Quyền Truy cập Khách liên kết

Tìm kiếm
Enterprise

Enterprise

Admin Console

Tìm hiểu cách Quyền truy cập khách liên kết đơn giản hóa việc cộng tác với các đối tác bên ngoài trong khi duy trì các tiêu chuẩn bảo mật và truy cập giống như các nhóm nội bộ.

Lưu ý:

Quyền Truy cập Khách liên kết đang trong giai đoạn thử nghiệm và tính khả dụng có hạn. Không phải tất cả khách hàng đều có thể thấy tính năng này.

Tổng quan

Tính năng Quyền truy cập khách liên kết của Adobe cho phép khách hàng doanh nghiệp đưa các nhân viên đại lý, nhà cung cấp hoặc tư vấn bên ngoài vào hệ sinh thái của Adobe với các tiêu chuẩn bảo mật và xác thực giống như nhân viên nội bộ.

Trước đây, việc tạo người dùng Federated ID yêu cầu quyền sở hữu tên miền.Yêu cầu này ngăn cản các tổ chức thêm người dùng có tên miền bên ngoài, bao gồm các tên miền không thể yêu cầu như gmail.com và các tên miền có thể yêu cầu thuộc sở hữu của tổ chức khác.

Tính năng Quyền truy cập khách liên kết cho phép khách hàng doanh nghiệp thêm người dùng với bất kỳ địa chỉ email nào làm người dùng liên kết của riêng họ.Tính năng này đảm bảo việc thực thi SSO nhất quán trên cả nhân viên nội bộ và đối tác bên ngoài.

Tính năng hiện tại hỗ trợ Workfront và AEM Assets as a Cloud Service, với kế hoạch mở rộng hỗ trợ cho các sản phẩm khác.

Lợi ích của Quyền truy cập khách liên kết

Dưới đây là các lợi ích của tính năng Quyền truy cập khách liên kết:

  • Cộng tác liền mạch: Các đối tác bên ngoài có quyền truy cập vào các công cụ Adobe mà không gặp trở ngại.
  • Bảo mật thống nhất: Các doanh nghiệp có thể thực thi các chính sách SSO và xác thực nhất quán trên tất cả người dùng.
  • Hiệu quả vận hành: Loại bỏ nhu cầu sử dụng các giải pháp thay thế trước đây để đưa nhà cung cấp vào hệ thống.
  • Kiểm soát truy cập: Các tài khoản khách liên kết được tách biệt khỏi tài khoản nội bộ, đảm bảo quyền lợi và tài sản vẫn riêng biệt.

Các tình huống kinh doanh và trường hợp sử dụng

Quyền truy cập khách liên kết đặc biệt có giá trị trong các tình huống mà doanh nghiệp dựa vào chuyên môn bên ngoài.Các nhóm tiếp thị làm việc với các đại lý, các phòng ban CNTT thuê tư vấn, hoặc các tổ chức lớn hợp tác qua nhiều công ty có thể tích hợp các cộng tác viên bên ngoài mà không ảnh hưởng đến bảo mật.

Ví dụ, hãy tưởng tượng một công ty thuê Mary từ vendor.com cho một dự án ngắn hạn.Mary có thể đã có tài khoản liên kết với nhà tuyển dụng của cô ấy. Trước đây, công ty tuyển dụng chỉ có thể đưa Mary vào môi trường Adobe của mình thông qua tài khoản liên kết hiện có của cô ấy, với việc xác thực được kiểm soát bởi nhà tuyển dụng của cô ấy.

Với Federated Guest Access, công ty tuyển dụng có thể thêm Mary làm khách liên kết vào thư mục của mình. Trong trường hợp này, cô ấy có thể đăng nhập bằng SSO của công ty tuyển dụng để truy cập các công cụ như Workfront hoặc AEM Assets. Cô ấy không cần địa chỉ email riêng trên tên miền của công ty tuyển dụng.

Tài khoản khách liên kết của Mary hoàn toàn độc lập với tài khoản thuộc sở hữu của nhà tuyển dụng, với các quyền lợi và tài sản riêng biệt, đảm bảo sự tách biệt rõ ràng của dữ liệu tổ chức. Cô ấy có thể chuyển đổi giữa các tài khoản bằng cách sử dụng trình chuyển đổi tài khoản. Mỗi lần chuyển đổi tài khoản, Mary phải đăng xuất và sau đó xác thực lại bằng phương thức đăng nhập của tài khoản khác. Quy trình này đảm bảo duy trì sự tách biệt giữa các tài khoản.

Đối với công ty tuyển dụng, các đối tác bên ngoài như Mary có thể được đưa vào và quản lý thông qua cùng một hệ thống xác thực và kiểm soát truy cập được sử dụng cho nhân viên nội bộ. Đối với nhà tuyển dụng của Mary, Federated Guest Access không yêu cầu thay đổi gì. Tài khoản, quyền lợi và tài sản của cô ấy vẫn không bị ảnh hưởng, và cả hai tổ chức đều không thể nhìn thấy tài khoản của tổ chức kia.

Tài khoản khách liên kết

Federated Guest Access giới thiệu một khái niệm tài khoản mới dành cho khách liên kết.Khách liên kết là biến thể mới của loại tài khoản Federated ID hiện có, được mở rộng để hỗ trợ các tên miền email không thuộc sở hữu hoặc không được yêu cầu bởi doanh nghiệp.

Điều này cho phép các doanh nghiệp đưa các đối tác bên ngoài vào thư mục liên kết của họ và xác thực họ thông qua IdP của tổ chức, mà không yêu cầu quyền sở hữu tên miền email của khách liên kết. Giống như tất cả các tài khoản Federated ID, mỗi tài khoản khách liên kết được giới hạn trong tổ chức đã tạo ra nó, với các quyền lợi, tài sản và liên kết độc lập riêng. Nó vẫn hoàn toàn tách biệt với bất kỳ tài khoản nào khác sử dụng cùng địa chỉ email trong các tổ chức khác.

Quản lý tên miền

Quản trị viên công ty tuyển dụng có thể thêm các tên miền bên ngoài thông qua tab Guest domains mới trong Admin Console. Điều này cho phép họ thêm người dùng với tên miền email bên ngoài làm tài khoản Federated ID riêng biệt thuộc sở hữu của tổ chức họ.

Không giống như các tên miền đã được xác nhận, tên miền khách không yêu cầu bằng chứng sở hữu. Bạn có thể thêm cả tên miền có thể yêu cầu và không thể yêu cầu. Đối với các tên miền do tổ chức Adobe khác sở hữu, chủ sở hữu tên miền có thể kiểm soát việc tên miền của họ có thể được sử dụng làm tên miền khách hay không.

Nếu chủ sở hữu tên miền yêu cầu tên miền đã được yêu cầu của họ bị chặn khỏi việc sử dụng tên miền khách, bạn sẽ không thể thêm tên miền đó làm tên miền khách. Nếu bạn đã thêm tên miền khách đó, bạn không thể thêm bất kỳ khách liên kết mới nào với tên miền đó. Bất kỳ khách mời liên kết hiện có nào với miền khách sẽ không thể đăng nhập cho đến khi chủ sở hữu miền cho phép sử dụng lại miền khách.

Để trực tiếp thêm tên miền khách vào thư mục Admin Console, hãy thực hiện các bước sau.

  1. Đăng nhập vào Admin Console và chuyển đến phần Thiết đặt.

  2. Từ danh sách Directories, mở thư mục mà bạn muốn thêm tên miền khách.

  3. Chuyển đến tab Guest domains bên trong thư mục và thêm tên miền khách.

Theo mặc định, tất cả tên miền đã xác nhận đều được cấu hình để cho phép sử dụng tên miền khách cho Federated Guest Access.

Với tư cách là chủ sở hữu tên miền, bạn có thể không muốn các tổ chức khác sử dụng tên miền đã xác nhận của bạn làm tên miền khách.Mặc dù việc sử dụng tên miền khách không ảnh hưởng đến quyền sở hữu tên miền và người dùng của bạn, bạn có thể xem xét cách các tên miền đã xác nhận của mình đang được sử dụng và quyết định có muốn ngừng việc sử dụng đó hay không.

Để xem xét các tổ chức khác trong Adobe đang sử dụng tên miền đã xác nhận của bạn làm tên miền khách

  1. Trong Admin Console, hãy điều hướng đến Thiết đặt > Thiết đặt danh tính.

  2. Trong Identity Settings, chuyển đến tab Domains.

  3. Chọn More options (), sau đó chọn Download federated guest access report.

Để chặn hoặc cho phép tất cả tổ chức sử dụng tên miền đã xác nhận của bạn làm tên miền khách, hãy liên hệ với Adobe Support để đưa ra yêu cầu.Thay đổi này sẽ được áp dụng trên cơ sở từng tên miền.

Khi bạn chặn việc sử dụng tên miền khách, không có tổ chức nào khác trong Adobe có thể thêm tên miền đó làm tên miền khách.Các tổ chức đã thêm tên miền khách sẽ thấy rằng quyền truy cập của họ vào tên miền đó bị chặn.Hơn nữa, họ không thể tạo khách mời liên kết mới với tên miền đó.Bất kỳ tài khoản khách mời liên kết hiện có nào với tên miền khách sẽ bị chặn đăng nhập vào các tài khoản đó.

Bảo mật và biện pháp bảo vệ

IdP của bạn luôn là nguồn dữ liệu chuẩn.Để bất kỳ đối tác bên ngoài nào được đưa vào làm khách mời liên kết, họ phải đã có tài khoản trong IDP của bạn.Điều này giống như cách bạn thường đưa nhân viên nội bộ vào làm người dùng Federated ID.

Tất cả khách mời liên kết phải hoàn thành quy trình xác minh một lần trước khi đăng nhập lần đầu.Adobe sẽ gửi mã xác minh đến email của khách mời liên kết, và khách mời liên kết sẽ được yêu cầu xem xét và đồng ý tham gia tổ chức mời với tư cách là khách mời liên kết.Nếu quy trình không được hoàn thành, khách mời liên kết sẽ được yêu cầu hoàn thành quy trình này trước khi có thể đăng nhập lần đầu tiên.

Trải nghiệm quản trị viên

Từ góc độ quản trị viên, việc đưa khách mời liên kết vào tương tự như quy trình dành cho người dùng liên kết thông thường.

  • Thiết lập: Quản trị viên cấu hình miền khách trong Admin Console.
  • Cung cấp: Khách mời liên kết được thêm theo cách tương tự như người dùng liên kết thông thường.
  • Gán sản phẩm: Sản phẩm được gán theo cách tương tự như người dùng liên kết thông thường.Hiện tại chỉ giới hạn cho Workfront và AEM Assets làm Cloud Service. Việc gán các sản phẩm không được hỗ trợ (ví dụ: Photoshop) sẽ thất bại mà không tiêu tốn giấy phép.
  • Lời mời cộng tác: Email hiện bao gồm tên của tổ chức sở hữu tài sản hoặc phiên bản, giảm nhầm lẫn khi chuyển đổi hồ sơ hoặc tài khoản.

Trải nghiệm người dùng cuối

Đối với người dùng cuối, trải nghiệm được thiết kế đơn giản nhưng an toàn.Khi đăng nhập lần đầu tiên, Adobe sẽ yêu cầu người dùng cuối hoàn thành quy trình xác minh một lần.Khách liên kết phải xác minh email và đồng ý tham gia tổ chức mời.Sau khi hoàn thành, khách liên kết có thể đăng nhập vào tài khoản thông qua IdP của công ty tuyển dụng, giống như nhân viên nội bộ.Khách liên kết cũng có thể đăng nhập vào tài khoản khách liên kết thông qua đăng nhập do IdP khởi tạo.

Không thể đăng nhập trực tiếp vào tài khoản khách liên kết bằng cách nhập email của bạn trên trang đăng nhập.Thay vào đó, bạn phải sử dụng đăng nhập do IdP khởi tạo hoặc các liên kết đăng nhập mà quản trị viên của bạn có thể cung cấp.Các liên kết đăng nhập gắn với từng thư mục và có thể được truy cập từ Admin Console:

  1. Trong Admin Console, hãy điều hướng đến Thiết đặt > Thiết đặt danh tính.

  2. Trong Thiết đặt danh tính, đi đến tab Miền khách.

  3. Tìm liên kết đăng nhập để chia sẻ với khách liên kết.

Các liên kết đăng nhập có thể được sử dụng bởi bất kỳ người dùng nào trong cùng thư mục, bất kể họ có phải là khách liên kết hay không.

Nếu email của bạn được liên kết với nhiều tài khoản tại Adobe, bạn có thể sử dụng trình chuyển đổi tài khoản để tìm tất cả các tài khoản chia sẻ cùng email.Sau khi bạn đăng nhập vào bất kỳ tài khoản nào, bạn sẽ thấy danh sách các tài khoản mà bạn có thể chuyển đổi. 

Trình chuyển đổi tài khoản mới cho phép người dùng chuyển đổi giữa các tài khoản liên kết được liên kết với cùng địa chỉ email.Không giống như chuyển đổi hồ sơ, chuyển đổi tài khoản yêu cầu xác thực lại vì mỗi tài khoản có phương thức liên kết danh tính và/hoặc xác thực riêng.Quản trị viên cũng có thể cung cấp các liên kết đăng nhập đặc biệt gắn với các thư mục cụ thể, đảm bảo người dùng được hướng đến IdP chính xác.

Hệ thống phân cấp Global Admin Console

Hệ thống phân cấp Global Admin Console thiết lập cách quản lý và chia sẻ miền khách trên các tổ chức.Chỉ các tổ chức có tính năng Truy cập khách liên kết được bật mới có thể thêm miền khách.Khi tổ chức cha thêm một miền, miền đó sẽ hiển thị cho tất cả các tổ chức con trong hệ thống phân cấp và trên toàn bộ bảng điều khiển, đảm bảo quy trình tham gia nhất quán cho người dùng bên ngoài và khách liên kết.

Tổ chức sở hữu có thể thiết lập mối quan hệ tin cậy với các tổ chức khác trong hệ thống phân cấp để sử dụng tên miền như bất kỳ tên miền đã xác nhận nào khác.Identity Management tập trung có thể được duy trì ở mức độ gốc, vì không phải tổ chức nào cũng cần bật Federated Guest Access.Tên miền khách chỉ có thể được thêm bởi một thư mục trong hệ thống phân cấp, và các tổ chức bên ngoài hệ thống phân cấp không thể thấy hoặc sử dụng tên miền khách, ngay cả khi có mối quan hệ tin cậy, đảm bảo khả năng hiển thị được kiểm soát.Trong những trường hợp như vậy, người dùng được thêm dưới dạng ID doanh nghiệp do Adobe hoặc chủ sở hữu tên miền quản lý.Nếu cùng một địa chỉ email được đăng ký trên nhiều tổ chức, các tài khoản khách liên kết riêng biệt sẽ được tạo, yêu cầu người dùng chuyển đổi giữa các tài khoản.

Câu hỏi thường gặp

Điều này cho thấy rằng quyền truy cập khách liên kết không được bật trong tổ chức của bạn.Tính năng này hiện đang trong giai đoạn thử nghiệm và có sẵn trong các tổ chức được chọn.Nếu bạn quan tâm đến việc sử dụng tính năng này, hãy liên hệ với Hỗ trợ Adobe.

Tên miền bên ngoài mà bạn đang cố gắng thêm có thể thất bại trong quá trình thêm tên miền khách do một số lý do, bao gồm:

  • Chủ sở hữu tên miền đã chặn quyền truy cập khách đối với tên miền đó.
  • Tên miền đã được thêm làm tên miền khách trong một thư mục trong tổ chức của bạn.
  • Tên miền đã được thêm làm tên miền khách bởi một tổ chức khác trong hệ thống phân cấp Global Admin Console của bạn.
  • Tên miền không hợp lệ hoặc không đầy đủ.

Nếu bạn đã đưa các đối tác bên ngoài vào tổ chức của mình, bạn nên cập nhật những tài khoản đã được đưa vào đó thay vì tạo tài khoản khách liên kết mới để tránh mất tài sản hoặc dữ liệu.

Nếu bạn đã thêm đối tác bên ngoài bằng địa chỉ email gốc của họ, bạn phải cập nhật tài khoản xác thực của họ.Xem Thay đổi loại danh tính của người dùng.

Nếu bạn đã thêm các đối tác bên ngoài dưới dạng Federated ID với địa chỉ email khác trong tên miền đã xác nhận của bạn, bạn sẽ cần cập nhật email của họ. Để biết thêm thông tin, hãy xem Chỉnh sửa thông tin người dùng.

Hiện tại, chỉ có Workfront và AEM Assets được hỗ trợ đầy đủ. Bất kỳ việc gán sản phẩm nào khác sẽ dẫn đến trạng thái cung cấp không có quyền truy cập cho khách federated.

Để xem lại trạng thái cung cấp đầy đủ trên tất cả người dùng của bạn, hãy tải xuống báo cáo trạng thái Giấy phép:

  1. Đăng nhập vào Adobe Admin Console và chuyển đến Người dùng.

  2. Chọn Tùy chọn khác () rồi chọn Báo cáo tình trạng giấy phép.

  • Khi chủ sở hữu tên miền chặn quyền truy cập tên miền khách cho tên miền đã xác nhận của họ, bạn sẽ không thể sử dụng tên miền khách đó cho mục đích truy cập khách federated nữa. 

  • Bạn sẽ không thể thêm bất kỳ khách federated mới nào với tên miền khách như vậy.

  • Các khách federated hiện tại của bạn với tên miền khách đó sẽ được đặt trong trạng thái “khách federated bị thu hồi”. Trong trạng thái này, các khách federated bị thu hồi sẽ bị chặn đăng nhập vào tài khoản của họ. Bất kỳ quyền lợi nào được gán trước đó cho họ sẽ được đặt trong trạng thái không có quyền truy cập cung cấp

  • Khi chủ sở hữu tên miền khôi phục quyền truy cập tên miền khách, các khách liên kết bị thu hồi trước đó sẽ được kích hoạt lại. Mỗi khách federated có thể đăng nhập một lần nữa và trạng thái cung cấp quyền lợi được cập nhật thành hoàn tất, cho phép tiếp tục sử dụng các sản phẩm được gán.

Có, tất cả khả năng quản lý người dùng hiện tại đều áp dụng cho khách federated. Nếu bạn muốn xem liệu người dùng có phải là khách federated hay không, bạn có thể thêm federatedGuestInfo=true vào yêu cầu của mình và chọn tham gia để lấy chi tiết bổ sung này.

Trước khi bạn có thể đăng nhập vào tài khoản khách federated của mình, bạn phải hoàn thành quy trình xác minh một lần.

Bạn không thể truy cập tài khoản khách federated bằng cách nhập email trực tiếp trên các trang đăng nhập tiêu chuẩn của Adobe. Thay vào đó, bạn phải sử dụng một trong các phương pháp sau:

  • Thông qua cổng IdP hoặc intranet của tổ chức (nếu được Quản trị viên thiết lập)
  • Sử dụng liên kết đăng nhập do Quản trị viên cung cấp
  • Đăng nhập vào tài khoản khác (Doanh nghiệp/Cá nhân) được liên kết với email của bạn. Sử dụng trình chuyển đổi tài khoản để đăng nhập vào tài khoản khách liên kết của bạn.

Liên hệ với bộ phận hỗ trợ Adobe. Adobe sẽ thay bạn cập nhật thiết đặt và thay đổi sẽ được áp dụng trên cơ sở từng tên miền.

Adobe, Inc.

Nhận trợ giúp nhanh chóng và dễ dàng hơn

Bạn là người dùng mới?

Liên kết nhanh

Xem tất cả các gói của bạn Quản lý các gói của bạn
Xem các liên kết nhanh
Ẩn các liên kết nhanh

Thông báo pháp lý    |    Chính sách quyền riêng tư trực tuyến