Via Adobe Admin Console kan Enterprise-användare autentisera Adobe Enterprise-erbjudanden med sina befintliga system för identitetshantering via integrering med identitetshanteringssystem som stöder enkel inloggning (SSO). Enkel inloggning aktiveras med SAML, ett branschstandardprotokoll som ansluter ett företags identitetshanteringssystem till molntjänstleverantörer som Adobe. Med enkel inloggning kan autentiseringsinformation utbytas säkert mellan två parter: tjänstleverantören (Adobe) och din identitetsleverantör (IdP). Tjänstleverantören skickar en begäran till din IdP, som försöker autentisera användaren. Efter autentiseringen skickar IdP:n ett svarsmeddelande till användaren för att logga in. Detaljerade instruktioner finns i Konfigurera enkel inloggning.

Plan

Vilka alternativ för identitetstyper finns när jag distribuerar namngivna licenser?

Adobe erbjuder tre olika identitetstyper:

  • Enterprise ID: Organisationen skapar och äger kontot. Adobe hanterar behörigheter och inloggning.
  • Federated ID: Organisationen skapar och äger kontot, länkar till Enterprise-katalogen via federering, företaget eller skolan hanterar behörigheter och inloggning via enkel inloggning (Single Sign-On).
  • Adobe ID: Användare skapar sina egna konton. Adobe hanterar behörigheter och inloggning.

Adobe rekommenderar att organisationer väljer Enterprise ID eller Federated ID för att kontrollera konto- och dataägarskap. Mer information finns här.

Går det att använda olika identitetstyper i en distribution?

Ja, du kan använda en blandning av Enterprise ID:n, Federated ID:n och Adobe ID:n, men inte inom samma domän.

Enterprise ID och Federated ID är exklusiva på domännivå. Därför kan du bara välja en av dem. Du kan använda Adobe ID tillsammans med antingen Federated ID eller Enterprise ID.

Exempel: om endast en domän tas i anspråk av ett Enterprise-konto, kan IT-administratören välja antingen Enterprise ID eller Federated ID. Om en organisation använder flera domäner för en Enterprise-prenumeration kan IT-administratören använda en domän med Adobe ID:n och Enterprise ID:n, och en annan domän med Adobe ID:n och Federated ID:n, och så vidare. Det innebär att du för varje domän kan ha antingen Enterprise ID eller Federated ID tillsammans med Adobe ID.

Vilka är fördelarna med Federated ID?

Hanteringen av Adobe-licenser med Federated ID är snabbare, enklare och säkrare.

  • IT-administratörer kontrollerar autentisering och användarlivscykeln.
  • När en användare tas bort från Enterprise-katalogen har användaren inte längre tillgång till datorprogram, tjänster och mobilappar.
  • Med Federated ID:n kan organisationer använda identitetshanteringssystem som redan är i drift.
  • Eftersom slutanvändarna utnyttjar organisationens eget identitetshanteringssystem behöver IT-administratören inte använda en separat process för lösenordshantering.

När slutanvändarna loggar in omdirigeras de till din organisations egen välbekanta inloggningsprocess.

Kan jag växla till Federated ID på en domän som jag sedan tidigare använder Enterprise ID för?

Det är för närvarande inte möjligt att växla identitetstyp på en domän som redan tagits i anspråk. Om du gjort anspråk på en eller flera domäner med Enterprise ID:n och vill konfigurera om domänerna till att använda Federated ID:n, skickar du ett supportärende från Adobe Admin Console. Vi kommer att meddela dig när den funktionen blir tillgänglig.

Kan jag federera min Enterprise-katalog med Adobe genom min SAML 2.0-kompatibla identitetsleverantör?

Ja, du kan federera din Enterprise-katalog och dess infrastruktur för inloggning och autentisering med Adobe genom en SAML 2.0-godkänd identitetsleverantör.

Adobe är delaktigt i länken mellan ditt företags identitetsleverantör och vad vi hänvisar till som Okta-tenant. Adobe har inte direktkontakt med Enterprise-kataloger utan istället med identitetsleverantörer.

Migreras alla Adobe ID:n i en domän till Federated ID:n när jag gör anspråk på den?

Nej. Om en domän tas i anspråk för Federated ID:n påverkas inte befintliga Adobe ID:n med e-postadresser i den domänen. Befintliga Adobe ID:n på Admin Console behålls.

Hur migrerar jag innehåll från ett gammalt Adobe ID-konto till ett nytt Enterprise ID- eller Federated ID-konto?

Resursmigrering är en automatisk process. När du startar processen migreras allt innehåll som stöds och för närvarande är lagrat i ditt Adobe ID-konto till ditt Enterprise/Federated ID-konto. Läs mer om det i Automatisk resursmigrering.

Kommer Adobe att stöda autentisering, auktorisering, eller båda?

Adobes implementering av Federated ID stöder auktorisering. Autentisering hanteras av din identitetsleverantör (IdP).

Som Enterprise-organisation kan ni skapa en länk mellan era autentiseringstjänster (med en ID-struktur som t.ex. Active Directory) och Adobes. På så vis kan Enterprise-organisationen vara värd för autentiseringen. Adobe lagrar aldrig lösenord och IT-administratörer kan inte återställa lösenord eller redigera användarnamn för Federated ID:n via Adobe Admin Console.

Kan jag lägga till användare gruppvis på Adobe Admin Console?

Ja, med funktionen Importera användare som finns på Adobe Admin Console. Mer information finns i Lägga till flera användare.

Kan jag synkronisera en Enterprise-katalog med användare/grupper direkt på Admin Console?

Nej. Adobe är kopplat till din identitetsleverantör och inte din Enterprise-katalog. Däremot stöder import av användar- och gruppinformation från din Enterprise-katalog till Adobe Admin Console. Mer information finns i Lägga till flera användare.

Hur migrerar jag från Adobe ID:n till Federated ID:n?

Adobe rekommenderar alla företagsadministratörer att låta användare med Adobe ID gå över till Federated ID. Du kan migrera från Adobe ID:n till Federated ID:n genom att följa de här stegen.

Vilka identitetsleverantörer stöder Adobe?

Adobe använder den säkra och väletablerade branschstandarden SAML (Security Assertion Markup Language), vilket gör att SSO-implementeringen enkelt kan integreras med alla identitetsleverantörer som stöder SAML 2.0.

Här är en lista med några IdP:er som är SAML 2.0-kompatibla:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Ping Federate
  • Salesforce IdP med externt signerat certifikat
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Fungerar integreringen om jag skapat en egen SAML-baserad federerad autentiseringsprocess?

Ja, förutsatt att den följer SAML 2.0-protokollet.

Måste jag ha en SAML 2.0-kompatibel identitetsleverantör innan jag konfigurerar federerad identitet med enkel inloggning?

Ja, och identitetsleverantören måste vara SAML 2.0-kompatibel.

Som minimikrav måste din SAML-baserade identitetsleverantör ha:

  1. IDP-certifikat
  2. Inloggningsadress för IDP
  3. IDP-bindning: HTTP-POST eller HTTP-Redirect
  4. IDP:ns webbadress för konsumenttjänst för försäkran (ACS), och den måste kunna hantera SAML-begäranden och RelayState.

Kontakta din identitetsleverantör om du har andra frågor.

Blir ett certifikat med längre livslängd mer sårbart?

Nej, ingen har lyckats forcera ett certifikat med 2 048 bitar. Och de enda som har lyckats knäcka ett certifikat med 768 bitar (Lenstra-gruppen), uppskattade att det skulle ta dem över 1 000 år att knäcka ett 1 024 bitars certifikat om de använde samma maskinvara (något som är ungefär 32 000 000 gånger enklare än att knäcka ett certifikat med 2 048 bitar).

Om du vill få den senaste nördiga informationen om hur lång tid det beräknas ta att knäcka certifikat, kan du titta på den här webbplatsen. Om du vill få en rolig bild (korrekt men marknadsföringsinriktad) av hur säkra dessa certifikat är, kan du gå till den här webbplatsen (eller den webbplats som ger matematiskt stöd).

Accepterar webbläsare längre certifikat? Många webbläsare avvisar ju servercertifikat som har längre livslängd än tre år.

Nej, den gränsen gäller för certifikat som används för att koda kommunikationen mellan webbläsaren och servern. Dessa IdP/Okta-certifikat används för att registrera (inte koda) de data som överförs genom den kodade kanalen. Webbläsaren ser aldrig dessa certifikat. De används bara mellan Adobe/Okta och kundens IdP.

Är det dyrt att skaffa ett starkt långtidscertifikat?

Du kan få bra ett bra certifikat med 2 048 bitar på affärsnivå för omkring 10 USD/giltighetsår. De certifikat som används av IdP:er kan vara självsignerade, vilket innebär att de kan genereras med program med öppen källkod utan kostnad.

Kan någon uppträda som mig om de kan knäcka certifikatet för min IdP?

Nej, för det finns ytterligare två lager med stark kryptering som kontrollerar IdP:ns identitet och som du måste knäcka innan du kan utge dig för att vara IdP:n. Inget av dessa lager är självsignerade. Det innebär att du måste knäcka både certifikatet som framtvingar krypteringen och certifikatet för utfärdaren som genererat certifikatet.

Vem kontaktar jag för felsökning av enkel inloggning?

Kontakta Adobes tekniska support genom att logga in på Adobe Admin Console och öppna ett ärende eller boka en personlig session med en expert.

Telefonnummer och e-postadress för premiumsupport finns i välkomstmeddelandet och PDF-bilagan som skickades med e-post till din kontoadministratör.

Instruktioner

Hur konfigurerar jag enkel inloggning (SSO) med programvara från Adobe?

I Konfigurera enkel inloggning finns detaljerade instruktioner om hur du konfigurerar enkel inloggning för datorprogram, tjänster och mobilappar från Adobe.

Går det att skicka meddelanden till användare via Admin Console?

Nej. Det finns ingen funktion för att skicka meddelanden till slutanvändare via Admin Console. Som Enterprise-kund måste du skicka dina egna meddelanden efter att användarna är redo att börja använda enkel inloggning för program och tjänster från Adobe.

Om jag inaktiverar en användare/ett ID från min Enterprise-katalog, inaktiveras den/det då automatiskt från Admin Console?

Nej, om du tar bort eller inaktiverar en användare/ett ID från din Enterprise-katalog tas inte den användaren eller ID:t bort eller inaktiveras från Adobe Admin Console automatiskt. Däremot är användaren inte längre berättigad och kan inte logga in på program, tjänster eller mobilappar som hör till Adobe Creative Cloud eller Acrobat DC. Du måste ta bort användaren/ID:t från Admin Console manuellt.

Måste jag hantera berättiganden och grupper och även tilldela Federated ID-användare till grupper?

Ja, du måste använda Adobe Admin Console för att hantera användare, grupper och berättiganden. Tänk dock på att när du skapar grupper på Admin Console kan du överföra en CSV-fil som innehåller information om både användare och grupper. På så vis kan du skapa användarkonton och placera dem i den valda gruppen.

Kan IT-administratörer eller slutanvändare återställa lösenord för Federated ID:n?

Nej, det går inte att återställa lösenord för Federated ID:n med Adobe Admin Console. Adobe lagrar inte användares inloggningsuppgifter. Använd din identitetsleverantör för användarhantering.

Denna produkt är licensierad enligt en Creative Commons Erkännande-Ickekommersiell-Dela Lika 3.0 Unported-licens  Twitter™- och Facebook-inlägg omfattas inte av villkoren i Creative Commons-licensen.

Juridiska meddelanden   |   Onlinesekretesspolicy