Gerenciar o aprovisionamento de usuários por meio do Admin Console do Google
Controlar quais dados são enviados à Adobe
Atribuir produtos a vários usuários com base em unidades organizacionais do Google
O Google Sync automatiza o gerenciamento de usuários no seu diretório do Admin Console. Adicione o Google Sync a qualquer diretório federado existente no Adobe Admin Console com facilidade, independentemente do provedor de identidade (IdP). Para usar o Google Sync, você deve armazenar os dados do usuário de sua organização no Admin Console do Google.
Você pode adicionar o Google Sync a qualquer diretório no Adobe Admin Console para automatizar o processo de gerenciamento de usuários. O Google Sync usa o protocolo SCIM para o gerenciamento de usuários e oferece controle sobre as informações do usuário compartilhadas com a Adobe. Os usuários especificados no Admin Console do Google sincronizados com o Adobe Admin Console podem ser atribuídos a um ou mais perfis de produto.
Depois de configurar o Google Sync, o Google começa a enviar dados ao Adobe Admin Console de acordo com a configuração de aprovisionamento de usuário do diretório do Admin Console do Google. Você pode ver os detalhes do diretório na seção Configurações do Adobe Admin Console.
As principais vantagens do Google Sync com seu diretório no Adobe Admin Console são:
Gerenciar o aprovisionamento de usuários por meio do Admin Console do Google
Controlar quais dados são enviados à Adobe
Atribuir produtos a vários usuários com base em unidades organizacionais do Google
Adicionar sincronização a diretórios configurados anteriormente
Adicionar o Google Sync a diretórios de outros IdPs
Incluir e excluir facilmente usuários com o Admin Console do Google
Não há necessidade de outro serviço ou configuração de API
Para integrar o gerenciamento de usuários do Adobe Admin Console ao Admin Console do Google, você precisa do seguinte:
Cenário de configuração de diretório |
Método para adicionar sincronização |
---|---|
Único locatário do Admin Console do Google para um único Adobe Admin Console |
Siga as etapas em Adicionar sincronização para estabelecer o Google Sync. |
Vários diretórios federados com um ou mais domínios que pertencem ao mesmo locatário do Admin Console do Google. |
|
Vários diretórios federados com um ou mais domínios que pertencem a diferentes locatários do Admin Console do Google. |
|
Siga os itens abaixo para ver as práticas recomendadas e Adobe Recommendations antes de configurar o Google Sync:
No Adobe Admin Console, acesse Configurações > Detalhes do diretório > Sincronização. Clique em Adicionar sincronização.
Selecione Ir para o Admin Console do Google e faça logon com uma conta de administrador. Depois, siga as etapas na página de instruções no Adobe Admin Console para configurar o provisionamento automático de usuários.
Você pode sincronizar unidades organizacionais (UOs) do Google ao seu diretório habilitado com Google Sync no Admin Console. Cada UO (incluindo a UO raiz) no Admin Console do Google é sincronizado como um grupo separado junto com os usuários associados.
Por exemplo, você tem três usuários no Google Admin Console (Usuário A, Usuário B e Usuário C) em UOs separadas. A tabela seguinte mostra como esses usuários serão adicionados a grupos correspondentes no Adobe Admin Console (Usuário B e Usuário C são adicionados a mais do que grupos):
Usuário |
UO do Google Admin Console |
Grupo de usuários do Adobe Admin Console |
---|---|---|
Usuário A |
Unidade organizacional raiz |
UO-/ |
Usuário B |
“/Vendas” |
1. UO-/ 2. UO-/Vendas |
Usuário C |
“/Vendas/Alemanha” |
1. UO-/ 2. UO-/Vendas 3. UO-/Vendas/Alemanha |
Você deve configurar suas UOs do Google de acordo com seus requisitos de licenciamento antes de sincronizá-las com o Adobe Admin Console.
Depois, faça logon no Google Admin Console, acesse Aplicativos > Aplicativos para Web e dispositivos móveis, selecione Aplicativo SAML da Adobe, vá para Provisionamento automático e selecione Editar mapeamento de atribuição.
Na janela Atributos, selecione o caminho da unidade organizacional no menu suspenso ao lado do atributo do aplicativo urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit.
Um administrador de sistema poderá atualizar as configurações da Fonte de sincronização depois que a configuração for concluída selecionando Ir para configurações na guia Configurações do diretório > Sincronização. As opções de configuração incluem:
Permitir a edição de dados sincronizados no Admin Console: assim que o Google Sync é estabelecida, todos os usuários em um diretório passam automaticamente para o gerenciamento de sincronização. Depois que permitir a edição, você poderá editar os dados sincronizados no Admin Console por um breve período. Nenhuma edição durante esse período afeta as informações do usuário no Admin Console do Google, sendo substituídas por solicitações de alteração do provedor de identidade.
Por padrão, você deve editar os dados sincronizados do provedor de identidade e permitir que as alterações sejam propagadas por meio da sincronização. Não recomendamos que você altere os dados no Adobe Admin Console, a menos que seja necessário manualmente.
Editar configuração de sincronização do usuário: redireciona você para as instruções de configuração para editar a sincronização do usuário. Use essa opção se a janela modal for fechada antes de terminar a configuração de sincronização ou se você precisar fazer alterações no Admin Console do Google após a configuração inicial.
Os administradores podem escolher remover a sincronização de um diretório federado no Admin Console. A desabilitação da sincronização deixa o diretório e seus domínios, grupos de usuários e usuários associados intactos, bem como remove o modo somente leitura do diretório e seus usuários e grupos.
Para desabilitar a sincronização de um diretório, escolha Ir para configurações na guia Configurações do diretório > Sincronização e Desabilitar sincronização. Desative também o provisionamento automático do aplicativo SAML da Adobe no Admin Console do Google para evitar que ele seja colocado em quarentena. Essa ação desabilitará permanentemente a configuração de sincronização do Adobe Admin Console. Se necessário, você poderá restabelecer a sincronização com o mesmo diretório ou com um diretório diferente.
Você não pode mover domínios de ou para um diretório gerenciado pelo Google Sync. Depois que o Google Sync é desabilitado do diretório de origem e/ou destino, um domínio desse diretório pode ser movido para outro diretório de destino, e os domínios de outros diretórios de origem podem ser movidos para o diretório que não é mais gerenciado pelo Google Sync.
A implementação do Google Sync cria contas de usuário federado e sincroniza os usuários com o Adobe Admin Console. Os administradores também podem desprovisionar usuários adicionados por meio do Google usando os três métodos a seguir (no Admin Console do Google):
Essas três operações desabilitam os usuários no Adobe Admin Console. Um usuário com deficiência não pode mais fazer logon e mostra como Desativado na lista de Usuários do diretório. O Google Sync continua gerenciando um usuário desprovisionado por um desses métodos. Nem a conta do usuário nem os ativos armazenados na nuvem são removidos da organização.
Remover um usuário e dados associados do Admin Console: Escolha Ir para configurações na guia Configurações do diretório > Sincronização e clique em Ativar edição. Em seguida, navegue até Usuários > Usuários de diretório e escolha o usuário da lista para excluir permanentemente a conta.
Quando a edição é ativada, ela permite fazer alterações nos dados sincronizados por até uma hora antes de ser desativada automaticamente. Recomendamos clicar em Desativar edição imediatamente após a remoção do usuário para garantir que as alterações no Admin Console sejam as mesmas do Admin Console do Google.
Se você excluir permanentemente um usuário, ele será excluído juntamente com todos os ativos armazenados na nuvem pertencentes a ele. O usuário e os ativos não poderão ser recuperados depois que essa ação for executada.
A Adobe tem uma política de quarentena para lidar com várias chamadas de erro durante as operações de sincronização.
O serviço da Adobe monitora de forma independente a integridade da sincronização para verificar quando a taxa de erro ultrapassa certo limite em determinado período. Um número mínimo de solicitações que resultem em um erro que atinja o limite determinará a quarentena temporária, resultando na rejeição de todas as chamadas e solicitações de atualização do Admin Console do Google por determinado período, após o qual as chamadas serão aceitas novamente para nova tentativa de sincronização. Se as chamadas de erro persistirem, a sincronização será colocada em teste temporário por um longo período em quarentena. Se a quarentena for iniciada pela Adobe, ela também poderá levar a uma quarentena subsequente com o Google em razão das chamadas rejeitadas, que contarão para as taxas de erro do Google. Observe que a Adobe se reserva o direito de atualizar os parâmetros de quarentena com base em análise de dados contínua.
O Google pode colocar a sincronização em quarentena com base na taxa de erros.
Ao gerenciar o Google Sync pelo Admin Console do Google, você precisa estar ciente de que há um conjunto de mensagens de erro comuns exibidas. Compreender a causa das várias mensagens de erro ajudará na solução de problemas quando ocorrerem erros.
Você pode encontrar logs de sincronização e logs de erro na seção Provisionamento automático do aplicativo SAML da Adobe no Admin Console do Google. Saiba mais sobre como monitorar sua implantação no Admin Console do Google.
Erros de sincronização de UO do Google
Você pode encontrar erros de sincronização ao sincronizar unidades organizacionais do Google com o Adobe Admin Console. Os registros do Google exibem os seguintes erros:
Como o Adobe Admin Console usa o serviço Google Sync, todos os problemas de sincronização são detectados no Admin Console do Google. Você pode consultar as instruções de configuração do Google para resolver alguns problemas comuns. Se você não conseguir encontrar uma solução, recomendamos que entre em contato com o suporte ao cliente do Google para obter mais assistência.
Siga as instruções abaixo para diagnosticar um problema de sincronização:
Confirme sua configuração:
Verifique se configurou os usuários e grupos de acordo com as instruções de configuração:
Confirme o mapeamento dos detalhes do usuário.
Se você quiser sincronizar unidades organizacionais do Google, verifique se o mapeamento de atributos do Provisionamento de usuários inclui o caminho da unidade organizacional como urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit .
Monitore seu aplicativo de provisionamento para descobrir problemas que podem afetar a sincronização:
Se os usuários não aparecerem nos logs de provisionamento, eles podem estar fora do escopo. Se os registros de provisionamento mostrarem um problema, corrija-o para permitir que o usuário sincronize.
Permitir a edição de dados sincronizados no Adobe Admin Console:
Depois que permitir a edição, você poderá editar os dados sincronizados no Adobe Admin Console por um breve período. Todas as edições durante esse período não afetam as informações do usuário no Admin Console do Google. Posteriormente, as solicitações de mudança do seu provedor de identidade sobrescreverão automaticamente essas breves mudanças.