Jednym z pierwszych zadań administratora systemu obsługującego serwis Admin Console jest zdefiniowanie i skonfigurowanie systemu identyfikatorów, na podstawie których będą uwierzytelniani użytkownicy. Gdy przedsiębiorstwo kupi licencje na produkty i usługi Adobe, trzeba będzie udostępnić je użytkownikom końcowym. Aby można było to zrobić, trzeba dysponować mechanizmem uwierzytelniania użytkowników.

Adobe oferuje następujące typy identyfikatorów do uwierzytelniania użytkowników końcowych:

  • Adobe ID
  • Enterprise ID
  • Federated ID

Jeśli chcesz, aby użytkownicy w Twojej domenie mieli osobne konta, stanowiące własność przedsiębiorstwa i przez nie kontrolowane, to musisz wybrać identyfikatory Enterprise ID albo Federated ID (na potrzeby logowania SSO).

W tym artykule omówiono szczegółowe informacje o wymaganiach związanych z konfigurowaniem systemu zarządzania identyfikatorami w celu uwierzytelniania użytkowników z użyciem identyfikatorów Enterprise ID lub Federated ID.

Uwaga:

Opisane tu procedury konfigurowania katalogu i konfigurowania domeny są całkowicie rozłączne. Oznacza to, że można je wykonywać w dowolnej kolejności lub jednocześnie. Natomiast procedura połączenia domen adresów e-mail z katalogami musi zostać wykonana dopiero po zakończeniu obu powyższych procedur.

Podstawowe terminy i pojęcia

Zanim przejdziemy do samych procedur, trzeba omówić kilka pojęć i terminów:

Katalog

Katalog w serwisie Admin Console to obiekt przechowujący zasoby, takie jak użytkownicy, oraz zasady, takie jak reguły uwierzytelniania. Są to obiekty o działaniu podobnym do katalogów LDAP lub Active Directory.

IdP

Usługa dostawcy tożsamości używana przez przedsiębiorstwo — np. Active Directory, Azure, Ping, Okta, InCommon lub Shibboleth.

Adobe ID

Identyfikator tworzony przez użytkownika końcowego, stanowiący jego własność i przez niego zarządzany. Adobe przeprowadza uwierzytelnianie, natomiast użytkownik zarządza swoją tożsamością (identyfikatorem). Użytkownik zachowuje pełną kontrolę nad plikami i danymi skojarzonymi ze swoim identyfikatorem. Użytkownicy mogą kupować dodatkowe produkty i usługi Adobe. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać. Nie można jednak zablokować dostępu użytkownika do jego konta Adobe ID. Administrator nie ma możliwości usunięcia ani przejęcia takich kont. Używanie identyfikatorów Adobe ID nie wymaga żadnej dodatkowej konfiguracji.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Adobe ID:

  • Umożliwienie użytkownikom samodzielnego tworzenia identyfikatorów, posiadania ich na własność i zarządzania nimi.
  • Umożliwienie użytkownikom nabywania lub uzyskiwania subskrypcji kolejnych produktów i usług Adobe.
  • Jeśli użytkownicy mają korzystać z innych usług Adobe, które nie obsługują obecnie identyfikatorów Enterprise ID ani Federated ID.
  • Jeśli użytkownicy już mają identyfikatory Adobe ID oraz powiązane z nimi pliki, czcionki lub ustawienia. 
  • W instytucjach edukacyjnych, aby umożliwić uczniom i studentom zachowanie identyfikatorów Adobe ID po ukończeniu szkoły.
  • W przypadku współpracy z wykonawcami i freelancerami, którzy nie korzystają z adresów e-mail w domenach kontrolowanych przez Twoje przedsiębiorstwo.
  • Klienci, którzy nabyli subskrypcję Adobe dla zespołów, muszą wybrać ten typ identyfikatora.

Enterprise ID

Identyfikator stanowiący własność instytucji lub przedsiębiorstwa, przez nie tworzony i zarządzany. Adobe udostępnia hosting identyfikatorów Enterprise ID i przeprowadza uwierzytelnianie, ale utrzymanie tych identyfikatorów pozostaje w gestii przedsiębiorstwa. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć konta Enterprise ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.

Administratorzy tworzą identyfikator Enterprise ID i wydają go użytkownikowi. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Enterprise ID, aby na stałe zablokować dostęp do powiązanych z nim danych.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Enterprise ID:

  • Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
  • Jeśli konieczne jest zachowanie możliwości dostępu do plików i danych powiązanych z takim identyfikatorem w wyjątkowych sytuacjach.
  • Jeśli niezbędna jest możliwość całkowitego zablokowania lub usunięcia konta użytkownika.

Federated ID

Identyfikator należący do instytucji lub przedsiębiorstwa, tworzony przez nie i przyłączany do katalogu korporacyjnego za pomocą usługi federacji. Przedsiębiorstwo zarządza danymi uwierzytelniającymi oraz zapewnia obsługę logowania SSO za pomocą usługi IdP (dostawcy tożsamości) w protokole SAML2.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Federated ID:

  • Jeśli konta użytkowników będą przydzielane na podstawie korporacyjnej usługi katalogowej.
  • Jeśli planowane jest zarządzanie uwierzytelnianiem użytkowników.
  • Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
  • Aby umożliwić użytkownikom użycie tego samego adresu e-mail do założenia konta Adobe ID.

Domeny uwierzytelniania

Część adresu e-mail następująca za symbolem @. Aby można było korzystać z danej domeny w celu tworzenia identyfikatorów Enterprise ID lub Federated ID, należy najpierw potwierdzić, że jest się jej właścicielem.

Załóżmy na przykład, że przedsiębiorstwo jest właścicielem wielu domen (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale użytkownicy są uwierzytelniani tylko na podstawie domeny geometrixx.com. W związku z tym przedsiębiorstwo skonfiguruje identyfikatory w serwisie Admin Console na podstawie domeny w postaci geometrixx.com.

Osoby odpowiedzialne za konfigurację

Administrator systemu

  • Konfiguruje identyfikatory w serwisie Admin Console we współpracy z osobami zarządzającymi katalogiem IdP oraz usługą DNS. Ten dokument jest przeznaczony dla administratorów systemu, którzy mają dostęp do serwisu Admin Console. Osoba pełniąca tę rolę będzie współpracować z innymi osobami, które zazwyczaj nie mają dostępu do Admin Console.

Osoba zarządzająca usługą DNS

  • Aktualizuje tokeny DNS w celu potwierdzenia prawa własności do domeny.

Osoba zarządzająca katalogiem IdP

  • Tworzy konektory w usłudze IdP.

Rodzaje identyfikatorów wykorzystujących domeny

Tożsamość użytkowników jest weryfikowana na podstawie źródła uwierzytelniania. Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy skonfigurować własne źródło uwierzytelniania przez dodanie domeny. Na przykład w adresie e-mail joanna@przyklad.com domena to „przyklad.com”. Dodanie domeny umożliwia tworzenie identyfikatorów Enterprise ID lub Federated ID na podstawie adresów e-mail w tej domenie. Pojedyncza domena może być używana do tworzenia identyfikatorów Enterprise ID lub identyfikatorów Federated ID, ale nie obu tych typów naraz. Możliwe jest jednak dodawanie wielu domen.

Przedsiębiorstwo musi wykazać, że ma kontrolę nad domeną. Możliwe jest też dodawanie wielu domen, jednak każdą domenę można dodać tylko raz. Nie ma możliwości dodawania znanych, publicznych i ogólnie dostępnych domen, takich jak gmail.com lub yahoo.com.

Więcej informacji o typach identyfikatorów: Zarządzanie typami identyfikatorów.

Konfigurowanie katalogu

Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw skonfigurować katalog, z którym zostanie połączona jedna lub wiele domen.

Instrukcje konfigurowania katalogu:

  1. Utwórz katalog w serwisie Admin Console.
  2. (Tylko Federated ID) Adobe przygotuje ten katalog. Zazwyczaj trwa to nie dłużej niż 48 godzin.
  3. Jeśli dla przedsiębiorstwa wybrano identyfikatory Enterprise ID, to można zacząć łączyć domeny e-mail z tym katalogiem.
  4. (Tylko Federated ID) Gdy Adobe przygotuje katalog, skonfiguruj jego ustawienia SAML.

Tworzenie katalogu

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Na karcie Katalogi kliknij opcję Utwórz katalog.

  3. Na ekranie Utwórz katalog wprowadź nazwę katalogu.

  4. Wybierz opcję Federated ID lub Enterprise ID i kliknij przycisk Utwórz katalog.

Katalog zostanie utworzony.

Jeśli wybrano identyfikatory Enterprise ID, to już koniec pracy. Można teraz przejść do etapu konfigurowania domen w serwisie Admin Console.

Jeśli natomiast wybrano katalog na identyfikatory Federated ID, to Adobe musi przygotować ten katalog, zanim będzie można wykonywać na nim kolejne operacje. Nie trzeba jednak czekać bezczynnie na zakończenie przygotowań przez Adobe. Można już teraz przejść do etapu konfigurowania domen w serwisie Admin Console.

Uwaga:

Przygotowanie katalogów na identyfikatory Federated ID trwa na ogół nie dłużej niż 48 godzin. Po zakończeniu tego procesu otrzymasz powiadomienie pocztą elektroniczną.

Konfigurowanie logowania SSO (wymagane w przypadku katalogu Federated ID)

Po otrzymaniu od Adobe wiadomości, że katalog został przygotowany, skonfiguruj opcje SAML dla tego katalogu.

Jeśli przedsiębiorstwo skonfiguruje logowanie SSO (Single Sign-On — pojedyncze logowanie), użytkownicy będą mogli logować się do oprogramowania Adobe, podając dane uwierzytelniające swojego konta korporacyjnego. Dzięki temu użytkownik korzysta z jednego zestawu danych uwierzytelniających, zapewniających dostęp do aplikacji stacjonarnych, usług i aplikacji mobilnych Adobe.

Adobe Admin Console umożliwia użytkownikom korporacyjnym uwierzytelnianie się za pomocą istniejących danych identyfikacyjnych. Identyfikatory Adobe Federated ID pozwalają na integrację z systemem zarządzania identyfikatorami, który obsługuje logowanie SSO. Logowanie SSO to proces obsługiwany za pomocą standardowego protokołu SAML, który łączy korporacyjne systemy zarządzania identyfikatorami z systemami dostawców usług przetwarzania w chmurze, takich jak Adobe.

Konfiguracja SSO umożliwia bezpieczną wymianę informacji uwierzytelniających między dwiema stronami: dostawcą usług (Adobe) i dostawcą tożsamości (Identity Provider — IdP). Dostawca usług wysyła żądanie do systemu IdP, który podejmuje próbę uwierzytelnienia użytkownika. Jeśli uwierzytelnianie przebiegnie pomyślnie, system IdP wysyła w odpowiedzi komunikat umożliwiający zalogowanie użytkownika.

Wymagania związane z logowaniem SSO

Aby prawidłowo skonfigurować logowanie SSO do oprogramowania Adobe, potrzebne są:

  • znajomość protokołu SAML 2.0,
  • usługa IdP (Identity Provider), która obsługuje protokół SAML 2.0 oraz ma co najmniej:
    • certyfikat IDP,
    • adres URL logowania IDP,
    • powiązanie IDP: HTTP-POST lub HTTP-Redirect,
    • adres URL usługi ACS,
  • dostęp do konfiguracji DNS przedsiębiorstwa w celu uzyskania przypisania domeny.

Adres URL logowania dla usługi IdP nie musi być dostępny z zewnątrz, aby użytkownicy mogli się logować. Jednak w sytuacji, gdy taki adres będzie dostępny tylko z wewnętrznej sieci przedsiębiorstwa, użytkownicy będą mogli się zalogować do produktów Adobe tylko podczas korzystania z tej sieci — czy to bezpośrednio, przez WiFi, czy przez łącze VPN. Strona logowania nie musi być dostępna wyłącznie w protokole HTTPS, ale zaleca się takie ustawienie ze względów bezpieczeństwa.

Uwaga:

Firma Adobe nie obsługuje obecnie logowania SSO inicjowanego przez usługę IdP.

Usługi przetwarzania w chmurze Adobe obsługują logowanie SSO za pośrednictwem konektora SaaS (oprogramowania w formie usługi) zgodnego z protokołem SAML 2.0, którego producentem jest Okta. Konektor ten służy do komunikacji z usługą IdP, co umożliwia przeprowadzenie uwierzytelniania. Przedsiębiorstwo nie musi korzystać z usługi IdP oferowanej przez Okta, ponieważ system Okta może się łączyć z wieloma takimi usługami korzystającymi ze standardu SAML 2.0. Więcej informacji: Logowanie SSO / Popularne pytania.

Jeśli organizacja chce przetestować integrację logowania SSO, zaleca się uzyskanie przypisania domeny testowej należącej do organizacji (pod warunkiem, że organizacji korzysta z usługi IdP z identyfikatorami skonfigurowanymi w tej domenie testowej). Pozwoli to na przeprowadzenie testów integracji przed uzyskaniem przypisania głównych domen oraz zdobycie doświadczenia w prowadzeniu procesu uzyskiwania i konfigurowania domeny.

Konfigurowanie ustawień SAML

Jeśli masz już usługę dostawcy tożsamości (IdP), możesz łatwo skonfigurować logowanie SSO z użyciem konektora SaaS dostarczanego przez firmę Okta. Konektor ten jest zgodny z protokołem SAML 2.0.

Uwaga:

Oprócz Okta jest wiele innych firm, które oferują usługi IdP.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Przejdź do zakładki Katalogi.

  3. Kliknij przycisk Konfiguruj w wierszu odpowiadającym katalogowi, który chcesz skonfigurować.

    Przygotowany katalog
  4. Na wyświetlonym ekranie Konfiguruj katalog:

    Ustawienia logowania SSO

    Certyfikat IDP: kliknij przycisk Prześlij, aby przesłać certyfikat (.cer) używany przez usługę IdP do podpisywania odpowiedzi lub potwierdzenia SAML.

    Jeśli nie masz takiego certyfikatu, skontaktuj się z dostawcą usługi IdP, aby uzyskać instrukcje jego pobrania.

    Wskazówki dotyczące certyfikatu:

    • musi mieć format PEM (X.509, kodowanie base-64),
    • musi mieć nazwę pliku z rozszerzeniem .cer (nie .pem ani .cert),
    • musi być nieszyfrowany,
    • SHA-1,
    • musi być w formacie wielowierszowym (jednowierszowy powoduje błąd),
    • musi mieć co najmniej trzyletni okres ważności (powoduje to zmniejszenie kosztów konserwacji przez cały ten okres, nie obniżając bezpieczeństwa).

    Uwaga:

    Certyfikaty Okta używane po stronie Adobe w procesie uzgadniania identyfikatorów Federated ID mają okres ważności 20 lat. Dzięki temu klienci mogą przeprowadzać rotację certyfikatów zgodnie z wybranym przez siebie harmonogramem, a nie według ustaleń Adobe/Okta.   

    Powiązanie IDP: wybierz metodę przesyłania komunikatów protokołu SAML.

    • Metoda HTTP-Post polega na przesyłaniu żądania autoryzacji za pośrednictwem przeglądarki w formularzu XHTML. Usługa IdP przekazuje odpowiedź również w dokumencie zawierającym formularz XHTML.
    • Metoda HTTP-Redirect umożliwia przesłanie żądania autoryzacji za pomocą parametru SAMLRequest w adresie URL zawierającym łańcuch znaków zapytania z żądaniem HTTP GET. Usługa IdP odpowiada za pomocą parametru SAMLResponse w adresie URL.

    Ustawienie loginu użytkownika: wybierz odpowiednio opcję Adres e-mail lub Nazwa konta, aby określić, w jaki sposób użytkownicy z tej domeny będą się identyfikować.

    Wystawca IDP: wprowadź identyfikator podmiotu (Entity ID) dla usługi IdP, która wysyła żądanie SAML.

    Potwierdzenie SAML musi podawać ten łańcuch w dokładnie takiej formie. Wszelkie różnice w pisowni, użytych znakach lub formatowaniu spowodują błąd.

    URL logowania IDP: wprowadź adres URL logowania usługi IDP / adres logowania SSO. Jest to adres URL, pod który użytkownicy zostaną przekierowani w celu uwierzytelnienia.

  5. Kliknij przycisk Zapisz.

  6. Kliknij opcję Pobierz metadane.

    Plik metadanych zostanie zapisany na dysku lokalnym. Plik ten umożliwia skonfigurowanie integracji SAML z usługą IdP.

    Należy dostarczyć go do usługi IdP używanej przez przedsiębiorstwo, aby umożliwić włączenie logowania SSO.

    Uwaga:

    W przypadku typowych usług dostawców tożsamości w standardzie SAML, takich jak OpenAthens lub Shibboleth, nazwę użytkownika (zazwyczaj jest to adres e-mail) należy przesyłać jako parametr NameID w formacie „unspecified”. Należy również przesyłać następujące trzy atrybuty (z uwzględnieniem wielkość liter): FirstName, LastName, Email.

    Atrybuty te muszą być zgodne z odpowiadającymi im wpisami skonfigurowanymi w serwisie Admin Console. Jeśli usługa IdP nie zostanie skonfigurowana do wysyłania tych atrybutów w ramach ustawień konektora SAML 2.0, uwierzytelnianie nie będzie działać.

  7. W związku z tym musisz we współpracy z osobą odpowiedzialną za zarządzanie katalogiem IdP ustawić odpowiednie opcje SSO tej usługi.

    Uwaga:

    Jeśli aktywne są identyfikatory Federated ID, wszelkie zmiany tej konfiguracji mogą spowodować, że logowanie SSO przestanie działać — użytkownicy końcowi nie będą mogli się w ten sposób zalogować. W wyniku zmiany konfiguracji zostanie wygenerowany nowy plik metadanych, który trzeba będzie ponownie skonfigurować w usłudze IdP.

  8. Po zakończeniu konfigurowania ustawień SSO w usłudze IdP zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  9. Kliknij przycisk Konfiguruj obok odpowiedniego katalogu.

  10. Na ekranie Konfiguruj katalog zaznacz opcję Konfiguracja w usłudze IdP została wykonana i kliknij przycisk Zakończ.

Katalog został skonfigurowany do obsługi logowania SSO.

Jeśli w serwisie Admin Console nie zostały jeszcze dodane domeny, można to zrobić teraz. Natomiast jeśli odpowiednie domeny są już dodane, możesz je połączyć z utworzonym katalogiem.

Konfigurowanie domen

Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console.

Aby skonfigurować domeny:

  1. Dodaj domeny do serwisu Admin Console.
  2. Przygotuj się do weryfikacji prawa własności do domeny przez dodanie specjalnego rekordu DNS.
  3. Zweryfikuj domeny.

Dodawanie domen

Domeny dodane w serwisie Admin Console nie muszą być zarejestrowane w tej samej usłudze IdP. Jednak łącząc te domeny z katalogami, należy umieszczać domeny z różnych usług IdP w różnych katalogach.

Domeny nie można dodać do serwisu Admin Console, jeśli inne przedsiębiorstwo dodało ją uprzednio do swojej instancji Admin Console. Można natomiast poprosić o dostęp do takiej domeny.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Na karcie Domeny kliknij opcję Dodaj domeny.

  3. Na ekranie Wprowadź domeny podaj listę maksymalnie 15 domen i kliknij przycisk Dodaj domeny.

  4. Na ekranie Dodaj domeny przejrzyj listę domen i kliknij przycisk Dodaj domeny.

    Potwierdzanie dodania domen

Domeny zostaną dodane do serwisu Admin Console. Trzeba jednak jeszcze wykazać prawo własności do tych domen.

Wykazywanie prawa własności (za pomocą tokenów DNS)

Przedsiębiorstwo musi wykazać, że ma prawo własności do domeny. Do serwisu Admin Console można dodać dowolną liczbę domen.

Jedno przedsiębiorstwo może użyć serwisu Admin Console, aby wykazać prawo własności do wszystkich swoich domen na podstawie pojedynczego tokenu DNS. Ponadto Admin Console nie wymaga weryfikacji subdomen za pomocą tokenu DNS. Oznacza to, że po wykazaniu prawa własności do domeny za pomocą takiego tokenu wszystkie jej subdomeny zostaną zweryfikowane bezpośrednio w momencie dodawania ich do serwisu Admin Console.

  1. Po otrzymaniu tokenu należy we współpracy z osobą odpowiedzialną za zarządzanie usługą DNS wprowadzić specjalny rekord dla dodanych domen.

  2. Aby potwierdzić swoje prawo własności do domeny, należy dodać rekord TXT z wygenerowanym tokenem DNS. Dokładne instrukcje zależą od organizacji udostępniającej (hostującej) domenę. W sekcji Weryfikacja prawa własności do domeny podano ogólne wytyczne dotyczące tego procesu.

  3. Na tym etapie trzeba będzie dodać informacje na serwerach DNS. Uprzedź o tym osobę zarządzającą usługą DNS, aby umożliwić wykonanie tej czynności w wymaganym czasie.

    Adobe będzie okresowo sprawdzać rekordy DNS Twojej domeny. Jeśli rekordy te będą poprawne, domena zostanie automatycznie zweryfikowana. Jeśli chcesz przeprowadzić weryfikację domeny natychmiast, możesz zalogować się w serwisie Admin Console i zrobić to ręcznie. Zobacz Weryfikowanie domeny.

Weryfikowanie domeny

Serwis Admin Console kilka razy dziennie będzie podejmować próbę zweryfikowania dodanych domen. Oznacza to, że po prawidłowym skonfigurowaniu rekordów DNS nie trzeba podejmować żadnych działań.

Ręczne weryfikowanie domen

Jeśli musisz natychmiast zweryfikować domenę, możesz to zrobić za pomocą serwisu Admin Console. Aby ręcznie zweryfikować domeny:

  1. Zaloguj się w serwisie Admin Console.

  2. Przejdź do sekcji Ustawienia > Tożsamość i otwórz kartę Domeny.

  3. Kliknij opcję Weryfikuj.

    Weryfikowanie domen
  4. Na ekranie Weryfikuj prawo do domeny kliknij opcję Weryfikuj teraz.

Teraz można będzie połączyć zweryfikowane domeny z odpowiednimi katalogami w serwisie Admin Console.

Łączenie domen z katalogami

Po skonfigurowaniu katalogów i domen w serwisie Admin Console należy połączyć te domeny z katalogami.

Z jednym katalogiem można połączyć wiele domen, jednak wszystkie te domeny muszą mieć identyczne ustawienia logowania SSO.

Uwaga:

Nie można połączyć tej samej domeny z wieloma katalogami. Obecnie aby usunąć powiązanie między domeną a katalogiem, trzeba skontaktować się z działem pomocy Adobe. Dlatego też należy starannie zaplanować powiązania między domenami a katalogami przed rozpoczęciem tej procedury.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Zaznacz pole wyboru po lewej stronie nazwy domeny, a następnie kliknij przycisk Połącz z katalogiem.

    Jeśli chcesz połączyć wiele domen z tym samym katalogiem, zaznacz wszystkie odpowiadające im pola wyboru.

    Łączenie domen z katalogiem
  4. Na ekranie Połącz z katalogiem wybierz katalog z rozwijanego menu i kliknij opcję Połącz.

Aby użytkownicy mogli zacząć korzystać z produktów i usług Adobe nabytych przez przedsiębiorstwo, należy dodać użytkowników końcowych oraz grupy użytkowników i przypisać im profile produktów.

Powierzanie dostępu do katalogów

Potwierdzenie prawa własności do określonej domeny może uzyskać tylko jedna organizacja (struktura organizacyjna przedsiębiorstwa). Rozważmy następujący scenariusz:

Firma Geometrixx ma wiele oddziałów, z których każdy ma własną, niepowtarzalną wersję serwisu Admin Console. Ponadto każdy oddział chce używać identyfikatorów Federated ID korzystających z domeny geometrixx.com.  W takim przypadku administrator systemu każdego oddziału chciałby uzyskać przypisanie tej domeny na potrzeby uwierzytelniania. Serwis Admin Console nie pozwoli jednak na dodanie domeny przez więcej niż jedną organizację. Gdy jeden z oddziałów przedsiębiorstwa doda domenę, pozostałe działy mogą poprosić dla swojej instancji serwisu Admin Console o dostęp do katalogu, z którym ta domena jest połączona.

Powierzenie dostępu do katalogu pozwala właścicielowi tego katalogu na zdefiniowanie relacji zaufania z innymi administratorami systemu (powiernikami). Dzięki temu organizacje powiernicze będą mogły dodawać użytkowników do dowolnej domeny należącej do powierzonego im katalogu.

Podsumowanie: Aby w serwisie Admin Console można było korzystać z identyfikatorów Enterprise ID lub Federated ID, należy dodać domenę powiązaną ze swoim przedsiębiorstwem. Jeśli ta domena została wcześniej dodana przez inne przedsiębiorstwo (strukturę organizacyjną), należy złożyć wniosek o uzyskanie dostępu do katalogu zawierającego tę domenę jako powiernik.

Instrukcje składania wniosku o dostęp do katalogu podano w procedurze „Dodawanie domeny” w sekcji Konfigurowanie domen.

Uwaga:

Jeśli jesteś właścicielem katalogu i zaakceptujesz wniosek o dostęp do niego, organizacja powiernicza uzyska prawo dostępu do wszystkich domen połączonych z tym katalogiem oraz wszystkich domen, które zostaną do niego dodane w przyszłości. Dlatego też należy bardzo starannie zaplanować powiązania między domenami a katalogami na etapie konfigurowania systemu identyfikatorów w przedsiębiorstwie.

Powiernik domeny

Składanie wniosku o dostęp

Jeśli podejmiesz próbę dodania istniejących domen do serwisu Admin Console, zostanie wyświetlony następujący komunikat:

Składanie wniosku o dostęp

Jeśli poprosisz o dostęp do tej domeny, Twoje imię i nazwisko, adres e-mail oraz nazwa organizacji zostaną udostępnione we wniosku do administratorów systemu organizacji zarządzającej.

Typ katalogu (Enterprise ID lub Federated ID) zależy od tego, jak katalog został skonfigurowany przez organizację zarządzającą.  Oznacza to, że musisz używać typu identyfikatorów wybranych dla tego katalogu przez organizację zarządzającą.

Ponieważ domena została już skonfigurowana przez jej właściciela (zobacz Wykazywanie prawa własności do domeny), powiernik nie musi podejmować żadnych innych działań. Gdy wniosek o dostęp zostanie zaakceptowany przez właściciela, Twoje przedsiębiorstwo otrzyma dostęp do katalogu i wszystkich jego domen zgodnie z konfiguracją określoną przez przedsiębiorstwo będące jego właścicielem.

Sprawdzanie statusu wniosku

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp i sprawdź status wniosku dla każdego katalogu, w stosunku do którego ubiegasz się o dostęp.

  3. Możesz również kliknąć jeden z wierszy na liście wniosków o dostęp i wybrać opcję Ponownie wyślij wniosek albo opcję Anuluj wniosek.

Gdy wniosek o dostęp do katalogu zostanie zaakceptowany przez przedsiębiorstwo będące właścicielem, otrzymasz powiadomienie e-mail. Wniosek o powiernictwo zniknie z konsoli, a powierzony katalog wraz z jego domenami pojawią się na listach Katalogi oraz Domeny ze statusem „Aktywny”.

Możesz teraz dodać użytkowników końcowych oraz grupy użytkowników oraz przypisać im profile produktowe.

Wycofanie statusu powiernika

Jeśli dostęp do powierzonego katalogu nie jest już potrzebny, organizacja powiernicza może w każdej chwili zrezygnować ze swojego statusu powiernika.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij współużytkowany katalog, do którego nie chcesz już mieć dostępu.

  3. W zasobniku danych katalogu kliknij opcję Wycofaj.

Jeśli organizacja wycofa swój dostęp do powierzonego katalogu, wszyscy użytkownicy korzystający z identyfikatorów Enterprise ID lub Federated ID opartych na tej domenie (czyli logujący się z użyciem tej domeny) zostaną usunięci. Użytkownicy ci stracą również dostęp do wszelkiego oprogramowania przyznanego przez Twoją organizację.

Właściciel domeny

Jako administrator systemu organizacji zarządzającej możesz akceptować lub odrzucać wnioski o przyznanie dostępu do należących do Ciebie katalogów. 

Jeśli otrzymasz wiadomość e-mail z wnioskiem o dostęp do należącego do Ciebie katalogu, możesz zaakceptować lub odrzucić żądanie z poziomu wiadomości e-mail. Można również przejść na zakładkę Wnioski o dostęp do domeny, aby zarządzać wnioskami o przypisanie.

Akceptowanie wniosku o dostęp

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp.

  3. Aby zaakceptować wszystkie wnioski, kliknij przycisk Zaakceptuj wszystkie.

    Natomiast aby zaakceptować wybrane wnioski, zaznacz pole wyboru po lewej stronie odpowiedniego wiersza i kliknij przycisk Zaakceptuj.

  4. Na ekranie Zaakceptuj wniosek o dostęp kliknij przycisk Akceptuj.

Do administratorów systemu organizacji powierniczej zostanie wysłane powiadomienie e-mail.

Odrzucanie wniosków

Można również odrzucić wniosek o dostęp do katalogu, który należy do Ciebie.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp.

  3. Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odrzuć.

  4. Na ekranie Odrzuć wniosek o dostęp podaj powód odrzucenia wniosku i kliknij przycisk Odrzuć.

Podany powód zostanie udostępniony organizacji wnioskującej pocztą elektroniczną. Nie zostaną natomiast przekazane Twoje dane, w tym adres e-mail, imię, nazwisko ani organizacja.

Odbieranie dostępu

Można odebrać dostęp organizacji powierniczej, której go wcześniej przyznano.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do zakładki Powiernicy.

  3. Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odbierz.

  4. Na ekranie Odbierz status powiernika kliknij przycisk Odbierz.

Jeśli odbierzesz dostęp organizacji powierniczej, zostaną z niej usunięci użytkownicy korzystający z kont Enterprise ID lub Federated ID skonfigurowanych na domenach należących do tego katalogu. Użytkownicy ci stracą również dostęp do wszelkich programów i usług przyznanych przez organizację powierniczą.

Zarządzanie kluczami szyfrowania

Chociaż wszystkie dane w chmurze Creative Cloud i Document Cloud są szyfrowane, można wybrać opcję zabezpieczeń, dzięki której Adobe wygeneruje dedykowane klucze szyfrowania dla kont w utworzonym przez Ciebie katalogu.

Włączanie klucza szyfrowania

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij nazwę katalogu, dla którego chcesz włączyć szyfrowanie.

  3. Kliknij przycisk Ustawienia.

  4. W sekcji Włącz dedykowany klucz szyfrowania kliknij opcję Włącz.

    Włączanie klucza szyfrowania
  5. W okienku Włącz dedykowany klucz szyfrowania kliknij opcję Włącz.

Wycofywanie klucza szyfrowania

Dedykowany klucz szyfrowania katalogu można wycofać.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij nazwę katalogu, dla którego chcesz wycofać szyfrowanie.

  3. Na ekranie Szczegóły kliknij opcję Ustawienia.

  4. W sekcji Dedykowany klucz szyfrowania kliknij opcję Wycofaj.

    Wycofywanie klucza szyfrowania
  5. W oknie Wycofaj dedykowany klucz szyfrowania kliknij opcję Wycofaj.

Usuwanie katalogów i domen

Z serwisu Admin Console można usuwać nieużywane już katalogi i domeny.

Usuwanie katalogów

Uwaga:

Nie można usunąć katalogu, dla którego istnieją:

  • aktywni użytkownicy,
  • połączone domeny,
  • powiernicy.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do zakładki Katalogi.

  3. Zaznacz pola wyboru po lewej stronie nazw katalogów, a następnie kliknij przycisk Usuń.

  4. Na ekranie Usuń katalogi kliknij przycisk Usuń.

Usuwanie domen

Uwaga:

Domeny nie można usunąć, jeśli w serwisie Admin Console istnieją korzystający z niej użytkownicy lub jeśli domena ta jest połączona z katalogami.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Zaznacz pola wyboru po lewej stronie nazw domen, a następnie kliknij przycisk Usuń.

  4. Na ekranie Usuń domeny kliknij przycisk Usuń.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online