Konfigurowanie katalogów: Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw skonfigurować katalog, z którym zostanie połączona jedna lub wiele domen. Więcej informacji >
Konfigurowanie katalogów: Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw skonfigurować katalog, z którym zostanie połączona jedna lub wiele domen. Więcej informacji >
Konfigurowanie domen: Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console. Więcej informacji >
Łączenie domen z katalogami Po skonfigurowaniu katalogów i domen w serwisie Admin Console należy pogrupować te domeny, łącząc je z katalogami.
Więcej informacji >
Powierzenie dostępu do katalogu: Umożliwia zdefiniowanie relacji zaufania z administratorami systemu z innych organizacji.
Więcej informacji >
Przejście na nową usługę uwierzytelniania: Dostępna jest opcja samoobsługowa umożliwiająca migrację istniejących katalogów w serwisie Adobe Admin Console do nowej usługi uwierzytelniania.
Więcej informacji >
Przenoszenie domen między katalogami: Strukturę katalogową można modyfikować, przenosząc domeny z jednych katalogów do innych za pomocą serwisu Admin Console.
Więcej informacji >
Jednym z pierwszych zadań administratora systemu obsługującego serwis Admin Console jest zdefiniowanie i skonfigurowanie systemu identyfikatorów, na podstawie których będą uwierzytelniani użytkownicy. Gdy przedsiębiorstwo kupi licencje na produkty i usługi Adobe, trzeba będzie udostępnić je użytkownikom końcowym. Aby można było to zrobić, trzeba dysponować mechanizmem uwierzytelniania użytkowników.
Adobe oferuje następujące typy identyfikatorów do uwierzytelniania użytkowników końcowych:
Jeśli chcesz, aby użytkownicy w Twojej domenie mieli osobne konta, stanowiące własność przedsiębiorstwa i przez nie kontrolowane, to musisz wybrać identyfikatory Enterprise ID albo Federated ID (na potrzeby logowania SSO).
Aby udostępnić takie korzyści, jak przestrzeń dyskowa w modelu korporacyjnym i inne funkcje dla przedsiębiorstw, Adobe migruje wszystkie istniejące identyfikatory Adobe ID do identyfikatorów Business ID. Członkowie zespołów u wszystkich nowych klientów biznesowych będą mieli już identyfikatory Business ID.
Adobe poinformuje organizację z wyprzedzeniem, gdy zostanie dla niej zaplanowana ta migracja. Więcej informacji podano we wprowadzeniu do identyfikatorów Business ID i nowych funkcji przestrzeni dyskowej. Dopóki Twoja organizacja nie zostanie poddana migracji, nadal będziesz uzyskiwać do niej dostęp na podstawie identyfikatora Adobe ID. Potem możliwość korzystania z identyfikatorów Adobe ID będzie dostępna tylko dla klientów indywidualnych.
W tym artykule omówiono szczegółowe informacje o wymaganiach związanych z konfigurowaniem systemu zarządzania identyfikatorami w celu uwierzytelniania użytkowników z użyciem identyfikatorów Enterprise ID lub Federated ID.
Opisane tu procedury konfigurowania katalogu i konfigurowania domeny są całkowicie rozłączne. Oznacza to, że można je wykonywać w dowolnej kolejności lub jednocześnie. Natomiast procedura połączenia domen adresów e-mail z katalogami musi zostać wykonana dopiero po zakończeniu obu powyższych procedur.
Zanim przejdziemy do samych procedur, trzeba omówić kilka pojęć i terminów:
Katalog w serwisie Admin Console to obiekt przechowujący zasoby, takie jak użytkownicy, oraz zasady, takie jak reguły uwierzytelniania. Są to obiekty o działaniu podobnym do katalogów LDAP lub Active Directory.
Usługa dostawcy tożsamości używana przez przedsiębiorstwo — np. Active Directory, Microsoft Azure, Ping, Okta, InCommon lub Shibboleth.
Odsyłacze do informacji o konfigurowaniu logowania SSO na potrzeby Creative Cloud z użyciem popularnych usług IdP podano w sekcji Więcej podobnych na końcu tego artykułu.
Tworzony przez przedsiębiorstwo i będący jego własnością. Zarządzany przez użytkownika końcowego. Identyfikator Business ID (wraz te wszystkimi powiązanymi z nim zasobami) jest własnością firmy. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć osobistego konta Business ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.
Rozpoczęcie korzystania z identyfikatorów Business ID nie wymaga żadnej dodatkowej konfiguracji. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać; mogą także usuwać lub przejmować ich konta. Identyfikator Business ID jest tworzony i wydawany użytkownikowi przez administratora. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Business ID, aby na stałe zablokować dostęp do powiązanych z nim danych.
Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Business ID:
Aby udostępnić takie korzyści, jak przestrzeń dyskowa w modelu korporacyjnym i inne funkcje dla przedsiębiorstw, Adobe migruje wszystkie istniejące identyfikatory Adobe ID do identyfikatorów Business ID. Członkowie zespołów u wszystkich nowych klientów biznesowych będą mieli już identyfikatory Business ID.
Adobe poinformuje organizację z wyprzedzeniem, gdy zostanie dla niej zaplanowana ta migracja. Więcej informacji podano we wprowadzeniu do identyfikatorów Business ID i nowych funkcji przestrzeni dyskowej. Dopóki Twoja organizacja nie zostanie poddana migracji, nadal będziesz uzyskiwać do niej dostęp na podstawie identyfikatora Adobe ID. Potem możliwość korzystania z identyfikatorów Adobe ID będzie dostępna tylko dla klientów indywidualnych.
Identyfikator stanowiący własność instytucji lub przedsiębiorstwa, przez nie tworzony i zarządzany. Adobe udostępnia hosting identyfikatorów Enterprise ID i przeprowadza uwierzytelnianie, ale utrzymanie tych identyfikatorów pozostaje w gestii przedsiębiorstwa. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć konta Enterprise ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.
Administratorzy tworzą identyfikator Enterprise ID i wydają go użytkownikowi. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Enterprise ID, aby na stałe zablokować dostęp do powiązanych z nim danych.
Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Enterprise ID:
Identyfikator należący do instytucji lub przedsiębiorstwa, tworzony przez nie i przyłączany do katalogu korporacyjnego za pomocą usługi federacji. Przedsiębiorstwo zarządza danymi uwierzytelniającymi oraz zapewnia obsługę logowania SSO za pomocą usługi IdP (dostawcy tożsamości) w protokole SAML2.
Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Federated ID:
Usługa IdP musi być zgodna ze standardem TLS 1.2.
Identyfikator tworzony przez użytkownika końcowego, stanowiący jego własność i przez niego zarządzany. Adobe przeprowadza uwierzytelnianie, natomiast użytkownik zarządza swoją tożsamością (identyfikatorem). Użytkownik zachowuje pełną kontrolę nad plikami i danymi skojarzonymi ze swoim identyfikatorem. Użytkownicy mogą kupować dodatkowe produkty i usługi Adobe. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać. Nie można jednak zablokować dostępu użytkownika do jego konta Adobe ID. Administrator nie ma możliwości usunięcia ani przejęcia takich kont. Używanie identyfikatorów Adobe ID nie wymaga żadnej dodatkowej konfiguracji.
Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Adobe ID:
Część adresu e-mail następująca za symbolem @. Aby można było korzystać z danej domeny w celu tworzenia identyfikatorów Enterprise ID lub Federated ID, należy najpierw potwierdzić, że jest się jej właścicielem.
Załóżmy na przykład, że przedsiębiorstwo jest właścicielem wielu domen (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale użytkownicy są uwierzytelniani tylko na podstawie domeny geometrixx.com. W związku z tym przedsiębiorstwo skonfiguruje identyfikatory w serwisie Admin Console na podstawie domeny w postaci geometrixx.com.
Tożsamość użytkowników jest weryfikowana na podstawie źródła uwierzytelniania. Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy skonfigurować własne źródło uwierzytelniania przez dodanie domeny. Na przykład w adresie e-mail joanna@przyklad.com domena to „przyklad.com”. Dodanie domeny umożliwia tworzenie identyfikatorów Enterprise ID lub Federated ID na podstawie adresów e-mail w tej domenie. Pojedyncza domena może być używana do tworzenia identyfikatorów Enterprise ID lub identyfikatorów Federated ID, ale nie obu tych typów naraz. Możliwe jest jednak dodawanie wielu domen.
Przedsiębiorstwo musi wykazać, że ma kontrolę nad domeną. Możliwe jest też dodawanie wielu domen, jednak każdą domenę można dodać tylko raz. Nie ma możliwości dodawania znanych, publicznych i ogólnie dostępnych domen, takich jak gmail.com lub yahoo.com.
Więcej informacji o typach identyfikatorów: Zarządzanie typami identyfikatorów.
Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw utworzyć katalog, z którym zostanie połączona jedna lub wiele domen. Domyślnie organizacja ma katalog Business ID, który nie wymaga żadnej konfiguracji.
Firma Adobe nie obsługuje obecnie procesu inicjowanego przez usługę IdP.
Jeśli organizacja używa (lub planuje używać) usługi Microsoft Azure jako dostawcy SSO, to zaleca się korzystanie z uwierzytelniania z użyciem usługi Azure Federation. Należy również wykonać czynności opisane w sekcji Uwierzytelnianie użytkowników za pomocą usługi Microsoft Azure: Tworzenie katalogu.
Jeśli organizacja używa (lub planuje używać) federacji Google jako dostawcy SSO, to zaleca się korzystanie z uwierzytelniania z użyciem usługi Google Federation. Należy również wykonać czynności opisane w sekcji Uwierzytelnianie użytkowników z użyciem usługi Google Federation: Tworzenie katalogu w serwisie Adobe Admin Console.
Wykonaj następującą procedurę, jeśli organizacja używa co najmniej jednej z następujących usług:
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.
Na karcie Katalogi kliknij opcję Utwórz katalog.
Na ekranie Utwórz katalog wprowadź nazwę katalogu.
Wybierz opcję Federated ID i kliknij przycisk Dalej. Następnie przejdź do kroku 5.
Wybierz opcję Enterprise ID kliknij przycisk Utwórz katalog.
Jeśli tworzysz katalog Enterprise ID, to już koniec tej procedury.
Możesz teraz rozpocząć konfigurowanie domen.
(Tylko Federated ID) Wybierz opcję Inni dostawcy SAML i kliknij przycisk Dalej.
Na ekranie Dodaj profil SAML znajdują się informacje potrzebne do skonfigurowania usługi IdP.
Niektóre usługi IdP (dostawcy tożsamości) akceptują plik metadanych; inne wymagają natomiast podania wartości ACS URL (Adres URL usługi ACS) oraz Entity ID (Identyfikator podmiotu). Na przykład:
Wykonanie powyższych konfiguracji usług Azure i Google jest konieczne, jeśli nie używa się odpowiednio usługi Azure Federation lub Google Federation.
Wybierz jedną z podanych poniżej metod.
Metoda 1:
Kliknij opcję Pobierz plik metadanych Adobe.
Plik metadanych zostanie zapisany na dysku lokalnym. Plik ten umożliwia skonfigurowanie integracji SAML z usługą IdP.
Metoda 2:
Skopiuj wartości ACS URL oraz Entity ID.
Przejdź do aplikacji IdP i prześlij plik metadanych albo podaj wartości ACS URL i Entity ID. Po zakończeniu tych czynności pobierz plik metadanych usługi IdP.
Wróć do serwisu Adobe Admin Console i prześlij plik metadanych usługi IdP na ekranie Dodaj profil SAML, a następnie kliknij przycisk Gotowe.
Jeśli katalog organizacji został skonfigurowany z użyciem katalogu Microsoft Azure AD lub usługi Google Federation, to nie trzeba dodawać domen ręcznie. Wybrane domeny, potwierdzone w konfiguracji usługi IdP, zostaną automatycznie zsynchronizowane z systemem Adobe Admin Console organizacji.
Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console.
Aby skonfigurować domeny:
Domeny dodane w serwisie Admin Console nie muszą być zarejestrowane w tej samej usłudze IdP. Jednak łącząc te domeny z katalogami, należy umieszczać domeny z różnych usług IdP w różnych katalogach.
Domeny nie można dodać do serwisu Admin Console, jeśli inne przedsiębiorstwo dodało ją uprzednio do swojej instancji Admin Console. Można natomiast poprosić o dostęp do takiej domeny.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.
Na karcie Domeny kliknij opcję Dodaj domeny.
Na ekranie Dodaj domeny wprowadź jedną lub więcej domen, a następnie kliknij pozycję Dodaj domeny. Można przypisać i zweryfikować tylko 15 domen naraz. Dopiero po zakończeniu tego procesu można dodać kolejne.
Na ekranie Dodaj domeny przejrzyj listę domen i kliknij przycisk Dodaj domeny.
Domeny zostaną dodane do serwisu Admin Console. Teraz należy wykazać prawo własności do tych domen.
Przedsiębiorstwo musi wykazać, że ma prawo własności do domeny. Do serwisu Admin Console można dodać dowolną liczbę domen.
Jedno przedsiębiorstwo może użyć serwisu Admin Console, aby wykazać prawo własności do wszystkich swoich domen na podstawie pojedynczego tokenu DNS. Ponadto Admin Console nie wymaga weryfikacji subdomen za pomocą tokenu DNS. Oznacza to, że po wykazaniu prawa własności do domeny za pomocą takiego tokenu wszystkie jej subdomeny zostaną zweryfikowane bezpośrednio w momencie dodawania ich do serwisu Admin Console.
Zaloguj się do serwisu Admin Console, przejdź do sekcji Ustawienia > Identyfikatory i otwórz kartę Domeny.
Kliknij ikonę i wybierz opcję Uzyskaj token DNS z rozwijanej listy.
We współpracy z osobą zarządzającą usługami DNS w Twoim przedsiębiorstwie wprowadź specjalny rekord DNS do dodanych domen.
Aby potwierdzić swoje prawo własności do domeny, należy dodać rekord TXT z wygenerowanym tokenem DNS. Szczegółową procedurę określa usługodawca hostingu domeny. Ogólne wskazówki podano w artykule Weryfikowanie prawa własności do domeny.
Dodaj informacje na serwerach DNS przedsiębiorstwa, aby zakończyć ten etap. Uprzedź o tym osobę zarządzającą usługą DNS, aby umożliwić wykonanie tej czynności w wymaganym czasie.
Adobe będzie okresowo sprawdzać rekordy DNS Twojej domeny. Jeśli te rekordy będą poprawne, domena zostanie automatycznie zweryfikowana. Jeśli chcesz przeprowadzić weryfikację natychmiast, możesz zalogować się w serwisie Admin Console i zainicjować ten proces ręcznie. Następnie należy zweryfikować domeny.
Serwis Admin Console kilka razy dziennie będzie podejmować próbę zweryfikowania dodanych domen. Oznacza to, że po prawidłowym skonfigurowaniu rekordów DNS nie trzeba podejmować żadnych działań.
Jeśli musisz natychmiast zweryfikować domenę, możesz to zrobić za pomocą serwisu Admin Console. Aby ręcznie zweryfikować domeny:
Zaloguj się w serwisie Admin Console.
Przejdź do sekcji Ustawienia > Tożsamość i otwórz kartę Domeny.
Kliknij opcję Weryfikuj.
Na ekranie Weryfikuj prawo do domeny kliknij opcję Weryfikuj teraz.
Podczas próby weryfikacji mogą pojawić się komunikaty o błędzie, ponieważ wejście w życie zmian konfiguracji DNS zajmuje do 72 godzin. Więcej informacji podano w odpowiedziach na popularne pytania dotyczące rekordu DNS.
Po potwierdzeniu prawa własności można będzie połączyć zweryfikowane domeny z odpowiednimi katalogami w serwisie Admin Console.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź do karty Katalogi.
Zaznacz pole wyboru po lewej stronie nazwy domeny, a następnie kliknij przycisk Połącz z katalogiem.
Jeśli chcesz połączyć wiele domen z tym samym katalogiem, zaznacz wszystkie odpowiadające im pola wyboru.
Na ekranie Połącz z katalogiem wybierz katalog z rozwijanego menu i kliknij opcję Połącz.
Po zakończeniu konfiguracji identyfikatorów Enterprise ID lub Federated ID możesz przystąpić do udostępniania zakupionych produktów i usług Adobe użytkownikom.
Zapoznaj się ze wstępem do zarządzania użytkownikami w serwisie Admin Console. Można także od razu rozpocząć dodawanie użytkowników do serwisu Admin Console z użyciem jednej z następujących metod:
Gdy użytkownicy zostaną dodani do systemu Admin Console, skonfiguruj ich dostęp, przypisując ich do profilów produktowych.
Potwierdzenie prawa własności do określonej domeny może uzyskać tylko jedna organizacja (struktura organizacyjna przedsiębiorstwa). Rozważmy następujący scenariusz:
Firma Geometrixx ma wiele oddziałów, z których każdy ma własną, niepowtarzalną wersję serwisu Admin Console. Ponadto każdy oddział chce używać identyfikatorów Federated ID korzystających z domeny geometrixx.com. W takim przypadku administrator systemu każdego oddziału chciałby uzyskać przypisanie tej domeny na potrzeby uwierzytelniania. Serwis Admin Console nie pozwoli jednak na dodanie domeny przez więcej niż jedną organizację. Gdy jeden z oddziałów przedsiębiorstwa doda domenę, pozostałe działy mogą poprosić dla swojej instancji serwisu Admin Console o dostęp do katalogu, z którym ta domena jest połączona.
Powierzenie dostępu do katalogu pozwala właścicielowi tego katalogu na zdefiniowanie relacji zaufania z innymi administratorami systemu (powiernikami). Dzięki temu organizacje powiernicze będą mogły dodawać użytkowników do dowolnej domeny należącej do powierzonego im katalogu.
Podsumowując, aby w serwisie Admin Console można było korzystać z identyfikatorów Enterprise ID lub Federated ID, należy dodać domenę. Jeśli ta domena została wcześniej dodana przez inne przedsiębiorstwo (organizację), należy złożyć wniosek o uzyskanie dostępu do katalogu zawierającego tę domenę jako powiernik. Jednak użytkownicy dodawani przez organizację powierniczą do takich domen z relacją zaufania otrzymują identyfikatory Business ID. Mimo konfiguracji Business ID konta te będą uwierzytelniane przez platformę uwierzytelniania organizacji będącej ich właścicielem.
Instrukcje składania wniosku o dostęp do katalogu podano w procedurze „Dodawanie domeny” w sekcji Konfigurowanie domen.
Jeśli podejmiesz próbę dodania istniejących domen do serwisu Admin Console, zostanie wyświetlony następujący komunikat:
Jeśli poprosisz o dostęp do tej domeny, Twoje imię i nazwisko, adres e-mail oraz nazwa organizacji zostaną udostępnione we wniosku do administratorów systemu organizacji zarządzającej.
Będzie to nowy typ katalogu — Business ID, a uwierzytelnianie zależy od tego, jak katalog został skonfigurowany przez organizację zarządzającą.
Ponieważ domena została już skonfigurowana przez jej właściciela (zobacz Wykazywanie prawa własności do domeny), powiernik nie musi podejmować żadnych innych działań. Gdy wniosek o dostęp zostanie zaakceptowany przez właściciela, Twoje przedsiębiorstwo otrzyma dostęp do katalogu i wszystkich jego domen zgodnie z konfiguracją określoną przez przedsiębiorstwo będące jego właścicielem.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź na kartę Wnioski o dostęp i sprawdź status wniosku dla każdego katalogu, w stosunku do którego ubiegasz się o dostęp.
Możesz również kliknąć jeden z wierszy na liście wniosków o dostęp i wybrać opcję Ponownie wyślij wniosek albo opcję Anuluj wniosek.
Gdy wniosek o dostęp do katalogu zostanie zaakceptowany przez przedsiębiorstwo będące właścicielem, otrzymasz powiadomienie e-mail.Wniosek o powiernictwo zniknie z konsoli, a powierzony katalog wraz z jego domenami pojawią się na listach Katalogi oraz Domeny ze statusem „Aktywny”.
Możesz teraz dodać użytkowników oraz grupy użytkowników oraz przypisać im profile produktowe.
Jeśli dostęp do powierzonego katalogu nie jest już potrzebny, organizacja powiernicza może w każdej chwili zrezygnować ze swojego statusu powiernika.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Na karcie Katalogi kliknij współużytkowany katalog, do którego nie chcesz już mieć dostępu.
W zasobniku danych katalogu kliknij opcję Wycofaj.
Jeśli wycofasz swój dostęp do zaufanego katalogu, wszyscy użytkownicy powiązani z domenami w tym katalogu zostaną usunięci z Twojej organizacji. Jednak użytkownicy ci nadal mogą mieć dostęp do przypisanych im aplikacji, usług i przestrzeni dyskowej.
Aby uniemożliwić użytkownikom korzystanie z oprogramowania, usuń ich konta na stronie Admin Console > Użytkownicy >Usuń użytkowników. Pozwoli to odzyskać zasoby usuniętych użytkowników, ponieważ to Twoja organizacja jest właścicielem tych zasobów.
Jako administrator systemu organizacji zarządzającej możesz akceptować lub odrzucać wnioski o przyznanie dostępu do należących do Ciebie katalogów.
Jeśli otrzymasz wiadomość e-mail z wnioskiem o dostęp do należącego do Ciebie katalogu, możesz zaakceptować lub odrzucić żądanie z poziomu wiadomości e-mail. Można również przejść na zakładkę Wnioski o dostęp do domeny, aby zarządzać wnioskami o przypisanie.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź na kartę Wnioski o dostęp.
Aby zaakceptować wszystkie wnioski, kliknij przycisk Zaakceptuj wszystkie.
Natomiast aby zaakceptować wybrane wnioski, zaznacz pole wyboru po lewej stronie odpowiedniego wiersza i kliknij przycisk Zaakceptuj.
Na ekranie Zaakceptuj wniosek o dostęp kliknij przycisk Akceptuj.
Do administratorów systemu organizacji powierniczej zostanie wysłane powiadomienie e-mail.
Można również odrzucić wniosek o dostęp do katalogu, który należy do Ciebie.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź na kartę Wnioski o dostęp.
Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odrzuć.
Na ekranie Odrzuć wniosek o dostęp podaj powód odrzucenia wniosku i kliknij przycisk Odrzuć.
Można odebrać dostęp organizacji powierniczej, której go wcześniej przyznano.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź do zakładki Powiernicy.
Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odbierz.
Na ekranie Odbierz status powiernika kliknij przycisk Odbierz.
Jeśli odbierzesz dostęp do zaufanego katalogu, wszyscy użytkownicy powiązani z domenami w tym katalogu zostaną z niego usunięci. Jednak użytkownicy ci nadal mogą mieć dostęp do przypisanych im aplikacji, usług i przestrzeni dyskowej.
Aby uniemożliwić użytkownikom korzystanie z oprogramowania, administratorzy w organizacji powierniczej mogą usunąć ich konta na stronie Admin Console > Użytkownicy >Usuń użytkowników. Pozwoli to odzyskać zasoby usuniętych użytkowników, ponieważ to organizacja powiernicza jest właścicielem tych zasobów.
Użytkownik dodawany do organizacji powierniczej zawsze otrzymuje konto Business ID. Dotyczy to zarówno nowych użytkowników w organizacji powierniczej, jak użytkowników już istniejących w organizacji będącej właścicielem. W organizacji właścicielskiej ten użytkownik będzie mieć konto Federated ID lub Enterprise ID, natomiast w organizacjach powierniczych — konto Business ID. Jednak podczas logowania do aplikacji lub usług Adobe użytkownikowi z organizacji powierniczej będzie prezentowany proces logowania na konto Federated ID lub Enterprise ID skonfigurowany w organizacji będącej właścicielem.
Ponadto użytkownik może otrzymać uprawnienia od organizacji właścicielskiej albo od organizacji powierniczej. W takim przypadku Adobe utworzy osobny profil na każdą z organizacji (właściciel lub powiernik), do której należą użytkownicy. Profil ułatwia zachowanie separacji między uprawnienia i zasobami przynależnymi do poszczególnych organizacji. Dzięki temu zasoby utworzone przez użytkownika w ramach określonego profilu będą stanowić własność odpowiedniej organizacji. Jeśli użytkownik opuści organizację, administrator tej organizacji przejmie jego zasoby.
Więcej informacji:
Po przeprowadzeniu migracji organizacji powierniczej wszyscy użytkownicy zostaną wylogowani z kont i będą musieli się ponownie zalogować. Ponieważ tacy użytkownicy istnieją również w organizacji właścicielskiej, mogą otrzymywać uprawnienia zarówno od organizacji właścicielskiej, jak i organizacji powierniczej. W takim przypadku Adobe skonfiguruje dla nich osobne profile. W związku z tym podczas ponownego logowania się konto użytkownik może zostać poproszony o wybór profilu.
W razie potrzeby użytkownicy mogą przeczytać instrukcje zarządzania profilami Adobe.
Usługa Creative Cloud lub Document Cloud dla przedsiębiorstw umożliwia użytkownikom końcowym bezpieczne przechowywanie plików. Można również udostępniać pliki i współpracować z innymi. Dostęp do plików można uzyskać za pomocą serwisu Creative Cloud, aplikacji Creative Cloud Desktop oraz aplikacji mobilnej Creative Cloud. Przestrzeń dyskowa w chmurze w ramach wdrożenia Creative Cloud lub Document Cloud dla przedsiębiorstw jest dostępna tylko wtedy, gdy taka usługa została uwzględniona w umowie danej organizacji z Adobe.
Chociaż wszystkie dane w chmurach Creative Cloud i Document Cloud są szyfrowane, można wprowadzić dodatkowe warstwy kontroli i bezpieczeństwa, uzyskując od Adobe dedykowany klucz szyfrowania dla organizacji. Zawartość będzie wówczas szyfrowana z użyciem tego dedykowanego klucza i standardowego mechanizmu szyfrowania. W razie potrzeby klucz szyfrowania można odwołać, posługując się serwisem Admin Console.
Dedykowane klucze szyfrowania są dostępne tylko w przypadku tych planów Creative Cloud lub Document Cloud dla przedsiębiorstw z usługami wspólnymi, które obejmują przestrzeń dyskową i usługi.
Więcej informacji: Zarządzanie szyfrowaniem kluczy w serwisie Admin Console.
Dostępna jest opcja samoobsługowa umożliwiająca migrację istniejących katalogów w serwisie Adobe Admin Console do nowej usługi uwierzytelniania.
Aby przeprowadzić migrację do nowej usługi uwierzytelniania, trzeba spełnić następujące wymagania:
Więcej informacji: Zagadnienia związane z implementacją.
Najpierw sprawdź, czy masz niezbędny dostęp i zweryfikuj zagadnienia związane z implementacją, a następnie wykonaj poniższą procedurę, aby zmodyfikować profil uwierzytelniania i przeprowadzić migrację katalogu:
W serwisie Adobe Admin Console przejdź do sekcji Ustawienia > Katalogi.
Wybierz operację Edytuj przy odpowiednim katalogu. Następnie wybierz opcję Dodaj nową usługę IdP w sekcji Dane katalogu.
Wybierz usługę IdP, aby skonfigurować nowy profil uwierzytelniania. Wybierz usługę dostawcy tożsamości (usługę IdP), której organizacja używa do uwierzytelniania użytkowników. Kliknij przycisk Dalej.
Wykonaj następujące czynności odpowiednio do wybranej usługi IdP:
W przypadku usługi Azure:
Zaloguj się na platformie Azure, używając konta administratora globalnego Microsoft Azure Active Directory. W oknie pytania o zezwolenie kliknij opcję Akceptuj. Nastąpi powrót do ekranu Dane katalogu w serwisie Admin Console.
W przypadku usługi Google:
W przypadku innych dostawców SAML:
Na ekranie Adobe Admin Console > Dane katalogu zostanie utworzony nowy profil uwierzytelniania. Użyj funkcji Test, aby zweryfikować poprawność konfiguracji. Dzięki temu wszyscy użytkownicy końcowi będą mieć dostęp do aplikacji SAML.
Funkcja Test pozwala sprawdzić, czy format nazwy użytkownika w nowym profilu uwierzytelniania zdefiniowanym w usłudze idP odpowiada informacjom używanym przez obecny profil w celu logowania użytkownika.
Kliknij opcję Aktywuj, aby przeprowadzić migrację na nowy profil uwierzytelniania. Po zakończeniu migracji status nowego profilu zmieni się na „W użyciu”.
Zanim przeprowadzisz aktywację, przejdź do sekcji Użytkownicy katalogu w serwisie Adobe Admin Console i sprawdź, czy nazwy kont w usłudze IdP są zgodne z nazwami w serwisie Admin Console.
SAML: Sprawdź, czy wartość pola Subject (Podmiot) w asercji wydanej przez nową konfigurację jest zgodna z istniejącym formatem nazw użytkowników używanym w serwisie Admin Console.
Po zmianie konfiguracji katalogu można przenieść do niego domeny z istniejących katalogów, korzystając z funkcji migracji domen. Należy pamiętać, że konta użytkowników z migrowanych domen muszą istnieć w usłudze IdP skonfigurowanej w odniesieniu do nowego katalogu docelowego.
Informacje o ograniczeniach i sposobach uniknięcia błędów, które mogą występować podczas konfigurowania, podano w Odpowiedziach na częste pytania.
Organizacje mogą organizować strukturę katalogową, przenosząc domeny z jednych katalogów do innych za pomocą serwisu Admin Console. Pozwala to przebudować powiązania między domenami i katalogami zgodnie z potrzebami przedsiębiorstwa bez potrzeby pozbawiania użytkowników dostępu do produktów, usług i zapisanych zasobów. Konsolidacja domen skonfigurowanych z użyciem tej samej usługi IdP w jednym katalogu umożliwia upraszcza zadania administracyjne.
Aby przenieść domeny do katalogu, który używa innej usługi IdP (Azure, Google lub inny dostawca SAML) z uwierzytelnianiem SHA-2, należy zreplikować tę konfigurację IdP w obu katalogach (starym i nowym). Nowa konfiguracja usługi IdP umożliwia przetestowanie logowania użytkowników ze wszystkich domen w katalogu. Stosownie do używanej usługi IdP, wykonaj następujące czynności:
Po zakończeniu migracji domeny użytkownicy należący do nowego katalogu nadal będą mogli się zalogować. Wyeliminuje to przestoje i zapewni natychmiastowy dostęp do przypisanych im aplikacji i usług firmy Adobe.
Tę możliwość można wykorzystać w następujących scenariuszach:
Scenariusz |
Przykład |
Sugerowane podejście |
---|---|---|
Przenoszenie domen między katalogami, które pozostają ze sobą w tej samej relacji powierniczej |
Katalog 1 i Katalog 2 zostały skonfigurowane w systemie Console A i oba mają założoną relację powierniczą z systemem Console B. |
Wykonaj procedurę przenoszenia domeny. |
Przenoszenie domen między katalogami, które mają relacje powiernicze * Diagramy procesów przedstawiono na rysunku A |
Katalog 1 jest skonfigurowany w systemie Console A i ma założoną relację powierniczą z systemem Console B. W systemie Console A istnieje domena w Katalogu 1 (Domena X), którą trzeba przenieść do Katalogu 2. |
|
Przenoszenie domeny lub katalogu zawierającego wiele domen do innego systemu Admin Console w organizacji |
Katalog 1 istnieje w systemie Console A. Natomiast Katalog 1 i jego domeny przypisane trzeba przenieść do systemu Console B, ponieważ są własnością organizacji korzystającej z tego systemu. |
Skontaktuj się z działem pomocy technicznej Adobe. |
Przenoszenie domen do lub z zaszyfrowanego katalogu w tym samym systemie Admin Console |
W Katalogu 1 włączono szyfrowanie. Domena z Katalogu 2 w tym samym systemie Admin Console musi zostać przeniesiona do Katalogu 1. |
Przenoszenie domen do katalogu szyfrowanego albo z takiego katalogu nie jest obecnie obsługiwane. |
Rysunek A
Wykonaj następującą procedurę, aby przenieść domeny z katalogu źródłowego do docelowego:
Zaloguj się do serwisu Adobe Admin Console i przejdź do sekcji Ustawienia.
Otwórz sekcję Domeny i zaznacz domeny, które chcesz przenieść do katalogu docelowego. Następnie kliknij opcję Edytuj katalog.
Wybierz katalog z rozwijanej listy na ekranie Edytuj katalog. Za pomocą przełącznika u dołu włącz lub wyłącz powiadomienia o zakończeniu przenoszenia. Następnie kliknij przycisk Zapisz.
Zostanie otwarta sekcja Ustawienia > Tożsamość > Domeny. Będą w niej widoczne wszystkie domeny wraz z ich statusem.
Po pomyślnym zakończeniu tego procesu administratorzy systemu otrzymają wiadomość e-mail o przeniesieniu domeny. Następnie będzie można stosownie do potrzeb zmodyfikować nazwy katalogów i usunąć puste katalogi.
Z serwisu Admin Console można usuwać nieużywane już katalogi i domeny.
Nie można usunąć katalogu, dla którego istnieją:
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź do zakładki Katalogi.
Zaznacz pola wyboru po lewej stronie nazw katalogów, a następnie kliknij przycisk Usuń katalogi.
Na ekranie Usuń katalogi kliknij przycisk Usuń.
Domeny nie można usunąć, jeśli w serwisie Admin Console istnieją korzystający z niej użytkownicy lub jeśli domena ta jest połączona z katalogami.
Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.
Przejdź do karty Katalogi.
Zaznacz pola wyboru po lewej stronie nazw domen, a następnie kliknij przycisk Usuń.
Na ekranie Usuń domeny kliknij przycisk Usuń.
Zaloguj się na swoje konto