Příručka uživatele Zrušit

Přidání Microsoft Azure Sync do adresáře

Azure Sync umožňuje automatizaci správy uživatelů pro váš adresář Admin Console. Azure Sync můžete snadno přidat do libovolného federovaného adresáře v konzoli Admin Console bez ohledu na jeho poskytovatele identity (IdP). Pokud chcete používat Azure Sync, musíte mít na webu Microsoft Azure Active Directory (Azure AD) uložena data uživatelů a skupin vaší organizace.

Poznámka:
  • Pokud je vaším poskytovatelem identity Microsoft Azure Active Directory (Azure AD) a nemáte federovaný adresář v konzoli Adobe Admin Console, můžete federaci nastavit následujícími způsoby:
    • OpenID Connect (OIDC): vytvořte federovaný adresář během několika sekund prostřednictvím OIDC. Nastavení probíhá výhradně v konzoli Adobe Admin Console.
    • SSO s Azure AD přes SAML: vytvořte federovaný adresář pomocí Azure AD s nastavením SAML. Nastavení probíhá z velké části na webu Microsoft Azure Portal.
  • Pokud máte funkční Adresář využívající SAML, můžete přidat možnosti synchronizace do svého stávajícího nastavení.
  • Pokud jste pro adresář nastavili synchronizaci Azure, nelze uživatele spravovat ručně nebo jinými metodami synchronizace uživatelů. Před synchronizací si přečtěte poznámky a odpovědi na časté dotazy, kde naleznete další informace.

Přehled

Azure Sync můžete přidat do libovolného adresáře v konzoli Adobe Admin Console a automatizovat tak proces správy uživatelů. Azure Sync používá pro správu uživatelů protokol SCIM a nabízí kontrolu nad odesláním uživatelů a skupin do prostředí Adobe. Uživatelé Azure AD synchronizovaní s konzolí Adobe Admin Console jsou jedineční a mohou být přiřazeni k jednomu nebo více profilům produktů.

Po nastavení Azure Sync začne služba Azure AD odesílat data do konzole Adobe Admin Console dle parametrů zajišťování uživatelů a skupin v adresáři Azure AD. Všechny podrobnosti spojené s adresářem najdete v části Nastavení v konzoli Adobe Admin Console.

Výhody Azure Sync

Klíčové výhody služby Azure Sync v situaci, kdy se adresář nachází v konzoli Adobe Admin Console:

 Spravujte vše ve službě Azure AD.

 Určujte data, která se budou odesílat do prostředí Adobe.

 Nejsou zapotřebí další služby ani nastavení API.

 Přizpůsobte mapování atributů uživatele Azure AD.

 Doplňte synchronizace dříve nakonfigurovaných adresářů.

 Doplňte synchronizace Azure adresářů nastavených pro jakéhokoli poskytovatele identity (IdP).

 Snadno přidávejte a vyřazujte uživatele pomocí Azure AD.

Předpoklady

K provedení integrace správy uživatelů v konzoli Adobe Admin Console s Azure AD potřebujete:

  • Účet Microsoft Azure AD s daty uživatelů a skupin
  • Produkty Adobe, které patří alespoň do jednoho z těchto produktů: Creative Cloud pro podniky, Document Cloud pro podniky nebo Experience Cloud 
  • Federovaný adresář v konzoli Adobe Admin Console s ověřenými doménami

Podporované scénáře integrace

Nastavení adresáře se může lišit a služba Azure Sync podporuje využití různých scénářů, které mohou vyžadovat podniknutí dalších kroků při nastavení Azure Sync. Podle pokynů v tabulce postupujte s nastavením adresáře:

Scénář nastavení adresáře

Metoda přidání synchronizace

Jeden federovaný adresář s jednou nebo více doménami ve stejném klientovi Azure AD. 

Podle pokynů doplnění synchronizace připravte Azure Sync k používání. 

Několik federovaných adresářů s jednou nebo více doménami ve stejném klientovi Azure AD. 

  1. Konsolidujte domény do jednoho federovaného adresáře. 
  2. Podle pokynů doplnění synchronizace připravte Azure Sync k používání. 

 

Několik federovaných adresářů s jednou nebo více doménami v různých klientech Azure AD.  

  1. Podle pokynů doplnění synchronizace připravte Azure Sync k používání v jednom adresáři.
  2. Nastavení Azure Sync zopakujte pro všechny samostatné adresáře, které vyžadují synchronizaci. 

 

Poznámky, které je třeba vzít v úvahu před konfigurací synchronizace

Před nastavením služby Azure Sync postupujte podle níže uvedených bodů s osvědčenými postupydoporučeními Adobe Recommendations:

  • Před přidáním služby Azure Sync exportujte seznam stávajících uživatelů, abyste měli záznam o všech uživatelských účtech a zřízených licencích v době nastavování.
  • Pokud jste nastavili jednotné přihlašování Azure AD s protokolem Open ID Connect (OIDC), musíte přidat novou aplikaci Adobe Identity Management na webu Microsoft Azure Portal pro nastavení synchronizace adresářů.
  • Pokud jste nastavili jednotné přihlašování Azure AD za použití standardu SAML, použijte existující aplikaci Adobe Identity Management ke konfiguraci synchronizace adresářů. Postupujte podle pokynů v dokumentu společnosti Microsoft a nakonfigurujte automatické zřizování uživatelů pomocí aplikace Adobe Identity Management.
  • Služba Azure Sync oddělí e-mail od uživatelského jména, aby uživatelé mohli používat odlišnou e-mailovou adresu a uživatelské jméno k přihlašování a získání přístupu k produktům a službám Adobe, ke spolupráci na projektech, sdílení souborů atd.​ Postupujte podle pokynů v dokumentu společnosti Microsoft a přizpůsobte mapování atributů pro zřizování uživatelů.
  • Pokud integrujete službu Azure Sync do adresáře s uživateli s Federated ID, před spuštěním počáteční synchronizace ověřte, že jejich formát pole uživatelského jména odpovídá hlavnímu uživatelskému jménu (UPN) ve službě Azure AD.
    Pokud se tyto hodnoty neshodují, konzole Admin Console to vyhodnotí jako zcela nový uživatelský účet a vytvoří pro jednoho uživatele duplicitní záznamy. Můžete aktualizovat mapování atributů a zajistit, aby se hodnoty předávané synchronizací shodovaly s hodnotami v uživatelských profilech v konzoli Admin Console, která při příští synchronizaci automaticky aktualizuje jejich účty.
  • Služba Azure Sync může být vytvořena pouze v konzoli Admin Console a musí být nastaven alespoň jeden federovaný adresář a doména. Pokud je konzole Admin Console se službou Azure Sync (vlastnící konzole) ve vztahu důvěryhodnosti s jinými konzolemi Admin Console (důvěryhodné konzole), důvěryhodné konzole musí používat jinou formu správy uživatelů, například nástroj pro synchronizaci uživatelů, rozhraní API User Management nebo hromadné nahrávání souborů CSV, k vytváření, správě a licencování uživatelů s Federated ID.
    Chcete-li přidat uživatele do důvěryhodné konzole pro účely zřizování licencí, musíte nejprve přidat uživatele do vlastnící konzole.
  • Pokud vaše organizace používá nástroj pro synchronizaci uživatelů nebo integraci UMAPI, musíte integraci nejprve pozastavit. Poté přidáním Azure Sync automatizujte správu uživatelů z webu Azure AD. Po nakonfigurování a spuštění Azure Sync můžete zcela odebrat nástroj pro synchronizaci uživatelů nebo integraci UMAPI.
  • Aby vaše organizace mohla používat funkce přiřazování podle skupin, musí mít předplatné Premium (P1 nebo P2) nebo Microsoft 365 (E3 nebo A3) ve službě Azure AD. Umožňuje vybrat konkrétní skupiny a uživatele pro synchronizaci na konzoli Adobe Admin Console.
    Organizace bez těchto úrovní předplatného mohou do konzole Adobe Admin Console synchronizovat pouze všechny uživatele a skupiny současně. Systém automaticky synchronizuje všechny uživatele a skupiny a vygeneruje Adobe Federated ID pro synchronizované uživatele. Přečtěte si další informace o plánech předplatného Azure AD a možnostech aktualizace.
  • Chcete-li přesunout doménu do nebo z adresáře vytvořeného pomocí služby Azure Sync, musíte pro tento adresář nejprve dočasně povolit úpravy. Po povolení přesuňte požadovanou doménu do nebo z adresáře synchronizovaného se službou Azure AD a potom možnosti úprav adresáře zakažte.
  • Při synchronizaci Azure se nesynchronizují uživatelé ze skupin s atributem HiddenMembership na webu Azure AD. Chcete-li synchronizovat konkrétní uživatele, vytvořte skupinu ve službě Azure AD a zkopírujte příslušné uživatele do nové skupiny.

Přidání Azure Sync do federovaného adresáře

Azure Sync můžete přidat do federovaného adresáře Adobe Admin Console s propojenými požadovanými doménami. Pokud budete chtít doplnit synchronizaci u zavedeného federovaného adresáře, postupujte následovně:

  1. V konzoli Adobe Admin Console na kartě Nastavení přejděte do nabídky Podrobnosti o adresáři > Synchronizace. Klikněte na možnost Přidat synchronizaci.

  2. Označte kartu Synchronizovat uživatele z Microsoft Azure a klikněte na tlačítko Další.

  3. Kroky na webu Microsoft Azure Portal:

    Kvůli referenci ponechte okno Admin Console otevřené a v samostatném prohlížeči otevřete web Microsoft Azure Portal. Poté postupujte podle pokynů v dokumentu Microsoft a nakonfigurujte automatické zajišťování uživatelů.

    Poznámka:
    • Vnořené skupiny můžete synchronizovat z Azure AD, do kterého je Azure Sync integrována – vnořené skupiny se však nebudou automaticky synchronizovat, když se do rozsahu synchronizace přidá jejich nadřazený uzel. Aby se automatická synchronizace vztahovala také na vnořené skupiny, je nutné je zařadit do rozsahu synchronizace.

    • Aby mohly organizace používat funkci přiřazování na základě skupin, která správci umožňuje vybírat konkrétní skupiny a uživatele jako jediné objekty, které se mají synchronizovat s konzolí Adobe Admin Console, musí mít ke službě Azure Active Directory aktivní předplatné Premium (P1 nebo P2) nebo Microsoft 365 (E3 nebo A3).

      Organizace bez těchto úrovní předplatného mohou do konzole Adobe Admin Console synchronizovat pouze jednotlivé uživatele (nikoli skupiny) nebo všechny uživatele a skupiny ve službě Azure AD. Zkontrolujte předplatné Microsoft Azure, kde si můžete ověřit úroveň vaší organizace. V případě potřeby se obraťte na svého zástupce společnosti Microsoft.

    Po základním nastavení začne Azure zpracovávat a odesílat data k zajišťování v prostředí Adobe. Další pokyny najdete ve výukových lekcích Microsoft Application Management.

  4. V okně konzole Adobe Admin Console potvrďte zaškrtnutím políčka autorizaci přístupu Adobe a dokončení nastavení ve službě Azure AD. Nakonec vyberte možnost Hotovo.

  5. Vraťte se zpět na podrobnosti adresáře > Sync. Zobrazí se Zdroj synchronizace.

    Azure Sync je nyní součástí vašeho adresáře, ale synchronizace ještě neprobíhá. Pokud chcete zahájit synchronizaci, musíte kliknout na možnost Přejít na nastavení a upravit nastavení synchronizace.

Úprava nastavení synchronizace

Po dokončení instalace může správce systému aktualizovat nastavení Zdroje synchronizace kliknutím na příkaz Přejít do nastavení, který se nachází na kartě Sync v nabídce Nastavení adresáře. Mezi možnosti nastavení patří následující:

  • Povolit úpravy synchronizovaných dat v konzoli Admin Console: po nasazení služby Azure Sync přejdou automaticky pod správu synchronizace všichni synchronizovaní uživatelé a skupiny v adresáři. Po povolení úprav můžete na krátkou dobu upravit synchronizovaná data v konzoli Admin Console. Žádné úpravy během této doby neovlivní informace o uživateli ve službě Azure AD, ale budou přepsány prostřednictvím žádosti o změnu od vašeho poskytovatele identity.

    Pozor:

    Ve výchozím nastavení musíte upravit synchronizovaná data od poskytovatele identity a umožnit zavádění změn prostřednictvím synchronizace. Pokud to není nezbytně nutné, doporučujeme neměnit ručně data v konzoli Admin Console.

  • Stav synchronizace: pokyny službě Azure Sync pro odmítnutí žádostí o změnu z prostředí Azure AD. Jakmile je stav synchronizace uživatelů > Vypnuto, změny v prostředí Azure AD (zdroj informací o uživateli) se přestanou posílat do konzole Adobe Admin Console. 

  • Upravit konfiguraci synchronizace uživatelů: přesměrování na pokyny ke konfiguraci, se kterými můžete upravit synchronizaci uživatelů. Tuto možnost použijte, pokud je modální verze uzavřena před dokončením nastavení synchronizace nebo pokud je po počáteční konfiguraci potřeba provést změny v prostředí Azure AD.

Zrušení synchronizace

Správci mohou v konzoli Admin Console zrušit synchronizaci federovaného adresáře. Po zrušení synchronizace zůstane adresář a jeho přidružené domény, skupiny uživatelů a uživatelé beze změny, současně se ale u adresáře a jeho uživatelů i skupin zruší režim pouze pro čtení.

Pokud chcete zrušit synchronizaci adresáře, přejděte z Nastavení adresáře na kartu Sync, klikněte na možnost Přejít do nastavení a poté klikněte na příkaz Zrušit synchronizaci. Tímto krokem trvale odstraníte nastavení synchronizace z konzole Admin Console. V případě potřeby můžete synchronizaci znovu obnovit u stejného nebo jiného adresáře.

Poznámka:

Domény nelze přesouvat do nebo z adresářů spravovaných Azure Sync v rámci stejné organizace.  Poté, co u zdrojového a/nebo cílového adresáře zrušíte Azure Sync, můžete domény v tomto adresáři přesouvat do jiného cílového adresáře nebo můžete do právě desynchronizovaného adresáře přesouvat domény z jiných zdrojových adresářů.

Deaktivace uživatelů a skupin

Při implementaci Azure Sync se vytvoří nové federované uživatelské účty a uživatelé se synchronizují s konzolí Adobe Admin Console. Správci také mohou třemi níže popsanými metodami (na webu Microsoft Azure Portal) rušit zajišťování uživatelů a skupin přidaných prostřednictvím Azure Sync:

  • odebrání uživatele ze všech synchronizovaných skupin v Azure AD,

  • dočasné odstranění uživatele z Azure AD,

  • odebrání všech skupin, do kterých je uživatel zařazen, z rozsahu zajišťování v Azure AD.

Tyto tři operace deaktivují uživatele v konzoli Adobe Admin Console. Deaktivovaný uživatel se už nemůže přihlásit a v seznamu Uživatelé adresáře je uveden jako Zakázáno. Uživatelé, kterým bylo některou z těchto metod zrušeno zajištění, budou i nadále spravováni funkcí Azure Sync. Účty těchto uživatelů ani jejich soubory uložené v cloudu se z organizace neodstraní. 

Odstranění uživatele a přidružených dat z konzole Admin Console: Zvolte na kartě Nastavení adresáře > Synchronizovat možnost Přejít do nastavení a klikněte na Povolit úpravy. Pak přejděte do sekce Uživatelé > Uživatelé adresáře a vyberte v seznamu uživatele, jehož účet chcete trvale smazat.

Po povolení úprav lze synchronizovaná data po dobu jedné hodiny upravovat. Potom se tato možnost automaticky deaktivuje. Doporučujeme ihned po odebrání uživatele kliknout na Zakázat úpravy, aby konzole Admin Console odrážela změny v Azure AD.

Pozor:

Pokud trvale odstraníte uživatele, automaticky se odstraní také všechny v cloudu uložené datové zdroje, které mu patřily. Následně již nebude možné uživatele ani jeho datové zdroje obnovit.

Pravidla pro umisťování do karantény

Společnosti Adobe a Microsoft mají pravidla pro umisťování do karantény z důvodu zpracovávání řady chybových volání během synchronizačních procesů. 

Služba zajišťování Azure AD monitoruje stav vaší konfigurace a umisťuje chybové aplikace do stavu „v karanténě“. Pokud většina nebo všechna volání cílového systému opakovaně selhávají kvůli chybě, například kvůli neplatným přihlašovacím údajům správce, bude úloha zajišťování označena jako „v karanténě”. V karanténě se frekvence přírůstkových cyklů postupně snižuje na jednu aktivaci denně. Zajišťovací úloha bude odebrána z karantény po odstranění všech chyb a spuštění dalšího synchronizačního cyklu. Pokud zajišťovací úloha zůstane v karanténě déle než čtyři týdny, bude deaktivována (ukončena). Zjistěte další informace o zajišťování aplikací umístěných do karantény v Azure AD.

Služba společnosti Adobe nezávisle sleduje stav synchronizace, aby ověřila, kdy chybovost překročí určitou mezní hodnotu za určitou dobu. Po překročení minimálního počtu požadavků vedoucích k chybě dojde k dočasnému umístění do karantény, což na určitou dobu způsobí odmítání všech volání a požadavků na aktualizaci ze služby Azure AD. Po uplynutí této doby budou volání znovu přijímána v rámci dalšího pokusu o synchronizaci. Pokud budou nadále vznikat chybová volání, bude synchronizace v rámci dočasného zkušebního období na delší dobu přemístěna do karantény. Pokud karanténu iniciuje společnost Adobe, může být kvůli zamítnutým voláním umístěna do karantény také služba Azure, což se bude započítávat do její chybovosti. Upozorňujeme, že společnost Adobe si vyhrazuje právo aktualizovat parametry karantény na základě probíhajících datových analýz. 

Nejběžnější chybové zprávy

Při správě Azure Sync z Azure AD se mohou zobrazovat některé z nejběžnějších chybových zpráv. Případné chyby se odstraňují snáze, pokud se seznámíte s jejich příčinami.

Získejte další informace o monitorování vašeho nasazení v Azure AD.

Řešení problémů se synchronizací

Vzhledem k tomu, že konzole Adobe Admin Console využívá službu synchronizace Azure od společnosti Microsoft, všechny problémy se synchronizací se řeší v prostředí Azure AD. Řešení některých běžných problémů můžete najít v pokynech společnosti Microsoft ke konfiguraci. Pokud nemůžete řešení najít, doporučujeme vám kontaktovat podporu společnosti Microsoft a požádat o další pomoc.

Podle následujících pokynů diagnostikujte problém se synchronizací:

  1. Potvrďte nastavení uživatele a skupiny:

    Ujistěte se, že jste nakonfigurovali uživatele a skupiny podle pokynů k nastavení:

  2. Potvrďte mapování údajů o uživateli: dokumentace společnosti Microsoft.

  3. Monitorujte svou aplikaci pro zajišťování a odhalte problémy, které mohou synchronizaci ovlivnit:

    Pokud se uživatelé nezobrazí v protokolech zajišťování, mohou být mimo rozsah. Pokud protokoly zajišťování ukazují na problém, opravte ho, aby uživatel mohl provést synchronizaci. Dokumentace společnosti Microsoft

  4. Rozšíření Powershell:

    Pomocí rozšíření Azure Powershell můžete určit jakékoli problémy se záznamem Azure AD uživatele.

    Potvrďte uživatelská data pomocí následujících příkazů Powershell. Pokud potřebujete na provedení těchto kroků čas, povolte v konzole Admin Console režim úprav a proveďte dočasné změny:

    1. Install-Module AzureAD
    2. Connect-AzureAD-Credential (Get-Credential)
    3. Get-AzureADUser-ObjectId <e-mailová_adresa_uživatele> | FL
  5. Povolit úpravy synchronizovaných dat v konzoli Admin Console:

    Po povolení úprav můžete na krátkou dobu upravit synchronizovaná data v konzoli Admin Console. Žádné úpravy během této doby nemají vliv na informace o uživateli ve službě Azure AD. Tyto požadavky na změny od vašeho poskytovatele identity později tyto dočasné změny automaticky přepíší.

Správa existujících uživatelských účtů

K převodu všech existujících uživatelů s jiným než Federated ID na Federated ID postupujte následovně.

Pozor:

Během přepínání identity NEPŘIŘAZUJTE k synchronizovaným federovaným uživatelům žádné produkty. Tento proces je nutné provést přímo po synchronizaci před přiřazením produktu.

Uživatele, kteří mají v konzoli Admin Console účet jiného typu než Federated ID, lze po vytvoření Azure Sync převést na účet s Federated ID. Po převodu se z prostředí Azure AD tyto účty úspěšně odešlou do konzole Adobe Admin Console.

Abyste zajistili, že všechny datové zdroje uložené v cloudu budou převedeny k novému typu identity uživatele, postupujte podle níže uvedeného postupu:

  1. Nastavte Azure Sync pro uživatele, kteří už mají v konzoli Adobe Admin Console jiný identifikátor než Federated ID. Všichni uživatelé se stávajícím identifikátorem jiného typu než Federated ID teď budou mít v konzoli Adobe Admin Console kromě něj i Federated ID.

  2. Změňte podle pokynů v tématu Úprava typu identity pomocí souboru CSV uživatele bez Federated ID na uživatele typu Federated ID. Zajistěte, že odpovídají následujícím údajům:

    • Přiřaďte pole Uživatelské jméno a E-mail polím Uživatelské jméno (UserPrincipalName) v Azure AD.
    • Přiřaďte Jméno a Příjmení k odpovídajícím polím v Azure AD.

    Po přihlášení pomocí nového identifikátoru Federated ID bude uživatel vybídnut k automatickému převedení datových zdrojů uložených v cloudu k novému účtu.

Další kroky

Jakmile přidáte Azure Sync do adresáře, všichni uživatelé a skupiny uživatelů se importují do konzole Adobe Admin Console a v pravidelných intervalech budou aktualizováni. Dále musíte těmto uživatelům povolit přístup k jejich určeným aplikacím Adobe:

  1. Vytváření a správa profilů produktů: Vytvořte příslušné profily produktů a jejich přiřazením k uživatelům a skupinám uživatelů podrobně určete, kdo bude jaké aplikace a služby Adobe moci používat. Přečtěte si, jak spravovat produkty a profily produktů.
  2. Když jsou uživatelům přiřazeny určené produkty, obdrží oznámení e-mailem. Uživatelé mohou přímo stáhnout a nainstalovat aplikaci Creative Cloud pro počítače.
    Pokud nemají koncoví uživatelé oprávnění správce, je potřeba vytvořit a nasadit příslušné balíčky.
  3. Vytvoření a nasazení balíčků: chcete-li svým uživatelům poskytnout přístup k aplikacím, vytvořte a nasaďte balíčky aplikací na jejich počítačích. Uživatelé se musí přihlásit pomocí svých údajů jednotného přihlašování, aby mohli začít používat aplikace a služby. Další informace viz Vytvoření pojmenovaných uživatelských balíčků k licencování.

Pokud jste správcem instituce, po nastavení synchronizace Azure doporučujeme zapnout synchronizaci rolí. Přečtěte si o synchronizaci rolí pro vzdělávání.

Získejte pomoc rychleji a snáze

Nový uživatel?