Foire aux questions | Authentification et synchronisation Azure AD

Ce document aborde les questions courantes rencontrées lors de la configuration d’Azure Sync avec un répertoire Federated. Des informations supplémentaires concernant la version héritée d’Azure Connector sont également disponibles pour référence.

Azure Sync | Considérations importantes et questions courantes

Vous pouvez trouver des réponses à certaines des questions les plus fréquentes et des considérations importantes ci-dessous :

Si vous avez un Azure AD Connector mis en place, nous vous recommandons de conserver votre configuration actuelle. Une fonctionnalité de migration en libre-service vous permettra de migrer vers la nouvelle version d’Azure Sync.

Nous vous recommandons vivement de conserver votre configuration Azure AD Connector jusqu’à ce que la migration en libre-service soit disponible. À l’heure actuelle, la migration vers la nouvelle version d’Azure Sync peut interrompre les services et entraîner la perte d’actifs pour vos utilisateurs.

Si vous avez des questions relatives à Azure AD Connector, consultez la FAQ ici.

Oui. Azure Sync dissocie l’adresse e-mail du nom d’utilisateur. Cela permet aux utilisateurs d’utiliser une valeur d’e-mail et de nom d’utilisateur différente pour valider la connexion et accéder aux produits/services Adobe, collaborer, partager des fichiers, etc.

Oui. Vous pouvez synchroniser des groupes imbriqués à partir d’Azure AD via l’intégration Azure Sync.

Cependant, les groupes imbriqués ne sont pas automatiquement synchronisés lorsque le nœud parent du groupe est ajouté à la portée de synchronisation. Les groupes imbriqués doivent également être ajoutés à la portée pour être inclus dans la synchronisation automatique.

Oui. Toute mise à jour dans Azure AD est reflétée dans le répertoire Adobe Admin Console. Cela inclut des attributs comme le prénom, le nom, l’adresse e-mail, etc.

Oui. Pour utiliser Azure Sync avec un répertoire existant, vos utilisateurs doivent être gérés dans une instance Azure AD.

Les cycles de synchronisation sont contrôlés par Azure, ils ont lieu une fois toutes les 40 minutes. Le temps nécessaire pour ajouter et/ou mettre à jour des utilisateurs dans Adobe Admin Console dépend du nombre d’utilisateurs faisant partie de la synchronisation.

 

La colonne État du compte apparaît dans les deux listes Utilisateurs et Utilisateurs du répertoire pour informer les administrateurs de l’état actuel d’un utilisateur spécifique.

Concernant les utilisateurs fédérés avec Azure Active Directory, ils sont gérés en mode lecture seule via Azure Sync, et l’état dépend de leur statut au sein du répertoire de l’entreprise. Seul l’état Actif apparaîtra sur la liste Utilisateurs des utilisateurs synchronisés. Un utilisateur qui est supprimé de la portée de synchronisation dans AD n’apparaîtra plus sur la liste Utilisateurs mais figurera toujours sur la liste Utilisateurs du répertoire, avec l’état Désactivé.

  • Actif = Compte utilisateur disponible pour la connexion SSO et l’accès à la licence. Si la synchronisation est configurée, l’utilisateur actif est pris en compte dans la synchronisation automatique.

  • Désactivé= Compte utilisateur non disponible pour la connexion SSO ou l’accès à la licence. Si la synchronisation est configurée, un utilisateur désactivé n’est plus concerné par la synchronisation dans le répertoire de l’entreprise, ce qui empêche l’utilisateur de se connecter à son compte ou aux licences actives, mais ses actifs stockés dans le cloud sont toujours disponibles. Un utilisateur désactivé n’apparaîtra que dans la liste Utilisateurs du répertoire et le compte Adobe d’un utilisateur ne peut être supprimé définitivement que de la liste Utilisateur du répertoire.

Si votre organisation utilise l’outil de synchronisation des utilisateurs ou une intégration UMAPI, vous devez d’abord suspendre la forme alternative de synchronisation, puis suivre les étapes de configuration d’Azure Sync pour automatiser la gestion des utilisateurs à partir d’Azure Portal.

L’outil de synchronisation des utilisateurs ou l’intégration UMAPI peut être supprimé(e) complètement une fois Azure Sync configuré et exécuté.

Un ensemble de messages d’erreur courants peuvent s’afficher et sont à prendre en compte lors de la gestion d’Azure Sync à partir d’Azure AD. Comprendre la cause des différents messages d’erreur aidera à résoudre les erreurs lorsqu’elles se produisent.

En savoir plus à propos de la surveillance de votre déploiement dans Azure AD.

Oui. Vous pouvez choisir de désactiver ou même de supprimer Azure Sync d’un répertoire Federated. Cela supprime la synchronisation automatique, mais laisse le répertoire, les domaines et les utilisateurs du répertoire intacts.

Lors de la suppression de la synchronisation, la Mise en service des utilisateurs doit également être désactivée pour l’ancienne synchronisation d’Azure AD afin d’éviter la mise en quarantaine du répertoire par Azure AD.

Par défaut, lorsque les utilisateurs ne sont plus gérés via Azure Sync, ils sont désactivés uniquement pour éviter toute perte de données accidentelle.

Pour supprimer définitivement les utilisateurs, vous devez activer la modification des utilisateurs synchronisés depuis l’onglet Synchronisation et supprimer manuellement les utilisateurs dans Admin Console.

Azure AD Connector (hérité) | Questions fréquentes

Azure AD Connector permet de créer des comptes utilisateur Federated ID uniquement. Vous trouverez plus d’informations sur les options de type d’identité ici.

L’Azure AD Connector ne peut assurer la gestion des utilisateurs que pour le portail Admin Console principal d’une relation de portail Admin Console principal-mandataire. Tous les portails Admin Console mandataires peuvent tirer parti de l’authentification unique avec le répertoire Federated, mais ils doivent utiliser une forme distincte de gestion des utilisateurs (telle que le transfert manuel au format CSV, l’outil de synchronisation des utilisateurs ou l’API de gestion des utilisateurs).

Vous ne pouvez exécuter UST que pour les domaines non gérés par Azure AD. Il y aura un conflit si vous exécutez UST sur un domaine géré par Azure AD.

Oui, et aucune configuration supplémentaire n’est nécessaire.

Oui, le certificat SHA-256 est pris en charge avec l’Azure AD Connector en place.

Prénom, Nom, Nom d’utilisateur, Adresse électronique et Code Pays.

La synchronisation s’exécute toutes les 15 minutes et met à jour le portail Admin Console en fonction des modifications identifiées dans les groupes de sécurité Azure AD alignés. La page d’entrée du Connector a une fonction de Déclencheur de synchronisation disponible dans le portail Admin Console, qui permet à l’administrateur système de forcer une synchronisation à n’importe quel moment pendant l’intervalle de 15 minutes. Cependant, vous pouvez rencontrer un léger retard lorsque vous forcez le Déclencheur de synchronisation si vous utilisez Active Directory sur site.

Suivez ces instructions pour remplacer le type d’identité par Federated ID.

L’Azure AD Connector requiert que les domaines et les répertoires à synchroniser à partir d’Azure AD ne soient pas déjà établis dans le portail Admin Console avec fédération. Si des utilisateurs du répertoire existent, vous devez supprimer définitivement les utilisateurs, domaines et répertoires associés avant l’implémentation du Connector.

Pour en savoir plus, voir configurer l’authentification unique avec Azure AD Connector.

Oui, tant que le répertoire SAML est lié à des domaines déposés distincts.

Oui. Si l’adresse électronique de l’utilisateur est mise à jour dans Microsoft Azure ou Microsoft Office 365, les champs adresse électronique et nom d’utilisateur de portail Admin Console sont mis à jour en conséquence.

Si l’utilisateur fait partie de la synchronisation de groupe et que le nom d’utilisateur du Federated ID correspond à un nom d’utilisateur synchronisé avec Azure AD, le Connector prend en charge et gère le profil. Si l’utilisateur ne fait pas partie de la synchronisation de groupe, il peut s’authentifier tant que son profil correspond au profil Azure AD.

Logo Adobe

Accéder à votre compte