Dostęp gości federacyjnych

Szukaj
Enterprise

Enterprise

Admin Console

Dowiedz się, jak dostęp gości federacyjnych upraszcza współpracę z partnerami zewnętrznymi, zachowując jednocześnie te same standardy bezpieczeństwa i dostępu co zespoły wewnętrzne.

Uwaga:

Dostęp gości federacyjnych znajduje się w fazie pilotażowej, a dostępność jest ograniczona.Nie wszyscy klienci mogą mieć dostęp do tej funkcji.

Omówienie

Funkcja Federated Guest Access w Adobe umożliwia klientom przedsiębiorstw dołączanie zewnętrznych pracowników agencji, dostawców lub firm konsultingowych do ekosystemu Adobe z tymi samymi standardami bezpieczeństwa i uwierzytelniania co pracownicy wewnętrzni.

Wcześniej utworzenie użytkownika z Federated ID wymagało posiadania domeny. Ten wymóg uniemożliwiał organizacjom dodawanie użytkowników z domenami zewnętrznymi, w tym domenami nieprzypisywalnymi, takimi jak gmail.com, oraz domenami przypisywalnymi, które są własnością innej organizacji.

Funkcja dostępu gości federacyjnych umożliwia klientom przedsiębiorstw dodanie użytkownika z dowolnym adresem e-mail jako własnego użytkownika federacyjnego.Zapewnia spójne egzekwowanie SSO zarówno dla pracowników wewnętrznych, jak i partnerów zewnętrznych.

Funkcja obecnie obsługuje Workfront i AEM Assets as a Cloud Service, z planami rozszerzenia wsparcia na inne produkty.

Korzyści z dostępu gości federacyjnych

Oto korzyści z funkcji dostępu gości federacyjnych:

  • Bezproblemowa współpraca: partnerzy zewnętrzni uzyskują dostęp do narzędzi Adobe bez przeszkód.
  • Ujednolicone bezpieczeństwo: Przedsiębiorstwa mogą egzekwować spójne zasady SSO i uwierzytelniania dla wszystkich użytkowników.
  • Efektywność operacyjna: Eliminuje potrzebę obejść wcześniej używanych do dołączania dostawców.
  • Kontrolowany dostęp: Konta gości federacyjnych są odizolowane od kont wewnętrznych, zapewniając, że uprawnienia i zasoby pozostają oddzielne.

Scenariusze biznesowe i przypadki użycia

Dostęp gości federacyjnych jest szczególnie cenny w scenariuszach, w których przedsiębiorstwa polegają na zewnętrznej ekspertyzie.Zespoły marketingowe współpracujące z agencjami, działy IT zatrudniające konsultantów lub duże organizacje współpracujące w wielu firmach mogą integrować zewnętrznych współpracowników bez narażania bezpieczeństwa.

Na przykład wyobraź sobie firmę zatrudniającą Mary z portLU vendor.com do krótkookresowego Projekt.Mary może już mieć konto federacyjne u swojego pracodawcy. Wcześniej firma zatrudniająca mogła dołączyć Mary do swojego środowiska Adobe tylko za pośrednictwem jej istniejącego konta federacyjnego, którego uwierzytelnianie jest kontrolowane przez jej pracodawcę.

Dzięki dostępowi gościa federacyjnego firma zatrudniająca może dodać Mary jako gościa federacyjnego do swojego katalogu. W tym przypadku może się zalogować, używając logowania jednokrotnego firmy zatrudniającej, aby uzyskać dostęp do narzędzi, takich jak Workfront lub AEM Assets. Nie potrzebuje oddzielnego adresu e-mail w domenie firmy zatrudniającej.

Konto gościa federacyjnego Mary jest w pełni niezależne od konta należącego do jej pracodawcy, z oddzielnymi uprawnieniami i zasobami, zapewniając czyste rozdzielenie danych organizacyjnych. Może przełączać się między kontami za pomocą przełącznika kont. Za każdym razem, gdy przełącza konta, Mary musi się wylogować, a następnie ponownie uwierzytelnić, używając metody logowania drugiego konta. Ten proces zapewnia utrzymanie rozdzielenia między kontami.

Dla firmy zatrudniającej zewnętrzni partnerzy, tacy jak Mary, mogą być dołączani i zarządzani za pomocą tych samych środków uwierzytelniania i kontroli dostępu, które są używane dla wewnętrznych pracowników. Dostęp gościa federacyjnego nie wymaga żadnych zmian po stronie pracodawcy Mary.Jej konto, uprawnienia i zasoby pozostają nienaruszone, a żadna z organizacji nie ma wglądu w konta drugiej.

Konta gości federacyjnych

Dostęp gościa federacyjnego wprowadza nową koncepcję konta gości federacyjnych. Goście federacyjni to nowy wariant istniejącego typu konta Federated ID, rozszerzony o obsługę domen e-mail, które nie są własnością przedsiębiorstwa ani przez nie zgłoszone.

Umożliwia przedsiębiorstwom dołączanie zewnętrznych partnerów do ich katalogu federacyjnego i uwierzytelnianie ich za pośrednictwem IdP organizacji, bez wymagania własności domeny e-mail gościa federacyjnego. Jak wszystkie konta Federated ID, każde konto gościa federacyjnego jest przypisane do organizacji, która je utworzyła, z własnymi niezależnymi uprawnieniami, zasobami i federacją.Pozostaje w pełni oddzielone od wszelkich innych kont, które używają tego samego adresu e-mail w innych organizacjach.

Zarządzanie domenami

Administratorzy firmy zatrudniającej mogą dodawać domeny zewnętrzne za pośrednictwem nowej karty Domeny gości w Admin Console. Umożliwia im to dodawanie użytkowników z zewnętrznymi domenami e-mail jako oddzielnych kont Federated ID należących do ich organizacji.

W przeciwieństwie do domen zgłoszonych, domeny gości nie wymagają dowodu własności.Można dodać zarówno domeny, które można zgłosić, jak i te, których nie można zgłosić.W przypadku domen zgłoszonych przez inną organizację Adobe właściciele domen mogą kontrolować, czy ich domena może być używana jako domena gości.

Jeśli właściciel domeny zażądał zablokowania swojej zgłoszonej domeny przed użyciem jako domena gości, nie będzie można dodać tej domeny jako domeny gości.Jeśli ta domena gości została już dodana, nie można dodać żadnego nowego gościa federacyjnego z tą domeną.Wszyscy istniejący goście federacyjni z domeną gościnną nie będą mogli się zalogować, dopóki właściciel domeny nie zezwoli ponownie na używanie domeny gościnnej.

Aby dodać domeny gościnne bezpośrednio do katalogu Admin Console, wykonaj następujące kroki.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia.

  2. Z listy Katalogi otwórz katalog, do którego chcesz dodać domeny gościnne.

  3. Przejdź do karty Domeny gościnne w katalogu i dodaj domeny gościnne.

Domyślnie wszystkie zastrzeżone domeny są skonfigurowane tak, aby zezwalać na korzystanie z domen gościnnych w przypadku federacyjnego dostępu gościnnego.

Jako właściciel domeny możesz nie chcieć, aby inne organizacje używały Twoich zastrzeżonych domen jako domeny gościnnej. Chociaż używanie domeny gościnnej nie wpływa na Twoje prawo własności do domeny i Twoich użytkowników, możesz sprawdzić, jak Twoje zastrzeżone domeny są używane i zdecydować, czy chcesz zatrzymać takie użycie.

Aby sprawdzić, które inne organizacje w Adobe używają Twoich zastrzeżonych domen jako domeny gościnnej

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Ustawienia identyfikatorów.

  2. W sekcji Ustawienia identyfikatorów przejdź do zakładki Domeny.

  3. Wybierz Więcej opcji (), a następnie Pobierz raport dotyczący dostępu gości federacyjnych.

Aby zablokować lub zezwolić wszystkim organizacjom na używanie Twojej zastrzeżonej domeny jako domeny gościnnej, skontaktuj się z pomocą techniczną Adobe, aby złożyć prośbę.Ta zmiana zostanie zastosowana dla każdej domeny osobno.

Gdy zablokujesz używanie domeny gościnnej, żadne inne organizacje w Adobe nie będą mogły dodać tej domeny jako domeny gościnnej.Organizacje, które już dodały domenę gościnną, zobaczą, że ich dostęp do niej jest zablokowany.Ponadto nie mogą tworzyć nowych gości federacyjnych z tą domeną.Wszystkie istniejące konta gości federacyjnych z domeną gościnną nie będą mogły się logować do takich kont.

Bezpieczeństwo i zabezpieczenia

IdP jest zawsze źródłem prawdy.Aby zewnętrzni partnerzy mogli zostać dołączeni jako goście federacyjni, muszą już mieć konto w Twoim IDP. Naśladuje to sposób, w jaki normalnie dołączasz swoich wewnętrznych pracowników jako użytkowników Federated ID.

Wszyscy goście federacyjni muszą ukończyć jednorazowy przepływ weryfikacji przed pierwszym logowaniem.Adobe wyśle kod weryfikacyjny na adres e-mail gościa federacyjnego, a gość federacyjny zostanie poproszony o przejrzenie i wyrażenie zgody na dołączenie do zapraszającej organizacji jako gość federacyjny.Jeśli przepływ nie zostanie ukończony, goście federacyjni zostaną poproszeni o ukończenie go przed pierwszym logowaniem.

Środowisko pracy administratora

Z perspektywy administratora dołączanie gości federacyjnych odzwierciedla proces dla zwykłych użytkowników federacyjnych.

  • Konfiguracja: Administratorzy konfigurują domeny gościnne w Admin Console.
  • Udostępnianie: Goście federacyjni są dodawani w taki sam sposób jak zwykli użytkownicy federacyjni.
  • Przypisywanie produktów: Produkty są przypisywane w taki sam sposób jak zwykli użytkownicy federacyjni.Obecnie jest ograniczone do Workfront i AEM Assets as a Cloud Service.Przypisywanie nieobsługiwanych produktów (np. program Photoshop) zakończy się niepowodzeniem bez zużywania licencji.
  • Zaproszenia do współpracy: Wiadomości e-mail zawierają teraz nazwę organizacji, która jest właścicielem zasobu lub instancji, co zmniejsza zamieszanie podczas przełączania profili lub kont.

Środowisko pracy użytkownika

Doświadczenie użytkowników końcowych zostało zaprojektowane tak, aby było proste, ale bezpieczne.Podczas pierwszego logowania Adobe poprosi użytkowników końcowych o ukończenie jednorazowego procesu weryfikacji.Goście federacyjni muszą zweryfikować swój adres e-mail i wyrazić zgodę na dołączenie do zapraszającej organizacji.Po zakończeniu aktywni goście federacyjni mogą zalogować się do konta za pośrednictwem IdP zatrudniającej firmy, tak jak wewnętrzni pracownicy.Goście federacyjni mogą również zalogować się do konta gościa federacyjnego za pomocą logowania inicjowanego przez IdP.

Nie można bezpośrednio zalogować się do konta gościa federacyjnego, wprowadzając adres e-mail na stronie logowania.Zamiast tego należy użyć logowania inicjowanego przez IdP lub linków logowania, które może udostępnić administrator.Linki logowania są specyficzne dla katalogu i można uzyskać do nich dostęp z Admin Console:

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Ustawienia identyfikatorów.

  2. W sekcji Ustawienia identyfikatorów przejdź do zakładki Domeny gościnne.

  3. Znajdź link logowania, który ma być udostępniony gościom federacyjnym.

Linki logowania mogą być używane przez wszystkich użytkowników w tym samym katalogu, niezależnie od tego, czy są gośćmi federacyjnymi, czy nie.

Jeśli adres e-mail jest połączony z wieloma kontami w usłudze Adobe, można użyć przełącznika kont, aby znaleźć wszystkie konta, które mają ten sam adres e-mail.Po zalogowaniu się do dowolnego konta można zobaczyć listę kont, na które można się przełączyć. 

Nowy przełącznik kont umożliwia użytkownikom przełączanie między kontami federacyjnymi połączonymi z tym samym adresem e-mail.W przeciwieństwie do przełączania profili, przełączanie kont wymaga ponownego uwierzytelnienia, ponieważ każde konto ma własną federację i/lub metodę uwierzytelniania.Administratorzy mogą również udostępniać specjalne linki logowania powiązane z określonymi katalogami, zapewniając, że użytkownicy są kierowani do właściwego IdP.

Hierarchia Global Admin Console

Hierarchia Global Admin Console określa sposób zarządzania domenami gości i ich udostępniania w organizacjach.Tylko organizacje z włączoną funkcją Federated Guest Access mogą dodawać domeny gości.Po dodaniu przez organizację nadrzędną staje się ona widoczna dla wszystkich organizacji podrzędnych w hierarchii i w całej konsoli, zapewniając spójne wprowadzanie użytkowników zewnętrznych i gości federacyjnych.

Organizacja będąca właścicielem może tworzyć relacje zaufania z innymi organizacjami w hierarchii, aby używać domeny jak każdej innej zastrzeżonej domeny.Scentralizowane zarządzanie identyfikatorami można utrzymać na poziomie głównym, ponieważ nie każda organizacja potrzebuje włączonej funkcji dostępu gości federacyjnych.Domena gościa może być dodana tylko przez jeden katalog w hierarchii, a organizacje spoza hierarchii nie mogą widzieć ani używać domen gości, nawet jeśli istnieją relacje zaufania, zapewniając kontrolowaną widoczność.W takich przypadkach użytkownicy są dodawani jako identyfikatory firmowe zarządzane przez Adobe lub właściciela domeny. Jeśli ten sam adres e-mail jest zarejestrowany w wielu organizacjach, tworzone są oddzielne konta gości federacyjnych, co wymaga od użytkowników przełączania się między kontami.

Często zadawane pytania

Oznacza to, że dostęp gości federacyjnych nie jest włączony w organizacji. Funkcja jest obecnie w fazie pilotażowej i dostępna w wybranych organizacjach. Jeśli chcesz korzystać z tej funkcji, skontaktuj się z pomocą techniczną Adobe.

Zewnętrzna domena, którą próbujesz dodać, może nie zostać dodana podczas procesu dodawania domeny gości z kilku powodów, w tym:

  • Właściciel domeny zablokował dostęp gości do tej domeny.
  • Domena została już dodana jako domena gości w katalogu w organizacji.
  • Domena została już dodana jako domena gościnna przez inną organizację w hierarchii Global Admin Console.
  • Domena jest nieprawidłowa lub niekompletna.

Jeśli zewnętrzni partnerzy zostali już dołączeni do organizacji, zaleca się zaktualizowanie tych dołączonych kont zamiast tworzenia nowych kont gości federacyjnych, aby uniknąć utraty zasobów lub danych.

Jeśli dodano zewnętrznych partnerów przy użyciu ich oryginalnych adresów e-mail, należy zaktualizować ich konta uwierzytelniające.Zobacz stronę Zmiana typu identyfikatora użytkownika.

Jeśli dodano zewnętrznych partnerów jako Federated ID pod innym adresem e-mail z zastrzeżoną domeną, należy zaktualizować ich adres e-mail.Dodatkowe informacje zawarto w sekcji Edytowanie danych użytkowników.

Obecnie w pełni obsługiwane są tylko Workfront i AEM Assets. Przypisanie jakiegokolwiek innego produktu spowoduje zmianę stanu inicjowania obsługi administracyjnej dla gości federacyjnych na brak dostępu.

Aby przejrzeć kompletny stan inicjowania obsługi administracyjnej wszystkich użytkowników, pobierz Raport stanu licencji:

  1. Zaloguj się w serwisie Admin Console i przejdź do sekcji Użytkownicy.

  2. Kliknij pozycję Więcej opcji (...), a potem wybierz opcję Raport stanu licencji.

  • Gdy właściciel domeny zablokuje dostęp domeny gościnnej dla swojej zarejestrowanej domeny, nie będzie już można używać tej domeny gościnnej do celów dostępu gości federacyjnych. 

  • Nie będzie można dodać żadnego nowego gościa federacyjnego z taką domeną gościa.

  • Istniejący goście federacyjni z tą domeną gościnną otrzymają status „odwołany gość federacyjny".W ramach tego statusu odwołani goście federacyjni są blokowani przed logowaniem się do swoich kont.Wszelkie uprawnienia, które zostały im wcześniej przypisane, zostaną przeniesione do stanu brak dostępu w ramach inicjacji obsługi administracyjnej

  • Gdy właściciel domeny przywróci dostęp domeny gościa, wcześniej odwołani goście federacyjni są ponownie aktywowani.Każdy gość federacyjny może ponownie się zalogować, a status przydzielania uprawnień zostaje zaktualizowany do ukończono, umożliwiając dalsze korzystanie z przypisanych produktów.

Tak, wszystkie istniejące możliwości zarządzania użytkownikami dotyczą gości federacyjnych. Jeśli chcesz sprawdzić, czy użytkownik jest gościem federacyjnym, możesz dodać polecenie federatedGuestInfo=true do swojego żądania i wyrazić zgodę na pobranie tego dodatkowego szczegółu.

Zanim będzie można zalogować się do konta gościa federacyjnego, należy ukończyć jednorazowy przepływ weryfikacji.

Nie można uzyskać dostępu do konta gościa federacyjnego, wprowadzając adres e-mail bezpośrednio na standardowych stronach logowania Adobe.Zamiast tego należy użyć jednej z następujących metod:

  • Za pośrednictwem portalu IdP organizacji lub intranetu (jeśli zostało skonfigurowane przez administratora)
  • Używając linku logowania dostarczonego przez administratora
  • Logując się do innego konta (dla firm/osobistego) połączonego z adresem e-mail.Użyj przełącznika kont, aby zalogować się do konta gościa federacyjnego.

Kontakt z działem pomocy technicznej Adobe. Adobe zaktualizuje ustawienie w Twoim imieniu, a zmiana zostanie zastosowana dla każdej domeny osobno.

Adobe, Inc.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?

Podręczne łącza

Wyświetl swoje plany Zarządzaj planami
Wyświetl podręczne łącza
Ukryj podręczne łącza

Informacje prawne    |    Zasady ochrony prywatności online