Federated Guest Access

Søk
Enterprise

Enterprise

Adminkonsoll

Lær hvordan Federated Guest Access forenkler samarbeidet med eksterne partnere, samtidig som de samme sikkerhets- og tilgangsstandardene som for interne team kan opprettholdes.

Merk:

Federated Guest Access er i en pilotfase, og tilgjengeligheten er begrenset.Ikke alle kunder kan se funksjonen.

Oversikt

Adobes Federated Guest Access-funksjon lar bedriftskunder ta inn eksterne byrå-, leverandør- eller konsulentarbeidere i Adobes økosystem med de samme sikkerhets- og autentiseringsstandardene som interne ansatte.

Tidligere krevde opprettelse av en Federated ID-bruker domeneierskap.Dette kravet hindret organisasjoner i å legge til brukere med eksterne domener, inkludert domener det ikke kan gjøres krav på, som gmail.com, og domener det kan gjøres krav på som eies av en annen organisasjon.

Federated Guest Access-funksjonen lar bedriftskunder legge til en bruker med en hvilken som helst e-postadresse som sin egen federerte bruker. Den sikrer konsistent SSO-håndhevelse på tvers av både interne ansatte og eksterne partnere.

For øyeblikket støtter funksjonen Workfront- og AEM-ressurser som en skytjeneste, med planer om å utvide støtten til andre produkter.

Fordeler med Federated Guest Access

Her er fordelene med Federated Guest Access-funksjonen:

  • Sømløst samarbeid: Eksterne partnere får tilgang til Adobe-verktøy uten friksjon.
  • Enhetlig sikkerhet: Bedrifter kan håndheve konsistente SSO- og autentiseringsregler på tvers av alle brukere.
  • Operasjonell effektivitet: Det eliminerer behovet for løsninger som tidligere ble brukt for å ta inn leverandører.
  • Kontrollert tilgang: Federerte gjestekontoer isoleres fra interne kontoer, noe som sikrer at rettigheter og ressurser forblir separate.

Forretningsscenarier og brukstilfeller

Federated Guest Access er spesielt verdifull i scenarier der bedrifter er avhengige av ekstern ekspertise.Markedsføringsteam som jobber med byråer, IT-avdelinger som ansetter konsulenter, eller store organisasjoner som samarbeider på tvers av flere selskaper kan integrere eksterne bidragsytere uten å kompromittere sikkerheten.

For eksempel, tenk deg et selskap som ansetter Mary fra vendor.com for et kortsiktig prosjekt.Mary kan allerede ha en føderert konto hos arbeidsgiveren sin. Tidligere kunne selskapet som ansetter Mary bare ta henne inn i Adobe-miljøet sitt via hennes eksisterende fødererte konto, der autentiseringen kontrolleres av arbeidsgiveren hennes.

Med Federated Guest Access kan selskapet som ansetter legge til Mary som en føderert gjest i katalogen sin. I dette tilfellet kan hun logge på ved hjelp av selskapets SSO for å få tilgang til verktøy som Workfront eller AEM Assets. Hun trenger ikke en egen e-postadresse på domenet til selskapet som ansetter.

Marys federerte gjestekonto er helt uavhengig av kontoen som eies av arbeidsgiveren, med separate rettigheter og ressurser, noe som sikrer ren separasjon av organisatoriske data. Hun kan bytte mellom kontoer ved hjelp av en kontovelger.Hver gang hun bytter konto, må Mary logge av og deretter autentisere seg på nytt ved hjelp av den andre kontoens påloggingsmetode. Denne prosessen sikrer at separasjonen mellom kontoer opprettholdes.

For selskapet som ansetter kan eksterne partnere som Mary tas inn og administreres gjennom de samme autentiserings- og tilgangskontrollene som brukes for interne ansatte. For Marys arbeidsgiver krever Federated Guest Access ingen endringer. Kontoen, rettighetene og ressursene hennes forblir upåvirket, og ingen av organisasjonene har synlighet inn i den andres kontoer.

Federerte gjestekontoer

Federated Guest Access introduserer et nytt kontokonsept med federerte gjester. Federerte gjester er en ny variasjon av den eksisterende kontotypen Federated ID, utvidet til å støtte e-postdomener som ikke eies eller kreves av bedriften.

Det lar bedrifter ta inn eksterne partnere i sin federerte katalog og autentisere dem gjennom organisasjonens IdP, uten å kreve eierskap til den federerte gjestens e-postdomene. Som alle Federated ID-kontoer er hver federerte gjestekonto begrenset til organisasjonen som opprettet den, med sine egne uavhengige rettigheter, ressurser og federasjon. Den forblir fullstendig atskilt fra andre kontoer som bruker samme e-postadresse i andre organisasjoner.

Domeneadministrasjon

Administratorer i innleieselskapet kan legge til eksterne domener via en ny Gjestedomener-fane i Admin Console.Det gjør det mulig for dem å legge til brukere med eksterne e-postdomener som separate Federated ID-kontoer eid av deres organisasjon.

I motsetning til domener som er gjort krav på, krever ikke gjestedomener bevis på eierskap.Du kan legge til både domener det kan gjøres krav på og domener det ikke kan gjøres krav på.For domener som kreves av en annen Adobe-organisasjon, kan domeneeiere kontrollere om domenet deres kan brukes som gjestedomene.

Hvis domeneeieren har bedt om at domenet de har gjort krav på skal blokkeres fra bruk som gjestedomene, vil du ikke kunne legge til domenet som gjestedomene. Hvis du allerede har lagt til det gjestedomenet, kan du ikke legge til nye federerte gjester med det domenet. Eksisterende fødererte gjester med gjestedomenet vil ikke kunne logge på før domeneeieren tillater at gjestedomenet brukes igjen.

Følg disse trinnene for å legge til gjestedomener direkte i en Admin Console-katalog.

  1. Logg på Admin Console og gå til Innstillinger.

  2. Fra listen Kataloger åpner du katalogen der du vil legge til gjestedomener.

  3. Gå til fanen Gjestedomener i katalogen og legg til gjestedomener.

Som standard er alle registrerte domener konfigurert til å tillate bruk av gjestedomener for føderert gjestetilgang.

Som domeneeier vil du kanskje ikke at andre organisasjoner skal bruke dine registrerte domener som gjestedomene.Selv om bruken av gjestedomener ikke påvirker eierskapet til domenet og brukerne dine, kan du se gjennom hvordan de registrerte domenene dine brukes og bestemme om du vil stoppe slik bruk.

Slik ser du gjennom hvilke andre organisasjoner i Adobe som bruker de registrerte domenene dine som gjestedomene

  1. Logg på Admin Console og gå til Innstillinger > Identitetsinnstillinger.

  2. Gå til Identitetsinnstillinger, og gå så til Domener-fanen.

  3. Velg Flere alternativer (), og velg deretter Last ned rapport for føderert gjestetilgang.

Kontakt Adobe Support for å be om å blokkere eller tillate at alle organisasjoner bruker det registrerte domenet ditt som gjestedomene.Denne endringen vil gjelde per domene.

Når du blokkerer bruk av gjestedomener, kan ingen andre organisasjoner i Adobe legge til det domenet som gjestedomene.Organisasjoner som allerede har lagt til gjestedomenet, vil se at tilgangen til domenet er blokkert. De kan heller ikke opprette nye fødererte gjester med det domenet.Eksisterende federerte gjestekontoer med gjestedomenet vil bli blokkert fra å logge på slike kontoer.

Sikkerhet og sikkerhetstiltak

IdP-en din er alltid sannhetskilden.For at eksterne partnere skal kunne tas inn som fødererte gjester, må de allerede ha en konto i IdP-en din.Dette etterligner hvordan du normalt ville tatt inn interne ansatte som Federated ID-brukere.

Alle fødererte gjester må fullføre en engangsverifiseringsflyt før første pålogging.Adobe sender en verifiseringskode til den fødererte gjestens e-post, og den fødererte gjesten blir bedt om å se gjennom og samtykke til å bli med i den inviterende organisasjonen som føderert gjest.Hvis flyten ikke fullføres, blir fødererte gjester bedt om å fullføre den før de kan logge på for første gang.

Opplevelsen for administratorer

Fra administratorperspektivet speiler inntak av federerte gjester prosessen for vanlige federerte brukere.

  • Oppsett: Administratorer konfigurerer gjestedomener i Admin Console.
  • Klargjøring: Fødererte gjester legges til på samme måte som vanlige fødererte brukere.
  • Produkttildeling: Produkter tildeles på samme måte som vanlige fødererte brukere. Det er for øyeblikket begrenset til Workfront og AEM Assets as a Cloud Service.Tildeling av produkter som ikke støttes (f.eks. Photoshop) vil mislykkes uten å forbruke lisenser.
  • Samarbeidsinvitasjoner: Nå inkluderer e-poster navnet på organisasjonen som eier ressursen eller instansen, noe som reduserer forvirring når du bytter profiler eller kontoer.

Opplevelsen for sluttbrukerne

For sluttbrukere er opplevelsen utformet for å være enkel, men sikker. Ved første innlogging vil Adobe be sluttbrukere om å fullføre en engangsbekreftelsesflyt. Federerte gjester må bekrefte e-posten sin og samtykke til å bli med i organisasjonen som inviterer. Når det er aktivert/fullført, kan fødererte gjester logge på kontoen gjennom det ansettende selskapets IdP, akkurat som interne ansatte. Fødererte gjester kan logge på den fødererte gjestekontoen via IdP-initiert pålogging også.

Det er ikke mulig å logge direkte på den fødererte gjestekontoen ved å skrive inn e-posten din på påloggingssiden. I stedet må du bruke IdP-initiert pålogging eller påloggingslenkene administratoren din kan gi deg. Påloggingslenkene er katalogspesifikke og kan nås fra Admin Console:

  1. Logg på Admin Console og gå til Innstillinger > Identitetsinnstillinger.

  2. Gå til Identitetsinnstillinger, og gå så til Gjestedomener-fanen.

  3. Finn påloggingslenken som skal deles med fødererte gjester.

Påloggingslenkene kan brukes av alle brukere i samme katalog, enten de er fødererte gjester eller ikke.

Hvis e-posten din er koblet til flere kontoer hos Adobe, kan du bruke en kontoveksler for å finne alle kontoer som deler samme e-post. Etter at du har logget på en konto, vil du se listen over kontoer du kan bytte til. 

En ny kontoveksler lar brukere veksle mellom fødererte kontoer som er koblet til samme e-postadresse. I motsetning til profilbytte krever kontobytte ny autentisering siden hver konto har sin egen føderasjon og/eller autentiseringsmetode. Administratorer kan også gi spesielle påloggingslenker knyttet til spesifikke kataloger, noe som sikrer at brukere blir dirigert til riktig IdP.

Global Admin Console-hieraki

Global Admin Console-hierarkiet etablerer hvordan gjestedomener administreres og deles på tvers av organisasjoner.Bare organisasjoner med funksjonen Federated Guest Access aktivert kan legge til gjestedomener. Når en overordnet organisasjon legger til ett, blir det synlig for alle underordnede organisasjoner i hierarkiet og på tvers av hele konsollen, noe som sikrer konsistent onboarding av eksterne brukere og fødererte gjester.

Organisasjonen som eier domenet kan danne tillitsforhold med andre organisasjoner i hierarkiet for å bruke domenet som ethvert annet domene det er gjort krav på. Sentralisert identitetsbehandling kan opprettholdes på rotnivå, siden ikke alle organisasjoner trenger Federated Guest Access aktivert. Et gjestedomene kan bare legges til av én katalog innenfor hierarkiet, og organisasjoner utenfor hierarkiet kan ikke se eller bruke gjestedomener, selv om tillitsforhold eksisterer, noe som sikrer kontrollert synlighet. I slike tilfeller legges brukere til som bedrifts-ID-er som administreres av Adobe eller domeneieren. Hvis den samme e-postadressen er registrert på tvers av flere organisasjoner, opprettes separate fødererte gjestekontoer, noe som krever at brukere bytter mellom kontoer.

Vanlige spørsmål

Dette indikerer at føderert gjestetilgang ikke er aktivert i organisasjonen din. Funksjonen er for øyeblikket i pilot og tilgjengelig i utvalgte organisasjoner. Hvis du er interessert i å bruke funksjonen, kan du kontakte Adobe kundestøtte.

Det eksterne domenet du prøver å legge til, kan mislykkes under prosessen med å legge til gjestedomenet på grunn av flere årsaker, inkludert:

  • Domeneieren blokkerte gjestetilgang til det domenet.
  • Domenet er allerede lagt til som et gjestedomene i en katalog i organisasjonen din.
  • En annen organisasjon i global admin console-hierarkiet ditt har allerede lagt til domenet som et gjestedomene.
  • Domenet er ugyldig eller ufullstendig.

Hvis du allerede har tatt inn eksterne partnere i organisasjonen din, anbefales det at du oppdaterer disse kontoene i stedet for å opprette nye fødererte gjestekontoer for å unngå tap av ressurser eller data.

Hvis du har lagt til eksterne partnere ved å bruke deres opprinnelige e-postadresser, må du oppdatere deres autentiseringskontoer. Se Endre brukerens identitetstype.

Hvis du har lagt til eksterne partnere som en Federated ID under en annen e-postadresse med ditt registrerte domene, må du oppdatere e-postadressen deres.Hvis du vil ha mer informasjon, kan du se Rediger brukerdetaljer.

For øyeblikket støttes bare Workfront og AEM Assets fullt ut. Alle andre produkttildelinger vil føre til klargjøringsstatusen ingen tilgang for federerte gjester.

For å se gjennom den fullstendige klargjøringsstatusen for alle brukere, kan du laste ned Lisensstatusrapporten:

  1. Logg på Adobe Admin Console og gå til Brukere.

  2. Velg Flere valg (), og velg deretter Lisensstatusrapport.

  • Når domeneieren blokkerer tilgangen til gjestedomenet for domenet de har gjort krav på, vil du ikke lenger kunne bruke dette gjestedomenet til federerte gjestetilgangformål. 

  • Du vil ikke kunne legge til nye federerte gjester med et slikt gjestedomene.

  • Dine eksisterende federerte gjester med dette gjestedomenet får status som «tilbakekalt federert gjest». Under denne statusen blir tilbakekalte fødererte gjester blokkert fra å logge på kontoene sine. Alle rettigheter som tidligere ble tildelt dem vil bli plassert i en ingen tilgang-klargjøringsstatus

  • Når domeneieren gjenoppretter tilgang til gjestedomene, blir tidligere tilbakekalte fødererte gjester reaktivert.Hver fødererte gjest kan logge på igjen, og rettighetstildelingsstatusen oppdateres til fullført, noe som tillater fortsatt bruk av de tildelte produktene.

Ja, alle eksisterende brukeradministrasjonsfunksjoner gjelder for fødererte gjester. Hvis du vil se om en bruker er en føderert gjest, kan du legge til federatedGuestInfo=true i forespørselen din og velge å hente denne tilleggsdetaljen.

Før du kan logge på den fødererte gjestekontoen din, må du fullføre engangsverifikasjonsprosessen.

Du kan ikke få tilgang til en føderert gjestekonto ved å skrive inn e-postadressen din direkte på Adobes standard påloggingssider. I stedet må du bruke en av følgende metoder:

  • Via organisasjonens IdP-portal eller intranett (hvis satt opp av administratoren din)
  • Bruke en påloggingslenke fra administratoren din
  • Logge på en annen konto (Bedrift/Personlig) knyttet til e-postadressen din. Bruk kontobytteren for å logge på den fødererte gjestekontoen din.

Kontakt Adobe kundestøtte. Adobe vil oppdatere innstillingen på dine vegne, og endringen vil gjelde per domene.

Adobe, Inc.

Få hjelp raskere og enklere

Ny bruker?

Hurtigkoblinger

Vis alle planene dine Administrer planene dine
Vis hurtigkoblinger
Skjul hurtigkoblinger

Juridiske merknader    |    Personvernerklæring på nett