Serwis Adobe Admin Console udostępnia użytkownikom planów dla przedsiębiorstw opcję uwierzytelniania się w produktach Adobe objętych ich subskrypcją z użyciem istniejącego już w przedsiębiorstwie systemu zarządzania identyfikatorami z obsługą pojedynczego logowania (SSO). Do obsługi logowania SSO służy protokół SAML. Jest to rozwiązanie stanowiące standard branżowy, które umożliwia nawiązywanie połączenia między systemami zarządzania identyfikatorami przedsiębiorstwa a systemami usług chmury, takimi jak oferta Adobe. Konfiguracja SSO umożliwia bezpieczną wymianę informacji uwierzytelniających między dwiema stronami: dostawcą usług (Adobe) i dostawcą tożsamości (Identity Provider — IdP). Dostawca usług wysyła żądanie do systemu IdP, który podejmuje próbę uwierzytelnienia użytkownika. Po uwierzytelnieniu usługa IdP wysyła odpowiedź umożliwiającą zalogowanie użytkownika. Szczegółowe instrukcje: Konfigurowanie logowania SSO.

Plan

Jakie typy identyfikatorów są dostępne w przypadku wdrażania licencji imiennych?

Adobe oferuje trzy różne typy identyfikatorów:

  • Enterprise ID: organizacja tworzy konto i jest jego właścicielem, natomiast Adobe zarządza danymi uwierzytelniania i przetwarza logowanie.
  • Federated ID: organizacja tworzy konto i jest jego właścicielem, a także definiuje połączenie między tym kontem a swoim katalogiem korporacyjnym za pomocą usług federacji. Organizacja zarządza danymi uwierzytelniania i obsługuje logowanie, wykorzystując procesy SSO (pojedynczego logowania).
  • Adobe ID: użytkownik tworzy konto i jest jego właścicielem, natomiast Adobe zarządza danymi uwierzytelniania i przetwarza logowanie.

Adobe zaleca przedsiębiorstwom i instytucjom korzystanie z identyfikatorów Enterprise ID lub Federated ID, ponieważ umożliwiają one zachowanie kontroli nad kontem i praw własności do danych. Więcej informacji podano tutaj.

Czy w ramach jednego wdrożenia można używać różnych typów identyfikatorów?

Tak. Można stosować kombinację identyfikatorów Adobe ID, Enterprise ID oraz Federated ID, nie można jednak łączyć różnych typów w ramach jednej domeny.

Identyfikatory Enterprise ID i Federated ID są unikatowe na poziomie domeny. Oznacza to, że można korzystać tylko z jednego z tych typów identyfikatorów. Natomiast identyfikatory Adobe ID można stosować w połączeniu z identyfikatorami Federated ID albo identyfikatorami Enterprise ID.

Na przykład jeśli przedsiębiorstwo przypisze tylko jedną domenę, administrator działu informatycznego może wybrać, że będzie ona obsługiwać albo identyfikatory Enterprise ID, albo Federated ID. Natomiast jeśli przedsiębiorstwo przypisze wiele domen, to administrator może przeznaczyć jedną z tych domen na identyfikatory Adobe ID oraz Enterprise ID, a kolejną na identyfikatory Adobe ID oraz Federated ID. Oznacza to, że w każdej z domen można stosować albo identyfikatory Enterprise ID, albo Federated ID, w obu przypadkach łącząc je z identyfikatorami Adobe ID.

Jakie zalety ma stosowanie identyfikatorów Federated ID?

W przypadku identyfikatorów Federated ID zarządzanie licencjami Adobe jest szybsze, łatwiejsze i bezpieczniejsze.

  • Administratorzy działu informatycznego przedsiębiorstwa mają kontrolę nad uwierzytelnianiem oraz cyklem życia konta użytkownika.
  • Usunięcie użytkownika z katalogu kont przedsiębiorstwa spowoduje, że nie będzie on już mieć dostępu do aplikacji stacjonarnych i mobilnych ani usług.
  • Identyfikatory Federated ID umożliwiają przedsiębiorstwu korzystanie z już posiadanych systemów zarządzania identyfikatorami.
  • Ponieważ użytkownicy końcowi korzystają ze standardowego systemu obsługi identyfikatorów w przedsiębiorstwie, dział informatyczny nie musi wdrażać odrębnego procesu zarządzania hasłami.

Podczas logowania użytkownicy końcowi są kierowani do standardowego i znajomego ekranu pojedynczego logowania, którego używa ich przedsiębiorstwo.

Jeśli uprzednio przypisano domenę na potrzeby identyfikatorów Enterprise ID, to czy można będzie przejść na identyfikatory Federated ID z użyciem tej samej domeny?

Funkcja przełączania typu identyfikatora w już przypisanej domenie jeszcze nie jest dostępna. Jeśli domeny zostały przypisane w celu skonfigurowania identyfikatorów Enterprise ID, ale przedsiębiorstwo pragnie zmienić konfigurację części tych domen na identyfikatory Federated ID, należy wprowadzić elektroniczne zgłoszenie problemu w serwisie Adobe Admin Console. Gdy taka zmiana stanie się możliwa, Adobe powiadomi o tym przedsiębiorstwo.

Czy można nawiązać federację między systemami Adobe a katalogiem kont przedsiębiorstwa, korzystając z usługi IdP zgodnej z protokołem SAML 2.0?

Tak. Katalog kont przedsiębiorstwa oraz jego infrastrukturą logowania i uwierzytelniania można sfederować z systemami Adobe, korzystając z usługi IdP zgodnej z protokołem SAML 2.0.

Adobe uczestniczy w połączeniu między usługą IdP stosowaną przez przedsiębiorstwo a kontem dzierżawcy Okta. Adobe nie nawiązuje tego połączenia bezpośrednio z katalogami kont przedsiębiorstwa, lecz łączy się z usługą IdP.

Jeśli przypiszę domenę, czy wszystkie identyfikatory Adobe ID w tej domenie zostaną przeniesione na identyfikatory Federated ID?

Nie. Przypisanie domeny na potrzeby identyfikatorów Federated ID nie powoduje żadnych zmian w istniejących identyfikatorach Adobe ID opartych na adresach e-mail w tej domenie. Istniejące identyfikatory Adobe ID w serwisie Adobe Admin Console pozostaną niezmienione.

W jaki sposób można przenieść zawartość ze starego konta Adobe ID na nowe konto Enterprise ID lub Federated ID?

Migracja zasobów to proces automatyczny. Gdy go zainicjujesz, cała obsługiwana zawartość przechowywana obecnie na Twoim koncie Adobe ID zostanie przeniesiona na konto Enterprise ID/Federated ID. Więcej informacji: Automatyczna migracja zasobów.

Czy Adobe będzie obsługiwać uwierzytelnianie, autoryzację, lub oba te procesy?

Zaimplementowana przez Adobe obsługa identyfikatorów Federated ID obejmuje autoryzację, natomiast procedura uwierzytelniania jest przeprowadzana przez usługę IdP, z której korzysta przedsiębiorstwo.

Przedsiębiorstwa mogą nawiązać połączenie między swoimi usługami uwierzytelniania (z użyciem korporacyjnej struktury obsługi identyfikatorów, takiej jak Active Directory) a usługami Adobe. Umożliwia to przedsiębiorstwu obsługę uwierzytelniania. Adobe nigdy nie przechowuje haseł, a administratorzy działu informatycznego nie mogą resetować haseł ani edytować nazw użytkownika powiązanych z kontami Federated ID za pomocą serwisu Adobe Admin Console.

Czy można zbiorczo dodawać użytkowników w serwisie Adobe Admin Console?

Tak. Można skorzystać z funkcji Importuj użytkowników dostępnej w serwisie Adobe Admin Console. Więcej informacji: Dodawanie wielu użytkowników.

Czy w serwisie Admin Console można bezpośrednio zsynchronizować katalog korporacyjny określający powiązania użytkowników i grup?

Nie. Adobe nawiązuje połączenie z usługą dostawcy tożsamości (IdP) obsługującą przedsiębiorstwo, a nie bezpośrednio z katalogiem korporacyjnym tego przedsiębiorstwa. Jest jednak dostępna funkcja importowania informacji o użytkownikach i grupach z katalogu kont przedsiębiorstwa do serwisu Adobe Admin Console. Więcej informacji: Dodawanie wielu użytkowników.

W jaki sposób przeprowadza się migrację z kont Adobe ID na Federated ID?

Adobe zaleca wszystkim administratorom systemów przedsiębiorstw migrację użytkowników z kont Adobe ID na Federated ID. Procedurę takiej migracji podano tutaj.

Jakie usługi IdP (dostawców tożsamości) są obsługiwane przez Adobe?

Adobe stosuje bezpieczny i powszechnie przyjęty standard SAML (Security Assertion Markup Language), co umożliwia bezproblemową integrację implementacji logowania SSO z dowolną usługą IdP zgodną ze specyfikacją SAML 2.0.

Poniżej podano listę niektórych usług IdP zgodnych ze standardem SAML 2.0:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP z zewnętrznie podpisanym certyfikatem
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Czy taka integracja jest możliwa w przypadku własnego procesu uwierzytelniania federacyjnego opartego na protokole SAML, opracowanego wewnętrznie przez przedsiębiorstwo?

Tak, pod warunkiem, że jest to proces zgodny ze specyfikacją protokołu SAML 2.0.

Czy usługa IdP zgodna z protokołem SAML 2.0 musi być wdrożona przed skonfigurowaniem logowania SSO i identyfikatorów Federated ID?

Tak. Ponadto taka usługa IdP musi być zgodna ze standardem SAML 2.0.

Usługa IdP zgodna z protokołem SAML musi mieć co najmniej:

  1. certyfikat IDP;
  2. adres URL logowania IDP,
  3. powiązanie IDP: HTTP-POST lub HTTP-Redirect;
  4. adres URL usługi ACS (Assertion Consumer Service) wystawianej przez IdP; musi przyjmować żądania SAML oraz parametr RelayState.

W razie pytań należy skontaktować się z dostawcą usługi IdP.

Czy dłuższy okres ważności zwiększa podatność certyfikatu na ataki?

Nie. Nigdy dotychczas nie złamano certyfikatu 2048-bitowego. Jedyna grupa, która złamała z powodzeniem certyfikat 768-bitowy (grupa Lenstra) ocenia, że złamanie certyfikatu zaledwie 1024-bitowego z użyciem tego samego sprzętu potrwałoby ponad 1000 lat — a jest to 32 000 000 razy łatwiejsze niż złamanie certyfikatu 2048-bitowego.

Jeśli interesują Cię takie ciekawostki dotyczące szacunkowych danych o możliwości złamania certyfikatów różnej długości, zajrzyj na tę stronę WWW. Zabawne (dokładne, ale nacechowane marketingowo) ujęcie bezpieczeństwa tych certyfikatów można znaleźć w tym serwisie WWW (oraz w jego źródłowym serwisie matematycznym).

Czy certyfikat o dłuższym okresie ważności będzie akceptowany przez przeglądarki? Wiele przeglądarek odrzuca certyfikaty serwera o okresie ważności dłuższym niż trzy lata.

Nie będzie to problemem. Ten limit dotyczy tylko certyfikatów służących do szyfrowania kanału komunikacyjnego między przeglądarką a serwerem. Natomiast certyfikaty IdP/Okta są używane do podpisywania (a nie szyfrowania) danych wymienianych przez już zaszyfrowany kanał. Przeglądarka w ogóle nie analizuje tych certyfikatów. Są one używane tylko w komunikacji pomiędzy Adobe/Okta a usługą IdP, z której korzysta klient.

Czy silny, długoterminowy certyfikat jest kosztowny?

Dobry certyfikat 2048-bitowy klasy komercyjnej kosztuje około 10 $ za rok obowiązywania. Ponadto certyfikaty używane przez usługi IdP mogą być samopodpisane, co oznacza, że można je generować bezpłatnie z użyciem oprogramowania open source.

Czy ktoś może się pode mnie podszyć, jeśli złamie mój certyfikat IdP?

Nie. Wynika to z faktu, że stosowane są jeszcze dwie warstwy silnego szyfrowania, które sprawdzają tożsamość usługi IdP. Aby się pod nią podszyć, konieczne byłoby złamanie także obu tych warstw. Co więcej, żadna z tych dwóch warstw nie używa certyfikatów samopodpisanych. Oznacza to, że trzeba by złamać nie tylko certyfikat wprowadzający szyfrowanie, ale także certyfikat źródła podpisu, które wygenerowało tamten certyfikat szyfrujący.

Z kim należy się skontaktować w celu rozwiązania problemów z logowaniem SSO?

Należy skontaktować się z działem pomocy technicznej Adobe, logując się w serwisie Adobe Admin Console w celu zainicjowania zgłoszenia lub zaplanowania indywidualnej sesji specjalistycznej.

Numer telefonu i adres e-mail umożliwiający kontakt z pomocą techniczną na poziomie premium podano w powitalnej wiadomości e-mail z załącznikiem PDF, która została wysłana do administratora konta.

Instrukcje

Jak skonfigurować pojedyncze logowanie (SSO) w oprogramowaniu Adobe?

Szczegółowe informacje o konfigurowaniu pojedynczego logowania w aplikacjach stacjonarnych i mobilnych oraz usługach Adobe zawiera artykuł Konfigurowanie logowania SSO.

Czy za pomocą serwisu Admin Console można przesyłać użytkownikom powiadomienia?

Nie. Serwis Admin Console nie obsługuje wysyłania powiadomień do użytkowników końcowych. Przedsiębiorstwa muszą we własnym zakresie powiadomić swoich użytkowników o wprowadzeniu pojedynczego logowania do oprogramowania i usług Adobe.

Czy jeśli wyłączę konto lub identyfikator w katalogu korporacyjnym, to dany użytkownik zostanie automatycznie wyłączony w serwisie Admin Console?

Nie. Usunięcie lub dezaktywacja konta lub identyfikatora użytkownika w katalogu korporacyjnym nie spowoduje automatycznie usunięcia ani dezaktywacji tego użytkownika/identyfikatora z serwisu Adobe Admin Console. Użytkownik taki utraci jednak uprawnienia i możliwość logowania się do aplikacji stacjonarnych i mobilnych oraz usług Adobe Creative Cloud, a także aplikacji Acrobat DC. Użytkownika/identyfikator należy ręcznie usunąć z serwisu Adobe Admin Console.

Czy konieczne jest zarządzanie uprawnieniami i grupami oraz przypisywanie użytkowników z kontami Federated ID do odpowiednich grup?

Tak. Do zarządzania użytkownikami, grupami i uprawnieniami służy serwis Adobe Admin Console. Jednak po utworzeniu grup w tej konsoli można będzie przesłać plik CSV z informacjami o użytkownikach i grupach. Spowoduje to utworzenie kont użytkowników i umieszczenie ich w odpowiednich grupach.

Czy administratorzy działów informatycznych lub użytkownicy końcowi mogą resetować hasła do kont Federated ID?

Nie. Za pomocą serwisu Adobe Admin Console nie można resetować haseł do kont Federated ID. Adobe nie przechowuje danych uwierzytelniających użytkownika. W celu zarządzania użytkownikami należy skorzystać z usługi IdP używanej przez przedsiębiorstwo.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online