Configuration SSO avec Azure AD Connector

Azure AD Connector intègre Microsoft Azure Active Directory (AD) au portail Adobe Admin Console afin de simplifier le processus de configuration SSO pour les utilisateurs Azure Identity. Avec Azure AD Connector, vous pouvez automatiser les processus de gestion des utilisateurs et d’attribution des licences afin de configurer l’authentification unique (SSO) en quelques minutes seulement.

Attention :
  • La suppression d’utilisateurs révoque l’accès aux produits, services et stockage. Pour préparer la synchronisation Azure AD Connector, demandez à vos utilisateurs Federated de télécharger et de sauvegarder les fichiers requis avant leur suppression définitive du portail Admin Console. Si votre organisation compte déjà un grand nombre d’utilisateurs Federated actifs dans le répertoire ou utilise un processus de gestion d’utilisateurs distinct, tel que l’outil de synchronisation des utilisateurs, il est recommandé de ne pas adopter Connector pour le moment.
  • Vous ne pouvez pas établir la synchronisation Azure avec le service cloud Azure Government. Utilisez la méthode SAML pour configurer l’authentification unique avec Microsoft Azure.
  • Si vous avez une authentification unique basée sur SAML et configurée avec Microsoft Azure Identity, nous vous recommandons de conserver votre configuration actuelle. Une fonctionnalité future vous permettra d’ajouter une fonction de synchronisation en plus de votre configuration existante.

Présentation

Configuration SSO à l’aide d’Azure AD Connector (Durée : 2 min)

Vous pouvez configurer l’authentification unique (SSO) avec Microsoft Azure Active Directory (Azure AD) pour gérer les utilisateurs et les droits d’accès de vos applications et services Adobe. Le portail Adobe Admin Console utilise Azure AD en tant que fournisseur d’identité (IdP). 

Azure AD Connector combine les processus de création de répertoire, de dépôt de domaine, de configuration de l’authentification unique et de planification du produit en un simple processus sur le portail Adobe Admin Console. Connector contient également un mécanisme intégré pour synchroniser les utilisateurs et les groupes d’utilisateurs entre les deux systèmes, éliminant ainsi le processus en plusieurs étapes requis pour la configuration manuelle. Les utilisateurs Azure AD synchronisés avec le portail Adobe Admin Console sont uniques et peuvent être attribués à un ou plusieurs profils de produit. Connector peut gérer la relation entre plusieurs clients Azure AD et portails Adobe Admin Console.

Une fois que la configuration du Connector est terminée, les utilisateurs et groupes sélectionnés sont synchronisés depuis Azure AD. Ensuite, la synchronisation est effectuée périodiquement pour garder à jour les informations relatives aux utilisateurs dans le portail Adobe Admin Console. Les administrateurs système du portail Admin Console peuvent afficher les domaines synchronisés, les utilisateurs associés et les groupes d’utilisateurs dans la section Paramètres du portail Adobe Admin Console.

Remarque :

Une fois la configuration initiale terminée, le cycle de synchronisation continue de gérer les modifications apportées sur Azure Portal et le portail Admin Console. Vous pouvez déclencher la synchronisation manuellement ou la laisser s’exécuter périodiquement. Il est recommandé de gérer les utilisateurs/groupes d’utilisateurs/domaines uniquement sur Azure Portal.

Les utilisateurs et leurs droits d’accès aux produits sont gérés en ajoutant ou en supprimant un utilisateur du groupe d’utilisateurs Azure AD correspondant. Au cours de la synchronisation, un utilisateur est ajouté ou supprimé du groupe Adobe synchronisé et les droits associés sont accordés ou révoqués. Un utilisateur Federated synchronisé avec Azure AD Connector existe en tant qu’utilisateur du répertoire dans le portail Adobe Admin Console. Par conséquent, le fait de supprimer un utilisateur via le groupe Azure AD correspondant révoque les droits de l’utilisateur et l’empêche de se connecter. Toutefois, l’utilisateur ne sera pas supprimé définitivement. Supprimer définitivement le compte de l’utilisateur de la base d’utilisateurs du répertoire dans le portail Adobe Admin Console supprimera définitivement tout actif ou contenu associé au compte de l’utilisateur.

Avantages de l’intégration Azure AD

Les principaux avantages du passage à l’intégration d’Azure AD avec le portail Adobe Admin Console sont les suivants :

  • Pas de répétition d’étapes telles que le dépôt de domaine, la création de groupe, etc., car les deux systèmes sont directement connectés
  • Configuration rapide et lancement de la synchronisation par l’intermédiaire d’un flux de travaux fluide
  • Microsoft Azure AD est l’endroit unique où toutes les actions sont effectuées, y compris la gestion des utilisateurs et l’attribution des licences
  • Intégration et retrait des utilisateurs facile directement à partir des groupes associés dans Azure AD
  • Moins de travail humain nécessaire pour administrer les deux systèmes
  • Aucun service ni aucune configuration d’API supplémentaire n’est requis pour la synchronisation avec le portail Adobe Admin Console, étant donné que l’approbation directe pour gérer les utilisateurs et les répertoires est déjà définie dans le système Azure AD

Conditions préalables

Pour intégrer la gestion des utilisateurs du portail Adobe Admin Console à Azure AD, vous devez disposer des éléments suivants :

  • Microsoft Azure AD en tant que fournisseur d’identité (IdP)
  • Un ou plusieurs des produits suivants : Creative Cloud abonnement Entreprise, Document Cloud abonnement Entreprise ou Experience Cloud 
  • Les domaines associés à Azure AD ne sont pas déposés dans le portail Adobe Admin Console. Vous pouvez également retirer facilement les dépôts de domaine en attente.

Si vous avez déjà configuré l’authentification unique avec Azure AD à l’aide du SAML Connector personnalisé, vérifiez les points suivants :

Le tableau ci-dessous présente les fonctionnalités actuelles et à venir d’Azure AD Connector. Utilisez ce tableau pour décider s’il serait actuellement avantageux pour votre organisation de passer à ce système.

Composants Fonctionnalités Azure AD Connector (version actuelle) Azure AD Connector (version future)
Créer un répertoire Synchronisation des domaines validés
Synchronisation des groupes d’utilisateurs avec des utilisateurs Federated ID
Migrer un répertoire Migration des domaines déposés avec Adobe vers la configuration d’intégration Azure AD
Déplacement de la configuration d’authentification unique définie manuellement vers la configuration d’intégration Azure AD

Scénarios d’intégration pris en charge

L’Azure AD Connector prend en charge des scénarios avec plusieurs clients Azure AD et plusieurs portails Admin Console. Les scénarios pris en charge comprennent :

Un pour un

L’organisation entretient une relation de type « un pour un » entre un seul client Azure et un seul portail Adobe Admin Console avec la synchronisation établie via Azure AD Connector pour gérer les utilisateurs et fournir des licences.

Un pour plusieurs (mandataire)

L’organisation dispose de plusieurs portails Adobe Admin Console avec une relation principale ou mandataire, ce qui permet aux portails Admin Console mandataires de tirer parti de la configuration de l’authentification unique établie sur le portail Admin Console principal. Dans ce cas, l’Azure AD Connector ne gère que les utilisateurs du portail Admin Console principal.

Le portail Adobe Admin Console mandataire peut tirer parti de la configuration SSO. Cependant, les utilisateurs doivent être synchronisés avec le portail Admin Console principal avant d’être ajoutés au portail Admin Console mandataire manuellement ou via le service de gestion des utilisateurs (Transfert manuel au format CSV, Outil de synchronisation des utilisateurs ou API User Management, par exemple).

Plusieurs pour un

L’organisation compte plusieurs clients Azure AD qui alimentent un seul portail Adobe Admin Console pour la gestion des utilisateurs et l’attribution de licences. Azure AD Connector peut établir une synchronisation à plusieurs clients pour un seul portail Admin Console afin d’activer l’authentification unique et la gestion des utilisateurs pour tous les clients connectés.

Un pour plusieurs

L’organisation a un seul client Azure AD qui alimente plusieurs portails Adobe Admin Console. L’Azure AD Connector peut être utilisé pour synchroniser des utilisateurs à partir d’une source de répertoire unique vers différents portails Adobe Admin Console pour la même organisation.

Configuration d’Azure AD Connector

Si vous remplissez les critères mentionnés dans la section des conditions préalables, il est temps de configurer l’intégration et de permettre à vos utilisateurs de commencer à utiliser leurs droits.

Remarque :

Azure ne synchronise pas les utilisateurs qui font partie de groupes masqués sur le portail Azure. Pour synchroniser les utilisateurs des groupes qui possèdent l’attribut « HiddenMembership », créez un nouveau groupe sur le portail Azure et copiez les utilisateurs correspondants dans le nouveau groupe.

Configurez vos utilisateurs et groupes à l’aide du portail Azure.
  • Déposez des domaines et configurez Azure AD.
  • Ajoutez des Groupes et des Utilisateurs en fonction de la classification souhaitée dans le portail Adobe Admin Console. Il est conseillé de créer des groupes en fonction des besoins en produits de leurs utilisateurs.
  • Assurez-vous que le nombre d’utilisateurs d’un groupe corresponde au nombre de licences disponibles pour les profils de produit correspondants dans le portail Admin Console. Cependant, cela peut aussi être géré plus tard.

Une fois le portail Azure configuré et prêt à être utilisé, procédez comme suit :

  1. Connectez-vous au portail Adobe Admin Console et cliquez sur Paramètres. Sur la page Identité, cliquez sur Créer le répertoire

  2. Dans l’écran Créer un répertoire, procédez comme suit et cliquez sur Commencer.

    • Donnez un nom au répertoire
    • Sélectionnez la carte Federated ID
    Federated Id

  3. Sélectionnez Microsoft Azure, cliquez sur Suivant, puis cliquez sur Se connecter à Azure sur l’écran suivant.

    Microsoft Azure

  4. Vous êtes redirigé vers la page de connexion au compte Microsoft. Entrez les informations d’identification de l’administrateur avec le rôle d’administrateur global Microsoft et cliquez sur Se connecter. Vérifiez l’invite de consentement puis cliquez sur Accepter pour autoriser l’accès en lecture seule d’Adobe Azure AD Connector à votre client Azure AD.

    Autorisation de connexion Azure

    Remarque :

    La connexion en tant qu’administrateur global Microsoft est nécessaire uniquement dans les cas suivants :

    • Configuration initiale d’Azure AD Connector
    • Ajout d’un nouveau groupe d’utilisateurs ou domaine de sécurité Azure AD dans Microsoft Azure AD

    Une fois établi, l’administrateur système du portail Adobe Admin Console peut modifier les groupes et domaines synchronisés depuis Azure AD dans le répertoire correspondant.

  5. Revenez au portail Adobe Admin Console, examinez vos informations Azure AD et cliquez sur Confirmer.

    Confirmer le répertoire

  6. Sélectionnez le domaine Azure AD par défaut (par exemple, AdobeTestDir.omnimicrosoft.com) et les autres domaines validés sur Azure AD à synchroniser avec le portail Adobe Admin Console et cliquez sur Suivant.

    Dépôt de domaines

    Remarque :

    Seuls les domaines dotés du statut Propriété validée peuvent être sélectionnés et synchronisés. Les domaines avec le statut Propriété non validée et Détenu par une autre organisation ne peuvent pas être synchronisés sans validation dans Azure Portal.

  7. Recherchez dans la liste de Groupes et sélectionnez les groupes à synchroniser avec le portail Adobe Admin Console. Puis cliquez sur Enregistrer et terminer la configuration.

    Synchroniser les groupes

    Les domaines et répertoires validés commencent à être synchronisés à partir d’Azure AD. Des détails tels que les utilisateurs synchronisés sont affichés dans la section Détails sous l’onglet Paramètres.

    Écran de synchronisation

    Remarque :


    Quels que soient les types d’identité, le Connector synchronise tous les utilisateurs ayant des types d’identité compatibles (à l’exception des identités Federated) qui existent dans le portail Adobe Admin Console et leur crée un Federated ID correspondant. Vous pourrez ensuite migrer ces utilisateurs vers des Federated ID à l’aide du document Gestion des comptes d’utilisateur existants.

À chaque synchronisation, tous les utilisateurs et groupes d’utilisateurs sont importés dans le portail Adobe Admin Console. Créez des profils de produits appropriés et associez-les à des groupes d’utilisateurs pour affiner l’attribution des produits entre les utilisateurs. Pour plus d’informations, consultez la section Gestion de produits et de profils.

Remarque :

Lorsque les produits désignés sont attribués aux utilisateurs, ils reçoivent une notification par e-mail. Les utilisateurs peuvent directement télécharger et installer l’application pour postes de travail Creative Cloud. S’ils ne disposent pas des autorisations d’administrateur, suivez l’étape suivante pour créer et déployer des packs.

Pour fournir un accès aux applications à vos utilisateurs finaux, créez et déployez les packs d’application sur leurs ordinateurs. Les utilisateurs devront se connecter à l’aide de leurs informations d’identification par authentification unique pour pouvoir utiliser les applications et les services.

 Pour plus d’informations, consultez la section Création de packs de licences d’utilisateurs nominatifs.

Gestion des comptes utilisateur existants

Des étapes supplémentaires sont nécessaires pour convertir tous les utilisateurs avec des identifiants existants autres que Federated ID en type d’identité Federated ID et pour reconfigurer l’authentification unique avec Azure AD via le Connector si elle est déjà définie dans le portail Admin Console.

Attention :

L’utilisateur Federated synchronisé ne doit se voir attribuer aucun produit lors de la modification d’identité. Celle-ci doit être effectuée directement après la synchronisation, mais avant toute attribution de produit.

Les utilisateurs disposant d’identifiants existants autres que Federated ID dans le portail Admin Console peuvent être migrés vers un compte Federated ID une fois l’Azure AD Connector établi. Une fois la conversion effectuée, Connector synchronise ces comptes avec succès.

Pour vous assurer que tous les actifs stockés dans le cloud sont migrés vers le nouveau type d’identité de l’utilisateur, suivez la procédure suivante :

  1. Configurez l’Azure AD Connector et synchronisez les utilisateurs, y compris ceux qui ont déjà un identifiant autre que Federated ID sur le portail Adobe Admin Console. Tous les utilisateurs avec des identifiants existants autres que Federated ID ont désormais un Federated ID et un identifiant autre que Federated ID dans le portail Adobe Admin Console.

  2. Suivez les étapes indiquées dans la section Modifier le type d’identité par CSV pour transformer les utilisateurs avec un identifiant existant autres que Federated ID en Federated ID. Assurez-vous de faire correspondre les détails suivants :

    • Faites correspondre les champs Nom d’utilisateur et Adresse électronique avec les champs Nom d’utilisateur (UserPrincipalName) dans Azure AD.
    • Faites correspondre les champs Prénom et Nom de famille avec les champs correspondants dans Azure AD.

Lors de la connexion avec le nouveau Federated ID, l’utilisateur sera invité à migrer automatiquement les actifs stockés dans le cloud vers le nouveau compte.

Si vous avez une configuration d’authentification unique en cours d’exécution avec Azure AD et souhaitez passer à la configuration basée sur Azure AD Connector, vous devez d’abord supprimer tous les utilisateurs et domaines associés au répertoire existant. Ensuite, rétablissez-les en les synchronisant avec la configuration d’Azure AD Connector.

Remarque :

Dans une future mise à jour, Azure AD Connector aura une fonctionnalité de migration en libre-service et permettra à un répertoire Federated établi d’être migré (avec tous les domaines et utilisateurs de répertoire associés) et d’être synchronisé à partir d’Azure AD via Connector (sans supprimer d’utilisateurs du répertoire, de domaines ni de répertoires.)

  1. Demandez à vos utilisateurs actifs Federated ID de sauvegarder leurs actifs stockés sur le cloud manuellement.

    Attention :

    Les utilisateurs qui ne sauvegardent pas leurs actifs perdront leurs données de manière permanente.

  2. Allez à la section Utilisateurs et ouvrez la section Utilisateurs du répertoire à partir du volet gauche. Choisissez le répertoire Federated à supprimer. Supprimez tous les utilisateurs Federated ID du répertoire.

  3. Allez à Paramètres > Identité > Domaines et sélectionnez les domaines associés au répertoire existant. Ensuite, sélectionnez Supprimer le domaine. Suivez ensuite les mêmes étapes pour supprimer les répertoires associés.

  4. Une fois que le répertoire Federated, les domaines associés et les utilisateurs Federated ID respectifs supprimés, commencez l’implémentation d’Azure AD Connector.

Suppression de répertoires et de domaines

Remarque :
  • Pour supprimer un répertoire, vous devez d’abord supprimer tous les utilisateurs, domaines et mandataires qui lui sont associés.
  • Si vous supprimez un utilisateur des utilisateurs du répertoire, l’utilisateur est supprimé avec tous les actifs Creative Cloud qui lui sont associés. L’utilisateur et les actifs ne peuvent alors pas être récupérés.
  1. Dans le portail Admin Console, accédez à votre répertoire Azure Sync en passant par l’onglet Paramètres. Désélectionnez tous les groupes d’utilisateurs et domaines de la synchronisation.

    Dans les détails du répertoire, notez que le nombre d’utilisateurs commence à baisser.

    Attention :

    Ne désactivez pas l’activation/désactivation de la synchronisation.

  2. Attendez que tous les utilisateurs soient supprimés des groupes et domaines désélectionnés dans l’onglet Utilisateurs. Ensuite, accédez à la section Utilisateurs de répertoire et sélectionnez le répertoire approprié, puis supprimez tous les utilisateurs.

    Vous pouvez sélectionner jusqu’à 100 utilisateurs à la fois en bas du tableau des utilisateurs pour une sélection plus rapide.

  3. Une fois que les utilisateurs ont été supprimés de la section Utilisateurs de répertoire, supprimez les domaines associés. Accédez à Paramètres > Identité > Domaines, puis sélectionnez les domaines associés au répertoire Azure de la liste.

  4. Votre répertoire est maintenant prêt à être supprimé. Sélectionnez le répertoire vide dans l’onglet Paramètres pour le supprimer.

Remarque :

Assurez-vous qu’il n’existe aucune approbation de domaine établie pour les domaines en cours de suppression.

Si vous souhaitez conserver cette relation de confiance, rompez-la temporairement pendant l’exécution des étapes restantes. Vous pouvez associer des approbations de domaine une fois que les domaines ont été rétablis dans le portail Adobe Admin Console. En savoir plus sur l’approbation de répertoires.

Résolution des problèmes de synchronisation

Si votre liste d’utilisateurs n’est pas en cours de synchronisation ou si les utilisateurs se voient refuser l’accès lorsqu’ils tentent d’accéder à leurs applications, suivez les étapes pour identifier et résoudre le problème :

  1. Dans Microsoft Azure Portal, accédez à : Azure Active Directory > Surveillance. Pour les problèmes, passez en revue les connexions et les autres journaux.

  2. Confirmez les données utilisateur à l’aide des commandes Powershell suivantes :

    1. Install-Module AzureAD
    2. Connect-AzureAD-Credential (Get-Credential)
    3. Get-AzureADUser-ObjectId <adresse e-mail de l’utilisateur> | FL
  3. Corrigez le problème lié à l’enregistrement Active Directory. Dans la plupart des cas, le problème est dû à une adresse e-mail secondaire qui ne se trouve pas dans le même domaine.

  4. Accédez à Gérer > Utilisateurs pour vérifier si l’utilisateur est membre d’un groupe dans Azure AD. Vérifiez également que ce groupe est synchronisé dans Adobe Admin Console.

Logo Adobe

Accéder à votre compte