Uwaga:

Jeśli organizacja nadal ma katalogi uwierzytelniane z użyciem funkcji SHA-1, to serwisie Admin Console można je bezproblemowo przenieść na certyfikat SHA-2, oferujący wyższy poziom bezpieczeństwa. Aby przeprowadzić migrację z certyfikatu SHA-1 na SHA-2, należy dodać i aktywować nowy profil uwierzytelniania w istniejącym katalogu. Nie wiąże się to z żadnymi przerwami w dostępie do produktów. Więcej informacji: Migracja do nowego dostawcy usługi uwierzytelniania.

Uwaga: Wszystkie nowo tworzone katalogi mają domyślnie włączone uwierzytelnianie SHA-2.

setup-dir

Konfigurowanie katalogów: Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw skonfigurować katalog, z którym zostanie połączona jedna lub wiele domen.
Więcej informacji >


setup-domains

Konfigurowanie domen: Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console.
Więcej informacji >


link-domains-to-dirs

Łączenie domen z katalogami Po skonfigurowaniu katalogów i domen w serwisie Admin Console należy pogrupować te domeny, łącząc je z katalogami.
Więcej informacji >


dir-trusting

Powierzenie dostępu do katalogu: Umożliwia zdefiniowanie relacji zaufania z administratorami systemu z innych organizacji.
Więcej informacji >


cq5dam_web_1280_1280

Migracja katalogów SHA-1 do SHA-2: Aktualizacja starej metody uwierzytelniania katalogów SHA-1 do profilu SHA-2.
Więcej informacji >


move-domains

Przenoszenie domen między katalogami: Strukturę katalogową można modyfikować, przenosząc domeny z jednych katalogów do innych za pomocą serwisu Admin Console.
Więcej informacji >


Jednym z pierwszych zadań administratora systemu obsługującego serwis Admin Console jest zdefiniowanie i skonfigurowanie systemu identyfikatorów, na podstawie których będą uwierzytelniani użytkownicy. Gdy przedsiębiorstwo kupi licencje na produkty i usługi Adobe, trzeba będzie udostępnić je użytkownikom końcowym. Aby można było to zrobić, trzeba dysponować mechanizmem uwierzytelniania użytkowników.

Adobe oferuje następujące typy identyfikatorów do uwierzytelniania użytkowników końcowych:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Jeśli chcesz, aby użytkownicy w Twojej domenie mieli osobne konta, stanowiące własność przedsiębiorstwa i przez nie kontrolowane, to musisz wybrać identyfikatory Enterprise ID albo Federated ID (na potrzeby logowania SSO).

W tym artykule omówiono szczegółowe informacje o wymaganiach związanych z konfigurowaniem systemu zarządzania identyfikatorami w celu uwierzytelniania użytkowników z użyciem identyfikatorów Enterprise ID lub Federated ID.

W tym artykule omówiono szczegółowe informacje o wymaganiach związanych z konfigurowaniem systemu zarządzania identyfikatorami w celu uwierzytelniania użytkowników z użyciem identyfikatorów Enterprise ID lub Federated ID.

Uwaga:

Opisane tu procedury konfigurowania katalogu i konfigurowania domeny są całkowicie rozłączne. Oznacza to, że można je wykonywać w dowolnej kolejności lub jednocześnie. Natomiast procedura połączenia domen adresów e-mail z katalogami musi zostać wykonana dopiero po zakończeniu obu powyższych procedur.

Podstawowe terminy i pojęcia

Zanim przejdziemy do samych procedur, trzeba omówić kilka pojęć i terminów:

Katalog w serwisie Admin Console to obiekt przechowujący zasoby, takie jak użytkownicy, oraz zasady, takie jak reguły uwierzytelniania. Są to obiekty o działaniu podobnym do katalogów LDAP lub Active Directory.

Usługa dostawcy tożsamości używana przez przedsiębiorstwo — np. Active Directory, Azure, Ping, Okta, InCommon lub Shibboleth.

Odsyłacze do informacji o konfigurowaniu logowania SSO na potrzeby Creative Cloud z użyciem popularnych usług IdP podano w sekcji Więcej podobnych na końcu tego artykułu.

Identyfikator stanowiący własność instytucji lub przedsiębiorstwa, przez nie tworzony i zarządzany. Adobe udostępnia hosting identyfikatorów Enterprise ID i przeprowadza uwierzytelnianie, ale utrzymanie tych identyfikatorów pozostaje w gestii przedsiębiorstwa. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć konta Enterprise ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.

Administratorzy tworzą identyfikator Enterprise ID i wydają go użytkownikowi. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Enterprise ID, aby na stałe zablokować dostęp do powiązanych z nim danych.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Enterprise ID:

  • Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
  • Jeśli konieczne jest zachowanie możliwości dostępu do plików i danych powiązanych z takim identyfikatorem w wyjątkowych sytuacjach.
  • Jeśli niezbędna jest możliwość całkowitego zablokowania lub usunięcia konta użytkownika.

Identyfikator należący do instytucji lub przedsiębiorstwa, tworzony przez nie i przyłączany do katalogu korporacyjnego za pomocą usługi federacji. Przedsiębiorstwo zarządza danymi uwierzytelniającymi oraz zapewnia obsługę logowania SSO za pomocą usługi IdP (dostawcy tożsamości) w protokole SAML2.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Federated ID:

  • Jeśli konta użytkowników będą przydzielane na podstawie korporacyjnej usługi katalogowej.
  • Jeśli planowane jest zarządzanie uwierzytelnianiem użytkowników.
  • Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
  • Aby umożliwić użytkownikom użycie tego samego adresu e-mail, dodaj identyfikator Adobe ID.

Uwaga:

Usługa IdP musi być zgodna ze standardem TLS 1.2.

Identyfikator tworzony przez użytkownika końcowego, stanowiący jego własność i przez niego zarządzany. Adobe przeprowadza uwierzytelnianie, natomiast użytkownik zarządza swoją tożsamością (identyfikatorem). Użytkownik zachowuje pełną kontrolę nad plikami i danymi skojarzonymi ze swoim identyfikatorem. Użytkownicy mogą kupować dodatkowe produkty i usługi Adobe. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać. Nie można jednak zablokować dostępu użytkownika do jego konta Adobe ID. Administrator nie ma możliwości usunięcia ani przejęcia takich kont. Używanie identyfikatorów Adobe ID nie wymaga żadnej dodatkowej konfiguracji.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Adobe ID:

  • Umożliwienie użytkownikom samodzielnego tworzenia identyfikatorów, posiadania ich na własność i zarządzania nimi.
  • Umożliwienie użytkownikom nabywania lub uzyskiwania subskrypcji kolejnych produktów i usług Adobe.
  • Jeśli użytkownicy mają korzystać z innych usług Adobe, które nie obsługują obecnie identyfikatorów Enterprise ID ani Federated ID.
  • Jeśli użytkownicy już mają identyfikatory Adobe ID oraz powiązane z nimi pliki, czcionki lub ustawienia. 
  • W instytucjach edukacyjnych, aby umożliwić uczniom i studentom zachowanie identyfikatorów Adobe ID po ukończeniu szkoły.
  • W przypadku współpracy z wykonawcami i freelancerami, którzy nie korzystają z adresów e-mail w domenach kontrolowanych przez Twoje przedsiębiorstwo.
  • Klienci, którzy nabyli subskrypcję Adobe dla zespołów, muszą wybrać ten typ identyfikatora.

Część adresu e-mail następująca za symbolem @. Aby można było korzystać z danej domeny w celu tworzenia identyfikatorów Enterprise ID lub Federated ID, należy najpierw potwierdzić, że jest się jej właścicielem.

Załóżmy na przykład, że przedsiębiorstwo jest właścicielem wielu domen (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale użytkownicy są uwierzytelniani tylko na podstawie domeny geometrixx.com. W związku z tym przedsiębiorstwo skonfiguruje identyfikatory w serwisie Admin Console na podstawie domeny w postaci geometrixx.com.

Administrator systemu

  • Konfiguruje identyfikatory w serwisie Admin Console we współpracy z osobami zarządzającymi katalogiem IdP oraz usługą DNS. Ten dokument jest przeznaczony dla administratorów systemu, którzy mają dostęp do serwisu Admin Console. Osoba pełniąca tę rolę będzie współpracować z innymi osobami, które zazwyczaj nie mają dostępu do Admin Console.

Osoba zarządzająca usługą DNS

  • Aktualizuje tokeny DNS w celu potwierdzenia prawa własności do domeny.

Osoba zarządzająca katalogiem IdP

  • Tworzy konektory w usłudze IdP.

Tożsamość użytkowników jest weryfikowana na podstawie źródła uwierzytelniania. Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy skonfigurować własne źródło uwierzytelniania przez dodanie domeny. Na przykład w adresie e-mail joanna@przyklad.com domena to „przyklad.com”. Dodanie domeny umożliwia tworzenie identyfikatorów Enterprise ID lub Federated ID na podstawie adresów e-mail w tej domenie. Pojedyncza domena może być używana do tworzenia identyfikatorów Enterprise ID lub identyfikatorów Federated ID, ale nie obu tych typów naraz. Możliwe jest jednak dodawanie wielu domen.

Przedsiębiorstwo musi wykazać, że ma kontrolę nad domeną. Możliwe jest też dodawanie wielu domen, jednak każdą domenę można dodać tylko raz. Nie ma możliwości dodawania znanych, publicznych i ogólnie dostępnych domen, takich jak gmail.com lub yahoo.com.

Więcej informacji o typach identyfikatorów: Zarządzanie typami identyfikatorów.

SHA-1 i SHA-2 to modele certyfikatów odpowiedzialne za bezpieczeństwo profilów uwierzytelniania katalogu. Ponieważ standard SHA-2 oferuje lepsze zabezpieczenia niż starsze certyfikaty SHA-1, wszystkie nowe i migrowane profile uwierzytelniania używają już certyfikatu SHA-2.

Tworzenie katalogów

Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw utworzyć katalog, z którym zostanie połączona jedna lub wiele domen.

Uwaga:

Firma Adobe nie obsługuje obecnie procesu inicjowanego przez usługę IdP.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Na karcie Katalogi kliknij opcję Utwórz katalog.

  3. Na ekranie Utwórz katalog wprowadź nazwę katalogu.

  4. Wybierz pozycję Enterprise ID i kliknij opcję Utwórz katalog, lub wybierz pozycję Federated ID i kliknij opcję Dalej, a następnie przejdź do kroku 5.

    Jeśli wybrano identyfikatory Enterprise ID, to już koniec pracy. Można teraz przejść do etapu konfigurowania domen w serwisie Admin Console.

  5. (Tylko Federated ID) Wybierz jedną z dostępnych opcji usługi IdP, a następnie:

    • Aby skonfigurować usługę IdP używającą standardu SAML, kliknij opcję Dalej obok pozycji Inni dostawcy SAML.
    • Kliknij opcję Dalej obok usługi Microsoft Azure, a potem wykonaj procedurę Tworzenie katalogu opisaną w sekcji Konfigurowanie konektora Azure AD
    • kliknij opcję Dalej obok usługi Google, a potem wykonaj procedurę Tworzenie katalogu opisaną w sekcji Konfigurowanie usługi federacji Google.

    Uwaga:

    Jeśli wybrano opcję Inni dostawcy SAML, to konieczne jest wykonanie pozostałych kroków tej procedury.

  6. Na ekranie Dodaj profil SAML znajdują się informacje potrzebne do skonfigurowania usługi IdP.

    Niektóre usługi IdP (dostawcy tożsamości) akceptują plik metadanych; inne wymagają natomiast podania wartości ACS URL (Adres URL usługi ACS) oraz Entity ID (Identyfikator podmiotu). Na przykład:

    • W przypadku usługi Azure Active Directory: Prześlij plik metadanych.
    • W przypadku usługi Google: Skopiuj wartości ACS URL oraz Entity ID i wprowadź je w oprogramowaniu IdP Google.
    • W przypadku usługi SalesForce: Pobierz plik metadanych, wyodrębnij z niego dane certyfikatu i wprowadź je w oprogramowaniu IdP SalesForce.

    Wybierz jedną z podanych poniżej metod.

    Metoda 1:

    Kliknij opcję Pobierz plik metadanych Adobe.

    Plik metadanych zostanie zapisany na dysku lokalnym. Plik ten umożliwia skonfigurowanie integracji SAML z usługą IdP.

    Metoda 2:

    Skopiuj wartości ACS URL oraz Entity ID.

    Dodawanie profilu SAML
  7. Przejdź do aplikacji IdP i prześlij plik metadanych albo podaj wartości ACS URL i Entity ID. Po zakończeniu tych czynności pobierz plik metadanych usługi IdP.

  8. Wróć do serwisu Adobe Admin Console i prześlij plik metadanych usługi IdP na ekranie Dodaj profil SAML, a następnie kliknij przycisk Gotowe.

Katalog zostanie utworzony.

  • Jeśli wybrano identyfikatory Enterprise ID, to już koniec pracy.
  • Jeśli wybrano tworzenie katalogu z użyciem opcji Inni dostawcy SAML, to katalog taki będzie automatycznie używać uwierzytelniania SHA-2. Katalogi utworzone wcześniej z użyciem uwierzytelniania SHA-1 można teraz zaktualizować do wersji SHA-2, a także przenieść do innej usługi IdP. Szczegółowe informacje: Migracja do nowego dostawcy usługi uwierzytelniania.

Po wykonaniu tych czynności można skonfigurować domeny w serwisie Admin Console.

Konfigurowanie domen

Uwaga:

Jeśli katalog organizacji został skonfigurowany z użyciem konektora Microsoft Azure AD lub usługi synchronizacji Google Federation, to nie trzeba dodawać domen ręcznie. Wybrane domeny, potwierdzone w konfiguracji usługi IdP, zostaną automatycznie zsynchronizowane z systemem Adobe Admin Console organizacji.

Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console.

Aby skonfigurować domeny:

  1. Dodaj domeny do serwisu Admin Console.
  2. Przygotuj się do weryfikacji prawa własności do domeny przez dodanie specjalnego rekordu DNS.
  3. Zweryfikuj domeny.

Domeny dodane w serwisie Admin Console nie muszą być zarejestrowane w tej samej usłudze IdP. Jednak łącząc te domeny z katalogami, należy umieszczać domeny z różnych usług IdP w różnych katalogach.

Domeny nie można dodać do serwisu Admin Console, jeśli inne przedsiębiorstwo dodało ją uprzednio do swojej instancji Admin Console. Można natomiast poprosić o dostęp do takiej domeny.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Na karcie Domeny kliknij opcję Dodaj domeny.

  3. Na ekranie Dodaj domeny wprowadź jedną lub więcej domen, a następnie kliknij pozycję Dodaj domeny. Można przypisać i zweryfikować tylko 15 domen naraz. Dopiero po zakończeniu tego procesu można dodać kolejne.

  4. Na ekranie Dodaj domeny przejrzyj listę domen i kliknij przycisk Dodaj domeny.

    Potwierdzanie dodania domen

Domeny zostaną dodane do serwisu Admin Console. Trzeba jednak jeszcze wykazać prawo własności do tych domen.

Przedsiębiorstwo musi wykazać, że ma prawo własności do domeny. Do serwisu Admin Console można dodać dowolną liczbę domen.

Jedno przedsiębiorstwo może użyć serwisu Admin Console, aby wykazać prawo własności do wszystkich swoich domen na podstawie pojedynczego tokenu DNS. Ponadto Admin Console nie wymaga weryfikacji subdomen za pomocą tokenu DNS. Oznacza to, że po wykazaniu prawa własności do domeny za pomocą takiego tokenu wszystkie jej subdomeny zostaną zweryfikowane bezpośrednio w momencie dodawania ich do serwisu Admin Console.

  1. Zaloguj się do serwisu Admin Console, przejdź do sekcji Ustawienia > Identyfikatory i otwórz kartę Domeny.

  2. Kliknij ikonę  i wybierz opcję Uzyskaj token DNS z rozwijanej listy.

  3. We współpracy z osobą zarządzającą usługami DNS w Twoim przedsiębiorstwie wprowadź specjalny rekord DNS do dodanych domen.

  4. Aby potwierdzić swoje prawo własności do domeny, należy dodać rekord TXT z wygenerowanym tokenem DNS. Szczegółową procedurę określa usługodawca hostingu domeny. Ogólne wskazówki podano w artykule Weryfikowanie prawa własności do domeny.

  5. Dodaj informacje na serwerach DNS przedsiębiorstwa, aby zakończyć ten etap. Uprzedź o tym osobę zarządzającą usługą DNS, aby umożliwić wykonanie tej czynności w wymaganym czasie.

    Adobe będzie okresowo sprawdzać rekordy DNS Twojej domeny. Jeśli rekordy te będą poprawne, domena zostanie automatycznie zweryfikowana. Jeśli chcesz przeprowadzić weryfikację domeny natychmiast, możesz zalogować się w serwisie Admin Console i zrobić to ręcznie. Zobacz Weryfikowanie domeny.

Serwis Admin Console kilka razy dziennie będzie podejmować próbę zweryfikowania dodanych domen. Oznacza to, że po prawidłowym skonfigurowaniu rekordów DNS nie trzeba podejmować żadnych działań.

Ręczne weryfikowanie domen

Jeśli musisz natychmiast zweryfikować domenę, możesz to zrobić za pomocą serwisu Admin Console. Aby ręcznie zweryfikować domeny:

  1. Zaloguj się w serwisie Admin Console.

  2. Przejdź do sekcji Ustawienia > Tożsamość i otwórz kartę Domeny.

  3. Kliknij opcję Weryfikuj.

    Weryfikowanie domen
  4. Na ekranie Weryfikuj prawo do domeny kliknij opcję Weryfikuj teraz.

Podczas próby weryfikacji mogą pojawić się komunikaty o błędzie, ponieważ wejście w życie zmian konfiguracji DNS zajmuje do 72 godzin. Więcej informacji podano w odpowiedziach na popularne pytania dotyczące rekordu DNS.

Po potwierdzeniu prawa własności można będzie połączyć zweryfikowane domeny z odpowiednimi katalogami w serwisie Admin Console.

Po skonfigurowaniu katalogów i domen w serwisie Admin Console należy połączyć te domeny z katalogami.

Z jednym katalogiem można połączyć wiele domen, jednak wszystkie te domeny muszą mieć identyczne ustawienia logowania SSO.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Zaznacz pole wyboru po lewej stronie nazwy domeny, a następnie kliknij przycisk Połącz z katalogiem.

    Jeśli chcesz połączyć wiele domen z tym samym katalogiem, zaznacz wszystkie odpowiadające im pola wyboru.

    Łączenie domen z katalogiem
  4. Na ekranie Połącz z katalogiem wybierz katalog z rozwijanego menu i kliknij opcję Połącz.

Aby użytkownicy mogli zacząć korzystać z produktów i usług Adobe nabytych przez przedsiębiorstwo, należy dodać użytkowników końcowych oraz grupy użytkowników i przypisać im profile produktów.

Powierzanie dostępu do katalogów

Potwierdzenie prawa własności do określonej domeny może uzyskać tylko jedna organizacja (struktura organizacyjna przedsiębiorstwa). Rozważmy następujący scenariusz:

Firma Geometrixx ma wiele oddziałów, z których każdy ma własną, niepowtarzalną wersję serwisu Admin Console. Ponadto każdy oddział chce używać identyfikatorów Federated ID korzystających z domeny geometrixx.com.  W takim przypadku administrator systemu każdego oddziału chciałby uzyskać przypisanie tej domeny na potrzeby uwierzytelniania. Serwis Admin Console nie pozwoli jednak na dodanie domeny przez więcej niż jedną organizację. Gdy jeden z oddziałów przedsiębiorstwa doda domenę, pozostałe działy mogą poprosić dla swojej instancji serwisu Admin Console o dostęp do katalogu, z którym ta domena jest połączona.

Powierzenie dostępu do katalogu pozwala właścicielowi tego katalogu na zdefiniowanie relacji zaufania z innymi administratorami systemu (powiernikami). Dzięki temu organizacje powiernicze będą mogły dodawać użytkowników do dowolnej domeny należącej do powierzonego im katalogu.

Podsumowanie: Aby w serwisie Admin Console można było korzystać z identyfikatorów Enterprise ID lub Federated ID, należy dodać domenę powiązaną ze swoim przedsiębiorstwem. Jeśli ta domena została wcześniej dodana przez inne przedsiębiorstwo (strukturę organizacyjną), należy złożyć wniosek o uzyskanie dostępu do katalogu zawierającego tę domenę jako powiernik.

Instrukcje składania wniosku o dostęp do katalogu podano w procedurze „Dodawanie domeny” w sekcji Konfigurowanie domen.

Uwaga:

Jeśli jesteś właścicielem katalogu i zaakceptujesz wniosek o dostęp do niego, organizacja powiernicza uzyska prawo dostępu do wszystkich domen połączonych z tym katalogiem oraz wszystkich domen, które zostaną do niego dodane w przyszłości. Dlatego też należy bardzo starannie zaplanować powiązania między domenami a katalogami na etapie konfigurowania systemu identyfikatorów w przedsiębiorstwie.

Powiernik domeny

Jeśli podejmiesz próbę dodania istniejących domen do serwisu Admin Console, zostanie wyświetlony następujący komunikat:

Składanie wniosku o dostęp

Jeśli poprosisz o dostęp do tej domeny, Twoje imię i nazwisko, adres e-mail oraz nazwa organizacji zostaną udostępnione we wniosku do administratorów systemu organizacji zarządzającej.

Typ katalogu (Enterprise ID lub Federated ID) zależy od tego, jak katalog został skonfigurowany przez organizację zarządzającą.  Oznacza to, że musisz używać typu identyfikatorów wybranych dla tego katalogu przez organizację zarządzającą.

Ponieważ domena została już skonfigurowana przez jej właściciela (zobacz Wykazywanie prawa własności do domeny), powiernik nie musi podejmować żadnych innych działań. Gdy wniosek o dostęp zostanie zaakceptowany przez właściciela, Twoje przedsiębiorstwo otrzyma dostęp do katalogu i wszystkich jego domen zgodnie z konfiguracją określoną przez przedsiębiorstwo będące jego właścicielem.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp i sprawdź status wniosku dla każdego katalogu, w stosunku do którego ubiegasz się o dostęp.

  3. Możesz również kliknąć jeden z wierszy na liście wniosków o dostęp i wybrać opcję Ponownie wyślij wniosek albo opcję Anuluj wniosek.

Gdy wniosek o dostęp do katalogu zostanie zaakceptowany przez przedsiębiorstwo będące właścicielem, otrzymasz powiadomienie e-mail. Wniosek o powiernictwo zniknie z konsoli, a powierzony katalog wraz z jego domenami pojawią się na listach Katalogi oraz Domeny ze statusem „Aktywny”.

Możesz teraz dodać użytkowników końcowych oraz grupy użytkowników oraz przypisać im profile produktowe.

Jeśli dostęp do powierzonego katalogu nie jest już potrzebny, organizacja powiernicza może w każdej chwili zrezygnować ze swojego statusu powiernika.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij współużytkowany katalog, do którego nie chcesz już mieć dostępu.

  3. W zasobniku danych katalogu kliknij opcję Wycofaj.

Jeśli organizacja wycofa swój dostęp do powierzonego katalogu, wszyscy użytkownicy korzystający z identyfikatorów Enterprise ID lub Federated ID opartych na tej domenie (czyli logujący się z użyciem tej domeny) zostaną usunięci. Użytkownicy ci stracą również dostęp do wszelkiego oprogramowania przyznanego przez Twoją organizację.

Właściciel domeny

Jako administrator systemu organizacji zarządzającej możesz akceptować lub odrzucać wnioski o przyznanie dostępu do należących do Ciebie katalogów. 

Jeśli otrzymasz wiadomość e-mail z wnioskiem o dostęp do należącego do Ciebie katalogu, możesz zaakceptować lub odrzucić żądanie z poziomu wiadomości e-mail. Można również przejść na zakładkę Wnioski o dostęp do domeny, aby zarządzać wnioskami o przypisanie.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp.

  3. Aby zaakceptować wszystkie wnioski, kliknij przycisk Zaakceptuj wszystkie.

    Natomiast aby zaakceptować wybrane wnioski, zaznacz pole wyboru po lewej stronie odpowiedniego wiersza i kliknij przycisk Zaakceptuj.

  4. Na ekranie Zaakceptuj wniosek o dostęp kliknij przycisk Akceptuj.

Do administratorów systemu organizacji powierniczej zostanie wysłane powiadomienie e-mail.

Można również odrzucić wniosek o dostęp do katalogu, który należy do Ciebie.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp.

  3. Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odrzuć.

  4. Na ekranie Odrzuć wniosek o dostęp podaj powód odrzucenia wniosku i kliknij przycisk Odrzuć.

Podany powód zostanie udostępniony organizacji wnioskującej pocztą elektroniczną. Nie zostaną natomiast przekazane Twoje dane, w tym adres e-mail, imię, nazwisko ani organizacja.

Można odebrać dostęp organizacji powierniczej, której go wcześniej przyznano.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do zakładki Powiernicy.

  3. Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odbierz.

  4. Na ekranie Odbierz status powiernika kliknij przycisk Odbierz.

Jeśli odbierzesz dostęp organizacji powierniczej, zostaną z niej usunięci użytkownicy korzystający z kont Enterprise ID lub Federated ID skonfigurowanych na domenach należących do tego katalogu. Użytkownicy ci stracą również dostęp do wszelkich programów i usług przyznanych przez organizację powierniczą.

Zarządzanie kluczami szyfrowania

Chociaż wszystkie dane w chmurze Creative Cloud i Document Cloud są szyfrowane, można wybrać opcję zabezpieczeń, dzięki której Adobe wygeneruje dedykowane klucze szyfrowania dla kont w utworzonym przez Ciebie katalogu.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij nazwę katalogu, dla którego chcesz włączyć szyfrowanie.

  3. Kliknij przycisk Ustawienia.

  4. W sekcji Włącz dedykowany klucz szyfrowania kliknij opcję Włącz.

    Włączanie klucza szyfrowania
  5. W okienku Włącz dedykowany klucz szyfrowania kliknij opcję Włącz.

Dedykowany klucz szyfrowania katalogu można wycofać.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij nazwę katalogu, dla którego chcesz wycofać szyfrowanie.

  3. Na ekranie Szczegóły kliknij opcję Ustawienia.

  4. W sekcji Dedykowany klucz szyfrowania kliknij opcję Wycofaj.

    Wycofywanie klucza szyfrowania
  5. W oknie Wycofaj dedykowany klucz szyfrowania kliknij opcję Wycofaj.

Migracja do nowego dostawcy usługi uwierzytelniania

Jeśli w organizacji istnieją katalogi, w których używane jest uwierzytelnianie SHA-1, można je teraz bezproblemowo przenieść na standard SHA-2 bez potrzeby tworzenia nowego katalogu.

Można ponadto przeprowadzić migrację już istniejącego katalogu do innej usługi IdP.

Uwaga:

Nie należy usuwać istniejącej konfiguracji usługi IdP do czasu potwierdzenia poprawności nowej konfiguracji i dodania 2–3 aktywnych kont do katalogu.

Jeśli usunie się starą konfigurację przed zweryfikowaniem poprawności nowej, to nie będzie już można do niej powrócić, co grozi przestojem w przypadku konieczności rozwiązania problemów. Więcej informacji podano w procedurze migracji.

Wymagania dotyczące dostępu

Aby przeprowadzić migrację do profilu uwierzytelniania SHA-2, trzeba spełnić następujące wymagania:

  • Dostęp do systemu Admin Console organizacji z konta z uprawnieniami administratora systemu
  • W systemie Admin Console musi istnieć katalog SHA-1 z konfiguracją federacji
  • Dostęp do konfiguracji usługi IdP organizacji (np.Microsoft Azure Portal, konsoli administracyjnej Google itd.)

Więcej informacji o innych kwestiach wymagających rozważenia przy takim wdrożeniu podano w sekcji Zagadnienia związane z implementacją.

Procedura migracji

Najpierw sprawdź, czy masz niezbędny dostęp i zweryfikuj zagadnienia związane z implementacją, a następnie wykonaj poniższą procedurę, aby zmodyfikować profil uwierzytelniania i przeprowadzić migrację katalogu:

  1. W serwisie Admin Console przejdź do sekcji Ustawienia > Katalogi.

  2. Wybierz operację Edytuj przy odpowiednim katalogu. Następnie wybierz opcję Dodaj nową usługę IdP w sekcji Dane katalogu.

  3. Wybierz usługę IdP, aby skonfigurować nowy profil uwierzytelniania. Wybierz usługę dostawcy tożsamości (usługę IdP), której organizacja używa do uwierzytelniania użytkowników. Kliknij przycisk Dalej.

  4. Wykonaj następujące czynności odpowiednio do wybranej usługi IdP:

    • W przypadku usługi Azure
      Zaloguj się na platformie Azure, używając konta administratora globalnego Microsoft Azure Active Directory. W oknie pytania o zezwolenie kliknij opcję Akceptuj. Nastąpi powrót do ekranu Dane katalogu w serwisie Admin Console.

    • W przypadku usługi Google:

      1. Skopiuj wartości Adres URL usługi ACS (ACS URL) oraz Identyfikator podmiotu (Entity ID) z ekranu Edytuj konfigurację logowania SAML.
      2. W osobnym oknie zaloguj się do konsoli administracyjnej Google używając konta o uprawnieniach administracyjnych. Następnie przejdź do sekcji Aplikacje > Aplikacje SAML.
      3. Kliknij ikonę +, aby dodać nową aplikację. Wybierz aplikację Adobe. Następnie pobierz metadane IDP podane w opcji 2 i prześlij je na ekranie Edytuj konfigurację logowania SAML w serwisie Adobe Admin Console. Następnie kliknij przycisk Zapisz.
      4. Potwierdź dane na ekranie Podstawowe informacje o aplikacji Adobe. Wprowadź poprzednio skopiowany adres URL usługi ACS i identyfikator podmiotu w sekcji Dane usługodawcy, aby zakończyć konfigurację.
      5. Następnie wybierz opcje Aplikacje > Aplikacje SAML > Ustawienia Adobe > Status usługi. Ustaw status usługi WŁ dla wszystkich i kliknij opcję Zapisz.
      Status usługi
    • W przypadku innych dostawców SAML:

      1. Zaloguj się do swojej aplikacji IdP w innym oknie i utwórz nową aplikację SAML. (Nie należy edytować istniejącej aplikacji SAML, ponieważ spowodowałoby to przestoje w czasie migracji).
      2. Skopiuj odpowiednio plik metadanych albo adres URL usługi ACS i identyfikator podmiotu z serwisu Adobe Admin Console i wklej je w ustawieniach usługi IdP.
      3. Prześlij plik metadanych z konfiguracji usługi IdP do serwisu Adobe Admin Console. Następnie kliknij przycisk Zapisz.
  5. Na ekranie Adobe Admin Console > Dane katalogu zostanie utworzony nowy profil uwierzytelniania. Użyj funkcji Test, aby zweryfikować poprawność konfiguracji. Dzięki temu wszyscy użytkownicy końcowi będą mieć dostęp do aplikacji SAML.

    Funkcja Test pozwala sprawdzić, czy format nazwy użytkownika w nowym profilu uwierzytelniania zdefiniowanym w usłudze idP odpowiada informacjom używanym przez obecny profil w celu logowania użytkownika.

  6. Kliknij opcję Aktywuj, aby przeprowadzić migrację na nowy profil uwierzytelniania. Po zakończeniu migracji status nowego profilu zmieni się na „W użyciu”.

    Po aktywacji upewnij się, że wartość pola Subject (Podmiot) w asercji wydanej przez nową konfigurację SAML jest zgodna z istniejącym formatem nazw użytkowników używanym w serwisie Admin Console.

    Uwaga:

    Po aktywacji nowej konfiguracji IdP profil Okta SHA-1 stanie się nieaktywny i pozostanie dostępny przez siedem dni, po czym karta tego nieaktywnego profilu zostanie automatycznie usunięta z katalogu w serwisie Adobe Admin Console. Jedynym sposobem na przywrócenie usuniętego profilu Okta jest przesłanie zgłoszenia pomocy technicznej do działu technicznego Adobe.

Po przeprowadzeniu migracji katalogu na usługę SAML z obsługą certyfikatu SHA-2 można przenieść do niego domeny z innych katalogów SHA-1, korzystając z funkcji migracji domen.

Więcej informacji o zachodzących ograniczeniach i sposobach uniknięcia błędów w konfiguracji podano w artykule Często zadawane pytania: Migracja katalogu do nowego dostawcy usługi uwierzytelniania.

Przenoszenie domen między katalogami

Organizacje mogą organizować strukturę katalogową, przenosząc domeny z jednych katalogów do innych za pomocą serwisu Admin Console. Pozwala to przebudować powiązania między domenami i katalogami zgodnie z potrzebami przedsiębiorstwa bez potrzeby pozbawiania użytkowników dostępu do produktów, usług i zapisanych zasobów. Konsolidacja domen skonfigurowanych z użyciem tej samej usługi IdP w jednym katalogu umożliwia upraszcza zadania administracyjne.

Aby przenieść domeny do katalogu, który używa innej usługi IdP (Azure, Google lub inny dostawca SAML) z uwierzytelnianiem SHA-2, należy zreplikować tę konfigurację IdP w obu katalogach (starym i nowym). Nowa konfiguracja usługi IdP umożliwia przetestowanie logowania użytkowników ze wszystkich domen w katalogu. Stosownie do używanej usługi IdP, wykonaj następujące czynności:

  • Microsoft Azure: Dodaj do katalogu nową usługę Azure IdP i zaloguj się na to samo konto najemcy Azure.
  • Inni dostawcy SAML (w tym Google): Prześlij plik metadanych prowadzący do tej samej aplikacji SAML w usłudze IdP.

Po zakończeniu migracji domeny użytkownicy należący do nowego katalogu, nadal będą mogli się zalogować. Wyeliminuje to przestoje i zapewni natychmiastowy dostęp do przypisanych im aplikacji i usług firmy Adobe.

Uwaga:

Podczas przenoszenia domeny użytkownicy zostaną wylogowani z kont i nie będą się mogli zalogować ponownie. Dlatego też zaleca się przeprowadzanie modyfikacji katalogów poza godzinami pracy, aby uniknąć takich utrudnień.

Przyczyny przenoszenia domen

Tę możliwość można wykorzystać w następujących scenariuszach:

  • Gdy istnieją domeny dodane do starych katalogów SHA-1, a organizacja chce przejść na nowe katalogi SHA-2.
  • Gdy organizacja chce przenieść istniejący katalog do innej usługi IdP z profilem uwierzytelniania SHA-2.
  • Jeśli masz katalogi o aktywnej relacji powierniczej lub chcesz udostępniać katalogi na potrzeby takiej relacji, ale nie zamierzasz zezwalać na dostęp do wszystkich domen w danym katalogu.
  • Musisz utworzyć grupy katalogów odpowiadające zespołom i działom przedsiębiorstwa lub instytucji.
  • Masz kilka katalogów, które są połączone z pojedynczymi domenami, i chcesz je skonsolidować.
  • Domena została przypadkowo połączona z niewłaściwym katalogiem.
  • Trzeba samodzielnie przenieść domenę z identyfikatorów Enterprise ID na Federated ID lub odwrotnie.

Katalogi zaszyfrowane lub w relacji powierniczej

Jeśli katalog źródłowy lub docelowy jest zaszyfrowany lub pozostaje w relacji powierniczej, to nie można bezpośrednio przenieść domen. W takim przypadku należy wykonać następujące instrukcje:
 

Scenariusz

Sugerowane podejście

Aby przenieść domenę z jednej organizacji Admin Console do innej

Skontaktuj się z działem pomocy technicznej Adobe

Aby przenieść domeny między katalogami, które pozostają ze sobą w relacji powierniczej

Wykonaj opisane poniżej czynności

Aby przenieść domeny między katalogami, które pozostają w relacji powierniczej, ale nie ze sobą nawzajem

Wycofaj relację powiernicząprzenieś domeny, a następnie przywróć relację powierniczą

Uwaga:

Przenoszenie domen do katalogu szyfrowanego albo z takiego katalogu nie jest obecnie obsługiwane.

Przenoszenie domen

Wykonaj następującą procedurę, aby przenieść domeny z katalogu źródłowego do docelowego:

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia.

  2. Otwórz sekcję Domeny i zaznacz domeny, które chcesz przenieść do katalogu docelowego. Następnie kliknij opcję Edytuj katalog.

    Edytuj katalog
  3. Wybierz katalog z rozwijanej listy na ekranie Edytuj katalog. Za pomocą przełącznika u dołu włącz lub wyłącz powiadomienia o zakończeniu przenoszenia. Następnie kliknij przycisk Zapisz.

    Wybierz katalog

Zostanie otwarta sekcja Ustawienia > Tożsamość  > Domeny. Będą w niej widoczne wszystkie domeny wraz z ich statusem.

Po pomyślnym zakończeniu tego procesu administratorzy systemu otrzymają wiadomość e-mail o przeniesieniu domeny. Następnie będzie można stosownie do potrzeb zmodyfikować nazwy katalogów i usunąć puste katalogi.

Usuwanie katalogów i domen

Z serwisu Admin Console można usuwać nieużywane już katalogi i domeny.

Uwaga:

Nie można usunąć katalogu, dla którego istnieją:

  • aktywni użytkownicy,
  • połączone domeny,
  • powiernicy.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do zakładki Katalogi.

  3. Zaznacz pola wyboru po lewej stronie nazw katalogów, a następnie kliknij przycisk Usuń katalogi.

  4. Na ekranie Usuń katalogi kliknij przycisk Usuń.

Uwaga:

Domeny nie można usunąć, jeśli w serwisie Admin Console istnieją korzystający z niej użytkownicy lub jeśli domena ta jest połączona z katalogami.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Zaznacz pola wyboru po lewej stronie nazw domen, a następnie kliknij przycisk Usuń.

  4. Na ekranie Usuń domeny kliknij przycisk Usuń.