Configurar identidade

Um diretório no Admin Console é uma entidade que contém recursos, como usuários, e políticas, como autenticação. Esses diretórios são semelhantes a LDAP ou Active Directory.

Provedor de identidade para organizações, como Active Directory, Microsoft Azure, Ping, Okta, InCommon ou Shibboleth.

Para saber mais sobre como configurar o SSO para a Creative Cloud com alguns dos IdPs mais usados, consulte Mais itens semelhantes no final deste artigo.

Criada, pertencente e gerenciada por uma organização. A Adobe hospeda a Enterprise ID e executa a autenticação, mas a empresa mantém a ID. Os usuários finais não podem cadastrar-se e criar uma Enterprise ID nem se inscrever para produtos e serviços adicionais da Adobe usando uma Enterprise ID.

Os administradores criam uma Enterprise ID e a emitem a um usuário. Os administradores podem revogar o acesso a produtos e serviços assumindo o controle da conta ou excluindo a Enterprise ID para bloquear o acesso aos dados associados permanentemente.

Veja a seguir algumas exigências e cenários em que Enterprise IDs são recomendadas:

• Se precisar manter controle rígido sobre aplicativos e serviços disponíveis a um usuário.
• Se precisar de acesso de emergência a arquivos e dados associados à ID.
• Se for necessário bloquear ou excluir completamente uma conta de usuário.

Criada e pertencente a uma organização e vinculada ao diretório corporativo por meio de federação. A organização gerencia as credenciais e processa o Single Sign-On por meio de um provedor de identidade (IdP) SAML2.

Veja a seguir algumas exigências e cenários em que Federated IDs são recomendadas:

• Se você deseja provisionar usuários com base no diretório corporativo da sua empresa.
• Se você deseja gerenciar a autenticação de usuários.
• Se você precisa manter controle rígido sobre aplicativos e serviços disponíveis a um usuário.
• Se você deseja permitir que os usuários usem o mesmo endereço de email para adicionar uma Adobe ID.

Criada, pertencente e gerenciada pelo usuário final. A Adobe realiza a autenticação, e o usuário final gerencia a identidade. Os usuários mantêm o controle dos arquivos e dados associados à ID. Os usuários ainda podem comprar produtos e serviços adicionais da Adobe. Os administradores convidam os usuários para participar da empresa e podem removê-los. Entretanto, os usuários não podem ser bloqueados de suas contas da Adobe ID. O administrador não pode excluir ou gerenciar as contas. Nenhuma configuração é necessária para que você possa começar a usar Adobe IDs.

Veja a seguir algumas exigências e cenários em que Adobe IDs são recomendadas:

• Se você deseja permitir que usuários criem, sejam proprietários e gerenciem suas identidades.
• Se você deseja permitir que os usuários comprem ou assinem outros produtos e serviços da Adobe.
• Se os usuários tiverem de usar outros serviços da Adobe, que no momento não oferecem suporte às Enterprise IDs ou Federated IDs.
• Se os usuários já tiverem Adobe IDs e dados associados, como arquivos, fontes ou configurações. 
• Em configurações para o setor acadêmico, em que os alunos podem manter sua Adobe ID após a graduação.
• Se houver contratados e freelancers que não usam endereços de email em domínios que você controla.
• Se você tiver um contrato da Adobe para equipes, precisará usar esse tipo de identidade.

A parte do endereço de email após o símbolo de @. Para usar um domínio com Enterprise ID ou Federated ID, primeiro você deve validar a propriedade desse domínio.

Por exemplo, se uma empresa possuir vários domínios (geometrixx.com, support.geometrixx.com, contact.geometrixx.com), mas seus funcionários estiverem autenticados com geometrixx.com. Nesse caso, a organização usará o domínio geometrixx.com para configurar sua identidade no Admin Console.

• Trabalha com gerentes de diretório de IdP e gerentes de DNS para configurar a identidade no Admin Console. Este documento é destinado aos administradores de sistema que terão acesso ao Admin Console. É esperado que a pessoa trabalhe com outras pessoas que, geralmente, não terão acesso ao Admin Console.

• Atualiza os tokens DNS para validar a propriedade do domínio

• Cria conectores no IdP

As identidades dos usuários são verificadas em relação a uma fonte de autenticação. Para usar Enterprise IDs ou Federated IDs, configure sua própria fonte de autenticação adicionando um domínio. Por exemplo, se o endereço de email for joao@exemplo.com, exemplo.com será seu domínio. Adicionar um domínio permite a criação de Enterprise IDs ou Federated IDs com endereços de email no domínio reivindicado. Um domínio pode ser usado com Enterprise IDs ou Federated IDs, mas não com ambas. No entanto, você pode adicionar vários domínios.

Uma empresa deve validar o controle sobre um domínio. Uma organização também pode adicionar múltiplos domínios. Entretanto, um domínio só pode ser adicionado uma vez. Domínios públicos e genéricos conhecidos, como gmail.com ou yahoo.com, não podem ser adicionados.

Para saber mais sobre os tipos de identidade, consulte Gerenciar tipos de identidade.

SHA-1 e SHA-2 são modelos de certificado responsáveis pela segurança dos perfis de autenticação do seu diretório. Por oferecer mais segurança que os certificados SHA-1 mais antigos, o certificado SHA-2 é usado por todos os perfis de autenticação migrados e novos.

O diretório é criado.

• Caso tenha escolhido criar um diretório de tipo de identidade Enterprise ID, a instalação está concluída.
• Se você optou por criar um diretório usando a opção Outros provedores de SAML, esse diretório usa automaticamente a autenticação SHA-2. Diretórios criados anteriormente usando a autenticação SHA-1 agora podem ser atualizados para SHA-2 e migrados para outro provedor de identidade. Para obter mais informações, consulte Migrar para o novo provedor de autenticação.

Em seguida, você pode configurar domínios no Admin Console.

Os domínios que você adicionar ao Admin Console não precisam estar registrados com o mesmo IdP. No entanto, ao vincular esses domínios a um diretório, é necessário vincular domínios de IdPs diferentes a diretórios diferentes.

Não é possível adicionar um domínio ao Admin Console se ele já tiver sido adicionado ao Admin Console de outra organização. No entanto, você pode solicitar acesso a esse domínio.

Seus domínios são adicionados ao Admin Console. Agora, demonstre a propriedade desses domínios.

Uma organização deve demonstrar a propriedade sobre um domínio. Uma organização pode adicionar quantos domínios forem necessários ao Admin Console.

O Admin Console permite a uma organização usar um único token DNS para demonstrar a propriedade sobre todos os domínios. Além disso, o Admin Console não requer a validação do DNS para subdomínios. Isso significa que, quando você usa o token DNS e demonstra a propriedade sobre um domínio, todos os subdomínios daquele domínio serão validados imediatamente conforme forem adicionados ao Admin Console.

O Admin Console tenta validar os domínios que você adicionou várias vezes ao dia, portanto, não é preciso fazer nada para validar um domínio depois que os registros DNS forem configurados corretamente.

Se for necessário validar seu domínio imediatamente, você poderá fazer isso no Admin Console. Para validar seus domínios manualmente:

Você pode receber mensagens de erro ao tentar validar, pois pode levar até 72 horas para que as alterações no DNS entrem em vigor. Para saber mais, consulte as perguntas frequentes relacionadas ao registro DNS.

Após verificar a propriedade do domínio, vincule os domínios validados aos diretórios necessários no Admin Console.

Se você adicionar domínios existentes ao Admin Console, a seguinte mensagem será exibida:

Se você solicitar acesso a esse domínio, seu nome, seu email e o nome da organização serão compartilhados com a solicitação para os administradores de sistema da organização proprietária.

O tipo de diretório (Enterprise ou Federated) depende de como ele foi configurado pela organização proprietária. Isso significa que você deve usar o tipo de diretório escolhido pela organização proprietária.

Como o domínio já foi configurado pelo proprietário (consulte Demonstrar a propriedade sobre o domínio em Configurar domínios para obter mais informações), como fiduciário, você não precisa fazer mais nada. Quando a solicitação de acesso for aceita pelo proprietário, sua organização terá acesso ao diretório e a todos os seus domínios, conforme configurado pela organização proprietária.

Se sua solicitação de acesso ao diretório for aceita pela organização proprietária, você receberá uma notificação por email. Sua solicitação de acesso desaparecerá, e o diretório confiável e seus domínios aparecerão com o status de Ativo (confiável) nas listas de Diretórios e Domínios.

Prossiga e adicione usuários finais e grupos de usuários e atribua-os a perfis de produto.

Como uma organização fiduciária, se não precisar mais acessar o diretório confiável, será possível remover o seu status de fiduciário a qualquer momento.

Se você remover seu acesso a um diretório confiável, quaisquer usuários de Enterprise ID ou Federated ID que pertencerem a domínios nesse diretório (ou seja, fazem logon usando as credenciais do domínio) serão removidos da organização. Além disso, esses usuários não terão mais acesso a qualquer software concedido a eles pela sua organização.

Será enviada uma notificação por email aos administradores de sistema das organizações fiduciárias.

Também é possível rejeitar a solicitação de acesso a um diretório que você possui.

O motivo fornecido é compartilhado com a organização solicitante por email. No entanto, seu email, seu nome e as informações organizacionais são retidos.

Você pode revogar o acesso de uma organização fiduciária para a qual você concedeu acesso anteriormente.

Se você revogar o acesso de uma organização fiduciária, os usuários com contas de Enterprise ID ou Federated ID em qualquer domínio desse diretório serão removidos da organização do fiduciário. Além disso, esses usuários não terão mais acesso a qualquer software ou serviço concedidos a eles pela organização do fiduciário.