Konfigurowanie identyfikatorów

Katalog w serwisie Admin Console to obiekt przechowujący zasoby, takie jak użytkownicy, oraz zasady, takie jak reguły uwierzytelniania. Są to obiekty o działaniu podobnym do katalogów LDAP lub Active Directory.

Usługa dostawcy tożsamości używana przez przedsiębiorstwo — np. Active Directory, Azure, Ping, Okta, InCommon lub Shibboleth.

Odsyłacze do informacji o konfigurowaniu logowania SSO na potrzeby Creative Cloud z użyciem popularnych usług IdP podano w sekcji Więcej podobnych na końcu tego artykułu.

Identyfikator tworzony przez użytkownika końcowego, stanowiący jego własność i przez niego zarządzany. Adobe przeprowadza uwierzytelnianie, natomiast użytkownik zarządza swoją tożsamością (identyfikatorem). Użytkownik zachowuje pełną kontrolę nad plikami i danymi skojarzonymi ze swoim identyfikatorem. Użytkownicy mogą kupować dodatkowe produkty i usługi Adobe. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać. Nie można jednak zablokować dostępu użytkownika do jego konta Adobe ID. Administrator nie ma możliwości usunięcia ani przejęcia takich kont. Używanie identyfikatorów Adobe ID nie wymaga żadnej dodatkowej konfiguracji.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Adobe ID:

• Umożliwienie użytkownikom samodzielnego tworzenia identyfikatorów, posiadania ich na własność i zarządzania nimi.
• Umożliwienie użytkownikom nabywania lub uzyskiwania subskrypcji kolejnych produktów i usług Adobe.
• Jeśli użytkownicy mają korzystać z innych usług Adobe, które nie obsługują obecnie identyfikatorów Enterprise ID ani Federated ID.
• Jeśli użytkownicy już mają identyfikatory Adobe ID oraz powiązane z nimi pliki, czcionki lub ustawienia. 
• W instytucjach edukacyjnych, aby umożliwić uczniom i studentom zachowanie identyfikatorów Adobe ID po ukończeniu szkoły.
• W przypadku współpracy z wykonawcami i freelancerami, którzy nie korzystają z adresów e-mail w domenach kontrolowanych przez Twoje przedsiębiorstwo.
• Klienci, którzy nabyli subskrypcję Adobe dla zespołów, muszą wybrać ten typ identyfikatora.

Identyfikator stanowiący własność instytucji lub przedsiębiorstwa, przez nie tworzony i zarządzany. Adobe udostępnia hosting identyfikatorów Enterprise ID i przeprowadza uwierzytelnianie, ale utrzymanie tych identyfikatorów pozostaje w gestii przedsiębiorstwa. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć konta Enterprise ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.

Administratorzy tworzą identyfikator Enterprise ID i wydają go użytkownikowi. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Enterprise ID, aby na stałe zablokować dostęp do powiązanych z nim danych.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Enterprise ID:

• Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
• Jeśli konieczne jest zachowanie możliwości dostępu do plików i danych powiązanych z takim identyfikatorem w wyjątkowych sytuacjach.
• Jeśli niezbędna jest możliwość całkowitego zablokowania lub usunięcia konta użytkownika.

Identyfikator należący do instytucji lub przedsiębiorstwa, tworzony przez nie i przyłączany do katalogu korporacyjnego za pomocą usługi federacji. Przedsiębiorstwo zarządza danymi uwierzytelniającymi oraz zapewnia obsługę logowania SSO za pomocą usługi IdP (dostawcy tożsamości) w protokole SAML2.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Federated ID:

• Jeśli konta użytkowników będą przydzielane na podstawie korporacyjnej usługi katalogowej.
• Jeśli planowane jest zarządzanie uwierzytelnianiem użytkowników.
• Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
• Aby umożliwić użytkownikom użycie tego samego adresu e-mail do założenia konta Adobe ID.

Część adresu e-mail następująca za symbolem @. Aby można było korzystać z danej domeny w celu tworzenia identyfikatorów Enterprise ID lub Federated ID, należy najpierw potwierdzić, że jest się jej właścicielem.

Załóżmy na przykład, że przedsiębiorstwo jest właścicielem wielu domen (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale użytkownicy są uwierzytelniani tylko na podstawie domeny geometrixx.com. W związku z tym przedsiębiorstwo skonfiguruje identyfikatory w serwisie Admin Console na podstawie domeny w postaci geometrixx.com.

• Konfiguruje identyfikatory w serwisie Admin Console we współpracy z osobami zarządzającymi katalogiem IdP oraz usługą DNS. Ten dokument jest przeznaczony dla administratorów systemu, którzy mają dostęp do serwisu Admin Console. Osoba pełniąca tę rolę będzie współpracować z innymi osobami, które zazwyczaj nie mają dostępu do Admin Console.

• Aktualizuje tokeny DNS w celu potwierdzenia prawa własności do domeny.

• Tworzy konektory w usłudze IdP.

Tożsamość użytkowników jest weryfikowana na podstawie źródła uwierzytelniania. Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy skonfigurować własne źródło uwierzytelniania przez dodanie domeny. Na przykład w adresie e-mail joanna@przyklad.com domena to „przyklad.com”. Dodanie domeny umożliwia tworzenie identyfikatorów Enterprise ID lub Federated ID na podstawie adresów e-mail w tej domenie. Pojedyncza domena może być używana do tworzenia identyfikatorów Enterprise ID lub identyfikatorów Federated ID, ale nie obu tych typów naraz. Możliwe jest jednak dodawanie wielu domen.

Przedsiębiorstwo musi wykazać, że ma kontrolę nad domeną. Możliwe jest też dodawanie wielu domen, jednak każdą domenę można dodać tylko raz. Nie ma możliwości dodawania znanych, publicznych i ogólnie dostępnych domen, takich jak gmail.com lub yahoo.com.

Więcej informacji o typach identyfikatorów: Zarządzanie typami identyfikatorów.

Katalog zostanie utworzony.

Jeśli wybrano identyfikatory Enterprise ID, to już koniec pracy. Można teraz przejść do etapu konfigurowania domen w serwisie Admin Console.

Jeśli wybrano tworzenie katalogu kont Federated ID z usługą IdP inną niż Microsoft Azure lub Google, to Adobe musi przygotować ten katalog, zanim będzie można wykonywać na nim kolejne operacje. Nie trzeba jednak czekać bezczynnie na zakończenie przygotowań przez Adobe. Można już teraz przejść do etapu konfigurowania domen w serwisie Admin Console.

Po otrzymaniu od Adobe wiadomości, że katalog został przygotowany, skonfiguruj opcje SAML dla tego katalogu.

Jeśli przedsiębiorstwo skonfiguruje logowanie SSO (Single Sign-On — pojedyncze logowanie), użytkownicy będą mogli logować się do oprogramowania Adobe, podając dane uwierzytelniające swojego konta korporacyjnego. Dzięki temu użytkownik korzysta z jednego zestawu danych uwierzytelniających, zapewniających dostęp do aplikacji stacjonarnych, usług i aplikacji mobilnych Adobe.

Adobe Admin Console umożliwia użytkownikom korporacyjnym uwierzytelnianie się za pomocą istniejących danych identyfikacyjnych. Identyfikatory Adobe Federated ID pozwalają na integrację z systemem zarządzania identyfikatorami, który obsługuje logowanie SSO. Logowanie SSO to proces obsługiwany za pomocą standardowego protokołu SAML, który łączy korporacyjne systemy zarządzania identyfikatorami z systemami dostawców usług przetwarzania w chmurze, takich jak Adobe.

Konfiguracja SSO umożliwia bezpieczną wymianę informacji uwierzytelniających między dwiema stronami: dostawcą usług (Adobe) i dostawcą tożsamości (Identity Provider — IdP). Dostawca usług wysyła żądanie do systemu IdP, który podejmuje próbę uwierzytelnienia użytkownika. Jeśli uwierzytelnianie przebiegnie pomyślnie, system IdP wysyła w odpowiedzi komunikat umożliwiający zalogowanie użytkownika.

Aby prawidłowo skonfigurować logowanie SSO do oprogramowania Adobe, potrzebne są:

• znajomość protokołu SAML 2.0,
• usługa IdP (Identity Provider), która obsługuje protokół SAML 2.0 oraz ma co najmniej:
  • certyfikat IDP,
  • adres URL logowania IDP,
  • powiązanie IDP: HTTP-POST lub HTTP-Redirect,
  • adres URL usługi ACS,
  • obsługa standardu TLS 1.2,
• dostęp do konfiguracji DNS przedsiębiorstwa w celu uzyskania przypisania domeny.

Adres URL logowania dla usługi IdP nie musi być dostępny z zewnątrz, aby użytkownicy mogli się logować. Jednak w sytuacji, gdy taki adres będzie dostępny tylko z wewnętrznej sieci przedsiębiorstwa, użytkownicy będą mogli się zalogować do produktów Adobe tylko podczas korzystania z tej sieci — czy to bezpośrednio, przez WiFi, czy przez łącze VPN. Strona logowania nie musi być dostępna wyłącznie w protokole HTTPS, ale zaleca się takie ustawienie ze względów bezpieczeństwa.

Usługi przetwarzania w chmurze Adobe obsługują logowanie SSO za pośrednictwem konektora SaaS (oprogramowania w formie usługi) zgodnego z protokołem SAML 2.0, którego producentem jest Okta. Konektor ten służy do komunikacji z usługą IdP, co umożliwia przeprowadzenie uwierzytelniania. Przedsiębiorstwo nie musi korzystać z usługi IdP oferowanej przez Okta, ponieważ system Okta może się łączyć z wieloma takimi usługami korzystającymi ze standardu SAML 2.0. Więcej informacji: Logowanie SSO / Popularne pytania.

Jeśli organizacja chce przetestować integrację logowania SSO, zaleca się uzyskanie przypisania domeny testowej należącej do organizacji (pod warunkiem, że organizacji korzysta z usługi IdP z identyfikatorami skonfigurowanymi w tej domenie testowej). Pozwoli to na przeprowadzenie testów integracji przed uzyskaniem przypisania głównych domen oraz zdobycie doświadczenia w prowadzeniu procesu uzyskiwania i konfigurowania domeny.

Jeśli masz już usługę dostawcy tożsamości (IdP), możesz łatwo skonfigurować logowanie SSO z użyciem konektora SaaS dostarczanego przez firmę Okta. Konektor ten jest zgodny z protokołem SAML 2.0.

Katalog został skonfigurowany do obsługi logowania SSO.

Jeśli w serwisie Admin Console nie zostały jeszcze dodane domeny, można to zrobić teraz. Natomiast jeśli odpowiednie domeny są już dodane, możesz je połączyć z utworzonym katalogiem.

Domeny dodane w serwisie Admin Console nie muszą być zarejestrowane w tej samej usłudze IdP. Jednak łącząc te domeny z katalogami, należy umieszczać domeny z różnych usług IdP w różnych katalogach.

Domeny nie można dodać do serwisu Admin Console, jeśli inne przedsiębiorstwo dodało ją uprzednio do swojej instancji Admin Console. Można natomiast poprosić o dostęp do takiej domeny.

Domeny zostaną dodane do serwisu Admin Console. Trzeba jednak jeszcze wykazać prawo własności do tych domen.

Przedsiębiorstwo musi wykazać, że ma prawo własności do domeny. Do serwisu Admin Console można dodać dowolną liczbę domen.

Jedno przedsiębiorstwo może użyć serwisu Admin Console, aby wykazać prawo własności do wszystkich swoich domen na podstawie pojedynczego tokenu DNS. Ponadto Admin Console nie wymaga weryfikacji subdomen za pomocą tokenu DNS. Oznacza to, że po wykazaniu prawa własności do domeny za pomocą takiego tokenu wszystkie jej subdomeny zostaną zweryfikowane bezpośrednio w momencie dodawania ich do serwisu Admin Console.

Serwis Admin Console kilka razy dziennie będzie podejmować próbę zweryfikowania dodanych domen. Oznacza to, że po prawidłowym skonfigurowaniu rekordów DNS nie trzeba podejmować żadnych działań.

Jeśli musisz natychmiast zweryfikować domenę, możesz to zrobić za pomocą serwisu Admin Console. Aby ręcznie zweryfikować domeny:

Teraz można będzie połączyć zweryfikowane domeny z odpowiednimi katalogami w serwisie Admin Console.

Jeśli podejmiesz próbę dodania istniejących domen do serwisu Admin Console, zostanie wyświetlony następujący komunikat:

Jeśli poprosisz o dostęp do tej domeny, Twoje imię i nazwisko, adres e-mail oraz nazwa organizacji zostaną udostępnione we wniosku do administratorów systemu organizacji zarządzającej.

Typ katalogu (Enterprise ID lub Federated ID) zależy od tego, jak katalog został skonfigurowany przez organizację zarządzającą.  Oznacza to, że musisz używać typu identyfikatorów wybranych dla tego katalogu przez organizację zarządzającą.

Ponieważ domena została już skonfigurowana przez jej właściciela (zobacz Wykazywanie prawa własności do domeny), powiernik nie musi podejmować żadnych innych działań. Gdy wniosek o dostęp zostanie zaakceptowany przez właściciela, Twoje przedsiębiorstwo otrzyma dostęp do katalogu i wszystkich jego domen zgodnie z konfiguracją określoną przez przedsiębiorstwo będące jego właścicielem.

Gdy wniosek o dostęp do katalogu zostanie zaakceptowany przez przedsiębiorstwo będące właścicielem, otrzymasz powiadomienie e-mail. Wniosek o powiernictwo zniknie z konsoli, a powierzony katalog wraz z jego domenami pojawią się na listach Katalogi oraz Domeny ze statusem „Aktywny”.

Możesz teraz dodać użytkowników końcowych oraz grupy użytkowników oraz przypisać im profile produktowe.

Jeśli dostęp do powierzonego katalogu nie jest już potrzebny, organizacja powiernicza może w każdej chwili zrezygnować ze swojego statusu powiernika.

Jeśli organizacja wycofa swój dostęp do powierzonego katalogu, wszyscy użytkownicy korzystający z identyfikatorów Enterprise ID lub Federated ID opartych na tej domenie (czyli logujący się z użyciem tej domeny) zostaną usunięci. Użytkownicy ci stracą również dostęp do wszelkiego oprogramowania przyznanego przez Twoją organizację.

Do administratorów systemu organizacji powierniczej zostanie wysłane powiadomienie e-mail.

Można również odrzucić wniosek o dostęp do katalogu, który należy do Ciebie.

Podany powód zostanie udostępniony organizacji wnioskującej pocztą elektroniczną. Nie zostaną natomiast przekazane Twoje dane, w tym adres e-mail, imię, nazwisko ani organizacja.

Można odebrać dostęp organizacji powierniczej, której go wcześniej przyznano.

Jeśli odbierzesz dostęp organizacji powierniczej, zostaną z niej usunięci użytkownicy korzystający z kont Enterprise ID lub Federated ID skonfigurowanych na domenach należących do tego katalogu. Użytkownicy ci stracą również dostęp do wszelkich programów i usług przyznanych przez organizację powierniczą.

Dedykowany klucz szyfrowania katalogu można wycofać.