Podręcznik użytkownika Anuluj

Konfigurowanie identyfikatorów

  1. Plany Adobe dla przedsiębiorstw i zespołów: Przewodnik administratora
  2. Planowanie wdrożenia
    1. Podstawowe pojęcia
      1. Licencjonowanie
      2. Identyfikatory
      3. Zarządzanie użytkownikami
      4. Wdrożenie aplikacji
      5. Admin Console — przegląd
      6. Role administracyjne
    2. Przewodniki wdrożeniowe
      1. Przewodnik wdrożeniowy dla licencji imiennych
      2. Przewodnik wdrożeniowy SDL
      3. Wdrażanie programu Adobe Acrobat 
    3. Wdrażanie programu Creative Cloud dla sektora edukacji
      1. Podręcznik wdrażania
      2. Aktywowanie aplikacji Adobe Express w rozwiązaniu Google Classroom
      3. Integracja z Canvas LMS
      4. Integracja z systemem Blackboard Learn
      5. Konfigurowanie jednokrotnego logowania na potrzeby portali szkolnych i systemów LMS
      6. Kivuto — często zadawane pytania
      7. Wytyczne dotyczące kwalifikacji dla szkół podstawowych i ponadpodstawowych
  3. Konfigurowanie organizacji
    1. Konfigurowanie identyfikatorów
      1. Typy identyfikatorów | omówienie
      2. Konfigurowanie organizacji przy użyciu identyfikatorów Enterprise ID
      3. Konfigurowanie organizacji przy użyciu identyfikatorów Federated ID
        1. Omówienie logowania SSO
        2. Konfigurowanie konektora Azure Connector i przeprowadzanie synchronizacji
          1. Konfigurowanie logowania SSO w produktach Microsoft z użyciem konektora Azure OIDC
          2. Dodawanie usługi Azure Sync do katalogu
          3. Konektor Azure — częste pytania
        3. Konfigurowanie usługi federacji Google i przeprowadzanie synchronizacji
          1. Konfigurowanie logowania SSO z użyciem usługi federacji Google
          2. Dodawanie usługi Google Sync do katalogu
          3. Usługa federacji Google — częste pytania
        4. Standardowa usługa SAML
          1. Konfigurowanie logowanie SSO z użyciem innych usług SAML
          2. Konfigurowanie logowania SSO z użyciem usługi Microsoft ADFS
          3. SSO — częste pytania
          4. Rozwiązywanie problemów z logowaniem SSO
        5. Logowanie SSO w segmencie edukacji
          1. Konfigurowanie jednokrotnego logowania (SSO) na potrzeby portali szkolnych i systemów LMS
          2. Częste pytania
      4. Potwierdzanie prawa własności domeny
      5. Dodawanie domen i zarządzanie nimi
      6. Łączenie domen z katalogami
      7. Zarządzanie istniejącymi domenami i katalogami
      8. Tworzenie relacji powierniczej do katalogu, aby dodać już zajęte domeny
      9. Migracja do nowego dostawcy usługi uwierzytelniania
    2. Ustawienia zasobów
    3. Ustawienia uwierzytelniania
    4. Osoby kontaktowe ds. poufności i bezpieczeństwa
    5. Ustawienia serwisu Admin Console
    6. Zarządzanie szyfrowaniem
  4. Zarządzanie produktami i uprawnieniami
    1. Zarządzaj użytkownikami
      1. Omówienie
      2. Role administracyjne
      3. Techniki zarządzania użytkownikami
        1. Zarządzanie pojedynczymi użytkownikami   
        2. Zarządzanie wieloma użytkownikami (zbiorcze przesyłanie danych w pliku CSV)
        3. Narzędzie „Synchronizacja użytkowników” (UST)
        4. Microsoft Azure Sync
        5. Google Federation Sync
      4. Zmiana typu identyfikatora użytkownika
      5. Zarządzanie grupami użytkowników
      6. Zarządzanie kontami użytkowników z katalogu
      7. Zarządzanie programistami
      8. Migracja istniejących kont użytkowników do serwisu Adobe Admin Console
      9. Migracja zarządzania użytkownikami do serwisu Adobe Admin Console
    2. Zarządzanie produktami i profilami produktowymi
      1. Zarządzanie produktami
      2. Zarządzanie profilami produktowymi w przypadku użytkowników korporacyjnych
      3. Zarządzanie zasadami samoobsługi
      4. Zarządzanie integracjami aplikacji
      5. Zarządzanie uprawnieniami produktowymi za pomocą serwisu Admin Console  
      6. Włączanie i wyłączanie usług w ramach profilu produktowego
      7. Pojedyncza aplikacja | Creative Cloud dla przedsiębiorstw
      8. Usługi opcjonalne
    3. Zarządzanie licencjami urządzeń współużytkowanych
      1. Co nowego
      2. Podręcznik wdrażania
      3. Tworzenie pakietów
      4. Odzyskiwanie licencji
      5. Migracja z modelu licencji dla urządzeń
      6. Zarządzanie profilami
      7. Narzędzie Licensing Toolkit
      8. Licencje urządzeń współużytkowanych — często zadawane pytania
  5. Zarządzanie przestrzenią dyskową i zasobami
    1. Przestrzeń dyskowa
      1. Zarządzanie przestrzenią dyskową dla przedsiębiorstw
      2. Adobe Creative Cloud: Aktualizacja przestrzeni dyskowej
      3. Zarządzanie przestrzenią dyskową produktów Adobe
    2. Migracja zasobów
      1. Automatyczna migracja zasobów
      2. Automatyczna migracja zasobów — często zadawane pytania  
      3. Zarządzanie przesłanymi zasobami
    3. Odzyskiwanie zasobów użytkownika
    4. Migracja zasobów z konta szkolnego | Tylko dla sektora edukacji
      1. Automatyczna migracja zasobów z konta szkolnego
      2. Przenoszenie własnych zasobów
  6. Zarządzanie usługami
    1. Adobe Stock
      1. Pakiety punktów Adobe Stock dla zespołów
      2. Usługa Adobe Stock dla przedsiębiorstw
      3. Korzystanie z usługi Adobe Stock dla przedsiębiorstw
      4. Akceptacja zakupu licencji Adobe Stock
    2. Czcionki niestandardowe
    3. Adobe Asset Link
      1. Omówienie
      2. Tworzenie grupy użytkowników
      3. Konfigurowanie systemu Adobe Experience Manager Assets
      4. Konfigurowanie i instalowanie panelu Adobe Asset Link
      5. Zarządzanie zasobami
      6. Rozszerzenie Adobe Asset Link do programu XD
    4. Adobe Acrobat Sign
      1. Konfigurowanie programu Adobe Acrobat Sign dla zespołów
      2. Adobe Acrobat Sign — administrator funkcji zespołowej
      3. Zarządzanie produktem Adobe Acrobat Sign w serwisie Admin Console
    5. Creative Cloud dla przedsiębiorstw — bezpłatne konto
      1. Omówienie
      2. Pierwsze kroki
  7. Wdrażanie aplikacji i aktualizacji
    1. Omówienie
      1. Wdrażanie i udostępnianie aplikacji i aktualizacji
      2. Plan wdrożenia
      3. Przygotowanie do wdrożenia
    2. Tworzenie pakietów
      1. Tworzenie pakietów aplikacji w serwisie Admin Console
      2. Tworzenie pakietów licencji imiennych
      3. Szablony Adobe do tworzenia pakietów
      4. Zarządzanie pakietami
      5. Zarządzanie licencjami dla urządzeń
      6. Licencje oparte na numerze seryjnym
    3. Dostosowywanie pakietów
      1. Dostosowywanie programu Creative Cloud Desktop
      2. Dodawanie rozszerzeń do pakietu
    4. Wdrażanie pakietów 
      1. Wdrażanie pakietów
      2. Wdrażanie pakietów Adobe za pomocą rozwiązania Microsoft Intune
      3. Wdrażanie pakietów Adobe za pomocą narzędzia SCCM
      4. Wdrażanie pakietów Adobe za pomocą narzędzia ARD
      5. Instalowanie produktów CC w folderze wyjątków
      6. Dezinstalacja produktów Creative Cloud
      7. Korzystanie z narzędzia Adobe Provisioning Toolkit Enterprise Edition
      8. Identyfikatory licencji Adobe Creative Cloud
    5. Zarządzanie aktualizacjami
      1. Zarządzanie zmianami — informacje dla klientów Adobe korzystających z planów dla przedsiębiorstw i dla zespołów
      2. Wdrażanie aktualizacji
    6. Adobe Update Server Setup Tool (AUSST)
      1. Omówienie narzędzia AUSST
      2. Konfigurowanie wewnętrznego serwera aktualizacji
      3. Konserwacja wewnętrznego serwera aktualizacji
      4. Najczęstsze scenariusze zastosowań narzędzia AUSST   
      5. Rozwiązywanie problemów z wewnętrznym serwerem aktualizacji
    7. Adobe Remote Update Manager (RUM)
      1. Korzystanie z narzędzia Adobe Remote Update Manager
      2. Identyfikatory kanałów używane w połączeniu z programem Adobe Remote Update Manager
      3. Rozwiązywanie problemów z narzędziem RUM
    8. Rozwiązywanie problemów
      1. Rozwiązywanie problemów z instalacją i dezinstalacją aplikacji Creative Cloud
      2. Wysyłanie zapytań o status wdrożenia pakietu do komputerów klienckich
      3. Komunikat o błędzie „Niepowodzenie instalacji” w pakiecie Creative Cloud
    9. Tworzenie pakietów za pomocą Creative Cloud Packager (CC 2018 lub starsze aplikacje)
      1. Informacje o narzędziu Creative Cloud Packager
      2. Informacje o wydaniu Creative Cloud Packager
      3. Tworzenie pakietów aplikacji
      4. Tworzenie pakietów za pomocą narzędzia Creative Cloud Packager
      5. Tworzenie pakietów licencji imiennych
      6. Tworzenie pakietów licencji dla urządzeń
      7. Tworzenie pakietu licencji
      8. Tworzenie pakietów z licencjami opartymi na numerach seryjnych
      9. Automatyzacja narzędzia Packager
      10. Pakiety z produktami innymi niż Creative Cloud
      11. Edytowanie i zapisywanie konfiguracji
      12. Ustawianie ustawień regionalnych na poziomie systemu
  8. Zarządzanie kontem
    1. Zarządzanie kontem zespołu
      1. Omówienie
      2. Aktualizacja danych rozliczeniowych
      3. Zarządzanie fakturami
      4. Zmiana właściciela umowy
      5. Zmiana sprzedawcy
    2. Przypisywanie licencji użytkownikowi subskrypcji zespołowej
    3. Dodawanie produktów i licencji
    4. Odnawianie
      1. Subskrypcja dla zespołów: Odnawianie
      2. Plany dla przedsiębiorstw w programie VIP: Odnowienia i przestrzeganie warunków umowy
    5. Automatyczne etapy wygasania umów ETLA
    6. Zmiana typu umowy w istniejącej instancji Adobe Admin Console
    7. Realizacja wniosku o zakup
    8. Odnawianie licencji VIP (Value Incentive Plan) w Chinach
    9. Pomoc VIP Select
  9. Raporty i dzienniki
    1. Dziennik kontroli
    2. Raporty przypisań
    3. Dzienniki zawartości
  10. Uzyskaj pomoc
    1. Kontakt z działem obsługi klienta Adobe
    2. Opcje pomocy technicznej dla kont zespołów
    3. Opcje pomocy technicznej dla kont przedsiębiorstw
    4. Opcje pomocy technicznej do produktów Experience Cloud

Konfigurowanie katalogów: Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw skonfigurować katalog, z którym zostanie połączona jedna lub wiele domen. Więcej informacji >

Konfigurowanie domen: Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console. Więcej informacji >

Łączenie domen z katalogami Po skonfigurowaniu katalogów i domen w serwisie Admin Console należy pogrupować te domeny, łącząc je z katalogami.
Więcej informacji >

Powierzenie dostępu do katalogu: Umożliwia zdefiniowanie relacji zaufania z administratorami systemu z innych organizacji.
Więcej informacji >

Przejście na nową usługę uwierzytelniania: Dostępna jest opcja samoobsługowa umożliwiająca migrację istniejących katalogów w serwisie Adobe Admin Console do nowej usługi uwierzytelniania.
Więcej informacji >

Przenoszenie domen między katalogami: Strukturę katalogową można modyfikować, przenosząc domeny z jednych katalogów do innych za pomocą serwisu Admin Console.
Więcej informacji >

Jednym z pierwszych zadań administratora systemu obsługującego serwis Admin Console jest zdefiniowanie i skonfigurowanie systemu identyfikatorów, na podstawie których będą uwierzytelniani użytkownicy. Gdy przedsiębiorstwo kupi licencje na produkty i usługi Adobe, trzeba będzie udostępnić je użytkownikom końcowym. Aby można było to zrobić, trzeba dysponować mechanizmem uwierzytelniania użytkowników.

Adobe oferuje następujące typy identyfikatorów do uwierzytelniania użytkowników końcowych:

  • Business ID
  • Enterprise ID
  • Federated ID
  • Adobe ID

Jeśli chcesz, aby użytkownicy w Twojej domenie mieli osobne konta, stanowiące własność przedsiębiorstwa i przez nie kontrolowane, to musisz wybrać identyfikatory Enterprise ID albo Federated ID (na potrzeby logowania SSO).

Uwaga:

Aby udostępnić takie korzyści, jak przestrzeń dyskowa w modelu korporacyjnym i inne funkcje dla przedsiębiorstw, Adobe migruje wszystkie istniejące identyfikatory Adobe ID do identyfikatorów Business ID. Członkowie zespołów u wszystkich nowych klientów biznesowych będą mieli już identyfikatory Business ID.

Adobe poinformuje organizację z wyprzedzeniem, gdy zostanie dla niej zaplanowana ta migracja. Więcej informacji podano we wprowadzeniu do identyfikatorów Business ID i nowych funkcji przestrzeni dyskowej. Dopóki Twoja organizacja nie zostanie poddana migracji, nadal będziesz uzyskiwać do niej dostęp na podstawie identyfikatora Adobe ID. Potem możliwość korzystania z identyfikatorów Adobe ID będzie dostępna tylko dla klientów indywidualnych.

W tym artykule omówiono szczegółowe informacje o wymaganiach związanych z konfigurowaniem systemu zarządzania identyfikatorami w celu uwierzytelniania użytkowników z użyciem identyfikatorów Enterprise ID lub Federated ID.

Uwaga:

Opisane tu procedury konfigurowania katalogu i konfigurowania domeny są całkowicie rozłączne. Oznacza to, że można je wykonywać w dowolnej kolejności lub jednocześnie. Natomiast procedura połączenia domen adresów e-mail z katalogami musi zostać wykonana dopiero po zakończeniu obu powyższych procedur.

Podstawowe terminy i pojęcia

Zanim przejdziemy do samych procedur, trzeba omówić kilka pojęć i terminów:

Katalog w serwisie Admin Console to obiekt przechowujący zasoby, takie jak użytkownicy, oraz zasady, takie jak reguły uwierzytelniania. Są to obiekty o działaniu podobnym do katalogów LDAP lub Active Directory.

Usługa dostawcy tożsamości używana przez przedsiębiorstwo — np. Active Directory, Microsoft Azure, Ping, Okta, InCommon lub Shibboleth.

Odsyłacze do informacji o konfigurowaniu logowania SSO na potrzeby Creative Cloud z użyciem popularnych usług IdP podano w sekcji Więcej podobnych na końcu tego artykułu.

Tworzony przez przedsiębiorstwo i będący jego własnością. Zarządzany przez użytkownika końcowego. Identyfikator Business ID (wraz te wszystkimi powiązanymi z nim zasobami) jest własnością firmy. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć osobistego konta Business ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.

Rozpoczęcie korzystania z identyfikatorów Business ID nie wymaga żadnej dodatkowej konfiguracji. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać; mogą także usuwać lub przejmować ich konta. Identyfikator Business ID jest tworzony i wydawany użytkownikowi przez administratora. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Business ID, aby na stałe zablokować dostęp do powiązanych z nim danych. 

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Business ID:

  • Jeśli administrator ma tworzyć identyfikatory użytkowników i pozostawać ich właścicielem.
  • Jeśli użytkownicy mają korzystać z innych usług Adobe, które nie obsługują obecnie identyfikatorów Enterprise ID ani Federated ID
  • Jeśli użytkownicy już mają identyfikatory Adobe ID oraz powiązane z nimi dane biznesowe, takie jak pliki, czcionki lub ustawienia.
  • W instytucjach edukacyjnych, aby umożliwić uczniom i studentom zachowanie identyfikatorów Adobe ID po ukończeniu szkoły.
  • Jeśli administrator ma tworzyć konta wykonawców i pracowników zewnętrznych oraz zarządzać nimi.
  • Jeśli klient zawarł z Adobe umowę na produkt dla zespołów
  • Jeśli potrzeba awaryjnego dostępu do plików i danych użytkownika.
  • Jeśli niezbędna jest możliwość całkowitego zablokowania lub usunięcia konta użytkownika.
Uwaga:

Aby udostępnić takie korzyści, jak przestrzeń dyskowa w modelu korporacyjnym i inne funkcje dla przedsiębiorstw, Adobe migruje wszystkie istniejące identyfikatory Adobe ID do identyfikatorów Business ID. Członkowie zespołów u wszystkich nowych klientów biznesowych będą mieli już identyfikatory Business ID.

Adobe poinformuje organizację z wyprzedzeniem, gdy zostanie dla niej zaplanowana ta migracja. Więcej informacji podano we wprowadzeniu do identyfikatorów Business ID i nowych funkcji przestrzeni dyskowej. Dopóki Twoja organizacja nie zostanie poddana migracji, nadal będziesz uzyskiwać do niej dostęp na podstawie identyfikatora Adobe ID. Potem możliwość korzystania z identyfikatorów Adobe ID będzie dostępna tylko dla klientów indywidualnych.

Identyfikator stanowiący własność instytucji lub przedsiębiorstwa, przez nie tworzony i zarządzany. Adobe udostępnia hosting identyfikatorów Enterprise ID i przeprowadza uwierzytelnianie, ale utrzymanie tych identyfikatorów pozostaje w gestii przedsiębiorstwa. Użytkownicy końcowi nie mogą się zarejestrować i utworzyć konta Enterprise ID. Za pomocą takiego identyfikatora nie mogą również nabywać dodatkowych produktów i usług Adobe.

Administratorzy tworzą identyfikator Enterprise ID i wydają go użytkownikowi. Administratorzy mogą odebrać dostęp do produktów i usług, przejmując konto lub usuwając identyfikator Enterprise ID, aby na stałe zablokować dostęp do powiązanych z nim danych.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Enterprise ID:

  • Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
  • Jeśli konieczne jest zachowanie możliwości dostępu do plików i danych powiązanych z takim identyfikatorem w wyjątkowych sytuacjach.
  • Jeśli niezbędna jest możliwość całkowitego zablokowania lub usunięcia konta użytkownika.

Identyfikator należący do instytucji lub przedsiębiorstwa, tworzony przez nie i przyłączany do katalogu korporacyjnego za pomocą usługi federacji. Przedsiębiorstwo zarządza danymi uwierzytelniającymi oraz zapewnia obsługę logowania SSO za pomocą usługi IdP (dostawcy tożsamości) w protokole SAML2.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Federated ID:

  • Jeśli konta użytkowników będą przydzielane na podstawie korporacyjnej usługi katalogowej.
  • Jeśli planowane jest zarządzanie uwierzytelnianiem użytkowników.
  • Jeśli trzeba zachować ścisłą kontrolę nad aplikacjami i usługami dostępnymi dla użytkownika.
Uwaga:

Usługa IdP musi być zgodna ze standardem TLS 1.2.

Identyfikator tworzony przez użytkownika końcowego, stanowiący jego własność i przez niego zarządzany. Adobe przeprowadza uwierzytelnianie, natomiast użytkownik zarządza swoją tożsamością (identyfikatorem). Użytkownik zachowuje pełną kontrolę nad plikami i danymi skojarzonymi ze swoim identyfikatorem. Użytkownicy mogą kupować dodatkowe produkty i usługi Adobe. Administratorzy zapraszają użytkowników do organizacji i mogą ich usuwać. Nie można jednak zablokować dostępu użytkownika do jego konta Adobe ID. Administrator nie ma możliwości usunięcia ani przejęcia takich kont. Używanie identyfikatorów Adobe ID nie wymaga żadnej dodatkowej konfiguracji.

Poniżej przedstawiono kilka sytuacji, w których zaleca się korzystanie z identyfikatorów Adobe ID:

  • Umożliwienie użytkownikom samodzielnego tworzenia identyfikatorów, posiadania ich na własność i zarządzania nimi.
  • Umożliwienie użytkownikom nabywania lub uzyskiwania subskrypcji kolejnych produktów i usług Adobe.
  • Jeśli użytkownicy mają korzystać z innych usług Adobe, które nie obsługują obecnie identyfikatorów Enterprise ID ani Federated ID.
  • Jeśli użytkownicy już mają identyfikatory Adobe ID oraz powiązane z nimi pliki, czcionki lub ustawienia. 
  • W instytucjach edukacyjnych, aby umożliwić uczniom i studentom zachowanie identyfikatorów Adobe ID po ukończeniu szkoły.
  • W przypadku współpracy z wykonawcami i freelancerami, którzy nie korzystają z adresów e-mail w domenach kontrolowanych przez Twoje przedsiębiorstwo.
  • Klienci, którzy nabyli subskrypcję Adobe dla zespołów, muszą wybrać ten typ identyfikatora.

Część adresu e-mail następująca za symbolem @. Aby można było korzystać z danej domeny w celu tworzenia identyfikatorów Enterprise ID lub Federated ID, należy najpierw potwierdzić, że jest się jej właścicielem.

Załóżmy na przykład, że przedsiębiorstwo jest właścicielem wielu domen (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), ale użytkownicy są uwierzytelniani tylko na podstawie domeny geometrixx.com. W związku z tym przedsiębiorstwo skonfiguruje identyfikatory w serwisie Admin Console na podstawie domeny w postaci geometrixx.com.

Administrator systemu

  • Konfiguruje identyfikatory w serwisie Admin Console we współpracy z osobami zarządzającymi katalogiem IdP oraz usługą DNS. Ten dokument jest przeznaczony dla administratorów systemu, którzy mają dostęp do serwisu Admin Console. Osoba pełniąca tę rolę będzie współpracować z innymi osobami, które zazwyczaj nie mają dostępu do Admin Console.

Osoba zarządzająca usługą DNS

  • Aktualizuje tokeny DNS w celu potwierdzenia prawa własności do domeny.

Osoba zarządzająca katalogiem IdP

  • Tworzy konektory w usłudze IdP.

Tożsamość użytkowników jest weryfikowana na podstawie źródła uwierzytelniania. Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy skonfigurować własne źródło uwierzytelniania przez dodanie domeny. Na przykład w adresie e-mail joanna@przyklad.com domena to „przyklad.com”. Dodanie domeny umożliwia tworzenie identyfikatorów Enterprise ID lub Federated ID na podstawie adresów e-mail w tej domenie. Pojedyncza domena może być używana do tworzenia identyfikatorów Enterprise ID lub identyfikatorów Federated ID, ale nie obu tych typów naraz. Możliwe jest jednak dodawanie wielu domen.

Przedsiębiorstwo musi wykazać, że ma kontrolę nad domeną. Możliwe jest też dodawanie wielu domen, jednak każdą domenę można dodać tylko raz. Nie ma możliwości dodawania znanych, publicznych i ogólnie dostępnych domen, takich jak gmail.com lub yahoo.com.

Więcej informacji o typach identyfikatorów: Zarządzanie typami identyfikatorów.

Tworzenie katalogów

Aby korzystać z identyfikatorów Enterprise ID lub Federated ID, należy najpierw utworzyć katalog, z którym zostanie połączona jedna lub wiele domen. Domyślnie organizacja ma katalog Business ID, który nie wymaga żadnej konfiguracji. 

Uwaga:

Firma Adobe nie obsługuje obecnie procesu inicjowanego przez usługę IdP.

Jeśli organizacja używa (lub planuje używać) usługi Microsoft Azure jako dostawcy SSO, to zaleca się korzystanie z uwierzytelniania z użyciem usługi Azure Federation. Należy również wykonać czynności opisane w sekcji Uwierzytelnianie użytkowników za pomocą usługi Microsoft Azure: Tworzenie katalogu.

Jeśli organizacja używa (lub planuje używać) federacji Google jako dostawcy SSO, to zaleca się korzystanie z uwierzytelniania z użyciem usługi Google Federation. Należy również wykonać czynności opisane w sekcji Uwierzytelnianie użytkowników z użyciem usługi Google Federation: Tworzenie katalogu w serwisie Adobe Admin Console.

Wykonaj następującą procedurę, jeśli organizacja używa co najmniej jednej z następujących usług:

  • Enterprise ID
  • dostawcy SAML innego niż Azure lub Google,
  • Microsoft Azure lub federacji Google z użyciem SCIM.
  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Na karcie Katalogi kliknij opcję Utwórz katalog.

  3. Na ekranie Utwórz katalog wprowadź nazwę katalogu.

  4. Wybierz opcję Federated ID i kliknij przycisk Dalej. Następnie przejdź do kroku 5.

    Wybierz opcję Enterprise ID kliknij przycisk Utwórz katalog.

    Jeśli tworzysz katalog Enterprise ID, to już koniec tej procedury.

    Możesz teraz rozpocząć konfigurowanie domen.

  5. (Tylko Federated ID) Wybierz opcję Inni dostawcy SAML i kliknij przycisk Dalej.

  6. Na ekranie Dodaj profil SAML znajdują się informacje potrzebne do skonfigurowania usługi IdP.

    Niektóre usługi IdP (dostawcy tożsamości) akceptują plik metadanych; inne wymagają natomiast podania wartości ACS URL (Adres URL usługi ACS) oraz Entity ID (Identyfikator podmiotu). Na przykład:

    • W przypadku usługi Azure Active Directory: Prześlij plik metadanych.
    • W przypadku usługi Google: Skopiuj wartości ACS URL oraz Entity ID i wprowadź je w oprogramowaniu IdP Google.
    • W przypadku usługi SalesForce: Pobierz plik metadanych, wyodrębnij z niego dane certyfikatu i wprowadź je w oprogramowaniu IdP SalesForce.
    Uwaga:

    Wykonanie powyższych konfiguracji usług Azure i Google jest konieczne, jeśli nie używa się odpowiednio usługi Azure Federation lub Google Federation.

    Wybierz jedną z podanych poniżej metod.

    Metoda 1:

    Kliknij opcję Pobierz plik metadanych Adobe.

    Plik metadanych zostanie zapisany na dysku lokalnym. Plik ten umożliwia skonfigurowanie integracji SAML z usługą IdP.

    Metoda 2:

    Skopiuj wartości ACS URL oraz Entity ID.

    Dodawanie profilu SAML

  7. Przejdź do aplikacji IdP i prześlij plik metadanych albo podaj wartości ACS URL i Entity ID. Po zakończeniu tych czynności pobierz plik metadanych usługi IdP.

  8. Wróć do serwisu Adobe Admin Console i prześlij plik metadanych usługi IdP na ekranie Dodaj profil SAML, a następnie kliknij przycisk Gotowe.

Konfigurowanie domen

Uwaga:

Jeśli katalog organizacji został skonfigurowany z użyciem katalogu Microsoft Azure AD lub usługi Google Federation, to nie trzeba dodawać domen ręcznie. Wybrane domeny, potwierdzone w konfiguracji usługi IdP, zostaną automatycznie zsynchronizowane z systemem Adobe Admin Console organizacji.

Użytkownicy końcowi są uwierzytelniani na podstawie domen, które trzeba skonfigurować w serwisie Admin Console.

Aby skonfigurować domeny:

  1. Dodaj domeny do serwisu Admin Console.
  2. Przygotuj się do weryfikacji prawa własności do domeny przez dodanie specjalnego rekordu DNS.
  3. Zweryfikuj domeny.

Domeny dodane w serwisie Admin Console nie muszą być zarejestrowane w tej samej usłudze IdP. Jednak łącząc te domeny z katalogami, należy umieszczać domeny z różnych usług IdP w różnych katalogach.

Domeny nie można dodać do serwisu Admin Console, jeśli inne przedsiębiorstwo dodało ją uprzednio do swojej instancji Admin Console. Można natomiast poprosić o dostęp do takiej domeny.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Identyfikatory.

  2. Na karcie Domeny kliknij opcję Dodaj domeny.

  3. Na ekranie Dodaj domeny wprowadź jedną lub więcej domen, a następnie kliknij pozycję Dodaj domeny. Można przypisać i zweryfikować tylko 15 domen naraz. Dopiero po zakończeniu tego procesu można dodać kolejne.

  4. Na ekranie Dodaj domeny przejrzyj listę domen i kliknij przycisk Dodaj domeny.

Domeny zostaną dodane do serwisu Admin Console. Teraz należy wykazać prawo własności do tych domen.

Przedsiębiorstwo musi wykazać, że ma prawo własności do domeny. Do serwisu Admin Console można dodać dowolną liczbę domen.

Jedno przedsiębiorstwo może użyć serwisu Admin Console, aby wykazać prawo własności do wszystkich swoich domen na podstawie pojedynczego tokenu DNS. Ponadto Admin Console nie wymaga weryfikacji subdomen za pomocą tokenu DNS. Oznacza to, że po wykazaniu prawa własności do domeny za pomocą takiego tokenu wszystkie jej subdomeny zostaną zweryfikowane bezpośrednio w momencie dodawania ich do serwisu Admin Console.

  1. Zaloguj się do serwisu Admin Console, przejdź do sekcji Ustawienia > Identyfikatory i otwórz kartę Domeny.

  2. Kliknij ikonę  i wybierz opcję Uzyskaj token DNS z rozwijanej listy.

  3. We współpracy z osobą zarządzającą usługami DNS w Twoim przedsiębiorstwie wprowadź specjalny rekord DNS do dodanych domen.

  4. Aby potwierdzić swoje prawo własności do domeny, należy dodać rekord TXT z wygenerowanym tokenem DNS. Szczegółową procedurę określa usługodawca hostingu domeny. Ogólne wskazówki podano w artykule Weryfikowanie prawa własności do domeny.

  5. Dodaj informacje na serwerach DNS przedsiębiorstwa, aby zakończyć ten etap. Uprzedź o tym osobę zarządzającą usługą DNS, aby umożliwić wykonanie tej czynności w wymaganym czasie.

    Adobe będzie okresowo sprawdzać rekordy DNS Twojej domeny. Jeśli te rekordy będą poprawne, domena zostanie automatycznie zweryfikowana. Jeśli chcesz przeprowadzić weryfikację natychmiast, możesz zalogować się w serwisie Admin Console i zainicjować ten proces ręcznie. Następnie należy zweryfikować domeny.

Serwis Admin Console kilka razy dziennie będzie podejmować próbę zweryfikowania dodanych domen. Oznacza to, że po prawidłowym skonfigurowaniu rekordów DNS nie trzeba podejmować żadnych działań.

Ręczne weryfikowanie domen

Jeśli musisz natychmiast zweryfikować domenę, możesz to zrobić za pomocą serwisu Admin Console. Aby ręcznie zweryfikować domeny:

  1. Zaloguj się w serwisie Admin Console.

  2. Przejdź do sekcji Ustawienia > Tożsamość i otwórz kartę Domeny.

  3. Kliknij opcję Weryfikuj.

  4. Na ekranie Weryfikuj prawo do domeny kliknij opcję Weryfikuj teraz.

Podczas próby weryfikacji mogą pojawić się komunikaty o błędzie, ponieważ wejście w życie zmian konfiguracji DNS zajmuje do 72 godzin. Więcej informacji podano w odpowiedziach na popularne pytania dotyczące rekordu DNS.

Po potwierdzeniu prawa własności można będzie połączyć zweryfikowane domeny z odpowiednimi katalogami w serwisie Admin Console.

Łączenie domen z katalogami

Po skonfigurowaniu katalogów i domen w serwisie Admin Console należy połączyć te domeny z katalogami.

Z jednym katalogiem można połączyć wiele domen, jednak wszystkie te domeny muszą mieć identyczne ustawienia logowania SSO.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Zaznacz pole wyboru po lewej stronie nazwy domeny, a następnie kliknij przycisk Połącz z katalogiem.

    Jeśli chcesz połączyć wiele domen z tym samym katalogiem, zaznacz wszystkie odpowiadające im pola wyboru.

  4. Na ekranie Połącz z katalogiem wybierz katalog z rozwijanego menu i kliknij opcję Połącz.

Zarządzanie użytkownikami

Po zakończeniu konfiguracji identyfikatorów Enterprise ID lub Federated ID możesz przystąpić do udostępniania zakupionych produktów i usług Adobe użytkownikom.

Zapoznaj się ze wstępem do zarządzania użytkownikami w serwisie Admin Console. Można także od razu rozpocząć dodawanie użytkowników do serwisu Admin Console z użyciem jednej z następujących metod:

Gdy użytkownicy zostaną dodani do systemu Admin Console, skonfiguruj ich dostęp, przypisując ich do profilów produktowych.

Powierzanie dostępu do katalogów

Potwierdzenie prawa własności do określonej domeny może uzyskać tylko jedna organizacja (struktura organizacyjna przedsiębiorstwa). Rozważmy następujący scenariusz:

Firma Geometrixx ma wiele oddziałów, z których każdy ma własną, niepowtarzalną wersję serwisu Admin Console. Ponadto każdy oddział chce używać identyfikatorów Federated ID korzystających z domeny geometrixx.com.  W takim przypadku administrator systemu każdego oddziału chciałby uzyskać przypisanie tej domeny na potrzeby uwierzytelniania. Serwis Admin Console nie pozwoli jednak na dodanie domeny przez więcej niż jedną organizację. Gdy jeden z oddziałów przedsiębiorstwa doda domenę, pozostałe działy mogą poprosić dla swojej instancji serwisu Admin Console o dostęp do katalogu, z którym ta domena jest połączona.

Powierzenie dostępu do katalogu pozwala właścicielowi tego katalogu na zdefiniowanie relacji zaufania z innymi administratorami systemu (powiernikami). Dzięki temu organizacje powiernicze będą mogły dodawać użytkowników do dowolnej domeny należącej do powierzonego im katalogu.

Podsumowując, aby w serwisie Admin Console można było korzystać z identyfikatorów Enterprise ID lub Federated ID, należy dodać domenę.  Jeśli ta domena została wcześniej dodana przez inne przedsiębiorstwo (organizację), należy złożyć wniosek o uzyskanie dostępu do katalogu zawierającego tę domenę jako powiernik. Jednak użytkownicy dodawani przez organizację powierniczą do takich domen z relacją zaufania otrzymują identyfikatory Business ID. Mimo konfiguracji Business ID konta te będą uwierzytelniane przez platformę uwierzytelniania organizacji będącej ich właścicielem.

Instrukcje składania wniosku o dostęp do katalogu podano w procedurze „Dodawanie domeny” w sekcji Konfigurowanie domen.

Uwaga:
  • Jeśli jesteś właścicielem katalogu i zaakceptujesz wniosek o dostęp do niego, organizacja powiernicza uzyska prawo dostępu do wszystkich domen połączonych z tym katalogiem oraz wszystkich domen, które zostaną do niego dodane w przyszłości. Dlatego też należy bardzo starannie zaplanować powiązania między domenami a katalogami na etapie konfigurowania systemu identyfikatorów w przedsiębiorstwie.
  • Przed dodaniem, złożeniem, odwołaniem lub wycofaniem wniosku o relację powierniczą Adobe zdecydowanie zaleca wyeksportowanie listy użytkowników z odpowiednich systemów Admin Console. Lista taka będzie zawierać migawkę wszystkich danych użytkowników, w tym imiona i nazwiska, adresy e-mail, przypisane profile produktów i role administracyjne, co w razie potrzeby pozwoli na wycofanie zmian. 
  • Istnieją określone kroki, które należy wykonać w celu przeprowadzenia migracji domeny obejmującej relację powierniczą. Nie należy odwoływać relacji powierniczej podczas migracji zaufanej domeny, aby zapobiec utracie kont użytkowników i dostępu do produktów w organizacji powiernika.
  • Relacji powierniczej do katalogu nie można skonfigurować pomiędzy organizacjami, które korzystają z różnych modeli przestrzeni dyskowej (modelu przydziału na użytkownika oraz modelu korporacyjnego). Więcej informacji: Problemy wynikające z dostępu zarówno do przestrzeni dyskowej dla przedsiębiorstw, jak i przestrzeni dyskowej starszego typu dla użytkowników

Powiernik domeny

Jeśli podejmiesz próbę dodania istniejących domen do serwisu Admin Console, zostanie wyświetlony następujący komunikat:

Jeśli poprosisz o dostęp do tej domeny, Twoje imię i nazwisko, adres e-mail oraz nazwa organizacji zostaną udostępnione we wniosku do administratorów systemu organizacji zarządzającej.

Będzie to nowy typ katalogu — Business ID, a uwierzytelnianie zależy od tego, jak katalog został skonfigurowany przez organizację zarządzającą.

Ponieważ domena została już skonfigurowana przez jej właściciela (zobacz Wykazywanie prawa własności do domeny), powiernik nie musi podejmować żadnych innych działań. Gdy wniosek o dostęp zostanie zaakceptowany przez właściciela, Twoje przedsiębiorstwo otrzyma dostęp do katalogu i wszystkich jego domen zgodnie z konfiguracją określoną przez przedsiębiorstwo będące jego właścicielem.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp i sprawdź status wniosku dla każdego katalogu, w stosunku do którego ubiegasz się o dostęp.

  3. Możesz również kliknąć jeden z wierszy na liście wniosków o dostęp i wybrać opcję Ponownie wyślij wniosek albo opcję Anuluj wniosek.

Gdy wniosek o dostęp do katalogu zostanie zaakceptowany przez przedsiębiorstwo będące właścicielem, otrzymasz powiadomienie e-mail.Wniosek o powiernictwo zniknie z konsoli, a powierzony katalog wraz z jego domenami pojawią się na listach Katalogi oraz Domeny ze statusem „Aktywny”.

Możesz teraz dodać użytkowników oraz grupy użytkowników oraz przypisać im profile produktowe.

Jeśli dostęp do powierzonego katalogu nie jest już potrzebny, organizacja powiernicza może w każdej chwili zrezygnować ze swojego statusu powiernika.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Na karcie Katalogi kliknij współużytkowany katalog, do którego nie chcesz już mieć dostępu.

  3. W zasobniku danych katalogu kliknij opcję Wycofaj.

Jeśli wycofasz swój dostęp do zaufanego katalogu, wszyscy użytkownicy powiązani z domenami w tym katalogu zostaną usunięci z Twojej organizacji. Jednak użytkownicy ci nadal mogą mieć dostęp do przypisanych im aplikacji, usług i przestrzeni dyskowej.

Aby uniemożliwić użytkownikom korzystanie z oprogramowania, usuń ich konta na stronie Admin Console > Użytkownicy >Usuń użytkowników. Pozwoli to odzyskać zasoby usuniętych użytkowników, ponieważ to Twoja organizacja jest właścicielem tych zasobów.

Właściciel domeny

Jako administrator systemu organizacji zarządzającej możesz akceptować lub odrzucać wnioski o przyznanie dostępu do należących do Ciebie katalogów. 

Jeśli otrzymasz wiadomość e-mail z wnioskiem o dostęp do należącego do Ciebie katalogu, możesz zaakceptować lub odrzucić żądanie z poziomu wiadomości e-mail. Można również przejść na zakładkę Wnioski o dostęp do domeny, aby zarządzać wnioskami o przypisanie.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp.

  3. Aby zaakceptować wszystkie wnioski, kliknij przycisk Zaakceptuj wszystkie.

    Natomiast aby zaakceptować wybrane wnioski, zaznacz pole wyboru po lewej stronie odpowiedniego wiersza i kliknij przycisk Zaakceptuj.

  4. Na ekranie Zaakceptuj wniosek o dostęp kliknij przycisk Akceptuj.

Do administratorów systemu organizacji powierniczej zostanie wysłane powiadomienie e-mail.

Można również odrzucić wniosek o dostęp do katalogu, który należy do Ciebie.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź na kartę Wnioski o dostęp.

  3. Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odrzuć.

  4. Na ekranie Odrzuć wniosek o dostęp podaj powód odrzucenia wniosku i kliknij przycisk Odrzuć.

Podany powód zostanie udostępniony organizacji wnioskującej pocztą elektroniczną. Nie zostaną natomiast przekazane Twoje dane, w tym adres e-mail, imię, nazwisko ani organizacja.

Można odebrać dostęp organizacji powierniczej, której go wcześniej przyznano.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do zakładki Powiernicy.

  3. Zaznacz pole wyboru po lewej stronie w odpowiednich wierszach, a następnie kliknij przycisk Odbierz.

  4. Na ekranie Odbierz status powiernika kliknij przycisk Odbierz.

Jeśli odbierzesz dostęp do zaufanego katalogu, wszyscy użytkownicy powiązani z domenami w tym katalogu zostaną z niego usunięci. Jednak użytkownicy ci nadal mogą mieć dostęp do przypisanych im aplikacji, usług i przestrzeni dyskowej.

Aby uniemożliwić użytkownikom korzystanie z oprogramowania, administratorzy w organizacji powierniczej mogą usunąć ich konta na stronie Admin Console > Użytkownicy >Usuń użytkowników. Pozwoli to odzyskać zasoby usuniętych użytkowników, ponieważ to organizacja powiernicza jest właścicielem tych zasobów.

Częste pytania: Relacje powiernictwa katalogów

Użytkownik dodawany do organizacji powierniczej zawsze otrzymuje konto Business ID. Dotyczy to zarówno nowych użytkowników w organizacji powierniczej, jak użytkowników już istniejących w organizacji będącej właścicielem. W organizacji właścicielskiej ten użytkownik będzie mieć konto Federated ID lub Enterprise ID, natomiast w organizacjach powierniczych — konto Business ID. Jednak podczas logowania do aplikacji lub usług Adobe użytkownikowi z organizacji powierniczej będzie prezentowany proces logowania na konto Federated ID lub Enterprise ID skonfigurowany w organizacji będącej właścicielem.

Ponadto użytkownik może otrzymać uprawnienia od organizacji właścicielskiej albo od organizacji powierniczej. W takim przypadku Adobe utworzy osobny profil na każdą z organizacji (właściciel lub powiernik), do której należą użytkownicy. Profil ułatwia zachowanie separacji między uprawnienia i zasobami przynależnymi do poszczególnych organizacji. Dzięki temu zasoby utworzone przez użytkownika w ramach określonego profilu będą stanowić własność odpowiedniej organizacji. Jeśli użytkownik opuści organizację, administrator tej organizacji przejmie jego zasoby.

Więcej informacji:

Po przeprowadzeniu migracji organizacji powierniczej wszyscy użytkownicy zostaną wylogowani z kont i będą musieli się ponownie zalogować. Ponieważ tacy użytkownicy istnieją również w organizacji właścicielskiej, mogą otrzymywać uprawnienia zarówno od organizacji właścicielskiej, jak i organizacji powierniczej. W takim przypadku Adobe skonfiguruje dla nich osobne profile. W związku z tym podczas ponownego logowania się konto użytkownik może zostać poproszony o wybór profilu.

W razie potrzeby użytkownicy mogą przeczytać instrukcje zarządzania profilami Adobe.

Zarządzanie kluczami szyfrowania

Usługa Creative Cloud lub Document Cloud dla przedsiębiorstw umożliwia użytkownikom końcowym bezpieczne przechowywanie plików. Można również udostępniać pliki i współpracować z innymi. Dostęp do plików można uzyskać za pomocą serwisu Creative Cloud, aplikacji Creative Cloud Desktop oraz aplikacji mobilnej Creative Cloud. Przestrzeń dyskowa w chmurze w ramach wdrożenia Creative Cloud lub Document Cloud dla przedsiębiorstw jest dostępna tylko wtedy, gdy taka usługa została uwzględniona w umowie danej organizacji z Adobe.

Chociaż wszystkie dane w chmurach Creative Cloud i Document Cloud są szyfrowane, można wprowadzić dodatkowe warstwy kontroli i bezpieczeństwa, uzyskując od Adobe dedykowany klucz szyfrowania dla organizacji. Zawartość będzie wówczas szyfrowana z użyciem tego dedykowanego klucza i standardowego mechanizmu szyfrowania. W razie potrzeby klucz szyfrowania można odwołać, posługując się serwisem Admin Console.

Dedykowane klucze szyfrowania są dostępne tylko w przypadku tych planów Creative Cloud lub Document Cloud dla przedsiębiorstw z usługami wspólnymi, które obejmują przestrzeń dyskową i usługi.

Więcej informacji: Zarządzanie szyfrowaniem kluczy w serwisie Admin Console.

Migracja do nowego dostawcy usługi uwierzytelniania

Dostępna jest opcja samoobsługowa umożliwiająca migrację istniejących katalogów w serwisie Adobe Admin Console do nowej usługi uwierzytelniania.

Wymagania dotyczące dostępu

Aby przeprowadzić migrację do nowej usługi uwierzytelniania, trzeba spełnić następujące wymagania:

  • Niezbędny jest dostęp do systemu Admin Console organizacji z konta z uprawnieniami administratora systemu.
  • W systemie Admin Console musi istnieć katalog ze skonfigurowaną federacją.
  • Niezbędny jest dostęp do konfiguracji usługi IdP organizacji (np.Microsoft Azure Portal, konsoli administracyjnej Google itd.).

Więcej informacji: Zagadnienia związane z implementacją.

Procedura migracji

Najpierw sprawdź, czy masz niezbędny dostęp i zweryfikuj zagadnienia związane z implementacją, a następnie wykonaj poniższą procedurę, aby zmodyfikować profil uwierzytelniania i przeprowadzić migrację katalogu:

  1. W serwisie Adobe Admin Console przejdź do sekcji Ustawienia > Katalogi.

  2. Wybierz operację Edytuj przy odpowiednim katalogu. Następnie wybierz opcję Dodaj nową usługę IdP w sekcji Dane katalogu.

  3. Wybierz usługę IdP, aby skonfigurować nowy profil uwierzytelniania. Wybierz usługę dostawcy tożsamości (usługę IdP), której organizacja używa do uwierzytelniania użytkowników. Kliknij przycisk Dalej.

  4. Wykonaj następujące czynności odpowiednio do wybranej usługi IdP:

    • W przypadku usługi Azure
      Zaloguj się na platformie Azure, używając konta administratora globalnego Microsoft Azure Active Directory. W oknie pytania o zezwolenie kliknij opcję Akceptuj. Nastąpi powrót do ekranu Dane katalogu w serwisie Admin Console.

      Uwaga:
      • Logowanie się z konta administratora globalnego Microsoft jest wymagane tylko w celu utworzenia aplikacji w serwisie Azure Portal należącym do organizacji. Dane logowania administratora globalnego nie są przechowywane i są wykorzystywane tylko do jednorazowego potwierdzenia utworzenia aplikacji.
      • Wybierając usługę IdP w kroku 3 należy pamiętać, że nie można używać opcji Microsoft Azure, jeśli wartość w polu Nazwa użytkownika w serwisie Adobe Admin Console nie jest zgodna z wartością w polu UPN w portalu Azure.
        Jeśli istniejący katalog jest skonfigurowany w taki sposób, aby przekazywał wartość nazwy użytkownika w postaci parametru „Ustawienie loginu użytkownika”, to w opcji Inni dostawcy SAML należy ustawić nową usługę IdP. Ustawienie to można sprawdzić, wybierając opcję Edytuj w bieżącym katalogu w obszarze Ustawienie loginu użytkownika.
      • Wybranie opcji Microsoft Azure w kroku 3 powoduje jedynie skonfigurowanie usługi IdP i nie obejmuje obecnie usług synchronizacji katalogów.
    • W przypadku usługi Google:

      1. Skopiuj wartości Adres URL usługi ACS (ACS URL) oraz Identyfikator podmiotu (Entity ID) z ekranu Edytuj konfigurację logowania SAML.
      2. W osobnym oknie zaloguj się do konsoli administracyjnej Google używając konta o uprawnieniach administracyjnych. Następnie przejdź do sekcji Aplikacje > Aplikacje SAML.
      3. Kliknij ikonę +, aby dodać nową aplikację. Wybierz aplikację Adobe. Następnie pobierz metadane IDP podane w opcji 2 i prześlij je na ekranie Edytuj konfigurację logowania SAML w serwisie Adobe Admin Console. Następnie kliknij przycisk Zapisz.
      4. Potwierdź dane na ekranie Podstawowe informacje o aplikacji Adobe. Wprowadź poprzednio skopiowany adres URL usługi ACS i identyfikator podmiotu w sekcji Dane usługodawcy, aby zakończyć konfigurację. Należy pamiętać, że nie trzeba definiować konfiguracji obsługi użytkowników, ponieważ nie jest to obecnie obsługiwane w przypadku istniejących katalogów.
      5. Następnie wybierz opcje Aplikacje > Aplikacje SAML > Ustawienia Adobe > Status usługi. Ustaw status usługi WŁ dla wszystkich i kliknij opcję Zapisz.
      Status usługi

    • W przypadku innych dostawców SAML:

      1. Zaloguj się do swojej aplikacji IdP w innym oknie i utwórz nową aplikację SAML. (Nie należy edytować istniejącej aplikacji SAML, ponieważ spowodowałoby to przestoje w czasie migracji).
      2. Skopiuj odpowiednio plik metadanych albo adres URL usługi ACS i identyfikator podmiotu z serwisu Adobe Admin Console i wklej je w ustawieniach usługi IdP.
      3. Prześlij plik metadanych z konfiguracji usługi IdP do serwisu Adobe Admin Console. Następnie kliknij przycisk Zapisz.
  5. Na ekranie Adobe Admin Console > Dane katalogu zostanie utworzony nowy profil uwierzytelniania. Użyj funkcji Test, aby zweryfikować poprawność konfiguracji. Dzięki temu wszyscy użytkownicy końcowi będą mieć dostęp do aplikacji SAML.

    Funkcja Test pozwala sprawdzić, czy format nazwy użytkownika w nowym profilu uwierzytelniania zdefiniowanym w usłudze idP odpowiada informacjom używanym przez obecny profil w celu logowania użytkownika.

  6. Kliknij opcję Aktywuj, aby przeprowadzić migrację na nowy profil uwierzytelniania. Po zakończeniu migracji status nowego profilu zmieni się na „W użyciu”.

    Zanim przeprowadzisz aktywację, przejdź do sekcji Użytkownicy katalogu w serwisie Adobe Admin Console i sprawdź, czy nazwy kont w usłudze IdP są zgodne z nazwami w serwisie Admin Console.

    SAML: Sprawdź, czy wartość pola Subject (Podmiot) w asercji wydanej przez nową konfigurację jest zgodna z istniejącym formatem nazw użytkowników używanym w serwisie Admin Console.

Po zmianie konfiguracji katalogu można przenieść do niego domeny z istniejących katalogów, korzystając z funkcji migracji domen. Należy pamiętać, że konta użytkowników z migrowanych domen muszą istnieć w usłudze IdP skonfigurowanej w odniesieniu do nowego katalogu docelowego.

Informacje o ograniczeniach i sposobach uniknięcia błędów, które mogą występować podczas konfigurowania, podano w Odpowiedziach na częste pytania.

Przenoszenie domen między katalogami

Organizacje mogą organizować strukturę katalogową, przenosząc domeny z jednych katalogów do innych za pomocą serwisu Admin Console. Pozwala to przebudować powiązania między domenami i katalogami zgodnie z potrzebami przedsiębiorstwa bez potrzeby pozbawiania użytkowników dostępu do produktów, usług i zapisanych zasobów. Konsolidacja domen skonfigurowanych z użyciem tej samej usługi IdP w jednym katalogu umożliwia upraszcza zadania administracyjne.

Aby przenieść domeny do katalogu, który używa innej usługi IdP (Azure, Google lub inny dostawca SAML) z uwierzytelnianiem SHA-2, należy zreplikować tę konfigurację IdP w obu katalogach (starym i nowym). Nowa konfiguracja usługi IdP umożliwia przetestowanie logowania użytkowników ze wszystkich domen w katalogu. Stosownie do używanej usługi IdP, wykonaj następujące czynności:

  • Microsoft Azure: Dodaj do katalogu nową usługę Azure IdP i zaloguj się na to samo konto najemcy Azure.
  • Inni dostawcy SAML (w tym Google): Prześlij plik metadanych prowadzący do tej samej aplikacji SAML w usłudze IdP.

Po zakończeniu migracji domeny użytkownicy należący do nowego katalogu nadal będą mogli się zalogować. Wyeliminuje to przestoje i zapewni natychmiastowy dostęp do przypisanych im aplikacji i usług firmy Adobe.

Uwaga:
  • Podczas przenoszenia domeny użytkownicy zostaną wylogowani z kont i nie będą się mogli zalogować ponownie. Dlatego też zaleca się przeprowadzanie modyfikacji katalogów poza godzinami pracy, aby uniknąć takich utrudnień.
  • Istnieją określone kroki, które należy wykonać w celu przeprowadzenia migracji domeny obejmującej relację powierniczą. Nie należy odwoływać relacji powierniczej podczas migracji zaufanej domeny, aby zapobiec utracie kont użytkowników i dostępu do produktów w organizacji powiernika.
  • Adobe zdecydowanie zaleca, aby przed migracją jakiejkolwiek domeny wyeksportować listę użytkowników z odpowiednich systemów Admin Console. Lista taka będzie zawierać migawkę wszystkich danych użytkowników, w tym imiona i nazwiska, adresy e-mail, przypisane profile produktów i role administracyjne, co w razie potrzeby pozwoli na wycofanie zmian.
  • Obecnie domeny można przenosić tylko między katalogami, w których zarówno katalog źródłowy, jak i docelowy korzystają z modelu przestrzeni dyskowej Adobe z przydziałem na użytkownika.

Przyczyny przenoszenia domen

Tę możliwość można wykorzystać w następujących scenariuszach:

  • Gdy organizacja chce przenieść istniejący katalog do innej usługi IdP z profilem uwierzytelniania SHA-2.
  • Jeśli masz katalogi o aktywnej relacji powierniczej lub chcesz udostępniać katalogi na potrzeby takiej relacji, ale nie zamierzasz zezwalać na dostęp do wszystkich domen w danym katalogu.
  • Musisz utworzyć grupy katalogów odpowiadające zespołom i działom przedsiębiorstwa lub instytucji.
  • Masz kilka katalogów, które są połączone z pojedynczymi domenami, i chcesz je skonsolidować.
  • Domena została przypadkowo połączona z niewłaściwym katalogiem.
  • Trzeba samodzielnie przenieść domenę z identyfikatorów Enterprise ID na Federated ID lub odwrotnie.

Katalogi zaszyfrowane lub w relacji powierniczej

Jeśli katalog źródłowy lub docelowy jest zaszyfrowany lub pozostaje w relacji powierniczej, to nie można bezpośrednio przenieść domen. W takim przypadku należy wykonać następujące instrukcje:
 

Scenariusz

Przykład

Sugerowane podejście

Przenoszenie domen między katalogami, które pozostają ze sobą w tej samej relacji powierniczej

Katalog 1 i Katalog 2 zostały skonfigurowane w systemie Console A i oba mają założoną relację powierniczą z systemem Console B.

Wykonaj procedurę przenoszenia domeny.

Przenoszenie domen między katalogami, które mają relacje powiernicze

* Diagramy procesów przedstawiono na rysunku A

Katalog 1 jest skonfigurowany w systemie Console A i ma założoną relację powierniczą z systemem Console B.

W systemie Console A istnieje domena w Katalogu 1 (Domena X), którą trzeba przenieść do Katalogu 2.

 

  1. Przed wprowadzeniem zmian wyeksportuj listę użytkowników z systemu Console organizacji, która jest właścicielem relacji powierniczej, oraz ze wszystkich systemów Console organizacji powierników.
  2. Załóż relację powierniczą między wszystkimi powiernikami a katalogiem docelowym (Katalog 2) w systemie Console A.
  3. Przenieś domeny z bieżącego katalogu (Katalog 1) do katalogu docelowego (Katalog 2) w systemie Console A.
  4. Wycofaj relację zaufania dotyczącą powierników w Katalogu 1 w systemie Console A.
  5. Powiernik usuwa wycofaną domenę z systemu Console B (krok ten należy powtórzyć u wszystkich dodatkowych powierników).
  6. Gdy Katalog 1 będzie pusty — bez domen ani relacji powierniczych — można będzie usunąć ten pusty katalog.

 

Przenoszenie domeny lub katalogu zawierającego wiele domen do innego systemu Admin Console w organizacji

Katalog 1 istnieje w systemie Console A. Natomiast Katalog 1 i jego domeny przypisane trzeba przenieść do systemu Console B, ponieważ są własnością organizacji korzystającej z tego systemu.

Przenoszenie domen do lub z zaszyfrowanego katalogu w tym samym systemie Admin Console

W Katalogu 1 włączono szyfrowanie. Domena z Katalogu 2 w tym samym systemie Admin Console musi zostać przeniesiona do Katalogu 1.

Przenoszenie domen do katalogu szyfrowanego albo z takiego katalogu nie jest obecnie obsługiwane.

Stan pierwotny

Stan pierwotny

Stan relacji powierniczej

Stan relacji powierniczej

Stan po migracji

Stan po migracji

Rysunek A

Przenoszenie domen

Wykonaj następującą procedurę, aby przenieść domeny z katalogu źródłowego do docelowego:

  1. Zaloguj się do serwisu Adobe Admin Console i przejdź do sekcji Ustawienia.

  2. Otwórz sekcję Domeny i zaznacz domeny, które chcesz przenieść do katalogu docelowego. Następnie kliknij opcję Edytuj katalog.

    Edytuj katalog

  3. Wybierz katalog z rozwijanej listy na ekranie Edytuj katalog. Za pomocą przełącznika u dołu włącz lub wyłącz powiadomienia o zakończeniu przenoszenia. Następnie kliknij przycisk Zapisz.

    Wybierz katalog

Zostanie otwarta sekcja Ustawienia > Tożsamość  > Domeny. Będą w niej widoczne wszystkie domeny wraz z ich statusem.

Po pomyślnym zakończeniu tego procesu administratorzy systemu otrzymają wiadomość e-mail o przeniesieniu domeny. Następnie będzie można stosownie do potrzeb zmodyfikować nazwy katalogów i usunąć puste katalogi.

Usuwanie katalogów i domen

Z serwisu Admin Console można usuwać nieużywane już katalogi i domeny.

Uwaga:

Nie można usunąć katalogu, dla którego istnieją:

  • aktywni użytkownicy,
  • połączone domeny,
  • powiernicy.
  • Domyślne katalogi Business ID
  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do zakładki Katalogi.

  3. Zaznacz pola wyboru po lewej stronie nazw katalogów, a następnie kliknij przycisk Usuń katalogi.

  4. Na ekranie Usuń katalogi kliknij przycisk Usuń.

Uwaga:

Domeny nie można usunąć, jeśli w serwisie Admin Console istnieją korzystający z niej użytkownicy lub jeśli domena ta jest połączona z katalogami.

  1. Zaloguj się do serwisu Admin Console i przejdź do sekcji Ustawienia > Tożsamość.

  2. Przejdź do karty Katalogi.

  3. Zaznacz pola wyboru po lewej stronie nazw domen, a następnie kliknij przycisk Usuń.

  4. Na ekranie Usuń domeny kliknij przycisk Usuń.

Logo Adobe

Zaloguj się na swoje konto