常见问题解答 | Azure AD 身份验证和同步

本文档介绍了为 Azure Sync 配置联合目录时遇到的常见问题。也可以参考有关旧版 Azure 连接器的其他信息。

Azure Sync | 重要注意事项和常见问题

您可以在下面找到一些常见问题的答案和重要注意事项:

如果您部署了正常运行的 Azure AD 连接器,建议您保留当前设置。自助服务迁移功能将允许您迁移到新版本的 Azure Sync。

强烈建议您保留 Azure AD 连接器设置,直到自助迁移可用为止。现在,迁移到新的 Azure Sync 可能会中断服务并导致用户资源丢失。

如果您有关于 Azure AD 连接器的问题,请关注此处的常见问题解答

可以。Azure Sync 使电子邮件与用户名保持相互独立。这样,用户用于验证登录以及访问 Adobe 产品/服务、协作、共享文件等等的电子邮件和用户名值可以不同。

可以。可通过 Azure Sync 集成从 Azure AD 同步嵌套组。

但是,将嵌套组的父节点添加到同步范围后,并不自动同步该嵌套组。要纳入自动同步,还应将嵌套组添加到同步范围。

是的。Azure AD 中的任何更新都会反映在 Adobe Admin Console 目录中。这包括“FirstName”、“LastName”、“Email”等属性。

可以。要将 Azure Sync 与此类目录一起使用,必须在 Azure AD 实例中管理用户。

同步周期由 Azure 控制,每 40 分钟运行一次。在 Adobe Admin Console 中添加和/或更新用户的时间取决于同步范围内的用户数。

 

用户目录用户列表中都显示“帐户状态”列以通知管理员特定用户的当前状态。

通过 Azure Sync 以只读模式管理与 Azure Active Directory 同步的联合用户,其状态取决于其在组织目录中的状态。用户列表上对于已同步的用户将仅显示活动状态。从 AD 中的同步范围删除的用户将不再显示在用户列表上,但仍将以已禁用状态显示在目录用户列表上。

  • 活动 = 用户帐户可进行 SSO 登录和访问许可证。如果配置了同步,则“活动”用户即在自动同步范围内。

  • 已禁用 = 用户帐户无法进行 SSO 登录或访问许可证。如果配置了同步,则从组织目录的同步范围中删除“已禁用”的用户,导致该用户不再有权登录其帐户或访问已提供的许可证,但其存储在云中的资源仍可用。“已禁用”的用户将仅显示在目录用户列表中,并且只能从目录用户列表中永久删除用户的 Adobe 帐户。

如果您的组织将使用用户同步工具或 UMAPI 集成,则必须首先暂停替代的同步方式,然后按照相关步骤设置 Azure Sync,以从 Azure 门户自动执行用户管理。

配置并运行 Azure Sync 后,可以完全删除用户同步工具或 UMAPI 集成。

从 Azure AD 管理 Azure Sync 时,需要了解可能会显示的一组常见的错误消息。了解各种错误消息的原因将有助于在发生错误时进行故障排除。

详细了解如何在 Azure AD 中监视您的部署。

可以。您可以选择禁用甚至删除联合目录中的 Azure Sync。这将删除自动同步,但会将目录、域和目录用户保持原样。

删除同步时,还应在 Azure AD 中对以前的同步关闭用户配置,以防止 Azure AD 隔离目录。

默认情况下,当不再通过 Azure Sync 管理用户时,只会禁用用户,以避免数据意外丢失。

要永久删除用户,您必须从同步选项卡中允许编辑同步的用户,然后在 Admin Console 中手动删除用户。

(旧版)Azure AD 连接器 | 常见问题

您只能通过 Azure AD 连接器创建 Federated ID 用户帐户。要进一步了解身份类型选项,单击此处

Azure AD 连接器只能为主要受托人 Admin Console 关系中的主要 Admin Console 提供用户管理。任何受托人 Admin Console 都可以利用联合目录的单点登录,但必须使用独立的用户管理形式(例如 CSV 手动上传、用户同步工具或用户管理 API。)

您只能为不受 Azure AD 管理的域运行 UST。如果您在 Azure AD 管理的域上运行 UST,则会发生冲突。

支持,并且不需要额外的配置。

支持。迁移到 Azure AD 连接器后支持 SHA-256 证书。

名字、姓氏、用户名、电子邮件和国家/地区代码。

同步每 15 分钟运行一次,根据对齐的 Azure AD 安全组中标识的更改对 Admin Console 进行更新。Admin Console 中,连接器登录页面有一个“触发同步”功能,系统管理员可在 15 分钟间隔之间的任何时间强制执行同步。但是,如果您使用本地 Active Directory,强制执行“触发同步”时可能会出现略微延迟。

请按照以下说明编辑 Federated ID 的身份类型

Azure AD 连接器要求,Admin Console 中未通过联合身份验证建立要从 Azure AD 同步的域和目录。如果存在目录用户,则必须永久删除关联的目录用户、域和目录后再实施连接器。

要了解详情,请参阅使用 Azure AD 连接器设置 SSO

可以,只要 SAML 目录与单独的申请域关联即可。

是。如果用户的电子邮件地址在 Microsoft Azure 或 Microsoft Office 365 中更新,则 Admin Console 电子邮件地址和用户名字段会相应地进行更新。

如果用户是组同步的一部分,并且 Federated ID 用户名与 Azure AD 同步用户名匹配,则连接器将接管并管理该配置文件。如果用户不是组同步的一部分,则只要该配置文件与 Azure AD 配置文件匹配,用户就能够进行身份验证。

Adobe 徽标

登录到您的帐户