通过 Google 管理控制台管理用户预配
控制将什么数据发送到 Adobe
根据 Google 组织单位将产品分配给多个用户
Google Sync 自动为您的 Admin Console 目录管理用户。将 Google Sync 添加到 Adobe Admin Console 中任何现有的联合目录,无论其身份提供方 (IdP) 是谁。要使用 Google Sync,必须将所在组织的用户数据存储在 Google 管理控制台中。
可将 Google Sync 添加到 Adobe Admin Console 中的任何目录以自动执行其用户管理过程。Google Sync 使用 SCIM 协议进行用户管理,并使您可控制与 Adobe 共享的用户信息。可将 Google 管理控制台中与 Adobe Admin Console 同步的指定用户分配给一个或多个产品配置文件。
设置 Google Sync 后,Google 就开始根据 Google 管理控制台目录的用户预配配置将数据发送到 Adobe Admin Console。可在 Adobe Admin Console 的“设置”部分中查看目录的详细信息。
Google Sync 对于您在 Adobe Admin Console 中的目录所具备的主要优势包括:
通过 Google 管理控制台管理用户预配
控制将什么数据发送到 Adobe
根据 Google 组织单位将产品分配给多个用户
将同步添加到以前配置的目录
将 Google Sync 添加到其他 IdP 目录
使用 Google 管理控制台轻松地登记和取消登记用户
无需另一服务或 API 设置
要将 Adobe Admin Console 用户管理与 Google 管理控制台相集成,您需要以下各项:
在设置 Google Sync 之前,请按照以下几点查看最佳实践和 Adobe Recommendations:
在 Adobe Admin Console 中,导航到“设置”>“目录详细信息”>“同步”。单击“添加同步”。
选择“转到 Google 管理控制台”,然后用管理员帐户登录。然后,按照 Adobe Admin Console 中说明页面上的步骤配置自动用户预配。
您可以在 Admin Console 中将 Google 组织单位 (OU) 同步到您的支持 Google Sync 的目录。Google 管理控制台中的每个 OU(包括根 OU)将作为单独的组与相关用户一起进行同步。
例如,您在 Google 管理控制台中不同的 OU 中有三个用户(用户 A、用户 B 和用户 C)。下表显示了如何将这些用户添加到 Adobe Admin Console 中的相应组(用户 B 和用户 C 将被添加到多个组中):
用户 |
Google 管理控制台 OU |
Adobe Admin Console 用户组 |
---|---|---|
用户 A |
根组织单位 |
OU-/ |
用户 B |
"/Sales" |
1. OU-/ 2. OU-/Sales |
用户 C |
"/Sales/Germany" |
1. OU-/ 2. OU-/Sales 3. OU-/Sales/Germany |
您必须先根据您的许可要求设置您的 Google OU,然后再将它们同步到 Adobe Admin Console。
然后,登录您的 Google 管理控制台并转到应用 > Web 和移动应用程序,选择 Adobe SAML 应用程序,转到自动配置,然后选择编辑属性映射。
在属性窗口中,从应用程序属性 urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit 的下拉菜单中选择组织单位路径。
设置完毕后,系统管理员即可通过从目录设置 > 同步选项卡中选择转到设置而更新同步源的设置。设置选项包括:
管理员可以选择从 Admin Console 内的联合目录中删除同步。删除同步将目录及其关联的域、用户组和用户保持不变,并从目录及其用户和组中删除只读模式。
要从目录中删除同步,请从“目录设置”>“同步”选项卡中选择“转到设置”,然后选择“删除同步”。还请从 Google 管理控制台中为 Adobe SAML 应用程序关闭自动预配以防被隔离。此操作将永久地从 Adobe Admin Console 中删除同步设置。如果需要,您可以与同一目录或不同目录重新建立同步。
您无法将域移入或移出受 Google Sync 管理的目录。从源和/或目标目录中删除 Google Sync 后,即可将该目录中的域移至另一目标目录,并可将其他源目录中的域移入不再受 Google Sync 管理的目录。
实施 Google Sync 可创建新的联合用户帐户,并将这些用户同步到 Adobe Admin Console。管理员还可通过以下三种方法(在 Google 管理控制台中)解除预配通过 Google Sync 添加的用户:
这三项操作将在 Adobe Admin Console 中禁用用户。已禁用的用户无法再登录,并将在“目录用户”列表中显示为“已禁用”。Google Sync 继续管理用这些方法之一解除预配的用户。从组织中既不删除用户的帐户,也不删除存储在云中的资源。
从 Admin Console 中删除用户和关联的数据:从目录设置 > 同步选项卡中选择转到设置,然后单击启用编辑。然后导航到用户 > 目录用户,并从列表中选择该用户以永久删除其帐户。
启用编辑后,可在一小时内编辑所同步的数据,然后才会自动禁用编辑。我们建议您在删除用户后立即单击“禁用编辑”,以确保 Admin Console 反映 Google 管理控制台的更改。
如果永久删除了用户,则一并删除该用户与所有属于该用户的云存储资源。执行此操作后,即无法恢复该用户和资源。
Adobe 制定了一项隔离策略,用于处理同步操作期间产生的大量错误调用。
Adobe 的服务独立地监视同步运行状况,以确认错误率何时在所设置的一段时间内超过特定阈值。只要导致错误的请求数达到阈值,即使只有少量此类请求也将实行临时隔离,导致在一段时间内拒绝所有来自 Google 管理控制台的调用和更新请求,此后将再次接受调用以重试同步。如果错误调用持续存在,则将临时考察该同步以确定是否应长期隔离。如果 Adobe 发起隔离,则可能还会因调用被拒而导致后续被 Google 隔离,而这将计入 Google 的错误率。请注意,Adobe 保留根据正在进行的数据分析更新隔离参数的权利。
Google 可能会根据错误率隔离同步。
从 Google 管理控制台中管理 Google Sync 时,需要了解经常显示的一组错误消息。了解各种错误消息的原因将有助于在发生错误时进行故障排除。
您可以在 Google Admin Console 中 Adobe SAML 应用程序的自动预配部分下找到同步日志和错误日志。详细了解如何在 Google 管理控制台中监视您的部署。
Google OU 同步错误
在同步 Google 组织单位到 Adobe Admin Console 时,您可能会遇到同步错误。Google 日志显示以下错误:
由于 Adobe Admin Console 使用 Google Sync 服务,因此在 Google 管理控制台中解决所有同步问题。可参考 Google 的配置说明以解决某些常见问题。如果您找不到解决方案,我们建议您联系 Google 客户支持以获得进一步的帮助。
按照以下说明诊断同步问题:
确认用户详细信息的映射。
如果要同步 Google 组织单位,请确保您的用户配置属性映射包括组织单位路径作为 urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit。