Konfigurowanie identyfikatorów

Katalog w serwisie Admin Console to obiekt przechowujący zasoby, takie jak użytkownicy, oraz zasady, takie jak reguły uwierzytelniania. Są to obiekty o działaniu podobnym do katalogów LDAP lub Active Directory.

Usługa dostawcy tożsamości używana przez przedsiębiorstwo — np. Active Directory, Azure, Ping, Okta, InCommon lub Shibboleth.

Odsyłacze do informacji o konfigurowaniu logowania SSO na potrzeby Creative Cloud z użyciem popularnych usług IdP podano w sekcji Więcej podobnych na końcu tego artykułu.

Identyfikator stanowiący własność instytucji lub przedsiębiorstwa, przez nie tworzony i zarządzany. Adobe udostępnia hosting identyfikatorów Enterprise ID i przeprowadza uwierzytelnianie, ale utrzymanie tych identyfikatorów pozostaje w gestii przedsiębiorstwa. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć konta Enterprise ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.

Administratorzy tworzą identyfikator Enterprise ID i wydają go użytkownikowi. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Enterprise ID, aby na stałe zablokować dostęp do powiązanych z nim danych.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Enterprise ID:

• Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
• Jeśli konieczne jest zachowanie możliwości dostępu do plików i danych powiązanych z takim identyfikatorem w wyjątkowych sytuacjach.
• Jeśli niezbędna jest możliwość całkowitego zablokowania lub usunięcia konta użytkownika.

Identyfikator należący do instytucji lub przedsiębiorstwa, tworzony przez nie i przyłączany do katalogu korporacyjnego za pomocą usługi federacji. Przedsiębiorstwo zarządza danymi uwierzytelniającymi oraz zapewnia obsługę logowania SSO za pomocą usługi IdP (dostawcy tożsamości) w protokole SAML2.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Federated ID:

• Jeśli konta użytkowników będą przydzielane na podstawie korporacyjnej usługi katalogowej.
• Jeśli planowane jest zarządzanie uwierzytelnianiem użytkowników.
• Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
• Aby umożliwić użytkownikom użycie tego samego adresu e-mail, dodaj identyfikator Adobe ID.

Identyfikator tworzony przez użytkownika końcowego, stanowiący jego własność i przez niego zarządzany. Adobe przeprowadza uwierzytelnianie, natomiast użytkownik zarządza swoją tożsamością (identyfikatorem). Użytkownik zachowuje pełną kontrolę nad plikami i danymi skojarzonymi ze swoim identyfikatorem. Użytkownicy mogą kupować dodatkowe produkty i usługi Adobe. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać. Nie można jednak zablokować dostępu użytkownika do jego konta Adobe ID. Administrator nie ma możliwości usunięcia ani przejęcia takich kont. Używanie identyfikatorów Adobe ID nie wymaga żadnej dodatkowej konfiguracji.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Adobe ID:

• Umożliwienie użytkownikom samodzielnego tworzenia identyfikatorów, posiadania ich na własność i zarządzania nimi.
• Umożliwienie użytkownikom nabywania lub uzyskiwania subskrypcji kolejnych produktów i usług Adobe.
• Jeśli użytkownicy mają korzystać z innych usług Adobe, które nie obsługują obecnie identyfikatorów Enterprise ID ani Federated ID.
• Jeśli użytkownicy już mają identyfikatory Adobe ID oraz powiązane z nimi pliki, czcionki lub ustawienia. 
• W instytucjach edukacyjnych, aby umożliwić uczniom i studentom zachowanie identyfikatorów Adobe ID po ukończeniu szkoły.
• W przypadku współpracy z wykonawcami i freelancerami, którzy nie korzystają z adresów e-mail w domenach kontrolowanych przez Twoje przedsiębiorstwo.
• Klienci, którzy nabyli subskrypcję Adobe dla zespołów, muszą wybrać ten typ identyfikatora.

Część adresu e-mail następująca za symbolem @. Aby można było korzystać z danej domeny w celu tworzenia identyfikatorów Enterprise ID lub Federated ID, należy najpierw potwierdzić, że jest się jej właścicielem.

Załóżmy na przykład, że przedsiębiorstwo jest właścicielem wielu domen (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale użytkownicy są uwierzytelniani tylko na podstawie domeny geometrixx.com. W związku z tym przedsiębiorstwo skonfiguruje identyfikatory w serwisie Admin Console na podstawie domeny w postaci geometrixx.com.

• Konfiguruje identyfikatory w serwisie Admin Console we współpracy z osobami zarządzającymi katalogiem IdP oraz usługą DNS. Ten dokument jest przeznaczony dla administratorów systemu, którzy mają dostęp do serwisu Admin Console. Osoba pełniąca tę rolę będzie współpracować z innymi osobami, które zazwyczaj nie mają dostępu do Admin Console.

• Aktualizuje tokeny DNS w celu potwierdzenia prawa własności do domeny.

• Tworzy konektory w usłudze IdP.

Tożsamość użytkowników jest weryfikowana na podstawie źródła uwierzytelniania. Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy skonfigurować własne źródło uwierzytelniania przez dodanie domeny. Na przykład w adresie e-mail joanna@przyklad.com domena to „przyklad.com”. Dodanie domeny umożliwia tworzenie identyfikatorów Enterprise ID lub Federated ID na podstawie adresów e-mail w tej domenie. Pojedyncza domena może być używana do tworzenia identyfikatorów Enterprise ID lub identyfikatorów Federated ID, ale nie obu tych typów naraz. Możliwe jest jednak dodawanie wielu domen.

Przedsiębiorstwo musi wykazać, że ma kontrolę nad domeną. Możliwe jest też dodawanie wielu domen, jednak każdą domenę można dodać tylko raz. Nie ma możliwości dodawania znanych, publicznych i ogólnie dostępnych domen, takich jak gmail.com lub yahoo.com.

Więcej informacji o typach identyfikatorów: Zarządzanie typami identyfikatorów.

SHA-1 i SHA-2 to modele certyfikatów odpowiedzialne za bezpieczeństwo profilów uwierzytelniania katalogu. Ponieważ standard SHA-2 oferuje lepsze zabezpieczenia niż starsze certyfikaty SHA-1, wszystkie nowe i migrowane profile uwierzytelniania używają już certyfikatu SHA-2.

Katalog zostanie utworzony.

• Jeśli wybrano identyfikatory Enterprise ID, to już koniec pracy.
• Jeśli wybrano tworzenie katalogu z użyciem opcji Inni dostawcy SAML, to katalog taki będzie automatycznie używać uwierzytelniania SHA-2. Katalogi utworzone wcześniej z użyciem uwierzytelniania SHA-1 można teraz zaktualizować do wersji SHA-2, a także przenieść do innej usługi IdP. Szczegółowe informacje: Migracja do nowego dostawcy usługi uwierzytelniania.

Po wykonaniu tych czynności można skonfigurować domeny w serwisie Admin Console.

Domeny dodane w serwisie Admin Console nie muszą być zarejestrowane w tej samej usłudze IdP. Jednak łącząc te domeny z katalogami, należy umieszczać domeny z różnych usług IdP w różnych katalogach.

Domeny nie można dodać do serwisu Admin Console, jeśli inne przedsiębiorstwo dodało ją uprzednio do swojej instancji Admin Console. Można natomiast poprosić o dostęp do takiej domeny.

Domeny zostaną dodane do serwisu Admin Console. Trzeba jednak jeszcze wykazać prawo własności do tych domen.

Przedsiębiorstwo musi wykazać, że ma prawo własności do domeny. Do serwisu Admin Console można dodać dowolną liczbę domen.

Jedno przedsiębiorstwo może użyć serwisu Admin Console, aby wykazać prawo własności do wszystkich swoich domen na podstawie pojedynczego tokenu DNS. Ponadto Admin Console nie wymaga weryfikacji subdomen za pomocą tokenu DNS. Oznacza to, że po wykazaniu prawa własności do domeny za pomocą takiego tokenu wszystkie jej subdomeny zostaną zweryfikowane bezpośrednio w momencie dodawania ich do serwisu Admin Console.

Serwis Admin Console kilka razy dziennie będzie podejmować próbę zweryfikowania dodanych domen. Oznacza to, że po prawidłowym skonfigurowaniu rekordów DNS nie trzeba podejmować żadnych działań.

Jeśli musisz natychmiast zweryfikować domenę, możesz to zrobić za pomocą serwisu Admin Console. Aby ręcznie zweryfikować domeny:

Podczas próby weryfikacji mogą pojawić się komunikaty o błędzie, ponieważ wejście w życie zmian konfiguracji DNS zajmuje do 72 godzin. Więcej informacji podano w odpowiedziach na popularne pytania dotyczące rekordu DNS.

Po potwierdzeniu prawa własności można będzie połączyć zweryfikowane domeny z odpowiednimi katalogami w serwisie Admin Console.

Jeśli podejmiesz próbę dodania istniejących domen do serwisu Admin Console, zostanie wyświetlony następujący komunikat:

Jeśli poprosisz o dostęp do tej domeny, Twoje imię i nazwisko, adres e-mail oraz nazwa organizacji zostaną udostępnione we wniosku do administratorów systemu organizacji zarządzającej.

Typ katalogu (Enterprise ID lub Federated ID) zależy od tego, jak katalog został skonfigurowany przez organizację zarządzającą.  Oznacza to, że musisz używać typu identyfikatorów wybranych dla tego katalogu przez organizację zarządzającą.

Ponieważ domena została już skonfigurowana przez jej właściciela (zobacz Wykazywanie prawa własności do domeny), powiernik nie musi podejmować żadnych innych działań. Gdy wniosek o dostęp zostanie zaakceptowany przez właściciela, Twoje przedsiębiorstwo otrzyma dostęp do katalogu i wszystkich jego domen zgodnie z konfiguracją określoną przez przedsiębiorstwo będące jego właścicielem.

Gdy wniosek o dostęp do katalogu zostanie zaakceptowany przez przedsiębiorstwo będące właścicielem, otrzymasz powiadomienie e-mail. Wniosek o powiernictwo zniknie z konsoli, a powierzony katalog wraz z jego domenami pojawią się na listach Katalogi oraz Domeny ze statusem „Aktywny”.

Możesz teraz dodać użytkowników końcowych oraz grupy użytkowników oraz przypisać im profile produktowe.

Jeśli dostęp do powierzonego katalogu nie jest już potrzebny, organizacja powiernicza może w każdej chwili zrezygnować ze swojego statusu powiernika.

Jeśli organizacja wycofa swój dostęp do powierzonego katalogu, wszyscy użytkownicy korzystający z identyfikatorów Enterprise ID lub Federated ID opartych na tej domenie (czyli logujący się z użyciem tej domeny) zostaną usunięci. Użytkownicy ci stracą również dostęp do wszelkiego oprogramowania przyznanego przez Twoją organizację.

Do administratorów systemu organizacji powierniczej zostanie wysłane powiadomienie e-mail.

Można również odrzucić wniosek o dostęp do katalogu, który należy do Ciebie.

Podany powód zostanie udostępniony organizacji wnioskującej pocztą elektroniczną. Nie zostaną natomiast przekazane Twoje dane, w tym adres e-mail, imię, nazwisko ani organizacja.

Można odebrać dostęp organizacji powierniczej, której go wcześniej przyznano.

Jeśli odbierzesz dostęp organizacji powierniczej, zostaną z niej usunięci użytkownicy korzystający z kont Enterprise ID lub Federated ID skonfigurowanych na domenach należących do tego katalogu. Użytkownicy ci stracą również dostęp do wszelkich programów i usług przyznanych przez organizację powierniczą.

Dedykowany klucz szyfrowania katalogu można wycofać.