Häufige Fragen | Azure AD-Authentifizierung und -Synchronisation

Dieses Dokument behandelt häufige Fragen zur Konfiguration von Azure Sync mit einem Verbundverzeichnis. Zur Referenz sind außerdem zusätzliche Informationen zum älteren Azure Connector enthalten.

Azure Sync | Wichtige Überlegungen und häufige Fragen

Im Folgenden finden Sie Antworten auf einige der häufigen Fragen sowie wichtige Überlegungen:

Wenn Sie über einen funktionsfähigen Azure AD-Connector verfügen, wird empfohlen, die aktuelle Konfiguration beizubehalten. In Zukunft werden Sie mit einer Self-Service-Migrationsfunktion zur neuen Version von Azure Sync migrieren können.

Es wird dringend empfohlen, das Azure AD-Connector-Setup so lange beizubehalten, bis die Self-Service-Migration verfügbar ist. Im Moment kann eine Migration zum neuen Azure Sync zu Unterbrechungen bei den Services und zum Verlust von Ressourcen für Ihre Benutzer führen.

Antworten auf häufige Fragen zum Azure AD-Connector finden Sie hier.

Ja. Bei Azure Sync sind E-Mail-Adressen vom Benutzernamen entkoppelt. Auf diese Weise können Benutzer einen abweichenden Wert für E-Mail-Adresse und Benutzernamen verwenden, um die Anmeldung zu überprüfen und auf Adobe-Produkte/-Services zuzugreifen, Funktionen zur Zusammenarbeit zu nutzen und Dateien freizugeben.

Ja. Sie können verschachtelte Gruppen aus Azure AD über die Azure Sync-Integration synchronisieren.

Verschachtelte Gruppen werden jedoch nicht automatisch synchronisiert, wenn der übergeordnete Knoten der Gruppe dem Anwendungsbereich der Synchronisation hinzugefügt wird. Verschachtelte Gruppen sollten ebenfalls dem Anwendungsbereich hinzugefügt werden, um in die automatische Synchronisation einbezogen zu werden.

Ja. Alle Aktualisierungen in Azure AD werden im Adobe Admin Console-Verzeichnis widergespiegelt. Dies umfasst Attribute wie „FirstName“, „LastName“, „Email“ usw.

Ja. Um Azure Sync mit einem solchen Verzeichnis verwenden zu können, müssen Ihre Benutzer in einer Azure AD-Instanz verwaltet werden.

Die Synchronisationszyklen werden von Azure gesteuert und in einem Abstand von 40 Minuten ausgeführt. Die zum Hinzufügen und/oder Aktualisieren von Benutzern in der Adobe Admin Console benötigte Zeit hängt von der Anzahl der Benutzer im Anwendungsbereich der Synchronisation ab.

 

Die Spalte „Kontostatus“ wird in der Liste Benutzer und Verzeichnisbenutzer angezeigt, um Administratoren über den aktuellen Status eines bestimmten Benutzers zu informieren.

Bei Federated-Benutzern, die mit Azure Active Directory synchronisiert werden, werden Benutzer über Azure Sync verwaltet und ihr Status hängt von ihrem Status im Verzeichnis der Organisation ab. Bei synchronisierten Benutzern wird nur der Status Aktiv in der Liste Benutzer angezeigt. Ein Benutzer, der in AD aus dem Anwendungsbereich der Synchronisation entfernt wurde, wird in der Liste Benutzer nicht mehr angezeigt, in der Liste Verzeichnisbenutzer wird er jedoch mit dem Status Deaktiviert weiterhin aufgeführt.

  • Aktiv = Benutzerkonto für SSO-Anmeldung und Lizenzzugriff verfügbar. Wenn die Synchronisation konfiguriert ist, wird ein Benutzer mit dem Status „Aktiv“ in die automatisierte Synchronisation mit einbezogen.

  • Deaktiviert = Benutzerkonto für SSO-Anmeldung und Lizenzzugriff nicht verfügbar. Wenn die Synchronisation konfiguriert ist, wird ein Benutzer mit dem Status „Deaktiviert“ aus dem Anwendungsbereich der Synchronisation im Verzeichnis der Organisation entfernt, sodass der Benutzer sich nicht mehr bei seinem Konto anmelden und nicht mehr auf bereitgestellte Lizenzen zugreifen kann, seine in der Cloud gespeicherten Elemente jedoch weiterhin verfügbar sind. Ein Benutzer mit dem Status „Deaktiviert“ wird nur in der Liste Verzeichnisbenutzer aufgeführt und das Adobe-Konto eines solchen Benutzers kann nur endgültig aus der Liste Verzeichnisbenutzer gelöscht werden.

Wenn Ihre Organisation das Benutzer-Synchronisationstool oder eine UMAPI-Integration verwendet, müssen Sie zuerst das alternative Synchronisationsverfahren anhalten und dann die Schritte zum Einrichten von Azure Sync zur Automatisierung der Benutzerverwaltung über das Azure-Portal ausführen.

Das Benutzer-Synchronisationstool bzw. die UMAPI-Integration können vollständig entfernt werden, sobald Azure Sync konfiguriert wurde und ausgeführt wird.

Es gibt eine Reihe allgemeiner Fehlermeldungen, die für die Verwaltung von Azure Sync über Azure AD relevant sind. Wenn Sie die Ursache der verschiedenen Fehlermeldungen kennen, erleichtert Ihnen dies die Fehlerbehebung.

Weitere Informationen zur Überwachung der Bereitstellung in Azure AD

Ja. Sie können Azure Sync in einem Verbundverzeichnis deaktivieren oder sogar daraus entfernen. Dadurch wird die automatische Synchronisation entfernt, das Verzeichnis, die Domänen und die Benutzer des Verzeichnisses bleiben jedoch erhalten.

Wenn Sie die Synchronisation entfernen, sollte auch die Benutzerbereitstellung für die frühere Synchronisation in Azure AD deaktiviert werden, um eine Quarantäne des Verzeichnisses durch Azure AD zu verhindern.

Wenn Benutzer nicht mehr über Azure Sync verwaltet werden, werden sie standardmäßig lediglich deaktiviert, um versehentliche Datenverluste zu vermeiden.

Um die Benutzer endgültig zu entfernen, müssen Sie die Bearbeitung synchronisierter Benutzer auf der Registerkarte Synchronisieren aktivieren und die Benutzer manuell in der Admin Console entfernen.

(Älterer) Azure AD-Connector | Häufige Fragen

Sie können über den Azure AD Connector nur Federated ID-Benutzerkonten erstellen. Weitere Informationen zu den Optionen für Identitätstypen.

Mit dem Azure AD-Connector kann nur die Benutzerverwaltung für die primäre Admin Console in einer Beziehung zwischen primärer Admin Console und vertrauenswürdigen Admin Console-Instanzen erfolgen. Alle vertrauenswürdigen Admin Consoles können Single Sign-on mit dem Verbundverzeichnis nutzen, sie müssen jedoch eine eigene Form der Benutzerverwaltung (z. B. manueller CSV-Upload, Benutzer-Synchronisationstool oder User Management API) verwenden.

Sie können das Benutzer-Synchronisationstool nur für die Domänen ausführen, die nicht von Azure AD verwaltet werden. Wenn Sie das Benutzer-Synchronisationstool in einer von Azure AD verwalteten Domäne ausführen, wird ein Konflikt verursacht.

Ja, und es ist keine zusätzliche Konfiguration erforderlich.

Ja, das SHA-256-Zertifikat wird bei Verwendung des Azure AD-Connectors unterstützt.

FirstName, LastName, Username, Email und Country Code.

Die Synchronisation wird alle 15 Minuten ausgeführt. Dabei wird die Admin Console basierend auf den Änderungen, die in den entsprechenden Azure AD-Sicherheitsgruppen festgestellt wurden, aktualisiert. Auf der Connector-Startseite ist in der Admin Console die Funktion Synchronisation auslösen verfügbar, mit der Systemadministratoren zu einem beliebigen Zeitpunkt zwischen den 15-Minuten-Intervallen eine Synchronisation erzwingen können. Es kann jedoch zu einer leichten Verzögerung kommen, wenn Sie eine lokale Active Directory-Bereitstellung verwenden und mit Synchronisation auslösen die Synchronisation erzwingen.

Befolgen Sie diese Anweisungen, um den Identitätstyp in Federated IDs zu ändern.

Der Azure AD-Connector erfordert, dass die zu synchronisierenden Domänen und Verzeichnisse aus Azure ID nicht bereits in der Admin Console als Verbund eingerichtet sind. Wenn Verzeichnisbenutzer vorhanden sind, müssen Sie vor der Connector-Implementierung die zugeordneten Verzeichnisbenutzer, Domänen und Verzeichnisse endgültig entfernen.

Weitere Informationen finden Sie unter Authentifizieren von Benutzern mit Microsoft Azure.

Ja, solange das SAML-Verzeichnis mit gesonderten beanspruchten Domänen verknüpft ist.

Ja. Wenn die E-Mail-Adresse des Benutzers in Microsoft Azure oder Microsoft Office 365 aktualisiert wird, werden die Felder für E-Mail und Benutzername in der Admin Console entsprechend aktualisiert.

Wenn der Benutzer Teil der Gruppensynchronisation ist und der Federated ID-Benutzername mit einem mit Azure AD synchronisierten Benutzernamen übereinstimmt, übernimmt der Connector die Verwaltung des Profils. Wenn der Benutzer nicht Teil der Gruppensynchronisation ist, kann er sich authentifizieren, solange das Profil mit dem Azure AD-Profil übereinstimmt.

Adobe-Logo

Bei Ihrem Konto anmelden