- Организации и группы клиентов Adobe: руководство администратора
- Планирование развертывания
- Основные понятия
- Руководства по развертыванию
- Развертывание Creative Cloud для образовательных учреждений
- Домашняя страница развертывания
- Мастер по адаптации для среднего общего образования
- Простая настройка
- Синхронизация пользователей
- Roster Sync, среднее общее образование (США)
- Ключевые концепции лицензирования
- Варианты развертывания
- Краткие советы
- Одобрение приложений Adobe в Google Admin Console
- Открытие в Google Classroom доступа к Adobe Express
- Интеграция с Canvas LMS
- Интеграция с Blackboard Learn
- Настройка единого входа SSO для окружных порталов и LMS
- Добавление пользователей через Roster Sync
- Часто задаваемые вопросы о Kivuto
- Принципы определения соответствия учреждений начального и среднего образования требованиям к участию
- Настройка организации
- Типы удостоверений | Обзор
- Настройка удостоверений | Обзор
- Настройка организации с Enterprise ID
- Настройка федерации и синхронизации Azure AD
- Настройка Google Federation и синхронизация
- Настройка организации с помощью Microsoft ADFS
- Настройка организации для окружных порталов и LMS
- Настройка организации с другими поставщиками удостоверений
- SSO: часто задаваемые вопросы и устранение неполадок
- Управление настройками организации
- Управление существующими доменами и каталогами
- Включение автоматического создания учетной записи
- Настройка организации через доверительные отношения для каталогов
- Переход к новому поставщику аутентификации
- Настройки ресурсов
- Параметры проверки подлинности
- Контакты отделов безопасности и конфиденциальности
- Настройки консоли
- Управление шифрованием
- Управление существующими доменами и каталогами
- Управление пользователями
- Обзор
- Административные роли
- Стратегии управления пользователями
- Назначение лицензий пользователю рабочей группы
- Добавление пользователей с совпадающими доменами электронной почты
- Изменение типов удостоверений пользователей
- Управление группами пользователей
- Управление пользователями каталога
- Управление разработчиками
- Перенос существующих пользователей в Adobe Admin Console
- Переход на управление пользователями через Adobe Admin Console
- Обзор
- Управление продуктами и разрешениями
- Управление продуктами и профилями продуктов
- Управление продуктами
- Покупка продуктов и лицензий
- Управление профилями продуктов для корпоративных пользователей
- Управление правилами автоматического назначения
- Предоставление пользователям возможности обучать настраиваемые модели Firefly
- Обзор запросов на предоставление доступа к продуктам
- Управление политиками самообслуживания
- Управление интеграцией приложений
- Управление разрешениями для продукта в Admin Console
- Включение и отключение сервисов для профиля продукта
- Одно приложение | Creative Cloud для организаций
- Дополнительные сервисы
- Управление лицензиями на общие устройства
- Управление продуктами и профилями продуктов
- Начало работы с Global Admin Console
- Внедрение глобального администрирования
- Выбор своей организации
- Управление иерархией организации
- Управление профилями продуктов
- Управление администраторами
- Управление группами пользователей
- Обновление политик организации
- Управление шаблонами политик
- Выделение продуктов дочерним организациям
- Выполнение отложенных заданий
- Аналитические данные
- Экспорт и импорт организационной структуры
- Управление хранилищем и ресурсами
- Хранилище
- Перенос ресурсов
- Восстановление ресурсов пользователя
- Перенос ученических ресурсов | только EDU
- Управление сервисами
- Adobe Stock
- Пользовательские шрифты
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud для организаций — бесплатная подписка
- Развертывание приложений и обновлений
- Обзор
- Создание пакетов
- Настройка пакетов
- Развертывание пакетов
- Развертывание пакетов
- Развертывание пакетов Adobe с помощью Microsoft Intune
- Развертывание пакетов Adobe с помощью SCCM
- Развертывание пакетов Adobe с помощью ARD
- Установка продуктов в папку исключений
- Удаление продуктов Creative Cloud
- Использование Adobe Provisioning Toolkit для организаций
- Идентификаторы лицензий Adobe Creative Cloud
- Развертывание пакетов
- Управление обновлениями
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Устранение проблем
- Управление учетной записью для рабочих групп
- Продление
- Управление договорами
- Отчеты и журналы
- Справка
В Adobe Admin Console для корпоративных пользователей предусмотрена возможность пройти проверку подлинности в продуктах Adobe под существующим корпоративным удостоверением посредством интеграции с функцией единого входа в систему. Единый вход осуществляется с помощью SAML — стандартного протокола для подключения корпоративных систем управления удостоверениями к системам поставщиков облачных сервисов (например, Adobe). Сервис единого входа (SSO) позволяет поставщику сервисов (Adobe) и поставщику удостоверений организации безопасно обмениваться идентификационными данными. Поставщик сервисов отправляет поставщику удостоверений запрос на проверку подлинности пользователя. После проверки подлинности поставщик удостоверений отправит ответное сообщение, которое позволит пользователю войти в систему. Подробные инструкции см. в разделе Настройка единого входа.
План
Adobe предлагает следующие типы удостоверений.
- Enterprise ID. Организация создает и владеет учетной записью. Учетные записи создаются в заявленном домене. Adobe управляет учетными данными и обрабатывает вход.
- Federated ID: организация создает собственную учетную запись и владеет ею, настраивает связь с каталогом организации при помощи федерации. Организация, компания или школа управляет учетными данными и обрабатывает вход посредством функции единого входа.
- Adobe ID: пользователь создает собственную учетную запись и владеет ею. Adobe управляет учетными данными и обрабатывает вход. В зависимости от модели хранилища учетная запись и ресурсы принадлежат пользователю или организации
.
Мы переводим организации (рабочие группы или предприятия) на корпоративную модель хранения, чтобы включить корпоративное хранилище и другие функции на уровне организации для пользователей Adobe ID.
Когда для вашей организации будет запланировано обновление, вы получите уведомление. После перевода пользователи Adobe ID перемещаются в корпоративное хранилище и организация напрямую контролирует их бизнес-профили.
Да, можно одновременно использовать удостоверения Adobe ID, Enterprise ID и Federated ID, но не на одном и том же зарегистрированном домене.
Удостоверения Enterprise ID и Federated ID прописываются на уровне домена. Таким образом можно выбрать только один из этих двух типов. Удостоверение Adobe ID можно использовать в сочетании с Federated ID или Enterprise ID.
Например, если у организации имеется всего один зарегистрированный домен, то ИТ-администратор может выбрать между Enterprise ID или Federated ID. Если же у организации имеется несколько зарегистрированных доменов, то ИТ-администратор может использовать один домен с удостоверениями Adobe ID и Enterprise ID, другой домен с удостоверениями Adobe ID и Federated ID и т. д. Это значит, что для каждого домена необходимо выбрать тип удостоверений Enterprise ID или Federated ID наряду с Adobe ID.
Управление лицензиями Adobe под удостоверением Federated ID происходит быстрее, проще и с большей степенью безопасности.
- ИТ-администраторы управляют проверками подлинности и жизненными циклами пользователей.
- При удалении пользователя из каталога организации этот пользователь лишается прав доступа к услугам, а также к приложениям для настольных ПК и мобильных устройств.
- Удостоверения Federated ID позволяют организациям использовать уже имеющиеся у них системы управления удостоверениями.
- Поскольку пользователи используют стандартную систему удостоверений своей организации, у ИТ-отдела нет необходимости управлять отдельным набором паролей.
При входе в систему пользователь использует стандартную (и знакомую) функцию единого входа.
Да. Вы можете перейти с Enterprise ID на Federated ID, используя тот же домен. Для получения более подробной информации см. Перемещение домена между каталогами.
Да, вы можете федерировать с Adobe свой корпоративный каталог и инфраструктуру входа и проверки подлинности с помощью своего поставщика удостоверений, совместимого со стандартом SAML 2.0.
Нет. При регистрации домена с выбором типа удостоверений Federated ID с удостоверениями Adobe ID, имеющими адрес электронной почты в этом домене, ничего не происходит. Существующие удостоверения Adobe ID в Admin Console сохраняются.
Процесс миграции ресурсов является автоматизированным. После инициирования этого процесса весь поддерживаемый контент, хранящийся в вашей учетной записи Adobe ID, переносится в вашу учетную запись Enterprise/Federated ID. Для получения дополнительной информации см. раздел Автоматизированная миграция ресурсов.
Функция авторизации поддерживается удостоверениями Adobe Federated ID; проверка подлинности осуществляется вашим поставщиком удостоверений (IdP).
Организация может привязать свои службы проверки подлинности (с использованием корпоративной структуры удостоверений, например Active Directory) к аналогичным службам Adobe. Это позволит организации производить проверку подлинности самостоятельно. Adobe никогда не сохраняет паролей, а ИТ-администраторы не могут сбрасывать пароли или редактировать имена пользователей для удостоверений Federated ID с помощью Adobe Admin Console.
Да, с помощью функции «Импорт пользователей», доступной в Adobe Admin Console. Дополнительные сведения см. в разделе Добавление нескольких пользователей.
Нет. Adobe взаимодействует с поставщиками удостоверений, а не напрямую с вашим корпоративным каталогом. Однако мы поддерживаем функцию импорта информации о пользователях и группах из корпоративного каталога в Adobe Admin Console. Дополнительные сведения см. в разделе Добавление нескольких пользователей.
Adobe рекомендует всем администраторам предприятий переключать своих пользователей с Adobe ID на Federated ID. Вы можете перейти с Adobe ID на Federated ID, выполнив эти действия.
Adobe использует безопасный и широко распространенный отраслевой стандарт Security Assertion Markup Language (SAML), а это означает, что функция единого входа легко интегрируется с любым поставщиком удостоверений, поддерживающим SAML 2.0.
Далее приведен список некоторых поставщиков удостоверений, совместимых со стандартом SAML 2.0:
- Okta
- Oracle Identity Federation
- Microsoft ADFS
- Microsoft Azure AD#
- Федерация Google#
- Ping Federate
- Salesforce IdP с подписанным извне сертификатом
- CA Federation
- ForgeRock OpenAM
- Shibboleth
- NetIQ Access Manager
- OneLogin
- Novell Access Manager
# Если ваш поставщик удостоверений — Microsoft Azure AD или Google, вы можете пропустить метод на основе SAML и использовать Azure AD Connector или Google Federation SSO для настройки единого входа с Adobe Admin Console. Эти настройки устанавливаются и управляются в Adobe Admin Console, а также используют механизм синхронизации для управления удостоверениями и правами пользователей.
Да, до тех пор, пока этот процесс следует протоколу SAML 2.0.
Да, и этот поставщик удостоверений должен быть обязательно совместим со стандартом SAML 2.0.
Как минимум, ваш поставщик удостоверений SAML должен иметь следующее.
- Сертификат поставщика удостоверений.
- URL-адрес для входа в систему поставщика удостоверений.
- Привязку поставщика удостоверений: HTTP-POST или HTTP-Redirect.
- URL-адрес потребительской службы утверждения должен быть в состоянии принимать запросы SAML и RelayState.
Если у вас еще есть вопросы, обратитесь к своему поставщику удостоверений.
Нет, 2048-разрядный сертификат еще никогда не был взломан. Кроме того, единственный успешный взлом 768-разрядного сертификата был осуществлен группой Ленстры, при этом данные специалисты подсчитали, что при использовании такого же оборудования для взлома 1024-разрядного сертификата им потребовалось бы 1000 лет (что примерно в 32 000 000 раз проще взлома 2048-разрядного сертификата).
Для получения от ведущих экспертов последней информации об оценках времени, требуемого для взлома сертификатов различной длины, перейдите на этот веб-сайт. Чтобы увидеть интересную (точную и при этом ориентированную на рынок) иллюстрацию, демонстрирующую степень безопасности этих сертификатов, перейдите на этот веб-сайт (или дублирующий его математический ресурс).
Нет, данное ограничение применяется только для сертификатов, используемых для шифрования канала связи между браузером и сервером. При этом данные IdP-сертификаты поставщика удостоверений используются для подписания (а не шифрования) данных, передаваемых по этому шифрованному каналу. Браузер никогда не работает с этими сертификатами: они используются только при взаимодействии между Adobe и клиентским поставщиком удостоверений.
Вы можете приобрести хорошие 2048-разрядные коммерческие сертификаты по цене около 10 долл. США за один год срока действия. Кроме того, сертификаты, используемые поставщиками удостоверений, могут быть самоподписанными. Это означает, что их можно генерировать бесплатно с помощью открытого программного обеспечения.
Нет. Поскольку существуют два уровня стойкого шифрования, обеспечивающие проверку удостоверения от поставщика удостоверений, необходимо взломать оба этих уровня, чтобы обеспечить имперсонацию в качестве поставщика удостоверений. Кроме того, оба этих дополнительных уровня не являются самоподписанными. Это означает, что необходимо будет взломать не только сертификат, обеспечивающий шифрование, но также и сертификат подписывающего лица, сгенерировавшего этот сертификат.
Вы можете обратиться в службу поддержки по выделенным вам номеру телефона и адресу электронной почты, указанным в приветственном письме и документе PDF, отправленном администратору вашей учетной записи.
Одна и та же конечная точка URL может использоваться для нескольких каталогов. Однако метаданные федерации будут управляться отдельно для каждого поставщика удостоверений. Таким образом, общая конечная точка поставщика удостоверений должна обрабатывать запросы, у которых контент отличается.
Да, если в SAML интеграция каталога использует формат имени пользователя и имена пользователей в Admin Console идентичны предоставленным постоянным идентификаторам. Однако для этого потребуется, чтобы постоянные идентификаторы были доступны в то время, когда пользователи синхронизированы в Admin Console. Это необычный сценарий и, следовательно, на практике постоянный формат для элемента NameID не поддерживается.
Нет. Значение элемента NameID используется в качестве имени пользователя в Admin Console; NameQualifier игнорируется.
Да. Adobe поддерживает сертификаты SHA256. Дополнительные сведения см. в разделе Настройка удостоверений.
Да. Вам нужно будет предоставить подписанные центром сертификации сертификаты в службу технической поддержки клиентов Adobe, и мы загрузим их.
Для продолжения войдите в Admin Console, выберите Поддержка > Сводка по поддержке и нажмите Создать запрос. Дополнительную информацию см. в разделе Как создавать запросы поддержки и управлять ими.
По умолчанию сертификаты Okta являются самозаверяющими. В виде исключения (и, возможно, за плату) они могут вместо этого иметь сертификат, подписанный публичным центром сертификации.
Справка
Подробные инструкции по настройке единого входа в службы и приложения для настольных ПК и мобильных устройств от компании Adobe см. в разделе Настройка единого входа.
Нет. Функция рассылки уведомлений пользователям в Admin Console не поддерживается. Корпоративные клиенты должны сами рассылать уведомления после настройки функции единого входа в службы и программное обеспечение Adobe для своих пользователей.
Нет. При удалении или отключении пользователя/удостоверения в корпоративном каталоге этот пользователь/удостоверение не удаляется/отключается автоматически в Adobe Admin Console. Тем не менее данный пользователь будет лишен всех прав и не сможет входить в приложения для настольных ПК, службы и мобильные приложения Adobe Creative Cloud, а также в приложения Acrobat Вам нужно вручную удалить этого пользователя или удостоверение из Admin Console.
Да, вам необходимо будет использовать Adobe Admin Console для управления пользователями, группами и правами. Однако после создания групп в Admin Console вы сможете загрузить файл CSV с информацией о пользователях и группах. Это приведет к созданию учетных записей пользователей и их распределению по группам.
Нет, сброс паролей для удостоверений Federated ID через Adobe Admin Console невозможен. Adobe не сохраняет учетные данные пользователей. Для управления пользователями используйте свой поставщик удостоверений.
Общие вопросы: настройка каталога
Найдите ответы на вопросы, связанные с миграцией каталогов к новому поставщику аутентификации и с обновлением устаревших настроек SAML.
Перед началом убедитесь, что соблюдаются требования к доступу, чтобы иметь возможность следовать процедуре миграции к новому поставщику удостоверений. Также учтите следующие требования, чтобы обеспечить бесперебойную и безошибочную миграцию для каталогов вашей организации:
- Администраторы должны создать новое приложение SAML в своей конфигурации IdP для настройки. Если они отредактируют существующее приложение, то оно перезапишет любую активную существующую конфигурацию, что приведет к простоям и аннулирует возможность переключения между доступными IdP в Adobe Admin Console.
- Администраторы должны убедиться, что все необходимые пользователи назначены или могут использовать только что созданное приложение SAML.
- Администраторы должны проверить, что формат имени пользователя для нового профиля аутентификации в их IdP совпадает с информацией пользователя для существующего профиля входа. Они могут использовать функцию тестирования, предоставленную в профиле аутентификации для проверки. Эту ссылку на тестирование можно скопировать в буфер обмена и поделиться ею с другими пользователями для проверки с их компьютеров.
- Администраторы должны проверить вновь добавленный IdP до активации с 2–3 активными учетными записями из каталога.
Журналы ошибок не будут доступны для этих операций. Тем не менее процесс тестирования позволяет администратору проверять соответствующие ошибки перед активацией. Следует учитывать следующие ограничения:
- Один каталог может иметь до двух профилей аутентификации. Оба профиля должны принадлежать разным типам аутентификации. Это означает, что Microsoft Azure AD (использует Open ID Connect) может оставаться с другими поставщиками SAML, но Google (который сам использует SAML) не может быть с другими поставщиками SAML в том же каталоге.
- Эта функция не позволяет администраторам выполнять миграцию своего поставщика удостоверений для включения функции синхронизации каталога (Azure AD Connector и Google Connector). Хотя клиенты, переходящие на Microsoft Azure или Google в качестве своего IdP, могут использовать другую форму стратегии управления пользователями. Подробнее можно прочитать в материале о пользователях в Adobe Admin Console.