Gestione del provisioning degli utenti tramite la Console di amministrazione Google
Controllo dei dati che vengono inviati ad Adobe
Assegna prodotti a più utenti in base alle Google unità organizzative
Google Sync automatizza la gestione degli utenti per la directory di Admin Console. Aggiungi Google Sync a qualsiasi directory federata esistente in Adobe Admin Console indipendentemente dal provider di identità (IdP). Per utilizzare Google Sync, devi archiviare i dati utente dell'organizzazione nella Console di amministrazione Google.
Puoi aggiungere Google Sync a qualsiasi directory in Adobe Admin Console per automatizzare il processo di gestione degli utenti. Google Sync usa il protocollo SCIM per la gestione degli utenti e offre il controllo sulle informazioni dell'utente condivise con Adobe. Gli utenti specificati nella Console di amministrazione Google sincronizzati con Adobe Admin Console possono essere assegnati a uno o più profili di prodotto.
Dopo aver configurato Google Sync, Google inizia a inviare dati ad Adobe Admin Console in base alla configurazione del provisioning di utenti della directory della Console di amministrazione Google. È possibile visualizzare i dettagli della directory nella sezione Impostazioni di Adobe Admin Console.
I principali vantaggi offerti da Google Sync con la directory in Adobe Admin Console sono:
Gestione del provisioning degli utenti tramite la Console di amministrazione Google
Controllo dei dati che vengono inviati ad Adobe
Assegna prodotti a più utenti in base alle Google unità organizzative
Aggiunta della sincronizzazione alle directory precedentemente configurate
Aggiunta di Google Sync ad altre directory IdP
Semplicità di aggiunta o rimozione di utenti tramite la Console di amministrazione Google
Non sono necessari altri servizi o configurazioni di API
Per integrare la gestione degli utenti di Adobe Admin Console con la Console di amministrazione Google, è necessario:
Scenario di configurazione della directory |
Metodo per aggiungere la sincronizzazione |
---|---|
Da singolo tenant della Console di amministrazione Google a singola Adobe Admin Console |
Segui la procedura Aggiungi Sync per stabilire Google Sync. |
Più directory federate con uno o più domini che appartengono allo stesso tenant della Console di amministrazione Google. |
|
Più directory federate con uno o più domini che appartengono a diversi tenant della Console di amministrazione Google. |
|
Completa i seguenti passaggi per visualizzare le procedure consigliate e Adobe Recommendations prima di configurare Google Sync:
In Adobe Admin Console, seleziona Impostazioni > Directory Dettagli > Sincronizzazione. Fai clic su Aggiungi Sync.
Seleziona Go to Google Admin Console (Vai alla Console di amministrazione Google) e accedi con un account amministratore. Quindi, segui i passaggi nella pagina delle istruzioni in Adobe Admin Console per configurare il provisioning automatico degli utenti.
Puoi sincronizzare unità organizzative (UO) Google con la directory abilitata per Google sync nella Admin Console. Ciascuna unità organizzativa (compresa l'unità organizzativa principale) nella Admin Console Google viene sincronizzata come un gruppo separato insieme agli utenti associati.
Ad esempio, sono presenti tre utenti nella Admin Console Google (Utente A, Utente B e Utente C) in unità organizzative separate. La tabella seguente mostra come questi utenti verranno aggiunti ai gruppi corrispondenti in Adobe Admin Console (l'utente B e l'utente C vengono aggiunti a più gruppi):
Utente |
Unità organizzativa Admin Console Google |
Gruppo di utenti Adobe Admin Console |
---|---|---|
Utente A |
Unità organizzativa principale |
OU-/ |
Utente B |
“/Sales” |
1. OU-/ 2. OU-/Sales |
Utente C |
“/Sales/Germany” |
1. OU-/ 2. OU-/Sales 3. OU-/Sales/Germany |
Devi configurare le tue unità organizzative Google in base agli obblighi di licenza prima di sincronizzarle con Adobe Admin Console.
Quindi, accedi alla Google Admin Console e passa a App > App per Web e dispositivi mobili > seleziona App Adobe SAML > passa a Provisioning automatico > seleziona Modifica mappatura degli attributi.
Nella finestra Attributi , seleziona il Percorso unità organizzativa dal menu a discesa rispetto all'attributo app urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit.
Un amministratore di sistema può aggiornare le impostazioni per Origine sincronizzazione una volta completata la configurazione scegliendo Seleziona impostazioni dalla scheda Impostazioni della directory > Sincronizzazione. Le opzioni di configurazione includono:
Consenti la modifica dei dati sincronizzati in Admin Console: una volta stabilito Google Sync, tutti gli utenti in una directory passano automaticamente alla gestione della sincronizzazione. Dopo aver abilitato la modifica, potrai modificare i dati sincronizzati in Admin Console per un breve periodo. Qualsiasi modifica durante questo periodo non influisce sulle informazioni utente nella Console di amministrazione Google ma viene sovrascritta dalle richieste di modifica dal provider di identità.
Per impostazione predefinita, è necessario modificare i dati sincronizzati dal provider di identità e consentire la propagazione delle modifiche tramite la sincronizzazione. Si consiglia di non modificare manualmente i dati in Adobe Admin Console a meno che non sia necessario.
Stato di sincronizzazione: indica a Google Sync di rifiutare le richieste di modifica dalla Console di amministrazione Google. Una volta che lo stato dello strumento User Sync è Off, le modifiche nella Console di amministrazione Google (origine informazioni utente) non verranno inviate ad Adobe Admin Console.
Modifica della configurazione della sincronizzazione degli utenti: reindirizza alle istruzioni di configurazione per modificare la sincronizzazione degli utenti. Utilizza questa opzione se il modale viene chiuso prima di completare la configurazione della sincronizzazione o se devi apportare modifiche nella Console di amministrazione Google dopo la configurazione iniziale.
Gli amministratori possono scegliere di rimuovere la sincronizzazione da una directory federata all'interno di Admin Console. La rimozione della sincronizzazione lascia intatti la directory e i domini, i gruppi di utenti e gli utenti associati, ma rimuove la modalità di sola lettura dalla directory e dagli utenti e i gruppi associati.
Per rimuovere la sincronizzazione da una directory, scegli Seleziona impostazioni dalla scheda Impostazioni directory> Sincronizzazione e quindi seleziona Rimuovi sincronizzazione. Disattiva anche il provisioning automatico per l'app Adobe SAML dalla Console di amministrazione Google per evitare la quarantena. Questa azione rimuoverà definitivamente la configurazione della sincronizzazione da Adobe Admin Console. Se necessario, puoi ripristinare la sincronizzazione con la stessa directory o con una differente.
Non è possibile spostare domini da o verso una directory gestita da Google Sync. Dopo aver rimosso Google Sync dalla directory di origine e/o di destinazione, un dominio della stessa directory può essere spostato in un'altra directory di destinazione e i domini di altre directory di origine possono essere spostati nella directory che non è più gestita da Google Sync.
L'implementazione di Google Sync crea nuovi account utente federati e sincronizza gli utenti con Adobe Admin Console. Gli amministratori possono anche eseguire il deprovisioning di utenti e gruppi aggiunti tramite Google Sync, utilizzando i tre metodi seguenti (nella Console di amministrazione Google):
Queste tre operazioni disabilitano gli utenti in Adobe Admin Console. Un utente disabilitato non può più accedere e viene visualizzato come Disabilitato nell'elenco Utenti della directory . Google Sync continua a gestire un utente di cui è stato eseguito il deprovisioning con uno di questi metodi. Né l'account dell'utente né le risorse archiviate nel cloud vengono rimosse dall'organizzazione.
Rimuovere un utente e i dati associati da Admin Console: scegli Seleziona Impostazioni dalla scheda Impostazioni della directory > Sincronizza e fai clic su Attiva modifica. Quindi seleziona Utenti > Utenti della directory e scegli l'utente dall'elenco per eliminare definitivamente l'account.
Una volta abilitata la modifica è possibile modificare i dati sincronizzati per un'ora, prima che venga disabilitata automaticamente. Si consiglia di fare clic su Disattiva modifica immediatamente dopo la rimozione dell'utente per garantire che le modifiche della Console di amministrazione Google vengano applicate anche in Adobe Admin Console.
Se lo elimini definitivamente, l’utente viene eliminato con tutte le sue risorse archiviate nel cloud. Una volta eseguita l'azione, l’utente e le risorse non possono essere recuperati.
Adobe dispone di una policy di quarantena per gestire numerose chiamate di errore durante le operazioni di sincronizzazione.
Il servizio di Adobe monitora in modo indipendente l'integrità della sincronizzazione per verificare quando il tasso di errore supera una determinata soglia in un determinato periodo di tempo. Un numero minimo di richieste che generano un errore che soddisfa la soglia attiverà la quarantena temporanea, con il risultato di rifiutare tutte le chiamate e le richieste di aggiornamento dalla Console di amministrazione Google per un periodo di tempo. Successivamente, le chiamate verranno nuovamente accettate per il nuovo tentativo di sincronizzazione. Se le chiamate di errore persistono, la sincronizzazione verrà posta in prova temporanea per un periodo di tempo prolungato in quarantena. Se la quarantena viene avviata da Adobe, potrebbe anche portare a una quarantena successiva con Google a causa delle chiamate rifiutate, che conterà ai fini dei tassi di errore in Google. Nota: Adobe si riserva il diritto di aggiornare i parametri di quarantena in base all'analisi dei dati in corso.
Google potrebbe mettere in quarantena la sincronizzazione in base al tasso di errore.
Viene visualizzato un gruppo di messaggi di errore comuni, da tenere presenti durante la gestione di Google Sync dalla Google Admin Console. Comprendere la causa dei vari messaggi di errore semplificherà la risoluzione dei problemi quando si verificano.
È possibile trovare i registri di sincronizzazione e i registri di errore nella sezione Provisioning automatico dell'app Adobe SAML nella Console di amministrazione Google. Ulteriori informazioni sul monitoraggio della distribuzione nella Google Admin Console.
Errori di sincronizzazione dell'unità organizzativa Google
Potresti riscontrare problemi di sincronizzazione durante la sincronizzazione delle unità organizzative Google con Adobe Admin Console. I log di Google mostrano i seguenti errori:
Poiché Adobe Admin Console usa il servizio Google sync, tutti i problemi di sincronizzazione vengono risolti all'interno della Console di amministrazione Google. È possibile fare riferimento alle Istruzioni di configurazione di Google per risolvere alcuni problemi comuni. Se non riesci a trovare una soluzione, ti consigliamo di contattare l'assistenza clienti Google per ulteriore assistenza.
Segui le istruzioni di seguito per diagnosticare un problema di sincronizzazione:
Conferma la tua configurazione:
Assicurati di aver configurato gli utenti e i gruppi secondo le istruzioni di configurazione:
Conferma della mappatura dei dettagli dell'utente.
Se desideri sincronizzare le unità organizzative Google, assicurati che l'associazione degli attributi di provisioning degli utenti includa il Percorso unità organizzativa come urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit .
Monitoraggio dell'applicazione di provisioning per scoprire problemi che potrebbero influire sulla sincronizzazione:
Se gli utenti non vengono visualizzati nei log di provisioning, potrebbero essere fuori dall'ambito. Se i log di provisioning segnalano un problema, correggilo per consentire all'utente di effettuare la sincronizzazione.
Consentire la modifica dei dati sincronizzati in Adobe Admin Console:
Dopo aver abilitato la modifica, potrai modificare i dati sincronizzati in Adobe Admin Console per un breve periodo. Eventuali modifiche durante questo periodo non influiscono sulle informazioni utente nella Console di amministrazione Google. Successivamente, le richieste di modifica del provider di identità sovrascrivono automaticamente queste brevi modifiche.