Tiene que agrupar directorios en función de los equipos y departamentos de la organización.
  • Tiene una serie de directorios vinculados a dominios únicos y quiere consolidarlos.
  • Accidentalmente vinculó un dominio a un directorio incorrecto.
  • Desea que un paquete de autoservicio traslade un dominio de Enterprise ID a Federated ID o de Federated ID a Enterprise ID.

Gestión de directorios cifrados o de confianza

Si los directorios de origen o destino están cifrados o están en una relación de confianza, no puede mover los dominios directamente. Siga las instrucciones para mover dominios en estos casos:

Caso práctico

Ejemplo

Acción recomendada

Mover dominios entre directorios que están en la misma relación de confianza
Un Directorio 1 y un Directorio 2 están configurados en una Console A y ambos tienen una relación de confianza establecida con una Console B.
Siga el procedimiento para mover dominios.

Mover dominios entre directorios que están en relaciones de confianza

* Vea la Figura A para ver los diagramas del proceso

Un Directorio 1 está configurado en una Console A y tiene una relación de confianza establecida con una Console B.

En la Console A, un dominio del Directorio 1 (dominio X) debe moverse al Directorio 2.

  1. Exporte una lista de usuarios en la Console propia del apoderamiento y todas las consolas apoderadas antes de realizar cambios.
  2. Establezca una relación de confianza entre todos los apoderados y el directorio de destino (Directorio 2) en la Console A.
  3. Mueva dominios del directorio actual (Directorio 1) al directorio de destino (Directorio 2) en la Console A.
  4. Revoque la relación de confianza de los apoderados del Directorio 1 en la Console A.
  5. El apoderado elimina el dominio revocado de la Console B (repita este paso por cada apoderado adicional).
  6. Cuando el Directorio 1 se encuentre vacío sin ningún dominio o apoderamiento, puede eliminar dicho directorio vacío.

Mover un dominio o directorio que contiene varios dominios a otra Admin Console en su organización

Un Directorio 1 está configurado en una Console A. Pero el Directorio 1 y sus dominios reivindicados deben moverse a la Console B para obtener su titularidad.

Ponerse en contacto con el Servicio de atención al cliente de Adobe.

Mover dominios a un directorio cifrado o desde este en la misma Admin Console.

El Directorio 1 tiene la opción de cifrado activada y es necesario que un dominio del Directorio 2 de la misma Admin Console migre al Directorio 1.

La función de mover dominios a un directorio cifrado o desde este no se admite actualmente.

Estado original

Estado original

Estado de apoderamiento

Estado de apoderamiento

Estado de migración

Estado de migración

Figura A

Mover dominios

Siga el proceso indicado a continuación para transferir dominios de un directorio de origen a un directorio de destino:

  1. Inicie sesión en Adobe Admin Console y vaya a Configuración.

  2. Navegue hasta Dominios y seleccione los dominios que desea mover al directorio de destino. Luego, haga clic en Editar directorio.

    Editar directorio
  3. Seleccione un directorio en el menú desplegable en la pantalla Editar directorio. Use el botón de alternancia en la parte inferior para activar o desactivar las notificaciones de finalización. A continuación, haga clic en Guardar.

    Seleccionar directorio

Se le redirigirá a la sección Dominios, en Configuración > Identidad. Se enumerarán todos los dominios con su estado.

Una vez que los dominios se hayan transferido con éxito, los administradores del sistema recibirán un correo electrónico sobre la transferencia del dominio. A continuación, puede editar nombres de directorios y eliminar directorios vacíos según sea necesario.

Eliminar directorios y retirar dominios

Puede eliminar directorios y dominios que ya no se usen de Admin Console.

Nota:

No se puede eliminar un directorio con:

  • Usuarios activos
  • Dominios vinculados
  • Apoderados

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Directorios.

  3. Haga clic en la casilla de verificación situada a la izquierda de uno o más nombres de directorio y haga clic en Eliminar directorios.

  4. En la pantalla de eliminación de directorios, haga clic en Eliminar.

Nota:

No se puede eliminar un dominio si hay usuarios con ese dominio en Admin Console o si el dominio está vinculado a uno o varios directorios.

  1. Inicie sesión en Admin Console y vaya a Configuración > Identidad.

  2. Vaya a la pestaña Dominios.

  3. Haga clic en la casilla de verificación situada a la izquierda de uno o más nombres de dominio y haga clic en Eliminar.

  4. En la pantalla Eliminar dominios, haga clic en Eliminar.