Adobe Admin Console ofrece un método para que los usuarios de Adobe para empresas puedan autenticarse con los servicios de Adobe para empresas mediante su sistema de gestión de identidades. Esto es posible gracias a la integración de los sistemas de gestión de identidades que cuentan con la función de inicio de sesión único (SSO). El inicio de sesión único se activa mediante SAML, un protocolo estándar del sector que conecta los sistemas de gestión de identidades empresariales con los proveedores de servicios en la nube, como es el caso de Adobe. El inicio de sesión único puede intercambiar de forma segura la información relacionada con la autenticación entre diferentes partes: por un lado, el proveedor de servicios (Adobe), y por el otro, el proveedor de identidades (IdP). El proveedor de servicios envía una solicitud al proveedor de identidades, y este intenta autenticar al usuario. Después de que se procese la autenticación, el proveedor de identidades envía un mensaje de respuesta y permite que el usuario inicie sesión. Para obtener instrucciones detalladas, consulte Configuración del inicio de sesión único.

Planificación

Adobe ofrece tres tipos diferentes de identidades:

  • Enterprise ID: la empresa crea y posee la cuenta. Adobe administra las credenciales y procesa el inicio de sesión.
  • Federated ID: la empresa crea y posee la cuenta, que está vinculada con el directorio empresarial mediante la federación, y la empresa o el centro educativo administra las credenciales y procesa el inicio de sesión mediante el inicio de sesión único.
  • Adobe ID: el usuario crea y posee su cuenta. Adobe administra las credenciales y procesa el inicio de sesión.

Adobe recomienda a las organizaciones que elijan Enterprise ID o Federated ID para controlar la propiedad de la cuenta y los datos. Para obtener más información, haga clic en aquí.

Sí, se puede tener una combinación de Enterprise ID, Federated ID y Adobe ID, aunque no dentro del mismo dominio reivindicado.

Enterprise ID y Federated ID son exclusivos dentro del dominio. Por lo tanto, solo puede elegir uno de ellos. Puede utilizar un Adobe ID junto con un Federated ID o un Enterprise ID.

Por ejemplo, si una empresa reivindica solo un dominio, el administrador de TI puede elegir entre Enterprise ID o Federated ID. Si una empresa reivindica varios dominios dentro de la misma empresa, el administrador de TI puede usar un dominio con Adobe ID y Enterprise ID, y otro con Adobe ID y Federated ID, y viceversa. Esto significa que, por cada dominio, puede tener Enterprise ID o Federated ID junto con Adobe ID.

Administrar las licencias de Adobe con Federated ID es más rápido, fácil y seguro.

  • Los administradores de TI controlan la autenticación y el ciclo de vida del usuario.
  • Cuando se elimina a un usuario del directorio de la empresa, este deja de tener los privilegios necesarios para acceder a las aplicaciones de escritorio, a los servicios o a las aplicaciones móviles.
  • Los Federated ID permiten a las empresas aprovechar los sistemas de administración de identidades existentes.
  • Dado que los usuarios finales utilizan el sistema de identidad estándar de la empresa, el departamento de TI no tiene que hacerse cargo de un proceso diferente de administración de contraseñas.

Al iniciar sesión, los usuarios finales se redirigen a la plataforma de inicio de sesión único estándar de su empresa, con la que están familiarizados.

Sí. Puede cambiar de Enterprise ID a Federated ID usando el mismo dominio. Para obtener más detalles, consulte cómo mover dominios por directorios.

Sí, puede federar su directorio de empresa y su infraestructura de inicio de sesión y autenticación con Adobe a través de su proveedor de identidades compatible con SAML 2.0.

No. Cuando se reivindica un dominio para Federated ID, no se producen cambios en los Adobe ID existentes que tienen direcciones de correo electrónico en ese mismo dominio. Los Adobe ID que formen parte de su Admin Console no se verán afectados.

La migración de activos es un proceso automatizado. Al iniciar este proceso, todos los contenidos admitidos que estén actualmente almacenados en su cuenta de Adobe ID se migran a su cuenta de Enterprise ID o Federated ID. Para obtener más información, consulte Migración de activos automatizada.

La implementación de los Federated ID de Adobe nos permite encargarnos de la autorización, pues de la autenticación se encarga el proveedor de identidades (IdP).

Como organización empresarial, puede crear un vínculo entre sus servicios de autenticación (mediante una estructura de identificadores empresariales como Active Directory) y los de Adobe. Esto permite que la organización empresarial aloje la autenticación. Adobe no almacena ninguna contraseña, por lo que los administradores de TI no pueden restablecerlas ni editar los nombres de usuario de los Federated ID a través de Adobe Admin Console.

Sí, puede hacerlo mediante la función Importar usuarios de Adobe Admin Console. Para obtener más información, consulte Añadir varios usuarios.

No. Adobe se interrelaciona con los proveedores de identidades, pero no directamente con los directorios de empresa. Sin embargo, sí que admite la importación de información de los usuarios y grupos desde los directorios de empresa a Adobe Admin Console. Para obtener más información, consulte Añadir varios usuarios.

Adobe recomienda que todos los administradores de empresas cambien sus usuarios Adobe ID a Federated ID. Puede migrar de Adobe ID a Federated ID siguiendo estos pasos.

Adobe utiliza el extendido lenguaje seguro y estándar del sector Security Assertion Markup Language (SAML), o Lenguaje de marcado para confirmaciones de seguridad, lo que significa que la implementación del SSO se integra fácilmente con cualquier proveedor de identidades que admita SAML 2.0.

A continuación, se muestra una lista de algunos proveedores de identidades compatibles con SAML 2.0:

  • Okta
  • Federación de identidades de Oracle
  • Servicios de federación de Active Directory de Microsoft
  • Microsoft Azure AD#
  • Federación de Google# 
  • Ping Federate
  • Proveedor de identidades de Salesforce con firma de una autoridad de certificados externa
  • Federación de una entidad de certificación (CA)
  • ForgeRock OpenAM
  • Shibboleth
  • Access Manager de NetIQ
  • OneLogin
  • Access Manager de Novell

Nota:

#Si su proveedor de identidades es Microsft Azure AD o Google, puede omitir el método basado en SAML y usar Azure AD Connector o el SSO de federación de Google para configurar el SSO con Adobe Admin Console respectivamente. Estas configuraciones se establecen y administran con Adobe Admin Console y utilizan un mecanismo de sincronización para administrar las identidades y los derechos de los usuarios.

Sí, siempre y cuando se siga el protocolo SAML 2.0.

Sí. Además, el proveedor de identidades debe ser compatible con SAML 2.0.

Como mínimo, el proveedor de identidades debe disponer de lo siguiente:

  1. Certificado de IDP
  2. URL de inicio de sesión de IDP
  3. Enlace de IDP: HTTP-POST o HTTP-Redirect
  4. Dirección URL del Servicio del consumidor de aserciones (ACS por sus siglas en inglés) del IDP. Debe ser capaz de aceptar solicitudes de SAML y el estado del relé.

Si tiene más dudas, consulte con su proveedor de identidades.

No, nunca se ha descifrado un certificado de 2048 bits. Además, el único grupo que ha descifrado siempre correctamente un certificado de hasta 768 bits (el grupo Lenstra), estimó que, con el mismo hardware, le habría llevado 1000 años descifrar un certificado de 1024 (una hazaña unas 32.000.000 veces más fácil que descifrar un certificado de 2048 bits).

Si desea acceder a los datos más curiosos y recientes sobre estimaciones para el descifrado de certificados de distintas longitudes, visite esta página web. Para conseguir una imagen divertida (precisa, pero orientada al marketing) de lo seguros que son estos certificados, vaya a este sitio web (o al sitio web de estadísticas de apoyo).

No, ese límite se encuentra en los certificados que se usan para codificar el canal de comunicación entre el navegador y el servidor. En cambio, estos certificados IdP se utilizan para firmar (no codificar) los datos que pasan a través de dicho canal codificado. El navegador no considera estos certificados: solo se utilizan entre Adobe y el IdP del cliente.

Puede obtener buenos certificados de 2048 bits de categoría comercial por aproximadamente 10 dólares por año de duración. Además, los certificados que utilizan los IdP pueden ser autofirmados, lo que significa que se pueden generar con software de código abierto de forma gratuita.

No, porque hay otras dos capas de sólido cifrado que comprueban la identidad del IdP, y que se tendrían que descifrar antes de poder hacerse pasar por el IdP. Además, estas otras dos capas no son autofirmadas. Es decir, que se tendría que descifrar no solo el certificado que fuerza el cifrado, sino también el certificado del firmante que generó ese certificado.

Para obtener el número de teléfono y la dirección de correo electrónico de Asistencia técnica premium, consulte el correo electrónico de bienvenida y el PDF adjunto que se le envió al administrador de su cuenta.

El mismo terminal de URL se puede utilizar para varios directorios. Sin embargo, los metadatos de federación se administrarán por separado para cada IdP. Por lo tanto, el terminal de IdP común deberá manejar las solicitudes cuyo contenido sea diferente.

Sí, si la integración SAML del directorio utiliza formato de nombre de usuario y los nombres de usuarios en Admin Console son idénticos a los ID persistentes proporcionados. Sin embargo, esto requeriría que los ID persistentes deban estar disponibles en el momento en que los usuarios se sincronicen en Admin Console. Este no es un escenario común y, por lo tanto, en la práctica, no se admitiría formato persistente para el elemento NameID.

No. El valor del elemento NameID se usa como nombre de usuario en Admin Console; NameQualifier se ignora.

El nombre, el apellido y la aserción del correo electrónico de cada usuario son obligatorios. Sin embargo, no tienen que coincidir con los datos en el directorio, pero el correo electrónico debe ser único para cada usuario.

Sí. Adobe admite certificados SHA256. Para más detalles, consulte Configurar la identidad.

Sí. Deberá entregar los certificados firmados por CA al servicio de Asistencia al cliente de Adobe y los cargaremos para ellos.

Para continuar, Inicie sesión en Admin Console, vaya a Asistencia > Resumen de asistencia técnica y haga clic en Crear incidencia. Para obtener más información, consulte Cómo crear y gestionar incidencias de asistencia técnica.

De manera predeterminada, los certificados de Okta son autofirmados. Por excepción (y posiblemente abonando una tarifa) pueden disponer del certificado firmado por una CA pública en su lugar.

Instrucciones

Para obtener instrucciones detalladas, consulte Configuración del inicio de sesión único, donde encontrará los pasos necesarios para configurar el inicio de sesión único con las aplicaciones de escritorio, los servicios y las aplicaciones móviles de Adobe.

No. Admin Console no admite el envío de notificaciones a los usuarios finales. Como cliente de Adobe para empresas, debe distribuir sus propias notificaciones después de que los usuarios estén listos para empezar a utilizar el inicio de sesión único con el software y los servicios de Adobe.

No, si elimina o deshabilita un usuario o ID de su directorio de empresa, el usuario o ID no se eliminará automáticamente en Adobe Admin Console. Sin embargo, el usuario ya no contará con los derechos necesarios ni podrá iniciar sesión en las aplicaciones de escritorio, los servicios o las aplicaciones móviles de Adobe Creative Cloud, ni tampoco en las aplicaciones de Acrobat DC. Para eliminarlo de Admin Console, tendrá que hacerlo manualmente.

Sí, tendrá que utilizar Adobe Admin Console para administrar a los usuarios, los grupos y los derechos pertinentes. Sin embargo, recuerde que una vez que haya creado los grupos en Admin Console, puede cargar un archivo CSV que incluya información de los usuarios y los grupos. De este modo se crea la cuenta de usuario y se asigna al grupo especificado.

No, las contraseñas de los Federated ID no se pueden restablecer a través de Adobe Admin Console. Adobe no almacena las credenciales de los usuarios. Para administrar las credenciales de los usuarios debe utilizar su proveedor de identidades.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea