Alles in Azure AD verwalten
Steuern der an Adobe gesendeten Daten
Keine Einrichtung eines anderen Service oder einer API erforderlich
Azure AD-Benutzerattributzuordnung anpassen
Mit Azure Sync wird die Benutzerverwaltung für Ihr Admin Console-Verzeichnis automatisiert. Sie können Azure Sync ganz einfach unabhängig vom Identitätsanbieter (IdP) einem Verbundverzeichnis in der Admin Console hinzufügen. Um Azure Sync verwenden zu können, müssen die Benutzer- und Gruppendaten Ihrer Organisation im Microsoft Azure Active Directory (Azure AD) gespeichert sein.
Sie können Azure Sync jedem Verzeichnis in der Adobe Admin Console hinzufügen, um dessen Benutzerverwaltungsprozess zu automatisieren. Azure Sync verwendet das SCIM-Protokoll für die Benutzerverwaltung und ermöglicht Ihnen die Kontrolle über Benutzer und Gruppen, die an Adobe gesendet werden. Mit der Adobe Admin Console synchronisierte Azure AD-Benutzer sind eindeutig und können einem oder mehreren Produktprofilen zugewiesen werden.
Nachdem Sie Azure Sync AD eingerichtet haben, beginnt Azure damit, Daten gemäß der Benutzer- und Gruppenbereitstellung des Azure AD-Verzeichnisses an die Adobe Admin Console zu senden. Alle mit dem Verzeichnis verknüpften Details werden im Abschnitt Einstellungen der Adobe Admin Console angezeigt.
Dies sind die wichtigsten Vorteile der Verwendung von Azure Sync mit Ihrem Verzeichnis in der Adobe Admin Console:
Alles in Azure AD verwalten
Steuern der an Adobe gesendeten Daten
Keine Einrichtung eines anderen Service oder einer API erforderlich
Azure AD-Benutzerattributzuordnung anpassen
Hinzufügen der Synchronisation zu zuvor konfigurierten Verzeichnissen
Hinzufügen von Azure Sync zu Verzeichnissen, die für einen beliebigen IdP eingerichtet wurden
Einfaches Onboarding und Offboarding von Benutzern mit Azure AD
Um die Adobe Admin Console-Benutzerverwaltung mit Azure AD zu integrieren, benötigen Sie Folgendes:
Szenario für die Verzeichniseinrichtung |
Verfahren zum Hinzufügen von Sync |
---|---|
Einzelnes Verbundverzeichnis mit mindestens einer Domäne im gleichen Azure AD-Mandanten. |
Führe die Schritte zum Hinzufügen von Sync aus, um Azure Sync einzurichten. |
Mehrere Verbundverzeichnisse mit mindestens einer Domäne, die zum gleichen Azure AD-Mandanten gehören. |
|
Mehrere Verbundverzeichnisse mit mindestens einer Domäne, die zu verschiedenen Azure AD-Mandanten gehören. |
|
Befolgen Sie die nachstehenden Punkte, um die Best Practices und Adobe Recommendations zu sehen, bevor Sie Azure Sync einrichten:
Sie können Azure Sync einem Adobe Admin Console-Verbundverzeichnis hinzufügen, mit dem die erforderlichen Domänen verknüpft sind. Gehen Sie wie folgt vor, um die Synchronisation einem eingerichteten Verbundverzeichnis hinzuzufügen:
Gehen Sie im Tab Einstellungen von Adobe Admin Console zu Verzeichnisdetails > Synchronisieren. Klicken Sie auf Synchronisation hinzufügen.
Wählen Sie die Karte Benutzer aus Microsoft Azure synchronisieren aus und klicken Sie auf Weiter.
Schritte im Microsoft Azure-Portal:
Lassen Sie das Fenster der Admin Console zur Referenz geöffnet und öffnen Sie das Microsoft Azure-Portal in einem separaten Browser. Führen Sie dann die im Microsoft-Dokument genannten Schritte aus, um die automatische Benutzerbereitstellung zu konfigurieren.
Sie können verschachtelte Gruppen aus Azure AD über die Azure Sync-Integration synchronisieren. Verschachtelte Gruppen werden jedoch nicht automatisch synchronisiert, wenn der übergeordnete Knoten der Gruppe zum Anwendungsbereich der Synchronisation hinzugefügt wird. Sie sollten verschachtelte Gruppen ebenfalls dem Anwendungsbereich hinzufügen, um sie in die automatische Synchronisation einzubeziehen.
Organisationen müssen über ein Premium- (P1 oder P2) oder Microsoft 365-Abonnement (E3 oder A3) mit Azure Active Directory verfügen, um gruppenbasierte Zuweisungsfunktionen nutzen zu können. Diese erlauben es einem Administrator, als Objekte, die mit der Adobe Admin Console synchronisiert werden sollen, nur bestimmte Gruppen und Benutzer auszuwählen.
Organisationen ohne Abonnements dieser Stufen können nur einzelne Benutzer (nicht Gruppen) bzw. alle Benutzer und Gruppen in Azure AD mit der Adobe Admin Console synchronisieren. Überprüfe dein Microsoft Azure-Abonnement, um die Stufe deiner Organisation zu bestätigen und dich bei Bedarf mit deinem Microsoft-Kundenbetreuer in Verbindung zu setzen.
Nach der Einrichtung beginnt Azure mit der Verarbeitung und dem Senden von Daten zur Bereitstellung in Adobe. Weitere Anweisungen finden Sie in den Microsoft Application Management-Tutorials.
Aktivieren Sie im Fenster der Adobe Admin Console das Kontrollkästchen zum Bestätigen der Autorisierung des Adobe-Zugriffs und der abgeschlossenen Einrichtung in Azure AD. Wählen Sie anschließend Fertig aus.
Kehren Sie zu den Verzeichnisdetails > Synchronisieren zurück. Quelle synchronisieren wird angezeigt.
Azure Sync ist mit Ihrem Verzeichnis integriert, wurde jedoch noch nicht gestartet. Um die Synchronisation zu starten, müssen Sie auf Einstellungen aufrufen klicken und die Synchronisationseinstellungen bearbeiten.
Ein Systemadministrator kann die Einstellungen für Quelle synchronisieren aktualisieren, nachdem das Setup abgeschlossen ist, indem er Einstellungen aufrufen auf dem Tab Verzeichniseinstellungen > Synchronisieren auswählt. Folgende Einstellungsoptionen sind verfügbar:
Bearbeitung synchronisierter Daten in der Admin Console aktivieren: Nach der Einrichtung von Azure Sync werden alle Benutzer und über die Synchronisation erstellten Gruppen in einem Verzeichnis automatisch der Synchronisationsverwaltung unterstellt. Nachdem Sie die Bearbeitung aktiviert haben, können Sie synchronisierte Daten für kurze Zeit in der Admin Console bearbeiten. In dieser Zeit vorgenommene Änderungen wirken sich nicht auf Benutzerinformationen in Azure AD aus, sondern werden durch Änderungsanforderungen von Ihrem Identitätsanbieter überschrieben.
Standardmäßig müssen Sie synchronisierte Daten vom Identitätsanbieter bearbeiten und zulassen, dass die Änderungen durch Synchronisation weitergegeben werden. Daten sollten nur wenn unbedingt erforderlich in der Admin Console manuell geändert werden.
Synchronisationsstatus: Weist Azure Sync an, Änderungsanforderungen von Azure AD abzulehnen. Sobald die Benutzersynchronisation den Status Aus besitzt, werden keine Änderungen in Azure AD (Benutzerinformationsquelle) mehr an die Adobe Admin Console übertragen.
Benutzersynchronisationskonfiguration bearbeiten: Leitet Sie zu den Konfigurationsanweisungen zum Bearbeiten der Benutzersynchronisation weiter. Verwende diese Option, wenn das modale Fenster vor Abschluss der Einrichtung der Synchronisation geschlossen wurde oder wenn du nach der Erstkonfiguration Änderungen in Azure AD vornehmen musst.
Administratoren können die Synchronisation aus einem Verbundverzeichnis in der Admin Console entfernen. Beim Entfernen der Synchronisation bleiben das Verzeichnis und die zugehörigen Domänen, Benutzergruppen und Benutzer intakt. Der Schreibschutzmodus für das Verzeichnis und dessen Benutzer und Gruppen wird entfernt.
Um die Synchronisation aus einem Verzeichnis zu entfernen, wählen Sie Einstellungen aufrufen auf der Registerkarte Verzeichniseinstellungen > Synchronisieren und dann Synchronisation entfernen. Durch diese Aktion wird die Einrichtung der Synchronisation endgültig aus der Admin Console entfernt. Bei Bedarf können Sie die Synchronisation mit demselben oder einem anderen Verzeichnis wiederherstellen.
Domänen können nicht zu oder aus einem mit Azure Sync verwalteten Verzeichnis innerhalb derselben Organisation verschoben werden. Sobald Azure Sync aus dem Quell- und/oder Zielverzeichnis entfernt wurde, kann eine Domäne aus diesem Verzeichnis in ein anderes Zielverzeichnis verschoben werden und Domänen aus anderen Quellverzeichnissen können in das Verzeichnis verschoben werden, das nicht mehr mit Azure Sync verwaltet wird.
Durch die Implementierung von Azure Sync werden neue Verbundbenutzererkonten erstellt und Benutzer mit der Adobe Admin Console synchronisiert. Administratoren können die Bereitstellung von Benutzern und Gruppen, die über Azure Sync hinzugefügt wurden, auch über die folgenden drei Verfahren (im Microsoft Azure-Portal) aufheben:
Benutzer aus allen synchronisierten Gruppen in Azure AD entfernen
Benutzer vorläufig aus Azure AD löschen
Alle Gruppen, denen der Benutzer angehört, aus dem Anwendungsbereich der Bereitstellung in Azure AD entfernen
Mit diesen drei Vorgängen werden Benutzer in der Adobe Admin Console deaktiviert. Ein deaktivierter Benutzer kann sich nicht mehr anmelden und wird in der Liste Verzeichnisbenutzer als Deaktiviert aufgeführt. Azure Sync verwaltet weiterhin einen Benutzer, dessen Bereitstellung mit einem dieser Verfahren aufgehoben wurde. Weder das Benutzerkonto noch in der Cloud gespeicherte Assets werden aus der Organisation entfernt.
Entfernen Sie einen Benutzer und zugehörige Daten aus der Admin Console: Wählen Sie Einstellungen aufrufen auf der Registerkarte Verzeichniseinstellungen > Synchronisieren und klicken Sie auf Bearbeitung aktivieren. Navigieren Sie dann zu Benutzer > Verzeichnisbenutzer und wählen Sie den Benutzer in der Liste aus, um das Konto endgültig zu löschen.
Sobald die Bearbeitung aktiviert ist, können die synchronisierten Daten eine Stunde lang bearbeitet werden, bevor sie automatisch deaktiviert wird. Es wird empfohlen, unmittelbar nach dem Entfernen eines Benutzers auf Bearbeitung deaktivieren zu klicken, damit die Änderungen in Azure AD in der Admin Console widergespiegelt werden.
Wenn Sie einen Benutzer endgültig löschen, wird dieser zusammen mit allen in der Cloud gespeicherten Assets gelöscht, deren Eigentümer er ist. Der Benutzer und die Elemente können nicht wiederhergestellt werden, nachdem diese Aktion ausgeführt wurde.
Adobe und Microsoft verfügen über eine Quarantänerichtlinie, mit der zahlreiche Fehleraufrufe während der Synchronisation verarbeitet werden.
Der Azure AD-Bereitstellungs-Service überwacht den Zustand Ihrer Konfiguration und platziert fehlerhafte Programme in einem „Quarantänezustand“. Wenn die meisten oder alle Aufrufe des Zielsystems aufgrund eines Fehlers, z. B. ungültiger Administratoranmeldeinformationen, durchgehend fehlschlagen, wird der Bereitstellungsauftrag als „In Quarantäne“ gekennzeichnet. Während er sich in Quarantäne befindet, wird die Frequenz inkrementeller Zyklen schrittweise auf einmal pro Tag reduziert. Der Bereitstellungsauftrag wird aus der Quarantäne entfernt, nachdem alle Fehler behoben wurden und der nächste Synchronisationszyklus gestartet wurde. Wenn der Bereitstellungsauftrag länger als vier Wochen in Quarantäne bleibt, wird der Bereitstellungsauftrag deaktiviert (nicht mehr ausgeführt). Weitere Informationen zur Anwendungsbereitstellung mit dem Status „In Quarantäne“ in Azure AD
Der Adobe-Service überwacht den Synchronisationszustand unabhängig, um zu ermitteln, ob die Fehlerrate in einem festgelegten Zeitraum einen bestimmten Schwellenwert überschreitet. Eine Mindestanzahl von Anforderungen, die einen Fehler verursachen, der den Schwellenwert erreicht, führt zu einer vorübergehenden Quarantäne. Dadurch werden alle Aufrufe und Aktualisierungsanforderungen von Azure AD für einen bestimmten Zeitraum abgelehnt. Anschließend werden Aufrufe zum Wiederholen des Synchronisationsversuchs wieder akzeptiert. Wenn weiterhin Fehleraufrufe auftreten, wird die Synchronisation für einen längeren Zeitraum in Quarantäne gestellt. Wenn Adobe die Quarantäne veranlasst, kann dies aufgrund der abgelehnten Aufrufe, die auf die Fehlerraten in Azure angerechnet werden, auch zu einer nachfolgenden Quarantäne bei Azure führen. Beachten Sie, dass Adobe sich das Recht vorbehält, die Quarantäneparameter auf Grundlage laufender Datenanalysen zu aktualisieren.
Es gibt eine Reihe allgemeiner Fehlermeldungen, die für die Verwaltung von Azure Sync über Azure AD relevant sind. Wenn Sie die Ursache der verschiedenen Fehlermeldungen kennen, erleichtert Ihnen dies die Fehlerbehebung.
Weitere Informationen zur Überwachung der Bereitstellung in Azure AD
Da die Adobe Admin Console den Azure-Snchronisationsdienst von Microsoft verwendet, werden alle Synchronisationsprobleme in Azure AD behoben. In den Konfigurationsanweisungen von Microsoft finden Sie Hinweise zur Lösung einiger häufiger Probleme. Wenn Sie keine Lösung finden, empfehlen wir Ihnen, sich für weitere Unterstützung an den Microsoft-Support zu wenden.
Befolgen Sie die nachstehenden Anweisungen, um ein Synchronisationsproblem zu diagnostizieren:
Bestätigen Sie Ihre Benutzer- und Gruppeneinrichtung:
Stellen Sie sicher, dass Sie die Benutzer und Gruppen gemäß den Einrichtungsanweisungen konfiguriert haben:
Bestätigen Sie die Zuordnung der Benutzerdetails: Microsoft-Dokumentation.
Überwachen Sie Ihre Bereitstellungsanwendung, um Probleme zu erkennen, die sich auf die Synchronisation auswirken können:
Wenn die Benutzer nicht in den Bereitstellungsprotokollen angezeigt werden, befinden sie sich möglicherweise außerhalb des Anwendungsbereichs. Wenn die Bereitstellungsprotokolle ein Problem anzeigen, beheben Sie es, damit der Benutzer die Synchronisation durchführen kann. Microsoft-Dokumentation
PowerShell-Erweiterungen:
Verwenden Sie die Azure PowerShell-Erweiterungen, um Probleme mit dem Azure AD-Eintrag des Benutzers zu identifizieren.
Bestätigen Sie die Benutzerdaten mit den folgenden PowerShell-Befehlen. Wenn Sie für diese Schritte Zeit benötigen, aktivieren Sie den Bearbeitungsmodus in der Admin Console, um die temporären Änderungen vorzunehmen:
Aktivieren Sie die Bearbeitung synchronisierter Daten in der Admin Console:
Nachdem Sie die Bearbeitung aktiviert haben, können Sie synchronisierte Daten für kurze Zeit in der Admin Console bearbeiten. Alle während dieser Zeit vorgenommene Änderungen wirken sich nicht auf Benutzerinformationen in Azure AD aus. Später überschreiben die Änderungsanforderungen Ihres Identitätsanbieters diese kurzzeitigen Änderungen automatisch.
Zusätzliche Schritte sind erforderlich, um alle bestehenden Benutzer ohne Federated ID in den Typ Federated ID zu konvertieren.
Weisen Sie dem synchronisierten Verbundbenutzer beim Wechseln der Identität KEINE Produkte zu. Dies sollte direkt nach der Synchronisation erfolgen, jedoch vor jeder Produktzuweisung.
Benutzer in der Admin Console mit einem bestehenden Konto ohne Federated ID können zu einem Federated ID-Konto migriert werden, nachdem Azure Sync eingerichtet wurde. Nach der Konvertierung überträgt Azure AD diese Konten erfolgreich an die Adobe Admin Console.
Gehen Sie wie folgt vor, um sicherzustellen, dass in der Cloud gespeicherte Assets in den neuen Identitätstyp des Benutzers migriert werden:
Richten Sie Azure Sync ein für Benutzer, die in der Adobe Admin Console bereits über eine andere ID als eine Federated ID verfügen. Alle Benutzer mit einer anderen ID als einer Federated ID verfügen jetzt in der Adobe Admin Console über eine Federated ID und eine andere ID.
Befolgen Sie die Schritte in Identitätstyp über CSV bearbeiten, um Benutzer ohne Federated ID in Benutzer mit Federated ID zu ändern. Stellen Sie sicher, dass die folgenden Details übereinstimmen:
Nach dem Anmelden mit der neuen Federated ID wird dem Benutzer eine Option zum automatischen Migrieren von in der Cloud gespeicherten Assets in das neue Konto angezeigt.
Nachdem Sie Azure Sync Ihrem Verzeichnis hinzugefügt haben, werden alle Benutzer und Benutzergruppen in die Adobe Admin Console importiert und in regelmäßigen Abständen aktualisiert. Als Nächstes müssen Sie diesen Benutzern den Zugriff auf die von ihnen festgelegten Adobe-Programme ermöglichen:
Wenn du Administrator einer Institution bist, empfehlen wir dir, nach der Einrichtung von Azure Sync die Rollensynchronisation zu aktivieren. Weitere Informationen zur Rollensynchronisation im Bildungsbereich