Impostazione della federazione Google per l’SSO con Adobe

La federazione Google (connettore Google) connette la Console di amministrazione Google ad Adobe Admin Console e semplifica il processo di configurazione di SSO. Con il connettore Google, puoi automatizzare i flussi di lavoro di sincronizzazione degli utenti e di provisioning delle licenze per configurare SSO in pochi minuti.

Nota:

Se si dispone di un SSO basato su SAML configurato con Identità Google, si consiglia di mantenere la configurazione corrente. Una funzionalità futura consentirà di migrare automaticamente gli utenti e la configurazione SSO.

Panoramica del flusso di lavoro

Panoramica del flusso di lavoro per la federazione Google

Panoramica

Configurazione di SSO utilizzando il connettore Google (tempo richiesto: 2 min)

Configurare Single Sign-On (SSO) con la Console di amministrazione Google per gestire utenti e autorizzazioni per le app e i servizi Adobe. In questo scenario Adobe Admin Console utilizza Google come provider di identità (IdP). 

Federazione Google combina i processi di creazione della directory, richiesta del dominio, configurazione di SSO, creazione di app SAML e provisioning degli utenti in un flusso di lavoro semplice con passaggi nella Console di amministrazione Google e in Adobe Admin Console. Gli utenti di Google collegati con Adobe Admin Console sono univoci e possono essere assegnati a uno o più profili di prodotto.

Al termine della configurazione del connettore, una sincronizzazione iniziale consente di importare tutti gli utenti della Console di amministrazione Google. La sincronizzazione viene eseguita periodicamente in seguito per mantenere aggiornati gli utenti in Adobe Admin Console. Gli amministratori di sistema di Adobe Admin Console ricevono un messaggio e-mail di notifica che include il riepilogo degli utenti e dei gruppi aggiunti o rimossi quando viene apportata una modifica.

Vantaggi

Utilizzando la federazione ID di Google e lo strumento di sincronizzazione, è possibile risparmiare tempo e lavoro nei seguenti modi:

  • Nessuna duplicazione di passaggi come richiesta di domini, dato che le due Admin Console sono direttamente connesse
  • Rapidità nella configurazione e avvio della sincronizzazione iniziale attraverso un flusso di lavoro integrato
  • La Console di amministrazione Google diventa il solo punto di gestione di tutti gli utenti
  • Semplicità di aggiunta o rimozione di utenti direttamente dai gruppi associati in G-Suite
  • Non sono necessari servizi o configurazione API aggiuntivi per la sincronizzazione con Adobe Admin Console

Prerequisiti

Per integrare la gestione utenti di Adobe Admin Console con quella di Google, l’organizzazione necessita di quanto segue:

  • Sei un amministratore nella Console di amministrazione Google
  • Disponi di domini verificati nella Console di amministrazione Google
  • Hai familiarità con il catalogo delle App SAML di Google in G Suite

Scenari di integrazione supportati

Il connettore Google supporta scenari per più Console di amministrazione Google e più Adobe Admin Console. Gli scenari supportati includono:

La relazione presente nell’organizzazione tra una singola Console di amministrazione Google e una singola Adobe Admin Console è univoca; la sincronizzazione è attivata tramite il connettore Google per gestire gli utenti e il provisioning delle licenze.

Nell’organizzazione sono presenti più Adobe Admin Console in una relazione principale o affidabile, che consentono alle Admin Console affidabili di trarre vantaggio dalla configurazione SSO creata nella Admin Console principale. In tal caso, il connettore Google gestisce solo gli utenti per la Admin Console principale.

La Adobe Admin Console affidabile può trarre vantaggio dalla configurazione SSO. Gli utenti devono tuttavia essere sincronizzati con la Adobe Admin Console principale prima di essere aggiunti manualmente o tramite il servizio di gestione utenti alla Admin Console affidabile (ad esempio, caricamento manuale di CSV, strumento User Sync o API User Management).

Nell’organizzazione sono presenti più tenant della Console di amministrazione Google che alimentano una singola Adobe Admin Console per la gestione degli utenti e il provisioning delle licenze. Il connettore Google può stabilire una sincronizzazione multi-tenant a una singola Adobe Admin Console per consentire il Single Sign-On e la gestione degli utenti per tutti i tenant connessi.

Nell’organizzazione è presente una singola Console di amministrazione Google che alimenta più Adobe Admin Console. Il connettore Google può essere utilizzato per sincronizzare gli utenti da una singola directory a diverse Adobe Admin Console per la stessa organizzazione.

Configurazione della federazione per la Console di amministrazione Google

Se soddisfi i prerequisiti, puoi iniziare a configurare l'integrazione ed eseguire il provisioning delle applicazioni e dei servizi Adobe agli utenti finali.

Configurazione degli utenti mediante la Console di amministrazione Google.

Una volta che la Console di amministrazione Google è configurata e pronta, segui i seguenti passi nelle rispettive finestre (Console di amministrazione Google o Adobe Admin Console):

  1. Accedi ad Adobe Admin Console e fai clic su Impostazioni. Nella pagina Identità, fai clic su Crea directory

  2. Nella schermata Crea una directory, effettua le operazioni seguenti e fai clic su Inizia.

    • Immetti un nome per la directory
    • Seleziona la scheda Federated ID
    Federated ID

  3. Seleziona Google, fai clic su Avanti e nella schermata successiva di istruzioni clic su Accedi a Google . Puoi utilizzare i passaggi indicati nella schermata di istruzioni per sincronizzare le impostazioni e gli utenti SAML da Google.

    Google

  4. Verrai reindirizzato alla pagina di accesso di Google. Immetti l’email e la password dell’amministratore, quindi fai clic su Avanti. Esamina le richieste di consenso e concedi le autorizzazioni. Quindi, fai clic su Consenti per fornire l’accesso all’account Google ad Adobe.com.

    Autorizzazione di accesso di Azure

  5. Torna ad Adobe Admin Console, verifica le informazioni di G Suite e fai clic su Conferma.

    Conferma i dettagli della directory

  6. Seleziona i domini da sincronizzare con Adobe Admin Console, fai clic su Sincronizza quindi su Avanti.

    Registrazione dei domini

    Nota:

    Possono essere selezionati e sincronizzati solo i domini con lo stato Proprietà convalidata. Prima della sincronizzazione, verifica la proprietà degli altri domini nella Console di amministrazione Google.

  7. Per sincronizzare gli utenti in Adobe Admin Console, crea un’app SAML Adobe e configura il provisioning degli utenti nella Console di amministrazione Google. Segui i passaggi riportati di seguito in Autorizzazione e configurazione del provisioning degli utenti in Google Admin console e ritorna alla schermata Configura Google in Adobe Admin Console. Quindi, fai clic su Conferma per completare la configurazione.

    Conferma sincronizzazione utenti

Per sincronizzare gli utenti della Console di amministrazione Google, utilizza la procedura riportata di seguito:

  1. Accedi alla Console di amministrazione Google utilizzando le credenziali di amministratore. Sulla schermata Inizio, vai a App. Apri quindi App SAML.

  2. Fai clic su segno + per aggiungere una nuova app SAML e scorri verso il basso per selezionare Adobe dall’elenco. Assicurati di selezionare Adobe e non Adobe Sign dall’elenco.

    Selezione nuova app SAML

  3. Scarica i metadati IDP in Opzione 2 sulla schermata Google IdP Information e fai clic su Avanti. Vai alla schermata di configurazione di Google  in Adobe Admin Console e carica questo file durante il Passo 3: Caricamento dei metadati di Google.

    Google ID Information

  4. Conferma le Informazioni di base per Adobe nella schermata successiva e passa alla finestra Service Provider Details . Immetti i valori per ACS URL ed Entity ID forniti nella schermata Configure Google. Seleziona la casella dellarisposta firmata e fai clic su Fine.

    Service Provider Details

  5. Nella finestra di dialogo Setting up SSO for Adobe fai clic su Setup now, quindi fai clic sul pulsante di configurazione del provisioning degli utenti nella sezione del provisioning degli utenti.

  6. Copia i valori per Authorization Token e Adobe Endpoint URL dal passo 4 della schermata Configure Google in Adobe Admin Console e immettili rispettivamente nei passi 1 e 2 della configurazione del provisioning degli utenti di Google.

  7. Nel passaggio della mappatura attributi, non modificare gli attributi e fai clic su Avanti. Se desideri sincronizzare solo alcuni gruppi di utenti, immetti i nomi nella finestra di dialogo delle impostazioni dell’ambito del provisioning, oppure lasciala vuota e sincronizza l’intera directory. Quindi, fai clic su Fine.

    Mappatura degli attributi

  8. La sezione relativa al provisioning degli utenti viene visualizzata con lo stato del provisioning su OFF (Disattivato). Fai clic su Modifica servizio e scegli ON for everyone in Stato del servizio e fai clic su Salva.

    Stato del servizio

  9.  Esamina la finestra di dialogo del provisioning degli utenti e fai clic su Attiva per completare la configurazione.

  10. Lo stato del provisioning viene modificato in ON (Attivato) e viene visualizzato un riepilogo dello stato della sincronizzazione. Passa ora alla schermata di configurazione di Google  per completare la configurazione e avviare la sincronizzazione degli utenti.

    Provisioning degli utenti

I domini e le directory iniziano la sincronizzazione dalla Console di amministrazione Google. I dettagli, quali gli utenti sincronizzati, sono visualizzati nella sezione Dettagli nella scheda Impostazioni.

Dettagli della directory

Al termine della sincronizzazione, è possibileassegnare i prodotti agli utenti finali.

Passaggi successivi

Al termine della sincronizzazione, tutti gli utenti sono importati in Adobe Admin Console. Puoi ora creare i profili di prodotto appropriati e associarli agli utenti per finalizzare l’assegnazione dei prodotti. Leggi come gestire i prodotti e i profili di prodotto.

L'organizzazione può decidere come distribuire le applicazioni agli utenti finali, sia in un pacchetto gestito da IT o autonomamente scaricando e installando l'app desktop Creative Cloud. Puoi trovare ulteriori informazioni in opzioni di creazione e distribuzione di pacchetti.

Eliminazione delle directory e rimozione dei domini

Nota:
  • Per rimuovere una directory, devi prima rimuovere tutti gli utenti, i domini e i trustee ad essa associati.
  • Se lo elimini dagli utenti della directory, l’utente viene eliminato con tutte le sue risorse Creative Cloud associate. L’utente e le risorse, non possono essere recuperati.

Segui i passaggi riportati di seguito per rimuovere tutti gli utenti e i domini associati ed eliminare la directory di sincronizzazione di Google corrispondente:

  1. Accedi alla Console di amministrazione di Google e seleziona i dettagli dell’app Adobe SAML. Per iniziare a rimuovere gli utenti, DISATTIVA l’app Adobe SAML, ma lascia il provisioning degli utenti ATTIVO.

    Attenzione:

    Non eliminare l’app Adobe SAML dalla Console di amministrazione di Google all’avvio.

    Se l’app SAML è eliminata, dovrai ricrearla. Per ulteriori informazioni, consulta il passaggio Attiva l’app Adobe in Configurazione di SSO tramite SAML per Adobe.

    Provisioning degli utenti
    App Adobe SAML di esempio configurata per la rimozione degli utenti

    Una volta configurato, il sistema di provisioning degli utenti di Google inizia a inviare richieste per rimuovere utenti da Adobe Admin Console (l’inizio di questo processo può richiedere fino a 24 ore, in base alla coda attiva di Google).

  2. Il conteggio degli utenti sincronizzati all’interno dei dettagli stabiliti della directory di Google diminuisce.

    Se il numero di utenti sincronizzati non diminuisce, controlla la sezione User Failure nel pannello User Provisioning della Console di amministrazione di Google. Se il numero è diverso da 0, fai clic sul numero per risolvere gli errori.

    Attenzione:

    Poiché è controllato da Google, il processo potrebbe richiedere del tempo per la rimozione in base al numero di utenti da rimuovere.

    Si consiglia di iniziare a eliminare gli utenti da Utenti della directory dopo che sono stati rimossi dalla sezione Utenti.

  3. In Adobe Admin Console, passa alla sezione Utenti della directory e seleziona la directory appropriata e rimuovi tutti gli utenti.

    Per velocizzare l’operazione, puoi selezionare fino a 100 utenti alla volta dalla parte inferiore della tabella degli utenti.

  4. Dopo aver rimosso gli utenti dalla sezione Utenti della directory, rimuovi i domini associati. Passa ai Dettagli della directory di sincronizzazione di Google e deseleziona tutti i domini dalla sincronizzazione.

    Passa quindi a Impostazioni > Identità Domini e rimuovi dall’elenco i domini associati alla directory Google.

  5. La directory può ora essere eliminata. Per eliminarla, seleziona la directory vuota dalla scheda Impostazioni.

  6. Importante: Accertati di eliminare l'app Adobe SAML associata in Google Admin Console per impedire che nuovi utenti vengano sincronizzati con Adobe Admin Console. In questo modo si verificano errori poiché nella Google Admin console non sono selezionati domini associati. 

Nota:

Verifica che non siano presenti trustee di dominio stabiliti per i domini in fase di rimozione.

Se vuoi mantenere queste relazioni di affidabilità, interrompile temporaneamente fino a quando non avrai terminato i passaggi rimanenti. Potrai associare i trustee di dominio quando i domini saranno stati ristabiliti in Adobe Admin Console. Scopri ulteriori informazioni sull’affidabilità delle directory.

Logo Adobe

Accedi al tuo account