Konfigurer SSO med Azure AD Connector

Azure AD Connector integrerer Microsoft Azure Active Directory (AD) med Adobe Admin Console for at forenkle SSO-konfigurationsprocessen for Azure-identitetsbrugere. Med Azure AD Connector kan du automatisere arbejdsgangene til brugeradministration og licenstildeling for at konfigurere SSO på få minutter.

Forsigtig:
  • Sletning af brugere fjerner adgangen til produkter, tjenester og lagerplads. Som forberedelse til synkronisering af Azure AD Connector skal du bede dine fødererede brugere om at hente og sikkerhedskopiere de nødvendige filer, inden de slettes permanent fra Admin Console. Hvis din organisation allerede har et stort antal aktive fødererede brugere i biblioteket eller bruger en separat brugeradministrationsproces, f.eks. brugersynkroniseringsværktøjet, bør du ikke begynde at bruge Connector endnu.
  • Du kan ikke etablere Azure-synkronisering med Azure Government Cloud Service. Brug SAML-metoden til opsætning af SSO med Microsoft Azure.
  • Hvis du har en fungerende SAML-baseret SSO konfigureret med Microsoft Azure Identity, anbefaler vi, at du beholder din nuværende konfiguration. En kommende funktion giver dig mulighed for at tilføje synkroniseringsfunktionalitet oven på din eksisterende opsætning.

Oversigt

Konfigurer SSO vha. Azure AD Connector (se: 2 min.)

Du kan konfigurere enkeltlogon (Single Sign-On, SSO) med Microsoft Azure Active Directory (Azure AD) for at administrere brugere og rettigheder til dine Adobe-apps og -tjenester. Adobe Admin Console bruger Azure AD som identitetsudbyder (IdP). 

Azure AD Connector kombinerer processerne for katalogoprettelse, domænekrav, SSO-opsætning og produktplanlægning i et simpelt arbejdsforløb i Adobe Admin Console. Connector indeholder også en indbygget mekanisme til synkronisering af brugere og brugergrupper mellem de to systemer, hvilket eliminerer den flertrinsproces, der kræves til manuel konfiguration. Azure AD-brugere, der er synkroniseret med Adobe Admin Console, er entydige og kan tilknyttes én eller flere produktprofiler. Connectoren kan styre relationen mellem flere Azure AD-lejere og Adobe Admin Consoles.

Når Connector-opsætningen er færdig, synkroniseres de valgte domæner og grupper fra Azure AD. Derefter udføres synkroniseringen regelmæssigt, så brugerne i Adobe Admin Console er opdateret. Systemadministratorer for Admin Console kan få vist de synkroniserede domæner, tilknyttede brugere og brugergrupper i sektionen Indstillinger i Adobe Admin Console.

Bemærk:

Når den indledende opsætning er gennemført, fortsætter synkroniseringscyklussen med at håndtere ændringer foretaget i Azure Portal og Admin Console. Du kan igangsætte synkroniseringen manuelt eller lade den køre med jævne mellemrum. Det anbefales, at du kun administrerer brugere/brugergrupper/domæner i Azure-portalen.

Brugere og deres produktrettigheder administreres ved at tilføje eller fjerne en bruger fra den tilsvarende Azure AD-brugergruppe. Under synkroniseringen tilføjes eller fjernes en bruger fra den synkroniserede Adobe-gruppe, og de tilhørende rettigheder tildeles eller tilbagekaldes. En fødereret bruger, der er synkroniseret med Azure AD Connector, findes som en katalogbruger i Adobe Admin Console. Hvis en bruger fjernes via den tilsvarende Azure AD-gruppe, bliver brugerens brugsret derfor fjernet, og brugeren kan ikke logge ind. Brugeren vil dog ikke blive slettet permanent. Hvis brugerkontoen slettes permanent i bibliotekets brugerbase i Adobe Admin Console, fjernes eventuelle aktiver eller indhold, der er knyttet til brugerens konto, permanent.

Fordele ved Azure AD-integration

De vigtigste fordele ved at skifte til Azure AD-integration med Adobe Admin Console er:

  • Ingen replikering af trin såsom domænekrav, gruppeoprettelse osv., da de to systemer forbindes direkte med hinanden
  • Hurtig konfiguration og igangsætning af synkroniseringen via et gnidningsfrit arbejdsforløb
  • Alle handlinger finder sted i Microsoft Azure AD, herunder brugeradministration og licensudstedelse
  • Brugere kan nemt sættes i gang og frakobles igen direkte fra de tilhørende grupper i Azure AD
  • Mindre arbejdskraft er nødvendig for at administrere de to systemer
  • Der kræves ingen yderligere service eller API-opsætning for at synkronisere til Adobe Admin Console, da direkte godkendelse til administration af brugere og kataloger allerede er defineret i Azure AD-systemet

Forudsætninger

For at kunne integrere Adobe Admin Console User Management med Azure AD kræves følgende:

  • Microsoft Azure AD som identitetsudbyder (IdP)
  • Ét eller flere af følgende produkter: Creative Cloud til virksomheder, Document Cloud til virksomheder eller Experience Cloud 
  • Domæner, der er knyttet til Azure AD, er ikke benyttet i Adobe Admin Console, eller du kan nemt tilbagetrække udestående domænekrav

Hvis du allerede har konfigureret SSO med Azure AD vha. den brugerdefinerede SAML Connector, skal du sikre dig følgende:

Tabellen nedenfor viser Azure AD Connectors aktuelle og kommende funktioner. Brug denne tabel til at afgøre, om din organisation bør skifte på nuværende tidspunkt.

Komponenter Funktioner Azure AD Connector (aktuel version) Azure AD Connector (fremtidig udgivelse)
Opret katalog Synkroniser validerede domæner
Synkroniser brugergrupper med Federated ID-brugere
Overfør katalog Overfør krævede domæner med Adobe til opsætning af Azure AD-integration
Flyt manuelt konfigureret SSO-opsætning til opsætning af Azure AD-integration

Understøttede integrationsscenarier

Azure AD Connector understøtter scenarier med flere Azure AD-lejere og flere Admin Consoles. De understøttede scenarier omfatter:

En til en

Organisationen har en en til en-relation mellem en enkelt Azure lejer og en enkelt Adobe Admin Console, hvor synkroniseringen etableres via Azure AD Connector for at administrere brugere og udstede licenser.

En til mange (betroet)

Organisationen har adskillige Adobe Admin Consoles i en primær relation eller administratorrelation, så de administrerede Admin Consoles kan udnytte den SSO-konfiguration, der er etableret på den primære Admin Console. I et sådant tilfælde administrerer Azure AD Connector kun brugere til den primære Admin Console.

Den administrerede Adobe Admin Console kan udnytte SSO-konfigurationen. Brugerne skal imidlertid synkroniseres med den primære Admin Console, før de føjes til den administrerede Admin Console manuelt eller via en brugeradministrationstjeneste (f.eks. manuel overførsel af CSV, brugersynkroniseringsværktøjet eller API til brugerstyring).

Mange til en

Organisationen har flere Azure AD-lejere, der sender data til en enkelt Adobe Admin Console til brugerstyring og licensudstedelse. Azure AD Connector kan igangsætte en synkronisering af flere lejere til en enkelt Admin Console for at muliggøre enkeltlogon og brugeradministration for alle tilsluttede lejere.

En til mange

Organisationen har en enkelt Azure AD-lejer, der sender data til flere Adobe Admin Consoles. Azure AD Connector kan udnyttes til at synkronisere brugere fra en enkelt katalogkilde til forskellige Adobe Admin Consoles til samme organisation.

Konfigurer Azure AD Connector

Hvis du opfylder de kriterier, som er nævnt i afsnittet med forudsætninger, er tiden inde til at konfigurere integrationen og få dine brugere i gang med deres rettigheder.

Bemærk:

Azure-synkronisering synkroniserer ikke brugere fra skjulte grupper i Azure-portalen. For at synkronisere brugere fra grupper med attributten "Skjult medlemskab" skal du oprette en ny gruppe på Azure-portalen og kopiere de respektive brugere til den nye gruppe.

Konfigurer dine brugere og grupper vha. Azure-portalen.
  • Gør krav på domæner, og konfigurer Azure AD.
  • Tilføj grupper og brugere ud fra den ønskede klassifikation i Adobe Admin Console. Det anbefales at oprette grupper ud fra brugernes produktkrav.
  • Sørg for, at antallet af brugere i en gruppe svarer til antallet af licenser, der er tilgængelige for tilsvarende produktprofiler i Admin Console. Dette kan dog også håndteres senere.

Når Azure-portalen er oprettet og klar, skal du gøre følgende:

  1. Log ind på Adobe Admin Console, og klik på Indstillinger. På siden Identitet skal du klikke på Opret katalog

  2. I skærmbilledet Opret et katalog skal du gøre følgende og klikke på Start.

    • Angiv et navn på kataloget
    • Vælg kortet Federated ID
    Federated ID

  3. Vælg Microsoft Azure, og klik derefter på Næste, og klik derefter på Log ind på Azure i næste skærmbillede.

    Microsoft Azure

  4. Du omdirigeres til logonsiden til Microsoft-konti. Indtast administratoroplysningerne med rollen Microsoft Global Administrator, og klik på Log ind. Gennemlæs samtykkebeskeden, og klik derefter på Accepter for at give din Azure AD-lejer skrivebeskyttet adgang til Adobe Azure AD Connector.

    Tilladelse til logon på Azure

    Bemærk:

    Microsoft Global Admin-login er kun nødvendigt i følgende tilfælde:

    • Azure AD Connectors indledende opsætning
    • Der tilføjes en ny sikkerhedsbrugergruppe eller et nyt domæne i Microsoft Azure AD

    Når systemadministratoren for Adobe Admin Console er oprettet, kan han eller hun redigere de grupper og domæner, der synkroniseres fra Azure AD, i det tilsvarende katalog.

  5. Gå tilbage til Adobe Admin Console, gennemgå dine Azure AD-oplysninger, og klik på Bekræft.

    Bekræft katalog

  6. Vælg Azure AD-standarddomænet (f.eks. AdobeTestDir.omnimicrosoft.com) og de andre domæner, der er valideret på Azure AD, for at synkronisere Adobe Admin Console, og klik på Næste.

    Gør krav på domæner

    Bemærk:

    Kun domæner med status som ejerskab valideret kan vælges og synkroniseres. Domæner med statusserne Ejerskab ikke valideret og Ejet af en anden organisation kan ikke synkroniseres uden validering i Azure-portalen.

  7. Søg på listen over grupper, og vælg de grupper, der skal synkroniseres til Adobe Admin Console. Klik derefter på Gem og afslut installationen.

    Synkroniser grupper

    Validerede domæner og kataloger begynder at blive synkroniseret fra Azure AD. Oplysninger som for eksempel synkroniserede brugere vises i sektionen Detaljer under fanen Indstillinger.

    Synkroniseringsskærmbillede

    Bemærk:


    Uanset identitetstypen synkroniserer Connector alle de understøttede identitetstypebrugere (undtagen Federated ID), der findes i Adobe Admin Console, og opretter deres tilsvarende Federated ID. Senere kan du overføre disse brugere til Federated ID ved hjælp af dokumentet Administrer eksisterende brugerkonti.

Ved hver synkronisering importeres alle brugere og brugergrupper til Adobe Admin Console. Opret passende produktprofiler, og knyt dem til brugergrupper for at finjustere tildelingen af produkter blandt brugerne. Du kan finde flere oplysninger under Administrer produkter og profiler.

Bemærk:

Når brugere får tildelt de udpegede produkter, modtager de en besked via e-mail. Brugere kan hente og installere Creative Cloud-computerappen direkte. Hvis de ikke har administratorrettigheder, skal du følge det næste trin for at oprette og udrulle pakker.

For at give dine slutbrugere adgang til apps skal du oprette og udrulle app-pakkerne på deres computere. Brugere skal logge ind ved hjælp af deres SSO-legitimationsoplysninger for at begynde at bruge apps og tjenester.

 Du kan finde flere oplysninger under Opret pakker med navngiven brugerlicensering.

Administrer eksisterende brugerkonti

Yderligere trin er nødvendige for at konvertere alle brugere, der ikke er Federated ID, til typen Federated ID og omkonfigurere SSO med Azure AD via Connector, hvis den allerede er etableret i Admin Console.

Forsigtig:

Den synkroniserede fødererede bruger må ikke tildeles nogen produkter, når skiftet til redigering af identitet foretages. Det skal ske lige efter synkronisering, men inden eventuelle produkttildelinger.

Brugere med en eksisterende konto, der ikke er Federated ID, i Admin Console, kan overføres til en Federated ID-konto, når Azure AD Connector er blevet etableret. Efter konverteringen synkroniserer Connector disse konti uden problemer.

For at sikre, at eventuelle cloudlagrede aktiver overføres til brugerens nye identitetstype, skal du følge nedenstående proces:

  1. Konfigurer Azure AD Connector, og synkroniser brugere, inklusive dem, der allerede har et ID, der ikke er Federated ID, i Adobe Admin Console. Alle brugere med et eksisterende ikke-Federated ID har nu både et ikke-Federated ID og et Federated ID i Adobe Admin Console.

  2. Følg trinnene i Rediger identitetstype med CSV for at ændre brugere, der ikke er Federated ID, til typen Federated ID. Sørg for at matche følgende detaljer:

    • Felterne Brugernavn og E-mail skal stemme overens med felterne Brugernavn (UserPrincipalName) i Azure AD.
    • Fornavn og Efternavn skal stemme overens med de tilsvarende felter i Azure AD.

Når brugeren logger ind med det nye Federated ID, vil brugeren få vist en meddelelse med muligheden for automatisk at overføre cloudlagrede aktiver til den nye konto.

Hvis du har en kørende SSO-opsætning med Azure AD og ønsker at skifte til den Azure AD Connector-baserede opsætning, skal du først slette alle brugere og domæner, der er knyttet til det eksisterende katalog. Derefter skal du genoprette dem ved at synkronisere med Azure AD Connector-opsætningen.

Bemærk:

I en fremtidig opdatering får Azure AD Connector en overflytningsfunktion til selvbetjening, så et etableret fødereret katalog kan overføres (inklusive alle tilknyttede domæner og katalogbrugere) via synkronisering fra Azure AD via Connector (uden at slette katalogbrugere, domæner og kataloger).

  1. Bed dine aktive Federated ID-brugere om manuelt at sikkerhedskopiere aktiver, som er lagret i clouden.

    Forsigtig:

    Brugere, der ikke sikkerhedskopierer deres aktiver, mister deres data permanent.

  2. Gå til sektionen Brugere, og åbn Mappebrugere i ruden til venstre. Vælg den fødererede mappe, der skal fjernes. Slet alle Federated ID-brugere fra biblioteket.

  3. Naviger til Indstillinger > Identitet > Domæner, og vælg de domæner, der er knyttet til det eksisterende katalog. Vælg derefter Fjern domæne. Følg derefter de tilsvarende trin for at slette de tilknyttede kataloger.

  4. Når først det fødererede katalog, de tilhørende domæner og de respektive Federated ID-brugere er slettet, skal du påbegynde implementeringen af Azure AD Connector.

Slet kataloger, og fjern domæner

Bemærk:
  • Når du vil fjerne et katalog, skal du først fjerne alle brugere, domæner og administratorer, der er tilknyttet det.
  • Hvis du sletter en bruger fra Katalogbrugere, slettes brugeren sammen med alle tilknyttede Creative Cloud-aktiver. Derefter kan brugeren og aktiverne kan ikke gendannes.
  1. Gå til fanen Indstillinger i Admin Console, og find Azure Sync-kataloget. Fravælg alle brugergrupper og domæner fra synkronisering.

    Bemærk, at brugerantallet i kataloget Detaljer begynder at falde.

    Forsigtig:

    Slå ikke synkroniseringsknappen fra.

  2. Vent, indtil alle brugere er fjernet fra de fravalgte grupper og domæner på fanen Brugere. Naviger derefter til sektionen Katalogbrugere, vælg det relevante katalog, og fjern alle brugere.

    Du kan vælge op til 100 brugere ad gangen fra bunden af brugertabellen. På den måde går processen hurtigere.

  3. Når brugerne er fjernet fra sektionen Katalogbrugere, skal du fjerne de tilknyttede domæner. Naviger til Indstillinger > Identitet > Domæner. Fjern de domæner, der er knyttet til Azure-kataloget, fra listen.

  4. Dit katalog er nu klar til at blive slettet. Vælg det tomme katalog fra fanen Indstillinger for at slette det.

Bemærk:

Sørg for, at der ikke er etableret nogen domænetillidsforhold til de domæner, der fjernes.

Hvis du vil bevare disse tillidsforhold, skal du bryde dem midlertidigt, mens du udfører de resterende trin. Du kan tilknytte domænetillidsforhold, når domænerne er genetableret i Adobe Admin Console. Få mere at vide om katalogtillid.

Fejlfinding af synkroniseringsproblemer

Hvis din brugerliste ikke synkroniseres, eller hvis brugerne nægtes adgang, når de prøver at få adgang til deres apps, skal du følge disse trin for at identificere og løse problemet:

  1. Gå til Microsoft Azure Portal, , og gå til: Azure Active Directory > Monitoring. Gennemgå indlogninger og andre logfiler for at se, om der er problemer.

  2. Bekræft brugerdataene med følgende Powershell-kommandoer:

    1. Install-Module AzureAD
    2. Connect-AzureAD-Credential (Get-Credential)
    3. Get-AzureADUser-ObjectId <brugerens e-mailadresse> | FL
  3. Ret problemet med Active Directory-posten. I de fleste tilfælde skyldes problemet en sekundær e-mailadresse, som ikke er på det samme domæne.

  4. Gå til Administrer > Brugere for at kontrollere, om brugeren er et gruppemedlem i Azure AD. Kontrollér også, at denne gruppe er synkroniseret i Adobe Admin Console.