Nel documento sono trattate le domande che sorgono frequentemente durante la configurazione di SSO per Adobe Admin Console con Google Admin Console utilizzando la configurazione di federazione Google.

Funzionalità del connettore Google e scenari supportati

In questa sezione sono fornite le risposte alle domande frequenti relative alle funzionalità, agli scenari di integrazione e alle condizioni del connettore Google (configurazione della federazione Google).

Con la configurazione della federazione Google vengono creati solo account utente Federated ID. Scopri ulteriori informazioni sulle opzioni per i tipi di identità qui.

La configurazione della federazione Google può solo fornire la gestione degli utenti per la Console principale in una relazione Console principale/affidabile. Qualsiasi Console affidabile può sfruttare il Single Sign-On con la directory federata, ma deve utilizzare un tipo diverso di gestione degli utenti (ad esempio, caricamento manuale di CSV, strumento di sincronizzazione degli utenti o API di gestione utenti).

Si può eseguire lo strumento di sincronizzazione degli utenti allo stesso tempo solo per un dominio non gestito da Google.

Nota:

Se si dispone di un SSO basato su SAML configurato con Identità Google, si consiglia di mantenere la configurazione corrente.

Il connettore di Google richiede che i domini e le directory da sincronizzare dalla directory Google non siano già attivi in Adobe Admin Console con la federazione. Se nella directory sono già presenti degli utenti, è necessario rimuovere definitivamente gli utenti della directory, i domini e le directory associati prima dell’implementazione del connettore Google.

In una versione futura, il connettore includerà una funzionalità di migrazione autonoma che consente a un amministratore con un ambiente federato già presente di migrare l’intera directory (inclusi tutti i domini e gli utenti associati della directory) per sincronizzarla dalla directory Google tramite il connettore senza eliminare utenti della directory, domini e directory.

Sì, possono coesistere a condizione che la directory SAML si colleghi a un dominio verificato separato.

Sì, il certificato SHA-256 è supportato quando utilizzi il connettore Google.

Se l’utente è incluso nella sincronizzazione e il nome utente Federated ID corrisponde a un nome utente sincronizzato con Google, il connettore ha il controllo e gestisce il profilo. Se l’utente non è incluso nella sincronizzazione dei gruppi, allora potrà autenticarsi a condizione che il profilo Google corrisponda alle informazioni del profilo.

Il connettore Google attualmente non supporta la sincronizzazione dei gruppi della directory Google. Durante la configurazione un amministratore di Google Admin Console identificherà i gruppi nella directory Google che contengono gli utenti che devono ricevere l’accesso alle licenze Adobe. Gli utenti di questi gruppi saranno automaticamente sincronizzati nella Adobe Admin Console in un semplice elenco, visualizzati come account Federated ID nella scheda Utente in Adobe Admin Console. Una volta creati gli account utente, l’amministratore può scegliere di raggruppare gli utenti in gruppi di utenti specifici per fornire uno specifico accesso alle licenze dei prodotti per un sottoinsieme di utenti.

Ad esempio, una scuola ha 5000 utenti, inclusi 500 membri dello staff o della facoltà, 2000 studenti delle scuole medie e 2500 studenti delle elementari. Tutti i membri dello staff o della facoltà e gli studenti delle medie riceveranno accesso ad Adobe Spark, una licenza per dispositivi condivisi nell’ambiente di laboratorio e una licenza per tutte le applicazioni Creative Cloud da utilizzare a casa, mentre gli studenti delle elementari avranno accesso solo ad Adobe Spark e autorizzazioni per le licenze per dispositivo condiviso. Il processo di sincronizzazione funzionerà come segue:

  1. Impostare il connettore Google con le directory e i domini di produzione.
  2. Scegliere i gruppi di directory nella directory Google che contengono gli utenti della facoltà, dello staff e tutti gli studenti.
  3. Eseguire la sincronizzazione iniziale dei 5000 utenti in Adobe Admin Console (richiede circa 2 ore per il completamento).
  4. In Adobe Admin Console, creare un nuovo gruppo di utenti  denominato All Apps CC.
  5. Assegnare il gruppo di utenti All Apps CC al profilo di prodotto All Apps CC. Questa operazione fornirà automaticamente la licenza All Apps CC a tutti gli utenti del gruppo di utenti All Apps CC.
  6. Utilizzare l’opzione Modifica utenti con CSV nella scheda Utenti per scaricare l’elenco degli utenti correnti e indicare quali utenti devono avere accesso alla licenza dei prodotti All Apps aggiungendoli al gruppo di utenti All Apps CC.
  7. Caricare il file CSV Admin Console; convalidare che tutti gli utenti selezionati siano ora assegnati al gruppo di utenti All Apps CC.

Notare che tutti gli utenti sincronizzati in Adobe Admin Console mediante il connettore dopo la configurazione iniziale del gruppo di utenti devono essere inseriti manualmente nel gruppo di utenti, sia uno alla volta o utilizzando il metodo in blocco descritto in precedenza nel passo 6 per ottenere l’accesso alla licenza All Apps CC.

Procedura di sincronizzazione

Nell’elenco sono contenute le risposte ad alcune domande relative alla funzione di sincronizzazione del connettore Google.

FirstName, LastName, Username, Email e Country Code.

No, al momento non ci sono registri degli eventi visibili disponibili in Admin Console per facilitare la risoluzione dei problemi con la sincronizzazione del connettore.

La sincronizzazione crea 50 account utente al minuto, o 3000 l’ora. Il connettore aggiunge o rimuove automaticamente le licenze degli utenti in base ai relativi account inclusi i gruppi di directory Google selezionati.

Verificare che Google Admin Console abbia l’accesso all’API abilitato. Per ulteriori informazioni relative a come abilitare l’accesso all’API, seguire le istruzioni fornite qui.

Verifica lo stato di User Provisioning in Google Admin Console. Gli utenti non si sincronizzano se User Provisioning non è attivato.

Per effettuare questa verifica, accedi a Google Admin Console. Quindi dalla pagina Home  passa a Apps > SAML apps > More controls > applicazione Adobe > User provisioning. Se disattivato, attiva il provisioning (seleziona ON per tutto).

Attiva User Provisioning

Per ulteriori informazioni sulla configurazione di Google Admin Console, consulta anche il documento della Guida di G Suite Admin Configure Adobe user provisioning.

Migrazione di utenti Google esistenti

La sezione illustra alcune domande poste dagli amministratori che già utilizzano Google come IdP e desiderano utilizzare il connettore.

Per migrare gli utenti esistenti non Federated ID al tipo Federated ID:

  1. Imposta il connettore Google con le directory e i domini selezionati.
  2. Sincronizza gli utenti, compresi quelli che hanno già un ID esistente non Federated ID nella Console tramite il connettore. Qualsiasi utente esistente non Federated ID dispone ora di un account non Federated ID e Federated ID in Admin Console.
  3. Utilizzare l’opzione Modifica del tipo di identità nella scheda Utente per migrare manualmente gli utenti non Federated ID selezionati ai relativi account Federated ID appena creati; questa operazione attiva la migrazione automatizzata delle risorse per tali utenti quando essi accedono al proprio Federated ID per la prima volta.

Sì, quando l’indirizzo e-mail dell’utente viene aggiornato nella directory Google, i campi email e username di Adobe Admin Console sono aggiornati di conseguenza.