联合来宾访问权限

了解联合来宾访问如何在保持与内部团队相同的安全和访问标准的同时,简化与外部合作伙伴的协作。

注释

此功能仅在以下条件下可用:

  • 您直接从 Adobe 购买了企业计划。
  • 您至少创建了一个活跃的联合目录。

如果您的组织符合这些条件,但您在 Admin Console 中看不到此功能,请联系 Adobe 支持

概述

Adobe 的联合来宾访问权限功能允许企业客户将外部代理机构、供应商或咨询公司的辅助人员加入到 Adobe 生态系统中,并采用与内部员工相同的安全和身份验证标准。

以前,创建联合 ID 用户需要拥有域所有权。 此要求阻止组织添加具有外部域的用户,包括不可声明的域(如 gmail.com)和由其他组织拥有的可声明域。

联合来宾访问权限功能允许企业客户将任何电子邮件地址的用户添加为自己的联合用户。 它确保对内部员工和外部合作伙伴一致地实施 SSO。

此功能目前支持有限数量的产品。请参阅支持的产品部分,查看哪些产品可以分配给联合访客。

支持的产品

联合访客访问权限目前支持以下产品。将此列表中未包含的任何产品分配给联合访客将失败且不会消耗授权

  • AEM Assets as a Cloud Service
  • Adobe Express
  • GenStudio
  • Workfront

如果您需要将任何其他产品分配给外部合作伙伴,建议使用替代加入方法以确保适当的许可授权和无缝的用户体验。

联合来宾访问权限的优势

以下是联合来宾访问权限功能的优势:

  • 无缝协作:外部合作伙伴可毫无阻碍地访问 Adobe 工具。
  • 统一安全性:企业可以对所有用户实施一致的 SSO 和身份验证策略。
  • 运营效率:它消除了以前用于加入供应商的变通方法的需要。
  • 受控访问权限:联合来宾帐户与内部帐户隔离,确保授权和资产保持分离。

商业场景和用例

联合来宾访问权限在企业依赖外部专业知识的场景中特别有价值。 与代理机构合作的营销团队、聘请顾问的 IT 部门或跨多个公司协作的大型组织都可以在不影响安全性的情况下整合外部投稿人。

例如,假设一家公司从 vendor.com 聘请 Mary 进行短期项目。 Mary 可能已经拥有其雇主提供的联合帐户。 此前,招聘公司只能通过 Mary 现有的联合帐户将其加入到 Adobe 环境中,该帐户的身份验证由其雇主控制。

通过联合来宾访问,招聘公司可以将 Mary 作为联合来宾添加到其目录中。 在这种情况下,她可以使用招聘公司的 SSO 登录来访问工具,例如 Workfront 或 AEM Assets。 她不需要在招聘公司域上使用单独的电子邮件地址。

Mary 的联合来宾帐户完全独立于其雇主拥有的帐户,具有单独的权限和资产,确保组织数据的清晰分离。 她可以使用帐户切换器在帐户之间切换。 每次切换帐户时,Mary 必须注销,然后使用其他帐户的登录方法重新进行身份验证。 此过程确保维持帐户之间的分离。

对于招聘公司,可以使用与内部员工相同的身份验证和访问控制来加入和管理像 Mary 这样的外部合作伙伴。 对于 Mary 的雇主,联合来宾访问不需要任何更改。 其账户、权限和资产不受影响,且双方组织均无法查看彼此的账户信息。

联合来宾账户

联合来宾访问引入了联合来宾的新帐户概念。 联合来宾是现有 Federated ID 帐户类型的一种新变体,经过扩展后,可支持企业未拥有或未声明的电子邮件域。

它允许企业将外部合作伙伴加入到其联合目录中,并通过组织的 IdP 对其进行身份验证,而无需拥有联合来宾电子邮件域的所有权。 与所有 Federated ID 账户一样,每个联合来宾账户均限定于创建它的组织,拥有自己独立的权限、资产和联合关系。 它与其他组织中使用相同电子邮件地址的任何其他帐户保持完全分离。

域管理

招聘公司管理员可以通过 Admin Console 中新的来宾域选项卡添加外部域。 它使他们能够将具有外部电子邮件域的用户添加为其组织拥有的单独 Federated ID 帐户。

与声明域不同,来宾域不需要所有权证明。 您可以添加可声明和不可声明的域。 对于被其他 Adobe 组织声明的域,域所有者可以控制其域是否可以用作来宾域。

如果域所有者请求将其声明的域阻止用于来宾域用途,您将无法将该域添加为来宾域。 如果您已经添加了该来宾域,则无法添加具有该域的任何新联合来宾。 任何具有来宾域的现有联合来宾在域所有者再次允许使用来宾域之前将无法登录。

要将来宾域直接添加到 Admin Console 目录,请执行以下步骤。

  1. 登录 Admin Console,然后导航至设置

  2. 目录列表中,打开要添加来宾域的目录。

  3. 转到目录内的来宾域选项卡,然后添加来宾域。

默认情况下,所有已声明的域都会被配置为允许将来宾域用于联合来宾访问。

作为域所有者,您可能不希望其他组织将您的声明域用作来宾域。 虽然来宾域使用不会影响您对域的所有权和您的用户,但您可以审阅声明域的使用情况,并决定是否要停止此类使用。

若要查看 Adobe 中还有哪些其他组织正在将您已认领的域用作访客域

  1. 请登录 Admin Console,然后导航至设置 > 身份设置

  2. 身份设置中,进入选项卡。

  3. 选择更多选项 (),然后选择下载联合来宾访问报告

要阻止或允许所有组织将您的声明域用作来宾域,请联系 Adobe 支持以提出请求。 此更改将按域应用。

当您阻止使用来宾域时,Adobe 中的其他组织无法将该域添加为来宾域。 已添加来宾域的组织将看到其对该域的访问权限被阻止。 此外,他们无法使用该域创建新的联合来宾。 任何具有来宾域的现有联合来宾帐户将被阻止登录此类帐户。

安全性和保护措施

您的 IdP 始终是权威数据源。 要将任何外部合作伙伴加入为联合来宾,他们必须在您的 IDP 中已有帐户。 这模拟了您通常将内部员工加入为 Federated ID 用户的方式。

所有联合来宾必须在首次登录前完成一次性验证流程。 Adobe 会向联合来宾的电子邮件发送验证代码,联合来宾需要审阅并同意作为联合来宾加入邀请组织。 如果未完成该流程,联合来宾将被要求在首次登录前完成该流程。

管理员体验

从管理员角度来看,加入联合来宾的过程与常规联合用户的过程相同。

  • 设置:管理员在 Admin Console 中配置来宾域
  • 设置:联合来宾的添加方式与常规联合用户相同。
  • 产品分配:产品的分配方式与常规联合用户相同。 只有支持的产品才能分配给联合访客。分配不受支持的产品(例如 Photoshop)将失败且不会消耗授权。
  • 协作邀请:电子邮件现在包含拥有资产或实例的组织名称,减少了在切换配置文件或帐户时的混淆。

为了让联合访客的登录体验更轻松,请考虑提供特定目录的登录链接。您可以在 Admin Console 中找到登录关联:

  1. 登录管理控制台,然后转至设置 > 身份设置

  2. 打开访客域选项卡。

  3. 查找要与联合来宾共享的登录链接。

同一目录中的任何用户都可以使用登录关联,无论他们是否为联合访客。

最终用户体验

对于最终用户来说,体验被设计得简单但安全。首次登录时,Adobe 将提示最终用户完成一次性验证流程。 联合来宾必须验证其电子邮件并同意加入邀请组织。 完成后,联合访客可以通过招聘公司的 IdP 登录帐户,就像内部员工一样。 联合来宾还可以通过 IdP 发起的登录来登录联合来宾帐户。

无法通过在登录页面输入您的电子邮件直接登录联合来宾帐户。 相反,您必须使用IdP 发起的登录或您的管理员可以提供的登录链接

如果您的电子邮件关联到 Adobe 的多个帐户,您可以使用帐户切换器查找共享同一电子邮件的所有帐户。 登录任何帐户后,您将看到可以切换到的帐户列表。 

新的帐户切换器让用户能够在关联到同一电子邮件地址的联合帐户之间切换。 与配置文件切换不同,帐户切换需要重新身份验证,因为每个帐户都有自己的联合和/或身份验证方法。 管理员还可以提供绑定到特定目录的特殊登录链接,确保用户被引导到正确的 IdP。

Global Admin Console 层次结构

Global Admin Console 层级确定了来宾域在各组织间的管理和共享方式。 只有启用了联合来宾访问功能的组织才能添加来宾域。 一旦父组织添加了一个域,它就会对层级中的所有子组织以及整个控制台可见,确保外部用户和联合来宾的一致加入。

所属组织可以与层级中的其他组织建立信任关系,以将该域用作任何其他声明域。 集中式身份管理可以在根级别维护,因为并非每个组织都需要启用联合来宾访问。 来宾域只能由层级内的一个目录添加,层级外的组织无法看到或使用来宾域,即使存在信任关系,也能确保受控的可见性。 在这种情况下,用户会被添加为由 Adobe 或域所有者管理的业务 ID。 如果同一电子邮件地址在多个组织中注册,则会创建单独的联合来宾帐户,要求用户在帐户之间切换。

常见问题解答

如果您看不到访客域选项卡,您的组织可能不符合联合访客访问权限的条件。要符合条件,您必须拥有直接从 Adobe 购买的企业计划以及至少一个活动的联合目录。如果您符合这些条件但仍看不到该选项卡,请联系 Adobe 支持请求启用。

您尝试添加的外部域可能由于多种原因在来宾域添加过程中失败,包括:

  • 域所有者阻止了对该域的来宾访问权限。
  • 该域已作为来宾域添加到您组织内的目录中。
  • 该域已被您的 Global Admin Console 层级中的另一个组织添加为来宾域。
  • 该域无效或不完整。

如果您已经将外部合作伙伴加入到您的组织中,建议您更新这些已加入的帐户,而不是创建新的联合来宾帐户,以避免资产或数据丢失。

如果您使用外部合作伙伴的原始电子邮件地址添加了他们,则必须更新他们的身份验证帐户。 请参阅更改用户的身份类型

如果您在您声明的域下使用不同的电子邮件地址将外部合作伙伴添加为联合 ID,则需要更新他们的电子邮件。 有关详细信息,请参阅编辑用户详细信息

只有支持的产品才能分配给联合访客。任何其他产品分配都将导致无法访问联合来宾的配置状态。

要查看所有用户的完整设置状态,请下载授权状态报告:

  1. 登录 Adobe Admin Console,然后导航至用户

  2. 选择更多选项),然后选择许可证状态报告

  • 当域所有者阻止其声明域的来宾域访问权限时,您将无法再将该来宾域用于联合来宾访问目的。 

  • 您将无法添加任何使用此类来宾域的新联合来宾。

  • 具有该来宾域的现有联合来宾将被置于“已撤销联合来宾”状态。 在此状态下,已撤销的联合来宾无法登录其帐户。 之前分配给他们的任何权利都将置于无访问配置状态。 

  • 当域所有者恢复来宾域访问权限时,之前被撤销的联合来宾将重新激活。 每个联合来宾都可以再次登录,授权设置状态更新为已完成,允许继续使用分配的产品。

是的,所有现有用户管理功能都适用于联合来宾。 如果您想查看某个用户是否是联合来宾,您可以将 federatedGuestInfo=true 添加到您的请求中,并选择获取此附加详细信息。

在登录联合来宾帐户之前,您必须完成一次性验证流程。

您无法通过在 Adobe 标准登录页面上直接输入电子邮件来访问联合来宾帐户。 相反,您必须使用以下方法之一:

  • 通过组织的 IdP 门户或内网(如果由您的管理员设置)
  • 使用管理员提供的登录链接
  • 登录关联到您电子邮件的其他帐户(商业/个人)。 使用帐户切换器登录您的联合来宾帐户。

联系 Adobe 支持。 Adobe 将代表您更新设置,更改将按域应用。

Adobe, Inc.

更快、更轻松地获得帮助

新用户?