Dieses Dokument bietet Antworten auf häufige Fragen zum Konfigurieren von Adobe Admin Console-SSO mit Google Admin Console unter Verwendung der Google-Verbund-Einrichtung.

Google-Connector-Funktionen und unterstützte Szenarien

Abschnitt mit häufigen Fragen zu den Funktionen, Integrationsszenarien und Bedingungen des Google-Connectors (Google-Verbund-Einrichtung).

Mit der Google-Verbund-Einrichtung werden nur Federated ID-Benutzerkonten erstellt. Weitere Informationen zu den Optionen für Identitätstypen.

Mit der Google-Verbund-Einrichtung kann nur die Benutzerverwaltung für die primäre Console in einer Beziehung zwischen primärer Console und vertrauenswürdigen Console-Instanzen erfolgen. Alle vertrauenswürdigen Consoles können Single Sign-on mit dem Verbundverzeichnis nutzen, sie müssen jedoch eine eigene Form der Benutzerverwaltung (z. B. manueller CSV-Upload, Benutzer-Synchronisationstool oder User Management API) verwenden.

Sie können das Benutzer-Synchronisationstool nur gleichzeitig für eine Domäne ausführen, die nicht von Google verwaltet wird.

Hinweis:

Wenn Sie ein funktionsfähiges SAML-basiertes SSO mit Google-Identität konfiguriert haben, empfehlen wir, dass Sie die aktuelle Einrichtung beibehalten.

Der Google-Connector erfordert, dass die zu synchronisierenden Domänen und Verzeichnisse aus dem Google-Verzeichnis nicht bereits in der Adobe Admin Console als Verbund eingerichtet sind. Wenn bereits Verzeichnisbenutzer vorhanden sind, müssen Sie vor der Google-Connector-Implementierung die zugeordneten Verzeichnisbenutzer, Domänen und Verzeichnisse endgültig entfernen.

In einer zukünftigen Version enthält der Connector eine Self-Service-Migrationsfunktion, mit der Administratoren mit einer eingerichteten Verbundumgebung das gesamte Verzeichnis (einschließlich aller zugehörigen Domänen und Verzeichnisbenutzer) migrieren können, die aus dem Google-Verzeichnis über den Connector synchronisiert werden sollen, ohne dass Verzeichnisbenutzer, Domänen und Verzeichnisse gelöscht werden müssen.

Ja, solange das SAML-Verzeichnis mit einer gesonderten bestätigten Domäne verknüpft ist.

Ja, das SHA-256-Zertifikat wird bei Verwendung des Google-Connectors unterstützt.

Wenn der Benutzer Teil der Synchronisation ist und der Federated ID-Benutzername mit einem mit Google synchronisierten Benutzernamen übereinstimmt, übernimmt der Connector die Verwaltung des Profils. Wenn der Benutzer nicht Teil der Synchronisation ist, kann er sich authentifizieren, solange das Profil mit den Google-Profilinformationen übereinstimmt.

Der Google-Connector unterstützt derzeit keine Gruppensynchronisation aus dem Google-Verzeichnis. Während des Einrichtungsvorgangs bestimmt ein Google Admin Console-Administrator die Gruppen im Google-Verzeichnis, die Benutzer enthalten, die Zugriff auf die Adobe-Lizenzierung erhalten sollen. Benutzer aus diesen Gruppen werden automatisch mit der Adobe Admin Console in einer unstrukturierten Liste synchronisiert. Sie werden als Federated ID-Konten auf der Registerkarte Benutzer in der Adobe Admin Console aufgeführt. Sobald die Benutzerkonten erstellt wurden, kann der Administrator Benutzer bestimmten Benutzergruppen zuordnen, um ausgewählten Benutzern den Zugriff auf bestimmte Produktlizenzen zu gewähren.

Ihre Bildungseinrichtung umfasst beispielsweise 5.000 Benutzer, darunter 500 Lehrkräfte und Mitarbeiter, 2.000 Schüler der Klassen 7 bis 12 und 2.500 Schüler der Klasse 6. Alle Lehrkräfte und Mitarbeiter sowie Schüler der Klassen 7 bis 12 erhalten Zugriff auf Adobe Spark, eine Lizenz für gemeinsam genutzte Geräte für den Zugriff im Computerlabor sowie eine private Lizenz für das Creative Cloud-Abo mit allen Applikationen, während Schüler der Klasse 6 lediglich Zugriff auf Adobe Spark und Rechte der Lizenz für gemeinsam genutzte Geräte haben. Der Synchronisationsvorgang würde wie folgt ablaufen:

  1. Richten Sie den Google-Connector mit dem Produktionsverzeichnis und den Domänen ein.
  2. Wählen Sie Verzeichnisgruppen im Google-Verzeichnis aus, das Lehrkräfte und Mitarbeiter sowie alle Schüler enthält.
  3. Führen Sie die Erstsynchronisation für 5.000 mit der Adobe Admin Console aus (dieser Vorgang dauert ca. zwei Stunden).
  4. Erstellen Sie in der Adobe Admin Console eine neue Benutzergruppe mit dem Namen Alle CC-Programme.
  5. Weisen Sie die Benutzergruppe „Alle CC-Programme“ dem Produktprofil „Alle CC-Programme“ zu. Dadurch werden automatisch alle Benutzer der Benutzergruppe „Alle CC-Programme“ mit der Lizenz „Alle CC-Programme“ lizenziert.
  6. Verwenden Sie die Option Benutzer über CSV bearbeiten auf der Registerkarte Benutzer, um die aktuelle Benutzerliste herunterzuladen und zu bestimmen, welche Benutzer auf die Produktlizenz „Alle Applikationen“ haben sollen, indem Sie sie der Benutzergruppe „Alle CC-Applikationen“ hinzufügen.
  7. Laden Sie die CSV-Datei in die Admin Console hoch. Überprüfen Sie, ob alle ausgewählten Benutzer der Benutzergruppe „Alle CC-Programme“ zugewiesen sind.

Beachten Sie, dass alle Benutzer, die nach der Ersteinrichtung der Benutzergruppen über den Connector mit der Adobe Admin Console synchronisiert wurden, entweder einzeln oder im Massenverfahren (siehe Schritt 6 oben) manuell in der Benutzergruppe platziert werden müssen, damit sie Zugriff auf die Lizenz „Alle CC-Programme“ erhalten.

Synchronisationsvorgang

In der Liste werden Fragen zur Synchronisationsfunktion des Google-Connectors beantwortet.

FirstName, LastName, Username, Email und Country Code.

Nein. Derzeit sind keine sichtbaren Ereignisprotokolle in der Adobe Admin Console verfügbar, die Sie bei der Fehlerbehebung für Connector-Synchronisation unterstützen könnten.

Bei der Synchronisation werden für etwa 50 Benutzer pro Minute bzw. für 3.000 Benutzer pro Stunde Benutzerkonten erstellt. Vom Connector werden automatisch gemäß den Benutzerkonten in den ausgewählten Google-Verzeichnisgruppen Benutzerlizenzen hinzugefügt oder entfernt.

Stellen Sie sicher, dass in der Google Admin Console der API-Zugriff aktiviert ist. Wenn Sie mehr über das Aktivieren des API-Zugriffs erfahren möchten, befolgen Sie diese Anweisungen.

Überprüfen Sie den Status für User Provisioning (Benutzerbereitstellung) in der Google Admin Console. Benutzer werden nicht synchronisiert, wenn die Benutzerbereitstellung nicht aktiviert ist.

Um dies zu überprüfen, melden Sie sich bei der Google Admin Console an. Gehen Sie dann auf der Seite Home zu Apps > SAML apps > More controls > Adobe application > User provisioning (Programme > SAML-Programme > Weitere Steuerungen > Adobe-Programm > Benutzerbereitstellung). Aktivieren Sie die Bereitstellung (wählen Sie ON for everyone (EIN für alle)), wenn sie deaktiviert ist.

Benutzerbereitstellung aktivieren

Weitere Informationen zum Einrichten der Google Admin Console finden Sie auch im G Suite-Admin-Hilfe-Dokument Nutzerverwaltung für Adobe konfigurieren.

Migration vorhandener Google-Benutzer

In diesem Abschnitt werden Fragen von Administratoren behandelt, die den Connector verwenden möchten und bereits Google als IdP verwenden.

So migrieren Sie bestehende Benutzer ohne Federated ID zum Federated ID-Typ:

  1. Richten Sie den Google-Connector mit dem ausgewählten Verzeichnis und den ausgewählten Domänen ein.
  2. Synchronisieren Sie Benutzer mithilfe des Connectors, einschließlich derer, die bereits über eine andere ID als eine Federated ID in der Console verfügen. Alle Benutzer mit einer anderen ID als einer Federated ID verfügen jetzt in der Admin Console über eine Federated ID und eine andere ID.
  3. Verwenden Sie die Option Identitätstyp bearbeiten auf der Registerkarte Benutzer, um ausgewählte Benutzer ohne Federated ID manuell in ihr neu erstelltes Federated ID-Konto zu migrieren. Dadurch wird die automatisierte Elementmigration für diese Benutzer ausgelöst, wenn sie sich zum ersten Mal mit ihrer Federated ID anmelden.

Ja, wenn die E-Mail-Adresse des Benutzers im Google-Verzeichnis aktualisiert wird, wird auch das Feld für E‑Mail-Adresse und Benutzername in der Adobe Admin Console entsprechend aktualisiert.