Configurar identidade

Um diretório no Admin Console é uma entidade que contém recursos, como usuários, e políticas, como autenticação. Esses diretórios são semelhantes a LDAP ou Active Directory.

Provedor de identidade para organizações, como Active Directory, Azure, Ping, Okta, InCommon ou Shibboleth.

Criada, de propriedade e gerenciada pelo usuário final. A Adobe realiza a autenticação, e o usuário final gerencia a identidade. Os usuários mantêm o controle dos arquivos e dados associados à ID. Os usuários ainda podem comprar produtos e serviços adicionais da Adobe. Os administradores convidam os usuários para participar da empresa e podem removê-los. Entretanto, os usuários não podem ser bloqueados de suas contas da Adobe ID. O administrador não pode excluir ou gerenciar as contas. Nenhuma configuração é necessária para que você possa começar a usar Adobe IDs.

Veja a seguir algumas exigências e cenários em que Adobe IDs são recomendadas:

• Se você deseja permitir que usuários criem, sejam proprietários e gerenciem suas identidades.
• Se você deseja permitir que os usuários comprem ou assinem outros produtos e serviços da Adobe.
• Se os usuários tiverem de usar outros serviços da Adobe, que no momento não oferecem suporte às Enterprise IDs ou Federated IDs.
• Se os usuários já tiverem Adobe IDs e dados associados, como arquivos, fontes ou configurações. 
• Em configurações para o setor acadêmico, em que os alunos podem manter sua Adobe ID após a graduação.
• Se houver contratados e freelancers que não usam endereços de email em domínios que você controla.
• Se você tiver um contrato da Adobe para equipes, precisará usar esse tipo de identidade

Criada, de propriedade e gerenciada por uma organização. A Adobe hospeda a Enterprise ID e executa a autenticação, mas a empresa mantém a ID. Os usuários finais não podem cadastrar-se e criar uma Enterprise ID nem se inscrever para produtos e serviços adicionais da Adobe usando uma Enterprise ID.

Os administradores criam uma Enterprise ID e a emitem a um usuário. Os administradores podem revogar o acesso a produtos e serviços assumindo o controle da conta ou excluindo a Enterprise ID para bloquear o acesso aos dados associados permanentemente.

Veja a seguir algumas exigências e cenários em que Enterprise IDs são recomendadas:

• Se você precisa manter controle rígido sobre aplicativos e serviços disponíveis a um usuário.
• Se precisar de acesso de emergência a arquivos e dados associados à ID.
• Se for necessário bloquear ou excluir completamente uma conta de usuário.

Criada e de propriedade de uma organização, e é vinculada ao diretório corporativo por meio de federação. A organização gerencia as credenciais e processa o Single Sign-On por meio de um provedor de identidade (IdP) SAML2.

Veja a seguir algumas exigências e cenários em que Federated IDs são recomendadas:

• Se você deseja provisionar usuários com base no diretório corporativo da sua empresa.
• Se você deseja gerenciar a autenticação de usuários.
• Se você precisa manter controle rígido sobre aplicativos e serviços disponíveis a um usuário.
• Se você deseja permitir que os usuários usem o mesmo endereço de email para cadastrar-se para obter uma Adobe ID.

A parte do endereço de email após o símbolo de @. Para usar um domínio com Enterprise ID ou Federated ID, primeiro você deve validar a propriedade desse domínio.

Por exemplo, se uma empresa possui vários domínios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), mas seus funcionários estão autenticados com geometrixx.com. Nesse caso, a organização usará o domínio geometrixx.com para configurar sua identidade no Admin Console.

• Trabalha com gerentes de diretório de IdP e gerentes de DNS para configurar a identidade no Admin Console. Este documento é destinado aos administradores de sistema que terão acesso ao Admin Console. É esperado que a pessoa trabalhe com outras pessoas que, geralmente, não terão acesso ao Admin Console.

• Atualiza os tokens DNS para validar a propriedade do domínio

• Cria conectores no IdP

As identidades dos usuários são verificadas em relação a uma fonte de autenticação. Para usar a Enterprise ID ou a Federated ID, configure sua própria fonte de autenticação adicionando um domínio. Por exemplo, se o endereço de email for john@example.com, example.com será seu domínio. Adicionar um domínio permite a criação de Enterprise IDs ou Federated IDs com endereços de email no domínio reivindicado. Um domínio pode ser usado com Enterprise IDs ou Federated IDs, mas não com ambas. No entanto, você pode adicionar vários domínios.

Uma empresa deve validar o controle sobre um domínio. Uma organização também pode adicionar múltiplos domínios. Entretanto, um domínio só pode ser adicionado uma vez. Domínios públicos e genéricos conhecidos, como gmail.com ou yahoo.com, não podem ser adicionados.

Para saber mais sobre os tipos de identidade, consulte Gerenciar tipos de identidade.

O diretório é criado.

Caso tenha escolhido criar um diretório de tipo de identidade Enterprise ID, você terminou. Prossiga e configure seus domínios no Admin Console.

Caso tenha escolhido criar um diretório de tipo de identidade Federated ID , a Adobe precisará fornecer esse diretório antes que você possa executar mais operações nele. No entanto, não é necessário aguardar até a Adobe fornecer o diretório. Você pode prosseguir e configurar seus domínios no Admin Console.

Após receber o email da Adobe confirmando que seu diretório foi fornecido, defina as configurações de SAML dele.

Quando as organizações configuram e habilitam o Single Sign-On (SSO), os usuários da empresa podem usar suas credenciais corporativas para acessar o software da Adobe. Isso permite que os usuários usem uma única credencial para acessar os aplicativos de desktop, serviços e aplicativos móveis da Adobe.

O Adobe Admin Console oferece um método para usuários corporativos autenticarem usando sua identidade corporativa existente. As Federated IDs da Adobe permitem a integração com um sistema de gerenciamento de identidade Single Sign-On (SSO). O Single Sign-On é habilitado por meio de SAML, um protocolo padrão industrial que conecta sistemas de gerenciamento de identidade corporativa a provedores de serviços de nuvem como a Adobe.

O SSO pode compartilhar com segurança informações de autenticação entre as duas partes: o provedor de serviços (Adobe) e o provedor de identidade (IdP). O provedor de serviços envia uma solicitação ao IdP, que tenta autenticar o usuário. Se a autenticação for bem-sucedida, o IdP enviará uma mensagem de resposta para fazer logon do usuário.

Para configurar o SSO para o software da Adobe, os administradores de TI precisam do seguinte:

• Uma compreensão de SAML 2.0
• Um provedor de identidade (IdP) que suporta SAML 2.0 e tenha no mínimo:
  • Certificado de IDP
  • URL de logon do IDP
  • Vínculo de IDP: HTTP-Post ou HTTP-Redirect
  • URL do serviço de clientes de asserção
• Acesso à configuração de DNS para o processo de reivindicação de domínio

O URL de logon do IdP não precisa ser acessível externamente para que os usuários possam acessá-lo para fazer logon. No entanto, se ele for acessível somente na rede interna da empresa, os usuários só poderão fazer logon em produtos da Adobe quando estiverem conectados à rede interna da organização, seja diretamente, por wi-fi ou por meio de VPN. Não é necessário que a página de logon seja acessível apenas por meio de HTTPS, mas é recomendado por motivos de segurança.

Os serviços na nuvem da Adobe oferecem o SSO por meio de um conector SaaS (software como serviço) SAML 2.0 fornecido pela Okta. O conector é usado para comunicar-se com o provedor de identidade para fornecer serviços de autenticação. Você não é obrigado a usar a Okta como seu serviço do provedor de identidade, pois a Okta conecta-se a vários fornecedores de serviço de identidade SAML 2.0. Para obter mais informações, consulte SSO/Perguntas comuns.

Se a sua organização quiser testar a integração SSO, é recomendado que você reivindique um domínio de teste que já possui, desde que a sua organização tenha um provedor de identidade com identidades configuradas nesse domínio de teste. Isso permite que você teste a integração antes de reivindicar os domínios principais até se sentir confortável com o processo de reivindicação do domínio e configuração.

Se você já tiver um provedor de identidade (IdP), você pode facilmente configurar o SSO usando o conector SaaS SAML 2.0 fornecido pela Okta.

Agora, o diretório está configurado para Single Sign-On.

Caso ainda não tenha feito isso, você pode adicionar domínios ao Admin Console. Se você já tiver domínios adicionados ao Admin Console, é possível vincular os domínios necessários a esse diretório.

Os domínios que você adicionar ao Admin Console não precisam estar registrados com o mesmo IdP. No entanto, ao vincular esses domínios a um diretório, é necessário vincular domínios de IdPs diferentes a diretórios diferentes.

Não é possível adicionar um domínio ao Admin Console se ele já tiver sido adicionado ao Admin Console de outra organização. No entanto, você pode solicitar acesso a esse domínio.

Seus domínios são adicionados ao Admin Console. No entanto, ainda será necessário demonstrar a propriedade sobre esses domínios.

Uma organização deve demonstrar a propriedade sobre um domínio. Uma organização pode adicionar quantos domínios forem necessários ao Admin Console.

O Admin Console permite a uma organização usar um único token DNS para demonstrar a propriedade sobre todos os domínios. Além disso, o Admin Console não requer a validação do DNS para subdomínios. Isso significa que, quando você usa o token DNS e demonstra a propriedade sobre um domínio, todos os subdomínios daquele domínio serão validados imediatamente conforme forem adicionados ao Admin Console.

O Admin Console tenta validar os domínios que você adicionou várias vezes ao dia, portanto, não é preciso fazer nada para validar um domínio depois que os registros DNS forem configurados corretamente.

Se for necessário validar seu domínio imediatamente, você pode fazer isso no Admin Console. Para validar seus domínios manualmente:

Agora é possível vincular os domínios validados aos diretórios necessários no Admin Console.

Se você adicionar domínios existentes ao Admin Console, a seguinte mensagem será exibida:

Se você solicitar acesso a esse domínio, seu nome, seu email e o nome da organização serão compartilhados com a solicitação para os administradores de sistema da organização proprietária.

O tipo de diretório (Enterprise ou Federated) depende de como ele foi configurado pela organização proprietária. Isso significa que você deve usar o tipo de diretório escolhido pela organização proprietária.

Como o domínio já foi configurado pelo proprietário (consulte Demonstrar propriedade sobre os domínios em Configurar domínios para obter mais detalhes), como fiduciário, você não precisa fazer mais nada. Quando a solicitação de acesso for aceita pelo proprietário, sua organização terá acesso ao diretório e a todos os seus domínios, conforme configurado pela organização proprietária.

Se sua solicitação de acesso ao diretório for aceita pela organização proprietária, você receberá uma notificação por email. Sua solicitação de acesso desaparecerá e o diretório confiável e seus domínios aparecerão com o status de Ativo (confiável) nas listagens de Diretórios e Domínios.

Prossiga e adicione usuários finais e grupos de usuários e atribua-os a perfis de produto.

Como uma organização fiduciária, se não precisar mais acessar o diretório confiável, é possível remover o seu status de fiduciário a qualquer momento.

Se você remover seu acesso a um diretório confiável, quaisquer usuários de Enterprise ID ou Federated ID que pertencerem a domínios nesse diretório (ou seja, fazem logon usando as credenciais do domínio) serão removidos da organização. Além disso, esses usuários não terão mais acesso a qualquer software concedido a eles pela sua organização.

Será enviada uma notificação por email aos administradores de sistema das organizações fiduciárias.

Também é possível rejeitar a solicitação de acesso a um diretório que você possui.

O motivo fornecido é compartilhado com a organização solicitante por email. No entanto, seu email, seu nome e as informações organizacionais são retidos.

Você pode revogar o acesso de uma organização fiduciária para a qual você concedeu acesso anteriormente.

Se você revogar o acesso de uma organização fiduciária, os usuários com contas de Enterprise ID ou Federated ID em qualquer domínio desse diretório serão removidos da organização do fiduciário. Além disso, esses usuários não terão mais acesso a qualquer software ou serviço concedidos a eles pela organização do fiduciário.

Você pode revogar a chave de criptografia dedicada de um diretório.