De Adobe Admin Console biedt een methode voor gebruikers in ondernemingen om zich bij ondernemingsproducten van Adobe te verifiëren met hun bestaande systemen voor identiteitsbeheer door middel van integratie met identiteitsbeheersystemen die eenmalige aanmelding ondersteunen. Eenmalige aanmelding wordt ingeschakeld met behulp van SAML. Dit is een protocol dat voldoet aan de industriestandaard en dat bedrijfssystemen voor identiteitsbeheer verbindt met aanbieders van cloudservices, zoals Adobe. Met eenmalige aanmelding kunnen verificatiegegevens veilig tussen twee partijen worden uitgewisseld: de serviceprovider (Adobe) en uw identiteitsprovider (IdP). De serviceprovider stuurt een verzoek naar uw IdP en die probeert om de identiteit van de gebruiker te verifiëren. Na de verificatie verzendt de IdP een responsbericht om de gebruiker aan te melden. Zie Eenmalige aanmelding configureren voor meer informatie.

Lidmaatschap

Wat zijn mijn opties voor identiteitstype wanneer ik gebruikerslicenties op naam distribueer?

Adobe biedt drie verschillende identiteitstypen:

  • Enterprise ID: De organisatie maakt en is eigenaar van een account. Adobe beheert referenties en verwerkt de aanmelding.
  • Federated ID: De organisatie maakt en is eigenaar van een account dat via federatie aan de ondernemingsdirectory is gekoppeld. Het bedrijf of de school beheert referenties en verwerkt aanmelding via eenmalige aanmelding.
  • Adobe ID: De gebruiker maakt en is eigenaar van een account. Adobe beheert referenties en verwerkt de aanmelding

Adobe raadt organisaties aan om Enterprise ID of Federated ID te kiezen om accounts en het eigendom van middelen te kunnen beheren. Klik hier voor meer informatie.

Is het mogelijk om een combinatie van identiteitstypen in mijn distributie te gebruiken?

Ja, u kunt een combinatie van Enterprise ID's, Federated ID's en Adobe ID's gebruiken, maar niet binnen hetzelfde geclaimde domein.

Enterprise ID's en Federated ID's gelden uitsluitend op domeinniveau. Daarom kunt u slechts een van deze kiezen. U kunt Adobe ID's gebruiken in combinatie met Federated ID's of Enterprise ID's.

Als een onderneming bijvoorbeeld slechts één domein claimt, kan de IT-beheerder ervoor kiezen Enterprise ID's of Federated ID's te gebruiken. Als een organisatie meerdere domeinen binnen een onderneming claimt, kan de IT-beheerder één domein gebruiken met Adobe ID's en Enterprise ID's en een ander domein met Adobe ID's en Federated ID's. Dit betekent dus dat u voor elk domein Enterprise ID's of Federated ID's kunt gebruiken, samen met Adobe ID's.

Wat zijn de voordelen van Federated ID's?

Het beheer van Adobe-licenties via Federated ID's is sneller, eenvoudiger en veiliger.

  • IT-beheerders bepalen de verificatie en de levensduur van gebruikersaccounts.
  • Wanneer u een gebruiker uit de ondernemingsdirectory verwijdert, heeft de gebruiker geen rechten meer op toegang tot de desktop-apps, services of mobiele apps.
  • Federated ID's maken het mogelijk dat organisaties gebruikmaken van bestaande beheersystemen voor gebruikersidentiteit.
  • Omdat uw eindgebruikers het standaard-identiteitssysteem van uw organisatie gebruiken, hoeft de IT-afdeling geen afzonderlijk wachtwoordmanagementproces te beheren.

Wanneer eindgebruikers zich aanmelden, worden ze omgeleid naar de vertrouwde standaardomgeving van de organisatie voor eenmalige aanmelding.

Ik heb al een domein geclaimd voor gebruik met Enterprise ID's. Kan ik overstappen op het gebruik van Federated ID's met hetzelfde domein?

Het is nog niet mogelijk om voor een reeds geclaimd domein te schakelen tussen identiteitstypen. Als u een of meer domeinen hebt geclaimd voor configuratie met Enterprise ID's en dezelfde domeinen opnieuw wilt laten configureren voor Federated ID's, kunt u een online-ondersteuningsaanvraag indienen via de Adobe Admin Console. U krijgt dan bericht wanneer deze functionaliteit beschikbaar is.

Kan ik de directory van mijn onderneming federeren met Adobe via mijn SAML 2.0-compatibele identiteitsprovider?

Ja, u kunt de directory van uw onderneming en de aanmeldings- en verificatie-infrastructuur ervan federeren met Adobe via uw SAML 2.0-compatibele identiteitsprovider.

Adobe is betrokken bij de koppeling tussen de identiteitsprovider van uw bedrijf en wat wij de Okta-tenant noemen. Adobe biedt geen directe interface met ondernemingsdirectory's, maar wel met identiteitsproviders.

Als ik een domein claim, worden alle Adobe ID's in dat domein dan gemigreerd naar Federated ID's?

Nee. Wanneer een domein wordt geclaimd voor Federated ID's, verandert er niets aan bestaande Adobe ID's met e-mailadressen in dat domein. Bestaande Adobe ID's in de Admin Console blijven behouden.

Hoe migreer ik inhoud van een oud Adobe ID-account naar een nieuw Enterprise- of Federated ID-account?

De migratie van middelen is een geautomatiseerd proces. Wanneer u dit proces start, wordt alle ondersteunde inhoud die momenteel is opgeslagen in uw Adobe ID-account, overgezet naar uw Enterprise/Federated ID-account. Zie Geautomatiseerde migratie van middelen voor meer informatie.

Gaat Adobe ondersteuning bieden voor verificatie, autorisatie of beide?

De Adobe-implementatie van Federated ID's ondersteunt autorisatie; verificatie wordt afgehandeld door uw identiteitsprovider (IdP).

Als organisatie kunt u een koppeling maken tussen uw verificatieservices (met behulp van een structuur voor zakelijke ID's zoals Active Directory) en die van Adobe. Dit maakt het mogelijk dat de organisatie de verificatie host. Adobe slaat wachtwoorden nooit op en IT-beheerders kunnen wachtwoorden of namen van eindgebruikers voor Federated ID's nooit opnieuw instellen via de Adobe Admin Console.

Kan ik gebruikers bulksgewijs toevoegen in de Adobe Admin Console?

Ja, via de functie Gebruikers importeren, die beschikbaar is in de Adobe Admin Console. Zie Meerdere gebruikers toevoegen voor meer informatie.

Kan ik een ondernemingsdirectory rechtstreeks synchroniseren vanuit de Admin Console om zo gebruikers/groepen te koppelen?

Nee. Adobe biedt een interface met uw identiteitsprovider en niet rechtstreeks met de directory van uw onderneming. Wij ondersteunen echter het importeren van gebruikers- en groepsgegevens uit uw ondernemingsdirectory in de Adobe Admin Console. Zie Meerdere gebruikers toevoegen voor meer informatie.

Hoe kan ik migreren van Adobe ID's naar Federated ID's?

Adobe raadt aan dat alle ondernemingsbeheerders hun Adobe ID-gebruikers overzetten naar Federated ID's. U kunt migreren van Adobe ID's naar Federated ID's door deze stappen uit te voeren.

Welke identiteitsproviders ondersteunt Adobe?

Adobe gebruikt de veilige en alom gebruikte industriestandaard Security Assertion Markup Language (SAML), wat betekent dat de implementatie van eenmalige aanmelding eenvoudig kan worden geïntegreerd met elke identiteitsprovider die SAML 2.0 ondersteunt.

Hier volgt een lijst met enkele IdP's die voldoen aan SAML 2.0:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP met extern ondertekend certificaat
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Als ik mijn eigen, op SAML gebaseerd federatief verificatieproces heb ontwikkeld, werkt de integratie daar dan mee?

Ja, mits dit voldoet aan het SAML 2.0-protocol.

Is het noodzakelijk dat ik een SAML 2.0-identiteitsprovider heb ingesteld voordat ik federatieve identiteit met eenmalige aanmelding instel?

Ja, en de identiteitsprovider moet SAML 2.0-compatibel zijn.

Uw SAML-identiteitsprovider moet ten minste over het volgende beschikken:

  1. IDP-certificaat
  2. URL voor IdP-aanmelding
  3. IDP-binding: HTTP-POST of HTTP-Redirect
  4. De Assertion Consumer Service-URL van de IdP en deze URL moet SAML-verzoeken en RelayState kunnen accepteren.

Neem voor vragen contact op met uw identiteitsprovider.

Maakt een langere levensduur het certificaat kwetsbaarder?

Nee, de codering van een 2048-bits certificaat is nog nooit omzeild. En de enige personen die ooit met succes de codering van een certificaat met slechts 768 bits hebben omzeild (de groep Lenstra), hebben een schatting gedaan dat het hen meer dan 1000 jaar zou kosten om met dezelfde hardware de codering van een 1024-bits certificaat te omzeilen (wat ongeveer 32.000.000 keer eenvoudiger is dan het omzeilen van de codering van een 2048-bits certificaat).

Als u de meest recente technische gegevens over schattingen voor het omzeilen van de codering van certificaten van verschillende lengte wilt bekijken, gaat u naar deze website. Bezoek deze website (of de website waarop de onderliggende wiskunde wordt uitgelegd) voor een mooi overzicht (dat nauwkeurig is, maar wel marketinggericht) van hoe veilig deze certificaten zijn.

Wordt een langer certificaat wel geaccepteerd door browsers, omdat veel browsers servercertificaten met een levensduur van meer dan drie jaar weigeren?

Nee, die limiet geldt voor certificaten die worden gebruikt voor het coderen van de communicatiepipe tussen de browser en de server. De IdP-/Okta-certificaten daarentegen worden gebruikt voor het ondertekenen (niet het coderen) van de gegevens die worden uitgevoerd door de gecodeerde pipe. Deze certificaten worden nooit beschikbaar gemaakt voor de browser en worden alleen gebruikt tussen Adobe/Okta en de IdP van de klant.

Is het duur om een sterk langetermijncertificaat aan te schaffen?

U kunt goede, betrouwbare 2048-bits certificaten voor bedrijven aanschaffen voor ongeveer $ 10 per jaar gedurende de levensduur van het certificaat. En de certificaten die worden gebruikt door de IdP's, zijn zelfondertekende certificaten wat betekent dat ze gratis kunnen worden gegenereerd met open-sourcesoftware.

Kan iemand zich als mij voordoen wanneer deze persoon de codering van het certificaat van mijn IdP heeft omzeild?

Nee, er zijn nog twee andere krachtige coderingslagen waarmee de identiteit van de IdP wordt gecontroleerd, die u ook nog moet omzeilen voordat u zich kunt voordoen als de IdP. En deze beide andere lagen zijn niet zelfondertekend. Dit betekent dat u dan niet alleen het certificaat dat de codering afdwingt, moet omzeilen maar ook het certificaat van de ondertekenaar die dat certificaat heeft gegenereerd.

Waar kan ik terecht voor problemen met eenmalige aanmelding?

Neem contact op met de technische ondersteuning van Adobe door u aan te melden bij de Adobe Admin Console en een aanvraag te openen of een één-op-éénsessie met een expert te plannen.

Voor het telefoonnummer en e-mailadres voor premiumondersteuning raadpleegt u de welkomst-e-mail en PDF-bijlage die zijn verzonden naar uw accountbeheerder.

Instructies

Hoe stel ik eenmalige aanmelding (SSO) in met Adobe-software?

Zie Eenmalige aanmelding configureren voor gedetailleerde instructies voor het instellen van eenmalige aanmelding met desktop-apps, services en mobiele apps van Adobe.

Is het mogelijk om aankondigingen naar gebruikers te verzenden via de Admin Console?

Nee. Het verzenden van meldingen naar eindgebruikers via de Admin Console wordt niet ondersteund. Als zakelijke klant moet u uw eigen aankondigingen verspreiden nadat gebruikers klaar zijn om eenmalige aanmelding te gaan gebruiken met Adobe-software en -services.

Als ik een gebruiker/ID in de directory van mijn onderneming uitschakel, wordt de gebruiker/ID dan automatisch verwijderd in de Adobe Admin Console?

Nee. Als u een gebruiker/ID in uw ondernemingsdirectory verwijdert of uitschakelt, wordt de gebruiker/ID niet automatisch verwijderd of uitgeschakeld in de Adobe Admin Console. De gebruiker heeft echter geen rechten meer en kan zich niet meer aanmelden bij de Adobe Creative Cloud desktop-apps, services en mobiele apps of bij Acrobat DC-apps. U moet de gebruiker/ID handmatig verwijderen uit de Admin Console.

Moet ik rechten en groepen beheren en gebruikers met een Federated ID toewijzen aan groepen?

Ja, u moet de Adobe Admin Console gebruiken om gebruikers, groepen en rechten te beheren. Nadat u groepen hebt gemaakt in de Admin Console, kunt u echter een CSV-bestand met zowel gebruikers- als groepsgegevens uploaden. Hiermee wordt het gebruikersaccount gemaakt en worden de gebruikers in de toegewezen groep geplaatst.

Kunnen IT-beheerders of eindgebruikers wachtwoorden voor Federated ID's opnieuw instellen?

Nee, u kunt wachtwoorden voor Federated ID's niet opnieuw instellen met de Adobe Admin Console. Adobe slaat gebruikersreferenties niet op. Gebruik uw identiteitsprovider voor gebruikersbeheer.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid