Med Adobe Admin Console kan enterprise-brukere godkjenne Adobe enterprise-tilbud med eksisterende identitetsstyringssystemer via integrering med identitetsstyringssystemer som støtter enkel pålogging (SSO). Enkel pålogging er aktivert med SAML, en bransjestandardisert protokoll som kobler identitetsstyringssystemer for bedrifter til leverandører av nettskytjenester som Adobe. SSO kan utveksle godkjenningsinformasjon mellom to parter på en sikker måte: tjenesteleverandøren (Adobe) og din identitetsleverandør (IdP). Tjenesteleverandøren sender en forespørsel til din IdP, som forsøker å godkjenne brukeren. Etter godkjenningen sender IdP en svarmelding for å logge på brukeren. Hvis du vil ha mer detaljerte instruksjoner, kan du se Konfigurere enkel pålogging.

Plan

Hvilke alternativer finnes det for identitetstyper når jeg utrullerer navngitte brukerlisenser?

Adobe tilbyr tre ulike identitetstyper:

  • Enterprise ID: Organisasjonen oppretter og eier kontoen, mens Adobe administrerer legitimasjonen og behandler påloggingen.
  • Federated ID: Organisasjonen oppretter og eier kontoen og forenes med bedriftskatalogen, og bedriften eller skolen administrerer legitimasjonen og behandler påloggingen via enkel pålogging.
  • Adobe ID: Brukeren oppretter og eier kontoen, mens Adobe administrerer legitimasjonen og behandler påloggingen.

Adobe anbefaler organisasjoner å velge Enterprise ID eller Federated ID for å kontrollere konto- og dataeierskap. Gå hit for mer informasjon.

Kan jeg bruke ulike identitetstyper i en distribusjon?

Ja, du kan ha en blanding av Enterprise ID-er, Federated ID-er og Adobe ID-er, men ikke i det samme krevde domenet.

Enterprise ID og Federated ID er eksklusive på domenenivå. Du kan derfor bare velge én av dem. Du kan bruke Adobe ID sammen med enten Federated ID eller Enterprise ID.

Hvis for eksempel en bedrift bare gjør krav på ett domene, kan systemadministratoren velge enten Enterprise ID eller Federated ID. Hvis en organisasjon gjør krav på flere domener i en bedrift, kan systemadministratoren bruke ett domene med Adobe ID-er og Enterprise ID-er, og et annet domene med Adobe ID-er og Federated ID-er og så videre. Det betyr at du for hvert domene kan enten ha Enterprise ID eller Federated ID sammen med Adobe ID.

Hva er fordelene med Federated ID?

Administrasjonen av Adobe-lisenser med Federated ID er raskere, enklere og sikrere.

  • Systemadministratorer kontrollerer godkjenning og brukerlivssyklusen.
  • Når du fjerner en bruker fra bedriftskatalogen, vil ikke brukeren lenger ha tilgang til skrivebordsapplikasjoner, tjenester og mobilapper.
  • Med Federated ID-er kan organisasjoner utnytte systemer for brukeridentitetsadministrasjon som allerede er i bruk.
  • Ettersom sluttbrukerne bruker organisasjonens standard identitetssystem, trenger ikke IT-administratoren bruke en egen prosess for å administrere passord.

Når sluttbrukerne logger på, omdirigeres de til organisasjonens egne og velkjente påloggingsprosess.

Hvis jeg allerede har gjort krav på et domene for bruk med Enterprise ID-er, kan jeg da bytte til Federated ID-er og bruke det samme domenet?

Det er ennå ikke mulig å bytte identitetstyper på et domene som det allerede er gjort krav på. Hvis du har gjort krav på ett eller flere domener som skal konfigureres som Enterprise ID-er, og ønsker at samme domene(r) konfigureres som Federated ID-er, kan du registrere en kundestøttesak på nettet i Adobe Admin Console, og så gir vi deg beskjed når funksjonen er tilgjengelig.

Kan jeg forene bedriftskatalogen min med Adobe ved hjelp av min SAML 2.0-kompatible identitetsleverandør?

Ja, du kan forene bedriftskatalogen din og den tilhørende infrastrukturen for pålogging og godkjenning med Adobe ved hjelp av din SAML 2.0-kompatible identitetsleverandør.

Adobe er involvert i koblingen mellom firmaets identitetsleverandør og det vi refererer til som Okta-leier. Adobe har ikke direktekontakt med bedriftskataloger, men med identitetsleverandører.

Hvis jeg gjør krav på et domene, blir da alle Adobe ID-er i dette domenet overført til Federated ID-er?

Nei. Hvis det gjøres krav på et domene for Federated ID-er, endres ikke eksisterende Adobe ID-er med e-postadresser i dette domenet. Eksisterende Adobe ID-er i Admin Console beholdes.

Hvordan overfører jeg innhold fra en gammel Adobe ID-konto til en ny Enterprise eller Federated ID-konto?

Ressursoverføringen er en automatisert prosess. Når du starter denne prosessen, overføres alt støttet innhold som er lagret i Adobe ID-kontoen din på dette tidspunktet, til Enterprise/Federated ID-kontoen. Du finner mer informasjon under Automatisert ressursoverføring.

Kommer Adobe til å støtte godkjenning, autorisering eller begge deler?

Adobes implementering av Federated ID støtter autorisering. Godkjenning håndteres av identitetsleverandøren (IdP).

Som enterprise-organisasjon kan du opprette en kobling mellom godkjenningstjenestene dine (med en bedrifts-ID-struktur som Active Directory) og Adobes. På denne måten kan enterprise-organisasjonen være vert for godkjenningen. Adobe lagrer aldri passord, og IT-administratorer kan ikke tilbakestille passord eller redigere brukernavn for Federated ID-er via Adobe Admin Console.

Har jeg muligheten til å legge til flere brukere samtidig i Adobe Admin Console?

Ja, via funksjonen Importer brukere som finnes i Adobe Admin Console. Hvis du vil ha mer informasjon, kan du se Legge til flere brukere.

Kan jeg synkronisere en bedriftsmappe med brukere/grupper direkte i Admin Console?

Nei. Adobe har kontakt med identitetsleverandøren din og ikke med bedriftskatalogen din. Vi støtter imidlertid import av bruker- og gruppeinformasjon fra bedriftskatalogen til Adobe Admin Console. Hvis du vil ha mer informasjon, kan du se Legge til flere brukere.

Hvordan migrerer jeg fra Adobe ID-er til Federated ID-er?

Adobe anbefaler at alle bedriftsadministratorer bytter sine Adobe ID-brukere til Federated ID-er. Du kan overføre fra Adobe ID-er til Federated ID-er ved å følge disse trinnene.

Hvilke identitetsleverandører støtter Adobe?

Adobe bruker den sikre og svært utbredte bransjestandarden Security Assertion Markup Language (SAML). Det betyr at implementeringen av SSO er enkel å integrere med enhver identitetsleverandør som støtter SAML 2.0.

Her er en liste over noen IdP-er som er SAML 2.0-kompatible:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP med eksternt signert sertifikat
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Hvis jeg har laget min egen SAML-baserte, fødererte godkjenningsprosess, vil integrasjonen da fungere sammen med denne?

Ja, så lenge den følger SAML 2.0-protokollen.

Er det nødvendig at jeg har en SAML 2.0-identitetsleverandør før jeg konfigurerer Federated ID med enkel pålogging?

Ja, og identitetsleverandøren må være SAML 2.0-kompatibel.

Som et minimum må SAML-identitetsleverandøren ha:

  1. IDP-sertifikat
  2. IDP-påloggingsadresse (Login URL)
  3. IDP-binding: HTTP-POST eller HTTP-Redirect
  4. URL-adresse for Assertion Consumer Service for IDP-en, og den må kunne godta SAML-forespørsler og RelayState.

Kontakt identitetsleverandøren hvis du har ytterligere spørsmål.

Blir et sertifikat mer sårbart med en lengre levetid?

Nei, ingen har noensinne knekt et 2048-biters sertifikat. De eneste som noen gang har lyktes i å knekke selv et 768-bits-sertifikat (Lenstra-gruppen), beregnet at det ville ha tatt dem over 1000 år med den samme maskinvaren for å knekke et 1024-bits-sertifikat (noe som er omtrent 32 000 000 ganger enklere enn å knekke et 2048-biters-sertifikat).

Hvis du vil se den nyeste nerdeinformasjonen med beregninger for å knekke sertifikater av ulik lengde, kan du gå til dette nettstedet. Hvis du vil se et morsomt (nøyaktig, men markedsorientert) bilde av hvor sikre disse sertifikatene er, kan du gå til denne nettsiden (eller det støttede matte-nettstedet).

Mange nettlesere avviser serversertifikater med en levetid på mer enn tre år. Godtas et lengre sertifikat av nettlesere?

Nei, denne grensen er på sertifikatet og brukes til å kode kommunikasjonskanalen mellom nettleseren og serveren. Mens disse IdP-/Okta-sertifikatene brukes til å signere (ikke kode) data som sendes via den kodede datakanalen. Nettleseren ser aldri disse sertifikatene, de brukes bare mellom Adobe/Okta og kundens IdP.

Er et sterkere og mer varig sertifikat dyrt å skaffe seg?

Du kan få gode, kommersielle 2048-biters sertifikater for rundt 10$ per leveår. Sertifikater som brukes av IdP-er kan være selv-signert, som betyr at de kan genereres med programvare med åpen kildekode, kostnadsfritt.

Kan noen utgi seg for å være meg hvis de klarer å knekke IdP-sertifikatet mitt?

Nei, fordi det er to andre lag med sterk kryptering som kontrollerer IdP-ens identitet, som du vil måtte knekke før du kan utgi deg for å være IdP-en. Og begge disse andre lagene er ikke selvsignerte. Det betyr at du hadde måtte knekke, ikke bare sertifikatet som opprettholder krypteringen, men også sertifikatet til signereren som genererte sertifikatet.

Hvem kontakter jeg om feilsøking av enkel pålogging?

Kontakt Adobes tekniske kundestøtte ved å logge på Adobe Admin Console og legge inn en støtteforespørsel eller planlegge en gjennomgang med en ekspert.

Du finner telefonnummeret og e-postadressen til Premium-støtte i velkomstmeldingen og PDF-vedlegget som ble sendt til kontoadministratoren.

Krever hver enkelt katalog i Admin Console et separat endepunkt for sine SAML-godkjenningsforespørsler, der endepunktet er den fullstendige nettadressen forespørselen omdirigeres til? Eller er det mulig for en IdP å tilby ett enkelt endepunkt for flere kataloger og bruk innholdet i den mottatte forespørselen til å skille mellom hvilken katalog (eller domene i katalogen) forespørselen kommer fra?

Samme nettadresseendepunkt kan brukes for flere kataloger. Forbundsmetadataene administreres imidlertid separat for hver enkelt IdP. Det vanlige IdP-endepunktet må derfor håndtere forespørsler der innholdet er forskjellig.

Støtter Adobe persistent-format for NameID-elementet i SAML-godkjenningsrespons?

Ja, hvis SAML-integreringen av katalogen bruker brukernavn-format og brukernavnene i Admin Console er identiske med de vedvarende ID-ene som angis. Dette krever imidlertid at persistent-ID-ene må være tilgjengelige når brukerne synkroniseres til Admin Console. Dette er ikke et vanlig scenario, og i praksis støttes ikke persistent-formatet for NameID-elementet.

Støtter Adobe bruk av NameQualifier-attributtet i NameID-elementet? Må verdien for NameQualifier-attributtet kombineres med verdien for NameID-elementet for å produsere det unike brukernavnet i Admin Console, i stedet for å kreve at NameID er unik?

Nei. Verdien for NameID-elementet brukes som brukernavn i Admin Console. NameQualifier ignoreres.

Adobes dokumentasjon angir at SAML-IdP-svar må inneholde deklarasjon for fornavn, etternavn og e-postadresse for hver bruker. Er disse obligatoriske, og må de ha samsvarende data i katalogen i Admin Console?

Deklarasjon for fornavn, etternavn og e-postadresse for hver bruker er obligatorisk. De behøver imidlertid ikke samsvare med dataene i katalogen, men e-postadressen må være unik for hver bruker.

Støtter Adobe støtter SHA256-sertifikater for IdP og tjenesteleverandør?

Bare ved unntak. Dette anbefales imidlertid ikke, fordi det fører til mye administrasjon på grunn av oppdatering av deler av konfigurasjonen.

Kan IT-administrator angi signeringssertifikatet som skal brukes av tjenesteleverandøren per katalog (for signering av forespørsler og metadata)?

Nei. Dette støttes for øyeblikket ikke.

Kan Adobe angi detaljene for sertifiseringsinstansen som skal brukes til å utstede tjenesteleverandørens sertifikat?

Okta-sertifikatene er selvsignerte som standard. Unntaksvis (og muligens mot avgift) kan de få sertifikatet signert av en offentlig CA i stedet.

Fremgangsmåte

Hvordan konfigurerer jeg enkel pålogging (SSO) med Adobe-programvare?

Hvis du vil ha mer detaljerte instruksjoner, kan du se Konfigurere enkel pålogging for å konfigurere enkel pålogging med Adobes skrivebordsapplikasjoner, tjenester og mobilapper.

Er det mulig å sende meldinger til brukere via Admin Console?

Nei. Det er ikke støtte for å sende varsler til sluttbrukere via Admin Console. Som enterprise-kunde må du sende dine egne kunngjøringer når brukerne er klare til å begynne med SSO med programvare og tjenester fra Adobe.

Hvis jeg deaktiverer en bruker/ID fra enterprise-katalogen, vil brukeren/ID-en da automatisk bli deaktivert i Admin Console?

Nei, hvis du fjerner eller deaktiverer en bruker/ID i enterprise-katalogen, vil brukeren/ID-en ikke bli automatisk fjernet eller deaktivert i Adobe Admin Console. Brukeren vil imidlertid ikke lenger ha rett til eller kunne logge på Adobe Creative Cloud-skrivebordsapplikasjoner, -tjenester og -mobilapper eller Acrobat DC-applikasjoner. Du må fjerne brukeren/ID-en manuelt fra Admin Console.

Må jeg administrere rettigheter og grupper og tilordne Federated ID-brukere til grupper?

Ja, du må bruke Adobe Admin Console til å administrere brukere, grupper og rettigheter. Vær imidlertid oppmerksom på at du når du oppretter grupper i Admin Console, kan du laste opp en CSV-fil som inneholder informasjon om både brukere og grupper. Dette oppretter kontoene til brukerne og plasserer dem i de angitte gruppene.

Kan IT-administratorer eller sluttbrukere tilbakestille passord for Federated ID?

Nei, du kan ikke tilbakestille passord for Federated ID ved hjelp av Adobe Admin Console. Adobe lagrer ikke brukeridentifikasjon. Bruk identitetsleverandøren for administrasjon av brukere.

Dette produktet er lisensiert i henhold til Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Innlegg på Twitter™ og Facebook dekkes ikke av Creative Commons-vilkår.

Juridiske merknader   |   Regler for personvern på nettet