Azure AD Connector integrerer Microsoft Azure Active Directory (AD) med Adobe Admin Console for at forenkle SSO-konfigurationsprocessen for Azure-identitetsbrugere. Med Azure AD Connector kan du automatisere arbejdsgangene til brugeradministration og licenstildeling for at konfigurere SSO på få minutter.

Bemærk:

Hvis du har en fungerende SAML-baseret SSO konfigureret med Microsoft Azure Identity, anbefaler vi, at du beholder din nuværende konfiguration. En kommende funktion giver dig mulighed for automatisk at overføre brugere og SSO-konfiguration.

Oversigt

Konfigurer SSO vha. Azure AD Connector (se: 2 min.)

Du kan konfigurere enkeltlogon (Single Sign-On, SSO) med Microsoft Azure Active Directory (Azure AD) for at administrere brugere og rettigheder til dine Adobe-apps og -tjenester. Adobe Admin Console bruger Azure AD som identitetsudbyder (IdP). 

Azure AD Connector kombinerer processerne for katalogoprettelse, domænekrav, SSO-opsætning og produktplanlægning i et simpelt arbejdsforløb i Adobe Admin Console. Connector indeholder også en indbygget mekanisme til synkronisering af brugere og brugergrupper mellem de to systemer, hvilket eliminerer den flertrinsproces, der kræves til manuel konfiguration. Azure AD-brugere, der er synkroniseret med Adobe Admin Console, er entydige og kan tilknyttes én eller flere produktprofiler. Connector kan styre relationen mellem flere Azure AD-lejere og Adobe Admin Consoles.

Når Connector-opsætningen er færdig, importerer en initial synkronisering alle brugere og grupper fra Azure AD. Derefter udføres synkroniseringen regelmæssigt, så brugerne i Adobe Admin Console er opdateret. Systemadministratorer for Admin Console modtager en underretnings-e-mail med en oversigt over tilføjede eller fjernede brugere og grupper, når der foretages en ændring i forbindelse med Azure AD-synkronisering.

Bemærk:

Når den indledende opsætning er gennemført, fortsætter synkroniseringscyklussen med at håndtere ændringer foretaget i Azure Portal og Admin Console. Du kan igangsætte synkroniseringen manuelt eller lade den køre med jævne mellemrum. Det anbefales, at du kun administrerer brugere/brugergrupper/domæner i Azure-portalen.

Brugere og deres produktrettigheder administreres ved at tilføje eller fjerne en bruger fra den tilsvarende Azure AD-brugergruppe. Under synkroniseringen tilføjes eller fjernes en bruger fra den synkroniserede Adobe-gruppe, og de tilhørende rettigheder tildeles eller tilbagekaldes. En fødereret bruger, der er synkroniseret ved hjælp af Azure AD Connector, findes som en katalogbruger i Adobe Admin Console. Hvis en bruger fjernes via den tilsvarende Azure AD-gruppe, fratages brugerens rettighed, og vedkommende forhindres i at logge ind. Kontoen slettes dog ikke permanent. Hvis brugerkontoen slettes permanent i bibliotekets brugerbase i Adobe Admin Console, fjernes evt. aktiver eller indhold, der er knyttet til brugerens konto, permanent.

Fordele ved Azure AD-integration

De vigtigste fordele ved at skifte til Azure AD-integration med Adobe Admin Console er:

  • Ingen replikering af trin såsom domænekrav, gruppeoprettelse osv., da de to systemer forbindes direkte med hinanden
  • Hurtig konfiguration og igangsætning af den indledende synkronisering via et gnidningsfrit arbejdsforløb
  • Alle handlinger finder sted i Microsoft Azure AD, herunder brugeradministration og licensudstedelse
  • Brugere kan nemt sættes i gang og frakobles igen direkte fra de tilhørende grupper i Azure AD
  • Mindre arbejdskraft er nødvendig for at administrere de to systemer
  • Der kræves ingen yderligere service eller API-opsætning for at synkronisere til Adobe Admin Console, da direkte godkendelse til administration af brugere og kataloger allerede er defineret i Azure AD-systemet

Forudsætninger

For at kunne udnytte funktionaliteten til at integrere brugeradministration i Adobe Admin Console med brugeradministration i Azure AD har du brug for følgende:

  • Microsoft Azure AD som identitetsudbyder (IdP)
  • Ét eller flere af følgende produkter: Creative Cloud for enterprise, Document Cloud for enterprise eller Experience Cloud 
  • Domæner, der er knyttet til Azure AD, er ikke benyttet i Adobe Admin Console, eller du kan nemt tilbagetrække udestående domænekrav

Hvis du allerede har konfigureret SSO med Azure AD vha. den brugerdefinerede SAML Connector, skal du sikre dig følgende:

  • Fjern de brugere, domæner og kataloger, der er tilknyttet Azure AD
  • Fjern alle brugersynkroniseringsværktøjer eller UMAPI-integration for at synkronisere brugere

Tabellen nedenfor viser Azure AD Connectors aktuelle og kommende funktioner. Brug denne tabel til at afgøre, om din organisation bør skifte på nuværende tidspunkt.

Komponenter Funktioner Azure AD Connector (aktuel version) Azure AD Connector (fremtidig udgivelse)
Opret katalog Synkroniser validerede domæner
Synkroniser brugergrupper med Federated ID-brugere
Overfør katalog Overfør krævede domæner med Adobe til opsætning af Azure AD-integration
Flyt manuelt konfigureret SSO-opsætning til opsætning af Azure AD-integration

Forsigtig:

Sletning af brugere fjerner adgangen til produkter, tjenester og lagerplads. Som forberedelse til synkronisering af Azure AD Connector skal du bede dine fødererede brugere om at hente og sikkerhedskopiere de nødvendige filer, inden de slettes permanent fra Admin Console. Hvis din organisation allerede har et stort antal aktive fødererede brugere i biblioteket eller bruger en separat brugeradministrationsproces, f.eks. brugersynkroniseringsværktøjet, bør du ikke begynde at bruge Connector endnu.

Understøttede integrationsscenarier

Azure AD Connector understøtter scenarier med flere Azure AD-lejere og flere Admin Consoles. De understøttede scenarier omfatter:

En til en

Organisationen har en en til en-relation mellem en enkelt Azure lejer og en enkelt Adobe Admin Console, hvor synkroniseringen etableres via Azure AD Connector for at administrere brugere og udstede licenser.

En til mange (betroet)

Organisationen har adskillige Adobe Admin Consoles i en primær relation eller administratorrelation, så de administrerede Admin Consoles kan udnytte den SSO-konfiguration, der er etableret på den primære konsol. I sådanne tilfælde administrerer Azure AD Connector kun brugere til den primære Admin Console. Administrator-Admin Console kan udnytte SSO-konfigurationen, men anvender en separat form for brugeradministrationstjeneste (f.eks. manuel overførsel af CSV, brugersynkroniseringsværktøj eller API til brugerstyring).

Mange til en

Organisationen har flere Azure AD-lejere, der sender data til en enkelt Adobe Admin Console til brugerstyring og licensudstedelse. Azure AD Connector kan igangsætte en synkronisering af flere lejere til en enkelt Admin Console for at muliggøre enkeltlogon og brugeradministration for alle tilsluttede lejere.

En til mange

Organisationen har en enkelt Azure AD-lejer, der sender data til flere Adobe Admin Consoles. Azure AD Connector kan udnyttes til at synkronisere brugere fra en enkelt katalogkilde til forskellige Adobe Admin Consoles til samme organisation.

Konfigurer Azure AD Connector

Hvis du opfylder de kriterier, som er nævnt i afsnittet med forudsætninger, er tiden inde til at konfigurere integrationen og få dine brugere i gang med deres rettigheder.

Konfigurer dine brugere og grupper vha. Azure-portalen.
  • Gør krav på domæner, og konfigurer Azure AD.
  • Tilføj grupper og brugere ud fra den ønskede klassifikation i Adobe Admin Console. Det anbefales at oprette grupper ud fra brugernes produktkrav.
  • Sørg for, at antallet af brugere i en gruppe svarer til antallet af licenser, der er tilgængelige for tilsvarende produktprofiler i Admin Console. Dette kan dog også håndteres senere.

Når Azure-portalen er oprettet og klar, skal du gøre følgende:

  1. Log ind på Adobe Admin Console, og klik på Indstillinger. På siden Identitet skal du klikke på Opret katalog

  2. I skærmbilledet Opret et katalog skal du gøre følgende og klikke på Start.

    • Angiv et navn på kataloget
    • Vælg kortet Federated ID
    Federated ID
  3. Vælg Microsoft Azure, og klik derefter på Næste, og klik derefter på Log på Azure i næste skærmbillede.

    Microsoft Azure
  4. Du omdirigeres til logonsiden til Microsoft-konti. Indtast administratoroplysningerne med rollen Global Administrator, og klik på Log ind. Gennemlæs samtykkebeskeden, og klik derefter på Accepter for at give din Azure AD-lejer skrivebeskyttet adgang til Adobe Azure AD Connector.

    Tilladelse til logon på Azure
  5. Gå tilbage til Adobe Admin Console, gennemgå dine Azure AD-oplysninger, og klik på Bekræft.

    Bekræft katalog
  6. Vælg Azure AD-standarddomænet (f.eks. AdobeTestDir.omnimicrosoft.com) og de andre domæner, der er valideret på Azure AD, for at synkronisere Adobe Admin Console, og klik på Næste.

    Gør krav på domæner

    Bemærk:

    Kun domæner med status som ejerskab valideret kan vælges og synkroniseres. Domæner med statusserne Ejerskab ikke valideret og Ejet af en anden organisation kan ikke synkroniseres uden validering i Azure-portalen.

  7. Søg på listen over grupper, og vælg de grupper, der skal synkroniseres til Adobe Admin Console. Klik derefter på Gem og afslut installationen.

    Synkroniser grupper

    Validerede domæner og kataloger begynder at blive synkroniseret fra Azure AD. Oplysninger som f.eks. synkroniserede brugere vises i sektionen Detaljer afsnit under fanen Indstillinger.

    Synkroniseringsskærmbillede

    Når synkroniseringen er færdig, modtager du besked via e-mail om at knytte produkter til brugergrupperne.

    Bemærk:

    Connector synkroniserer de brugere, der allerede findes i Adobe Admin Console, med et tilsvarende Adobe ID og opretter deres tilsvarende Federated ID. Hvis du vil migrere Adobe ID-brugere til Federated ID'er, skal du se administrere eksisterende brugerkonti.

Når den indledende synkronisering er gennemført, importeres alle brugere og brugergrupper til Adobe Admin Console. Opret passende produktprofiler, og knyt dem til brugergrupper for at finjustere tildelingen af produkter blandt brugerne. Du kan finde flere oplysninger under Administrer produkter og profiler.

Bemærk:

Når brugere får tildelt de udpegede produkter, modtager de en besked via e-mail. Brugere kan hente og installere Creative Cloud-computerappen direkte. Hvis de ikke har administratorrettigheder, skal du følge det næste trin for at oprette og udrulle pakker.

For at give dine slutbrugere adgang til apps skal du oprette og udrulle app-pakkerne på deres computere. Brugere skal logge ind ved hjælp af deres SSO-legitimationsoplysninger for at begynde at bruge apps og tjenester.

 Du kan finde flere oplysninger under Opret pakker med navngiven brugerlicensering.

Administrer eksisterende brugerkonti

Yderligere trin er nødvendige for at ændre en brugers eksisterende Adobe ID til typen Federated ID og omkonfigurere SSO med Azure AD via Connector, hvis den allerede er etableret i Admin Console.

Forsigtig:

Undlad at tildele Adobe ID-brugere til produktprofiler, før de er blevet overført til de respektive Federated ID'er. Hvis produkter tildeles til Adobe ID-brugere før overførsel resulterer det i fejlen: Noget gik galt: USER_ENTITLEMENTS_ALREADY_ASSIGNED.

Brugere, som har et eksisterende Adobe ID i Admin Console, kan overføres til en Federated ID-konto, når Azure AD Connector er blevet etableret. Efter konverteringen synkroniserer Connector disse konti uden problemer.

For at sikre, at eventuelle cloudlagrede aktiver overføres til brugerens nye identitetstype, skal du følge nedenstående proces:

  1. Konfigurer Azure AD Connector, og synkroniser brugere, inklusive dem, der allerede har et Adobe ID i Adobe Admin Console. Alle brugere med et eksisterende Adobe ID har nu et Adobe og Federated ID i Adobe Admin Console.

  2. Følg trinene i Rediger identitetstype med CSV for at ændre Adobe ID-brugere til typen Federated ID. Sørg for at matche følgende detaljer:

    • Felterne Brugernavn og E-mail skal stemme overens med felterne Brugernavn (UserPrincipalName) i Azure AD.
    • Fornavn og Efternavn skal stemme overens med de tilsvarende felter i Azure AD.

Når brugeren logger ind med det nye Federated ID, vil brugeren få vist en meddelelse med muligheden for automatisk at overføre cloudlagrede aktiver til den nye konto.

Hvis du har en kørende SSO-opsætning med Azure AD og ønsker at skifte til den Azure AD Connector-baserede opsætning, skal du først slette alle brugere og domæner, der er knyttet til det eksisterende katalog. Derefter skal du genoprette dem ved at synkronisere med Azure AD Connector-opsætningen.

Bemærk:

I en fremtidig opdatering får Azure AD Connector en overflytningsfunktion til selvbetjening, så et etableret fødereret katalog kan overføres (inklusive alle tilknyttede domæner og katalogbrugere) via synkronisering fra Azure AD via Connector (uden at slette katalogbrugere, domæner og kataloger).

  1. Bed dine aktive Federated ID-brugere om manuelt at sikkerhedskopiere aktiver, som er lagret i clouden.

    Forsigtig:

    Brugere, der ikke sikkerhedskopierer deres aktiver, mister deres data permanent.

  2. Gå til sektionen Brugere, og åbn Mappebrugere i ruden til venstre. Vælg den fødererede mappe, der skal fjernes. Slet alle Federated ID-brugere fra biblioteket.

  3. Naviger til Indstillinger > Identitet > Domæner, og vælg de domæner, der er knyttet til det eksisterende katalog. Vælg derefter Fjern domæne. Følg derefter de tilsvarende trin for at slette de tilknyttede kataloger.

  4. Når først de fødererede katalog, tilhørende domæner og respektive Federated ID-brugere er slettet, skal du påbegynde implementeringen af Azure AD Connector.

Dette arbejde har licens under en Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Opslag på Twitter™ og Facebook er ikke omfattet af vilkårene for Creative Commons.

Juridiske meddelelser   |   Politik for beskyttelse af personlige oplysninger online