Configuration de la fédération Google pour l’authentification unique avec Adobe

La fédération Google (Google Connector) connecte Google Admin Console à Adobe Admin Console et simplifie le processus de configuration du SSO. Google Connector vous permet d’automatiser les processus de synchronisation des utilisateurs et d’attribution de licences, et ainsi configurer votre SSO en quelques minutes seulement.

Remarque :

Si vous avez une authentification unique basée sur SAML et configurée avec Google Identity, nous vous recommandons de conserver votre configuration actuelle. Une fonctionnalité à venir vous permettra de migrer automatiquement les utilisateurs et la configuration SSO.

Présentation du flux de travaux

Présentation du flux de travaux de la fédération Google

Présentation

Configuration du SSO via Google Connector (temps de visionnage : 2 min)

Configurez le SSO (Single Sign-On, ou authentification unique) via Google Admin Console afin de gérer les utilisateurs et leurs droits pour vos applications et services Adobe. Dans ce scénario, Adobe Admin Console utilise Google en tant que fournisseur d’identité (IdP). 

La fédération Google combine les processus de création de répertoire, de dépôt de domaine, de configuration du SSO, de création d’applications SAML et de mise en service des utilisateurs dans un seul et même flux de travaux simple qui comprend des étapes à réaliser à la fois dans Google Admin Console et dans Adobe Admin Console. Les utilisateurs Google liés avec Adobe Admin Console sont uniques et peuvent être attribués à un ou plusieurs profils de produit.

Une fois la configuration du Connector terminée, une synchronisation initiale importe tous les utilisateurs depuis Google Admin Console. Ensuite, la synchronisation est effectuée périodiquement pour garder à jour les informations relatives aux utilisateurs dans Adobe Admin Console. Les administrateurs système du portail Adobe Admin Console reçoivent un e-mail de notification contenant un récapitulatif des utilisateurs et des groupes ajoutés ou supprimés en cas de modification.

Avantages

En utilisant l’outil de fédération et de synchronisation Google ID, vous gagnez en temps et en efficacité pour plusieurs raisons :

  • Pas de répétition d’étapes telles que le dépôt de domaine, car les deux portails Admin Console sont directement connectés.
  • Configuration rapide et lancement de la synchronisation initiale par l’intermédiaire d’un flux de travaux fluide
  • Google Admin Console devient l’emplacement unique depuis lequel tous les utilisateurs sont gérés
  • Simplicité de l’intégration et du retrait des utilisateurs directement à partir des groupes associés dans l’écran G-Suite
  • Aucun service supplémentaire ou configuration d’API nécessaire pour la synchronisation avec Adobe Admin Console

Conditions préalables

Pour intégrer la gestion des utilisateurs du portail Adobe Admin Console à celle de Google, votre entreprise requiert les points suivants :

  • Vous êtes un administrateur dans le portail Google Admin Console
  • Vous avez des domaines vérifiés dans le portail Google Admin Console
  • Vous connaissez le catalogue d’applications SAML de Google dans G Suite

Scénarios d’intégration pris en charge

Google Connector prend en charge des scénarios avec plusieurs consoles d’administration Google et plusieurs portails Adobe Admin Console. Les scénarios pris en charge comprennent :

L’entreprise entretient une relation de type « un pour un » entre une seule console d’administration Google et une seule Adobe Admin Console avec la synchronisation établie via Google Connector pour gérer les utilisateurs et fournir des licences.

L’entreprise dispose de plusieurs portails Adobe Admin Console avec une relation principale ou mandataire, ce qui permet aux portails Admin Console mandataires de tirer parti de la configuration de l’authentification unique établie sur le portail Admin Console principal. Dans ce cas, Google Connector ne gère que les utilisateurs d'Admin Console principal.

Le portail Adobe Admin Console mandataire peut tirer parti de la configuration SSO. Cependant, les utilisateurs doivent être synchronisés avec Adobe Admin Console principal avant d’être ajoutés à Admin Console mandataire manuellement ou via le service de gestion des utilisateurs (Transfert manuel au format CSV, Outil de synchronisation des utilisateurs ou API User Management, par exemple).

L’entreprise compte plusieurs consoles d’administration Google qui alimentent un seul portail Adobe Admin Console pour la gestion des utilisateurs et l’attribution de licences. Google Connector peut établir une synchronisation à plusieurs clients pour un seul portail Adobe Admin Console afin d’activer l’authentification unique et la gestion des utilisateurs pour tous les clients connectés.

L’organisation a une seule console d’administration Google qui alimente plusieurs instances Adobe Admin Console. Google Connector peut être utilisé pour synchroniser des utilisateurs à partir d’une source de répertoire unique vers différentes instances Adobe Admin Console pour la même organisation.

Configuration de la fédération Google Admin Console

Si vous remplissez les conditions préalables, il est temps de configurer l’intégration et de fournir des applications et des services Adobe à vos utilisateurs finaux.

Configuration de vos utilisateurs via le portail Google Admin Console.

Une fois le portail Google Admin Console configuré et prêt à l’emploi, exécutez les étapes suivantes dans la fenêtre correspondante (Google Admin Console ou Adobe Admin Console) :

  1. Connectez-vous au portail Adobe Admin Console et cliquez sur Paramètres. Sur la page Identité, cliquez sur Créer le répertoire

  2. Dans l’écran Créer un répertoire, procédez comme suit et cliquez sur Commencer.

    • Donnez un nom au répertoire
    • Sélectionnez la carte Federated ID
    Federated Id

  3. Sélectionnez Google, cliquez sur Suivant, puis cliquez sur Se connecter à Google sur l’écran suivant. Vous pouvez suivre les étapes mentionnées dans l’écran d’instructions pour synchroniser les paramètres SAML et les utilisateurs de Google.

    Google

  4. Vous êtes redirigé vers la page de connexion au compte Google. Entrez l’adresse e-mail et le mot de passe de l’administrateur, puis cliquez sur Suivant. Consultez les invites de consentement et accordez les autorisations nécessaires. Cliquez ensuite sur Autoriser pour donner à Adobe.com accès à votre compte Google.

    Autorisation de connexion Azure

  5. Revenez au portail Adobe Admin Console, examinez vos informations G-Suite, puis cliquez sur Confirmer.

    Confirmation des détails de répertoire

  6. Sélectionnez les domaines à synchroniser avec Adobe Admin Console, cliquez sur Synchroniser, puis cliquez sur Suivant.

    Dépôt de domaines

    Remarque :

    Seuls les domaines dotés du statut Propriété validée peuvent être sélectionnés et synchronisés. La propriété d’autres domaines doit être vérifiée dans le portail Google Admin Console avant de démarrer la synchronisation

  7. Pour synchroniser des utilisateurs dans Adobe Admin Console, vous devez créer une application SAML Adobe et configurer la mise en service des utilisateurs dans la console d’administration Google. Suivez les étapes sous Autorisation et configuration de la mise en service des utilisateurs dans Google Admin Console ci-dessous et revenez à l’écran Configurer Google dans le portail Adobe Admin Console. Cliquez ensuite sur Confirmer pour finaliser la configuration.

    Confirmation de la synchronisation des utilisateurs

Pour synchroniser des utilisateurs depuis la console d’administration Google, vous devez suivre les étapes ci-dessous :

  1. Connectez-vous à la Console d’administration Google à l’aide de vos identifiants administrateur. Sur l’écran Accueil, accédez à Applications. Ouvrez ensuite Applications SAML.

  2. Cliquez sur le signe + pour ajouter une nouvelle application SAML et faites défiler vers le bas pour sélectionner Adobe dans la liste. Assurez-vous de sélectionner Adobe et non Adobe Sign dans la liste.

    Sélection de nouvelle application SAML

  3. Téléchargez les métadonnées IDP sous Option 2 sur l’écran Informations IdP Google, puis cliquez sur Suivant. Accédez à l’écran Configurer Google dans Adobe Admin Console et téléchargez ce fichier à l’étape 3 : Transférer les métadonnées Google.

    Informations d’identifiant Google

  4. Confirmez les informations de base pour Adobe sur l’écran suivant et passez à la fenêtre Détails du fournisseur de services. Entrez l’URL ACS et l’ID d’entité fournis sur l’écran Configurer Google. Cochez la case Réponse signée et cliquez sur Terminer.

    Détails du fournisseur de services

  5. Dans la boîte de dialogue Configuration de l’authentification unique pour Adobe, cliquez sur Setup now (Configurer maintenant), puis sur le bouton Set up user provisioning (Configurer la mise en service des utilisateurs) de la section User Provisioning (Mise en service des utilisateurs).

  6. Copiez le jeton d’autorisation et l’URL du point de terminaison Adobe à partir de l’étape 4 de l’écran Configurer Google dans Adobe Admin Console, puis entrez ces valeurs dans les étapes 1 et 2 de la configuration de la mise en service des utilisateurs Google.

  7. À l’étape Map Attributes (Attributs de mappe), conservez les attributs inchangés et cliquez sur Suivant. Si vous souhaitez synchroniser uniquement certains de vos groupes d’utilisateurs, entrez les noms dans la boîte de dialogue Set provisioning scope (Définir l’étendue de la mise en service). Sinon, laissez ce champ vide et synchronisez tout le répertoire. Cliquez ensuite sur Terminer.

    Attributs de mappe

  8. La section User Provisioning (Mise en service des utilisateurs) s’affiche avec l’état de mise en service défini sur OFF (Désactivé). Cliquez sur Modifier le service et sélectionnez Pour tout le monde dans l’état du service, puis cliquez sur Enregistrer.

    Statut des services

  9. Passez en revue la boîte de dialogue User provisioning (Mise en service des utilisateurs), puis cliquez sur Activer pour finaliser la configuration.

  10. L’état de mise en service passe à Activé et un résumé de l’état de la synchronisation s’affiche. Passez ensuite à l’écran Configurer Google pour finaliser la configuration et démarrer la synchronisation des utilisateurs.

    Mise en service des utilisateurs

La synchronisation des domaines et répertoires commence à partir de la console d'administration Google. Des détails tels que les utilisateurs synchronisés sont affichés dans la section Détails sous l’onglet Paramètres.

Détails du répertoire

Une fois la synchronisation terminée, vous pouvez attribuer des produits aux utilisateurs finaux.

Étapes suivantes

Une fois la synchronisation terminée, tous les utilisateurs sont importés dans Adobe Admin Console. Vous pouvez maintenant créer des profils de produits appropriés et les associer à des utilisateurs pour affiner leurs affectations de produits. Découvrez comment gérer des produits et des profils de produit.

Votre entreprise peut décider du mode de déploiement des applications pour les utilisateurs finaux, dans des packs gérés par le service informatique ou en téléchargeant et installant en libre-service l’application pour postes de travail Creative Cloud. Pour plus d’informations, consultez la section relative aux options d’assemblage et de déploiement.

Suppression de répertoires et de domaines

Remarque :
  • Pour supprimer un répertoire, vous devez d’abord supprimer tous les utilisateurs, domaines et mandataires qui lui sont associés.
  • Si vous supprimez un utilisateur des utilisateurs du répertoire, l’utilisateur est supprimé avec tous les actifs Creative Cloud qui lui sont associés. L’utilisateur et les actifs ne peuvent alors pas être récupérés.

Suivez les étapes ci-dessous pour supprimer tous les utilisateurs et domaines associés et supprimer le répertoire Google Sync correspondant :

  1. Connectez-vous à votre portail Google Admin Console et accédez aux détails de l’application Adobe SAML. Pour commencer à supprimer des utilisateurs, désactivez l’application Adobe SAML, mais laissez la mise en service des utilisateurs activée.

    Attention :

    Ne supprimez pas l’application Adobe SAML du portail Google Admin Console au début.

    Si l’application SAML est supprimée, vous devez la recréer. Pour en savoir plus, reportez-vous à l’étape Activation de l’application Adobe dans Configuration de l’authentification unique via SAML pour Adobe.

    Mise en service des utilisateurs
    Exemple d’application Adobe SAML configurée pour la suppression d’utilisateurs

    Une fois configuré, le système Mise en service des utilisateurs de Google commence à envoyer des demandes de retrait d’utilisateurs du portail Adobe Admin Console (ce processus prend jusqu’à 24 heures pour commencer, en fonction de la file d’attente active de Google).

  2. Le nombre d’utilisateurs synchronisés dans les détails du répertoire Google établis diminue.

    Si le nombre d’utilisateurs synchronisés ne diminue pas, consultez la section Échec utilisateur dans le panneau Mise en service des utilisateurs de votre portail Google Admin Console. Si le nombre n’est pas égal à 0, cliquez dessus pour résoudre les erreurs.

    Attention :

    Comme le processus est contrôlé par Google, le traitement de la suppression des utilisateurs peut prendre du temps en fonction du nombre d’utilisateurs.

    Nous vous recommandons de commencer à supprimer des utilisateurs de la section Utilisateurs de répertoire après leur suppression de la section Utilisateurs.

  3. Dans le portail Adobe Admin Console, accédez à la section Utilisateurs de répertoire et sélectionnez le répertoire approprié, puis supprimez tous les utilisateurs.

    Vous pouvez sélectionner jusqu’à 100 utilisateurs à la fois en bas du tableau des utilisateurs pour une sélection plus rapide.

  4. Une fois que les utilisateurs ont été supprimés de la section Utilisateurs de répertoire, supprimez les domaines associés. Accédez aux détails du répertoire Google Sync correspondant et désélectionnez tous les domaines de la synchronisation.

    Ensuite, accédez aux Paramètres > Identité Domaines, puis supprimez les domaines associés au répertoire Google de la liste.

  5. Votre répertoire est maintenant prêt à être supprimé. Sélectionnez le répertoire vide dans l’onglet Paramètres pour le supprimer.

  6. Important : assurez-vous de supprimer l’application Adobe SAML associée dans la console d’administration Google pour empêcher la synchronisation de nouveaux utilisateurs vers Adobe Admin Console. Sinon, cela entraînerait des erreurs, car aucun domaine associé n’est sélectionné dans la console d’administration Google. 

Remarque :

Assurez-vous qu’il n’existe aucune approbation de domaine établie pour les domaines en cours de suppression.

Si vous souhaitez conserver cette relation de confiance, rompez-la temporairement pendant l’exécution des étapes restantes. Vous pouvez associer des approbations de domaine une fois que les domaines ont été rétablis dans le portail Adobe Admin Console. En savoir plus sur l’approbation de répertoires.

Logo Adobe

Accéder à votre compte