Via Adobe Admin Console kan Enterprise-användare autentisera Adobe Enterprise-erbjudanden med sina befintliga system för identitetshantering via integrering med identitetshanteringssystem som stöder enkel inloggning (SSO). Enkel inloggning aktiveras med SAML, ett branschstandardprotokoll som ansluter ett företags identitetshanteringssystem till molntjänstleverantörer som Adobe. Med enkel inloggning kan autentiseringsinformation utbytas säkert mellan två parter: tjänstleverantören (Adobe) och din identitetsleverantör (IdP). Tjänstleverantören skickar en begäran till din IdP, som försöker autentisera användaren. Efter autentiseringen skickar IdP:n ett svarsmeddelande till användaren för att logga in. Detaljerade instruktioner finns i Konfigurera enkel inloggning.

Plan

Adobe erbjuder följande identitetstyper:

  • Enterprise ID: Organisationen skapar och äger kontot. Kontona skapas i en domän som tagits i anspråk. Adobe hanterar autentiseringsuppgifter och inloggning.
  • Federated ID: Organisationen skapar och äger kontot, länkar till Enterprise-katalogen via federering, företaget eller skolan hanterar behörigheter och inloggning via enkel inloggning (Single Sign-On).
  • Adobe ID: Användare skapar sina egna konton. Adobe hanterar behörigheter och inloggning.

Ja, du kan använda en blandning av Enterprise ID:n, Federated ID:n och Adobe ID:n, men inte inom samma domän.

Enterprise ID och Federated ID är exklusiva på domännivå. Därför kan du bara välja en av dem. Du kan använda Adobe ID tillsammans med antingen Federated ID eller Enterprise ID.

Exempel: om endast en domän tas i anspråk av ett Enterprise-konto, kan IT-administratören välja antingen Enterprise ID eller Federated ID. Om en organisation använder flera domäner för en Enterprise-prenumeration kan IT-administratören använda en domän med Adobe ID:n och Enterprise ID:n, och en annan domän med Adobe ID:n och Federated ID:n, och så vidare. Det innebär att du för varje domän kan ha antingen Enterprise ID eller Federated ID tillsammans med Adobe ID.

Hanteringen av Adobe-licenser med Federated ID är snabbare, enklare och säkrare.

  • IT-administratörer kontrollerar autentisering och användarlivscykeln.
  • När en användare tas bort från Enterprise-katalogen har användaren inte längre tillgång till datorprogram, tjänster och mobilappar.
  • Med Federated ID:n kan organisationer använda identitetshanteringssystem som redan är i drift.
  • Eftersom slutanvändarna utnyttjar organisationens eget identitetshanteringssystem behöver IT-administratören inte använda en separat process för lösenordshantering.

När slutanvändarna loggar in omdirigeras de till din organisations egen välbekanta inloggningsprocess.

Ja. Du kan växla från Enterprise till Federated ID med samma domän. Se hur du flyttar domäner mellan kataloger om du vill veta mer.

Ja, du kan federera din Enterprise-katalog och dess infrastruktur för inloggning och autentisering med Adobe genom en SAML 2.0-godkänd identitetsleverantör.

Nej. Om en domän tas i anspråk för Federated ID:n påverkas inte befintliga Adobe ID:n med e-postadresser i den domänen. Befintliga Adobe ID:n på Admin Console behålls.

Resursmigrering är en automatisk process. När du startar processen migreras allt innehåll som stöds och för närvarande är lagrat i ditt Adobe ID-konto till ditt Enterprise/Federated ID-konto. Läs mer om det i Automatisk resursmigrering.

Adobes implementering av Federated ID stöder auktorisering. Autentisering hanteras av din identitetsleverantör (IdP).

Som Enterprise-organisation kan ni skapa en länk mellan era autentiseringstjänster (med en ID-struktur som t.ex. Active Directory) och Adobes. På så vis kan Enterprise-organisationen vara värd för autentiseringen. Adobe lagrar aldrig lösenord och IT-administratörer kan inte återställa lösenord eller redigera användarnamn för Federated ID:n via Adobe Admin Console.

Ja, med funktionen Importera användare som finns på Adobe Admin Console. Mer information finns i Lägga till flera användare.

Nej. Adobe är kopplat till din identitetsleverantör och inte din Enterprise-katalog. Däremot stöder import av användar- och gruppinformation från din Enterprise-katalog till Adobe Admin Console. Mer information finns i Lägga till flera användare.

Adobe rekommenderar alla företagsadministratörer att låta användare med Adobe ID gå över till Federated ID. Du kan migrera från Adobe ID:n till Federated ID:n genom att följa de här stegen.

Adobe använder den säkra och väletablerade branschstandarden SAML (Security Assertion Markup Language), vilket gör att SSO-implementeringen enkelt kan integreras med alla identitetsleverantörer som stöder SAML 2.0.

Här är en lista med några IdP:er som är SAML 2.0-kompatibla:

  • Okta
  • Oracle Identity Federation
  • Microsoft ADFS
  • Microsoft Azure AD#
  • Google-federation# 
  • Ping Federate
  • Salesforce IdP med externt signerat certifikat
  • CA Federation
  • ForgeRock OpenAM
  • Shibboleth
  • NetIQ Access Manager
  • OneLogin
  • Novell Access Manager

Obs!

#Om din identitetsleverantör är Microsoft Azure AD eller Google kan du hoppa över den SAML-baserade metoden och använda Azure AD Connector eller Google-federation med SSO för att konfigurera SSO (enkel inloggning) via Adobe Admin Console. De här konfigurationerna upprättas och hanteras med hjälp av Adobe Admin Console och använder en synkroniseringsfunktion för att hantera användaridentiteter och rättigheter.

Ja, förutsatt att den följer SAML 2.0-protokollet.

Ja, och identitetsleverantören måste vara SAML 2.0-kompatibel.

Som minimikrav måste din SAML-baserade identitetsleverantör ha:

  1. IDP-certifikat
  2. Inloggningsadress för IDP
  3. IDP-bindning: HTTP-POST eller HTTP-Redirect
  4. IDP:ns webbadress för konsumenttjänst för försäkran (ACS), och den måste kunna hantera SAML-begäranden och RelayState.

Kontakta din identitetsleverantör om du har andra frågor.

Nej, ingen har lyckats forcera ett certifikat med 2 048 bitar. Och de enda som har lyckats knäcka ett certifikat med 768 bitar (Lenstra-gruppen), uppskattade att det skulle ta dem över 1 000 år att knäcka ett 1 024 bitars certifikat om de använde samma maskinvara (något som är ungefär 32 000 000 gånger enklare än att knäcka ett certifikat med 2 048 bitar).

Om du vill få den senaste nördiga informationen om hur lång tid det beräknas ta att knäcka certifikat, kan du titta på den här webbplatsen. Om du vill få en rolig bild (korrekt men marknadsföringsinriktad) av hur säkra dessa certifikat är, kan du gå till den här webbplatsen (eller den webbplats som ger matematiskt stöd).

Nej, den gränsen gäller för certifikat som används för att koda kommunikationen mellan webbläsaren och servern. Dessa IdP-certifikat används för att signera (inte koda) de data som överförs genom den kodade kanalen. Webbläsaren ser aldrig dessa certifikat. De används bara mellan Adobe och kundens IdP.

Du kan få bra ett bra certifikat med 2 048 bitar på affärsnivå för omkring 10 USD/giltighetsår. De certifikat som används av IdP:er kan vara självsignerade, vilket innebär att de kan genereras med program med öppen källkod utan kostnad.

Nej, för det finns ytterligare två lager med stark kryptering som kontrollerar IdP:ns identitet och som du måste knäcka innan du kan utge dig för att vara IdP:n. Inget av dessa lager är självsignerade. Det innebär att du måste knäcka både certifikatet som framtvingar krypteringen och certifikatet för utfärdaren som genererat certifikatet.

Telefonnummer och e-postadress för premiumsupport finns i välkomstmeddelandet och PDF-bilagan som skickades med e-post till din kontoadministratör.

Samma URL-slutpunkt kan användas för flera kataloger. Federationsmetadata hanteras dock separat för varje IdP. Den gemensamma IdP-slutpunkten måste därför hantera begäran vars innehåll skiljer sig åt.

Ja, om SAML-integreringen i katalogen använder formatet username och användarnamnen i Admin Console är identiska med de beständiga ID:n som finns. Det här skulle dock kräva att alla beständiga ID:n måste vara tillgängliga då användarna synkroniseras till Admin Console. Detta är inget vanligt scenario och i praktiken stöds därför inte beständigt format för NameID-elementet.

Nej. Värdet för NameID-elementet används som användarnamn i Admin Console; NameQualifier ignoreras.

Förnamn, efternamn och e-postadress som försäkran för varje användare är obligatoriskt. De måste dock inte matcha de data som finns i katalogen, men e-postadressen måste vara unik för varje användare.

Ja. Adobe stöder SHA256-certifikat. Mer information finns i Konfigurera identitet.

Ja. Du måste ge de CA-signerade certifikaten till Adobe Kundsupport. Vi laddar upp dem.

Logga in på Admin Console, gå till Support > Supportöversikt och klicka på Skapa ärende. Mer information finns i Skapa och hantera supportärenden.

Okta-certifikat är självsignerade som standard. Vid undantag (och eventuellt mot en avgift) kan certifikatet signeras av en offentlig certifikatutfärdare i stället.

Instruktioner

I Konfigurera enkel inloggning finns detaljerade instruktioner om hur du konfigurerar enkel inloggning för datorprogram, tjänster och mobilappar från Adobe.

Nej. Det finns ingen funktion för att skicka meddelanden till slutanvändare via Admin Console. Som Enterprise-kund måste du skicka dina egna meddelanden efter att användarna är redo att börja använda enkel inloggning för program och tjänster från Adobe.

Nej, om du tar bort eller inaktiverar en användare/ett ID från din Enterprise-katalog tas inte den användaren eller ID:t bort eller inaktiveras från Adobe Admin Console automatiskt. Däremot är användaren inte längre berättigad och kan inte logga in på program, tjänster eller mobilappar som hör till Adobe Creative Cloud eller Acrobat DC. Du måste ta bort användaren/ID:t från Admin Console manuellt.

Ja, du måste använda Adobe Admin Console för att hantera användare, grupper och berättiganden. Tänk dock på att när du skapar grupper på Admin Console kan du överföra en CSV-fil som innehåller information om både användare och grupper. På så vis kan du skapa användarkonton och placera dem i den valda gruppen.

Nej, det går inte att återställa lösenord för Federated ID:n med Adobe Admin Console. Adobe lagrar inte användares inloggningsuppgifter. Använd din identitetsleverantör för användarhantering.

Vanliga frågor: Migrera en katalog till en ny autentiseringsleverantör

Hitta svar på dina frågor om katalogmigrering till SHA-2-autentisering eller en annan autentiseringsleverantör.

Innan du börjar kontrollerar du att du uppfyller de åtkomstkrav som krävs för att genomföra migreringsprocessen. Tänk också på följande för att migrera organisationens kataloger smidigt och problemfritt:

  • Administratörer måste skapa en ny SAML-app i sina IdP-installationer för att kunna konfigurera. Om de redigerar den befintliga appen skrivs alla aktiva befintliga konfigurationer om, driftstopp uppstår och möjligheten att växla mellan tillgängliga IdP:er i Adobe Admin Console upphävs.
  • Administratörer måste se till att alla nödvändiga användare tilldelas eller kan använda den nyligen skapade SAML-appen.
  • Administratörer måste se till att formatet för användarnamn för den nya autentiseringsprofilen i deras IdP matchar det som används i den befintliga profilen för användarinloggning. De kan använda testfunktionen som finns i autentiseringsprofilen för att kontrollera. Den här testlänken kan kopieras till Urklipp och delas med andra så att de kan verifiera från sina datorer.
  • Administratörer bör testa den nyligen tillagda IdP:n före aktivering med två eller tre aktiva konton i katalogen.

Det kommer inte att finnas några felloggar för den här funktionen. Men med hjälp av testarbetsflödet kan administratören verifiera relevanta fel innan aktivering. Vissa begränsningar för funktionen visas nedan:

  • En katalog kan ha upp till två autentiseringsprofiler och båda profilerna ska vara för olika autentiseringstyper.
    Det innebär att Microsoft Azure AD (som använder OpenID Connect) kan vara kvar hos andra SAML-leverantörer, men att Google (som själva använder SAML) inte kan vara kvar hos andra SAML-leverantörer i samma katalog.
  • Den här funktionen tillåter inte administratörer att migrera sina identitetsleverantörer för att aktivera funktioner för katalogsynkronisering (Azure AD Connector och Google Connector). Kunder som migrerar till Microsoft Azure eller Google som IdP kan dock använda en annan form av strategi för hantering av användare. Mer information finns i Användare av Adobe Admin Console.