Verwalten der Anwenderbereitstellung über die Google Admin Console
Steuern der an Adobe gesendeten Daten
Zuweisen von Produkten zu mehreren Benutzern auf Grundlage von Google-Organisationseinheiten
Mit Google Sync wird die Anwenderverwaltung für Ihr Admin Console-Verzeichnis automatisiert. Fügen Sie Google Sync unabhängig vom Identitätsanbieter (IdP) jedem beliebigen vorhandenen Verbundverzeichnis in der Adobe Admin Console hinzu. Um Google Sync verwenden zu können, müssen Sie die Anwenderdaten Ihrer Organisation in der Google Admin Console speichern.
Sie können Google Sync jedem Verzeichnis in der Adobe Admin Console hinzufügen, um dessen Anwenderverwaltungsprozess zu automatisieren. Google Sync verwendet das SCIM-Protokoll für die Anwenderverwaltung und ermöglicht Ihnen die Kontrolle über die gemeinsam mit Adobe verwendeten Anwenderinformationen. In der Google Admin Console definierte Anwender, die mit der Adobe Admin Console synchronisiert sind, können einem oder mehreren Produktprofilen zugewiesen werden.
Nachdem Sie Google Sync eingerichtet haben, beginnt Google damit, Daten gemäß der Konfiguration für die Anwenderbereitstellung im Google Admin Console-Verzeichnis an die Adobe Admin Console zu senden. Sie finden die Verzeichnisdetails im Abschnitt Einstellungen der Adobe Admin Console.
Dies sind die wichtigsten Vorteile der Verwendung von Google Sync mit Ihrem Verzeichnis in der Adobe Admin Console:
Verwalten der Anwenderbereitstellung über die Google Admin Console
Steuern der an Adobe gesendeten Daten
Zuweisen von Produkten zu mehreren Benutzern auf Grundlage von Google-Organisationseinheiten
Hinzufügen der Synchronisation zu zuvor konfigurierten Verzeichnissen
Hinzufügen von Google Sync zu anderen IdP-Verzeichnissen
Einfaches Onboarding und Offboarding von Anwendern mit der Google Admin Console
Keine Einrichtung eines anderen Service oder einer API erforderlich
Um die Adobe Admin Console-Anwenderverwaltung mit der Google Admin Console zu integrieren, benötigen Sie Folgendes:
Szenario für die Verzeichniseinrichtung |
Verfahren zum Hinzufügen von Sync |
---|---|
Einzelner Google Admin Console-Mandant mit einer einzelnen Adobe Admin Console |
Führen Sie die Schritte zum Hinzufügen von Sync aus, um Google Sync einzurichten. |
Mehrere Verbundverzeichnisse mit mindestens einer Domäne, die zum gleichen Google Admin Console-Mandanten gehören |
|
Mehrere Verbundverzeichnisse mit mindestens einer Domäne, die unterschiedlichen Google Admin Console-Mandanten gehören |
|
Befolgen Sie die nachstehenden Punkte, um den Best Practices und Adobe-Empfehlungen zu folgen, bevor Sie Google Sync einrichten:
Gehen Sie in der Adobe Admin Console zu Einstellungen > Verzeichnisdetails > Synchronisieren. Klicken Sie auf Synchronisation hinzufügen.
Wählen Sie Google Admin Console aufrufen und melden Sie sich mit einem Administratorkonto an. Befolgen Sie dann die Schritte auf der Anleitungsseite in der Adobe Admin Console, um die automatische Anwenderbereitstellung zu konfigurieren.
Sie können Google-Organisationseinheiten (OUs) mit Ihrem Verzeichnis mit Google Sync-Unterstützung in der Admin Console synchronisieren. Jede OU (einschließlich der Stamm-OU) in der Google Admin Console wird zusammen mit den zugeordneten Benutzern als separate Gruppe synchronisiert.
Angenommen, Sie haben drei Benutzer in separaten OUs in der Google Admin Console (Benutzer A, Benutzer B und Benutzer C). Die folgende Tabelle zeigt, wie diese Benutzer den entsprechenden Gruppen in der Adobe Admin Console hinzugefügt werden (Benutzer B und Benutzer C werden mehreren Gruppen hinzugefügt):
Benutzer |
Google Admin Console-OU |
Adobe Admin Console-Benutzergruppe |
---|---|---|
Benutzer A |
Stammorganisationseinheit |
OU-/ |
Benutzer B |
„/Vertrieb“ |
1. OU-/ 2. OU-/Vertrieb |
Benutzer C |
„/Vertrieb/Deutschland“ |
1. OU-/ 2. OU-/Vertrieb 3. OU-/Vertrieb/Deutschland |
Sie müssen Ihre Google-OUs basierend auf Ihren Lizenzanforderungen einrichten, bevor Sie sie mit der Adobe Admin Console synchronisieren.
Melden Sie sich dann bei Ihrer Google Admin Console an und navigieren Sie zu Apps > Web- und mobile Apps > wählen Sie Adobe-SAML-App > gehen Sie zu Automatische Nutzerverwaltung > wählen Sie Attributzuordnung bearbeiten.
Wählen Sie im Fenster Attribute im Dropdown Pfad der Organisationseinheit für das App-Attribut urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit.
Ein Systemadministrator kann die Einstellungen für Quelle synchronisieren aktualisieren, nachdem das Setup abgeschlossen ist, indem er Einstellungen aufrufen auf der Registerkarte Verzeichniseinstellungen > Synchronisieren auswählt. Folgende Einstellungsoptionen sind verfügbar:
Bearbeitung synchronisierter Daten in der Admin Console aktivieren: Nach der Einrichtung von Google Sync werden alle Anwender in einem Verzeichnis automatisch der Synchronisationsverwaltung unterstellt. Nachdem Sie die Bearbeitung aktiviert haben, können Sie synchronisierte Daten für kurze Zeit in der Admin Console bearbeiten. In dieser Zeit vorgenommene Änderungen wirken sich nicht auf Anwenderinformationen in der Google Admin Console aus, sondern werden durch Änderungsanforderungen von Ihrem Identitätsanbieter überschrieben.
Standardmäßig müssen Sie synchronisierte Daten über den Identitätsanbieter bearbeiten und zulassen, dass die Änderungen per Synchronisation weitergegeben werden. Daten sollten nur wenn erforderlich manuell in der Adobe Admin Console geändert werden.
Anwendersynchronisationskonfiguration bearbeiten: Leitet Sie zu den Konfigurationsanweisungen zum Bearbeiten der Anwendersynchronisation weiter. Verwenden Sie diese Option, bevor das modale Fenster vor Abschluss der Einrichtung der Synchronisation geschlossen wurde oder wenn Sie nach der Erstkonfiguration Änderungen in der Google Admin Console vornehmen müssen.
Administratoren können die Synchronisation aus einem Verbundverzeichnis in der Admin Console entfernen. Beim Entfernen der Synchronisation bleiben das Verzeichnis und die zugehörigen Domänen, Anwendergruppen und Anwender intakt. Der Schreibschutzmodus für das Verzeichnis und dessen Anwender und Gruppen wird entfernt.
Um die Synchronisation aus einem Verzeichnis zu entfernen, wählen Sie Einstellungen aufrufen auf der Registerkarte Verzeichniseinstellungen > Synchronisieren und dann Synchronisation entfernen. Bitte deaktivieren Sie auch die automatische Bereitstellung für die Adobe SAML-App über die Google Admin Console, um eine Quarantäne zu verhindern. Durch diese Aktion wird die Einrichtung der Synchronisation endgültig aus der Adobe Admin Console entfernt. Bei Bedarf können Sie die Synchronisation mit demselben oder einem anderen Verzeichnis wiederherstellen.
Sie können keine Domänen in ein oder aus einem Verzeichnis verschieben, das von Google Sync verwaltet wird. Sobald Google Sync aus dem Quell- und/oder Zielverzeichnis entfernt wurde, kann eine Domäne aus diesem Verzeichnis in ein anderes Zielverzeichnis verschoben werden und Domänen aus anderen Quellverzeichnissen können in das Verzeichnis verschoben werden, das nicht mehr mit Google Sync verwaltet wird.
Durch die Implementierung von Google Sync werden neue Verbundanwenderkonten erstellt und Anwender mit der Adobe Admin Console synchronisiert. Administratoren können die Bereitstellung von Anwendern, die über Google Sync hinzugefügt wurden, auch über die folgenden drei Verfahren (in der Google Admin Console) aufheben:
Mit diesen drei Vorgängen werden Anwender in der Adobe Admin Console deaktiviert. Ein deaktivierter Anwender kann sich nicht mehr anmelden und wird in der Liste Verzeichnisanwender als Deaktiviert aufgeführt. Ein Anwender, dessen Bereitstellung mit einem dieser Verfahren aufgehoben wurde, wird weiterhin von Google Sync verwaltet. Weder das Anwenderkonto noch in der Cloud gespeicherte Assets werden aus der Organisation entfernt.
Entfernen Sie einen Anwender und zugehörige Daten aus der Admin Console: Wählen Sie Einstellungen aufrufen auf der Registerkarte Verzeichniseinstellungen > Synchronisieren und klicken Sie auf Bearbeitung aktivieren. Navigieren Sie dann zu Anwender > Verzeichnisanwender und wählen Sie den Anwender in der Liste aus, um das Konto endgültig zu löschen.
Sobald die Bearbeitung aktiviert ist, können die synchronisierten Daten eine Stunde lang bearbeitet werden, bevor sie automatisch deaktiviert wird. Es wird empfohlen, unmittelbar nach dem Entfernen eines Anwenders auf Bearbeitung deaktivieren zu klicken, damit die Änderungen aus der Google Admin Console in der Admin Console widergespiegelt werden.
Wenn Sie einen Anwender endgültig löschen, wird dieser zusammen mit allen in der Cloud gespeicherten Elementen gelöscht, deren Eigentümer er ist. Der Anwender und die Elemente können nicht wiederhergestellt werden, nachdem diese Aktion ausgeführt wurde.
Adobe verfügt über eine Quarantänerichtlinie, mit der zahlreiche Fehleraufrufe während der Synchronisation verarbeitet werden.
Der Adobe-Service überwacht den Synchronisationszustand unabhängig, um zu ermitteln, ob die Fehlerrate in einem festgelegten Zeitraum einen bestimmten Schwellenwert überschreitet. Eine Mindestanzahl von Anforderungen, die einen Fehler verursachen, der den Schwellenwert erreicht, führt zu einer vorübergehenden Quarantäne. Dadurch werden alle Aufrufe und Aktualisierungsanforderungen aus der Google Admin Console für einen bestimmten Zeitraum abgelehnt. Anschließend werden Aufrufe zum Wiederholen des Synchronisationsversuchs wieder akzeptiert. Wenn weiterhin Fehleraufrufe auftreten, wird die Synchronisation für einen längeren Zeitraum in Quarantäne gestellt. Wenn die Quarantäne von Adobe veranlasst wird, kann dies aufgrund der abgelehnten Aufrufe, die auf die Fehlerraten in Google angerechnet werden, auch zu einer nachfolgenden Quarantäne bei Google führen. Beachten Sie, dass Adobe sich das Recht vorbehält, die Quarantäneparameter auf Grundlage laufender Datenanalysen zu aktualisieren.
Google kann die Synchronisation auf Grundlage der Fehlerrate unter Quarantäne stellen.
Es wird eine Reihe allgemeiner Fehlermeldungen angezeigt, die für die Verwaltung von Google Sync über die Google Admin Console relevant sind. Wenn Sie die Ursache der verschiedenen Fehlermeldungen kennen, erleichtert Ihnen dies die Fehlerbehebung.
Synchronisations- und Fehlerprotokolle finden Sie im Abschnitt Auto-provisioning (Automatische Bereitstellung) der Adobe SAML-App in der Google Admin Console. Weitere Informationen zur Überwachung der Bereitstellung erhalten Sie in der Google Admin Console.
Fehler bei der Google-OU-Synchronisation
Möglicherweise treten beim Synchronisieren von Google-Organisationseinheiten mit der Adobe Admin Console Synchronisationsfehler auf. In Google-Protokollen werden die folgenden Fehler aufgeführt:
Da die Adobe Admin Console den Google-Synchronisationsdienst verwendet, werden alle Synchronisationsprobleme in der Google Admin Console behoben. In den Konfigurationsanweisungen von Google finden Sie Hinweise zur Lösung einiger häufiger Probleme. Wenn Sie keine Lösung finden, empfehlen wir Ihnen, sich für weitere Unterstützung an den Google-Support zu wenden.
Befolgen Sie die nachstehenden Anweisungen, um ein Synchronisationsproblem zu diagnostizieren:
Einrichtung überprüfen:
Stellen Sie sicher, dass Sie die Benutzer und Gruppen gemäß den Einrichtungsanweisungen konfiguriert haben:
Bestätigen Sie die Zuordnung der Anwenderdetails.
Wenn Sie Google-Organisationseinheiten synchronisieren möchten, vergewissern Sie sich, dass in der Attributzuordnung der Nutzerverwaltung Pfad der Organisationseinheit mit dem Wert urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit vorhanden ist.
Überwachen Sie Ihre Bereitstellungsanwendung, um Probleme zu erkennen, die sich auf die Synchronisation auswirken können:
Wenn die Anwender nicht in den Bereitstellungsprotokollen angezeigt werden, befinden sie sich möglicherweise außerhalb des Anwendungsbereichs. Wenn die Bereitstellungsprotokolle ein Problem anzeigen, beheben Sie es, damit der Anwender die Synchronisation durchführen kann.
Aktivieren Sie die Bearbeitung synchronisierter Daten in der Adobe Admin Console:
Nachdem Sie die Bearbeitung aktiviert haben, können Sie synchronisierte Daten für einen kurzen Zeitraum in der Adobe Admin Console bearbeiten. Alle während dieser Zeit vorgenommenen Änderungen wirken sich nicht auf Anwenderinformationen in der Google Admin Console aus. Später überschreiben die Änderungsanforderungen Ihres Identitätsanbieters diese kurzzeitigen Änderungen automatisch.