Azure AD Connector integra Microsoft Azure Active Directory (AD) con Adobe Admin Console para simplificar el proceso de configuración de SSO para los usuarios de Azure Identity. Con Azure AD Connector, puede automatizar los flujos de trabajo de administración de usuarios y aprovisionamiento de licencias para configurar el SSO en solo unos minutos.

Nota:

Si tiene un SSO basado en SAML en funcionamiento configurado con Microsoft Azure Identity, le recomendamos que mantenga su configuración actual. Una próxima función permitirá migrar automáticamente los usuarios y la configuración de SSO.

Información general

Configurar SSO usando Azure AD Connector (Verlo, 2 minutos)

Puede configurar el inicio de sesión único (SSO) con Microsoft Azure Active Directory (Azure AD) para administrar usuarios y derechos para las aplicaciones y servicios de Adobe. Adobe Admin Console usa Azure AD como proveedor de identidades (IdP). 

Azure AD Connector combina los procesos de creación de directorios, reivindicación de dominios, configuración de SSO y planificación de productos en un sencillo flujo de trabajo en Adobe Admin Console. El conector también contiene un mecanismo integrado para sincronizar usuarios y grupos de usuarios entre los dos sistemas, eliminando el proceso de varios pasos necesario para la configuración manual. Los usuarios de Azure AD sincronizados con Adobe Admin Console son únicos y pueden asignarse a uno o más perfiles de productos. El conector puede administrar la relación entre varios inquilinos de Azure AD y las Adobe Admin Console.

Una vez terminada la configuración del conector, una sincronización inicial importa todos los usuarios y grupos desde Azure AD. A partir de entonces, la sincronización se realiza periódicamente para mantener actualizados los usuarios de Adobe Admin Console. Los administradores del sistema de Admin Console reciben un correo electrónico de notificación que incluye un resumen de los usuarios y grupos agregados o eliminados al realizarse un cambio con la sincronización de Azure AD.

Nota:

Una vez completada la configuración inicial, el ciclo de sincronización continúa para administrar los cambios realizados en el Portal de Azure y Admin Console. Puede desencadenar manualmente la sincronización o dejar que se ejecute periódicamente. Se recomienda administrar los usuarios, grupos de usuarios y dominios solo en el Portal de Azure.

Los usuarios y sus derechos de productos se administran agregando o eliminando usuarios del grupo de usuarios de Azure AD correspondiente. Durante la sincronización, los usuarios se agregan o eliminan del grupo de Adobe sincronizado y se aprovisionan o revocan los derechos asociados. Los usuarios federados sincronizados con Azure AD Connector existen como usuarios de directorio dentro de Adobe Admin Console, por lo que al eliminar un usuario a través del grupo de Azure AD correspondiente se eliminan los derechos del usuario y se retira su capacidad de inicio de sesión, pero no se elimina permanentemente la cuenta. La eliminación permanente de la cuenta de usuario de la base de usuarios del directorio en Adobe Admin Console eliminará permanentemente todos los activos y contenidos asociados con la cuenta del usuario.

Beneficios de la integración de Azure AD

Las ventajas clave de cambiar a la integración de Azure AD con Adobe Admin Console son las siguientes:

  • Desaparición de la redundancia de pasos como la reivindicación de dominio, la creación de grupos, etc., ya que los dos sistemas se conectan directamente
  • Configuración e inicio rápidos de la sincronización inicial mediante un flujo de trabajo sin interrupciones
  • Microsoft Azure AD es el único lugar para todas las acciones, incluidos la administración de usuarios y el aprovisionamiento de licencias
  • Facilidad de incorporar y retirar usuarios directamente desde los grupos asociados en Azure AD
  • Menos mano de obra necesaria para administrar los dos sistemas
  • No es necesaria la configuración adicional del servicio o la API para sincronizar con Adobe Admin Console, ya que la aprobación directa para administrar usuarios y directorios ya está definida en el sistema Azure AD

Requisitos previos

Para beneficiarse de la funcionalidad para integrar la administración de usuarios de Adobe Admin Console con la de Azure AD, es necesario lo siguiente:

  • Microsoft Azure AD como proveedor de identidades (IdP)
  • Uno o más de los siguientes productos: Creative Cloud para empresas, Document Cloud para empresas o Experience Cloud
  • Los dominios asociados con Azure AD no están reivindicados en Adobe Admin Console, con lo que resulta fácil retirar las reivindicaciones de dominio pendientes

Si ya ha configurado el inicio de sesión único con Azure AD usando el conector SAML personalizado, asegúrese de lo siguiente:

  • Eliminar los usuarios, dominios y directorios asociados con Azure AD
  • Eliminar cualquier herramienta de sincronización de usuarios o la integración UMAPI para sincronizar usuarios

La siguiente tabla muestra las funciones actuales y futuras de Azure AD Connector. Use esta tabla para decidir si puede ser adecuado un cambio para su organización en el momento actual.

Componentes Funciones Azure AD Connector (versión actual) Azure AD Connector (versión futura)
Crear directorio Sincronizar dominios validados
Sincronizar grupos de usuarios con usuarios Federated ID
Migrar directorio Migrar los dominios reivindicados con Adobe a la configuración de integración de Azure AD
Mover la configuración de SSO configurada manualmente a la configuración de integración de Azure AD

Precaución:

La eliminación de usuarios retira el acceso a productos, servicios y almacenamiento. En preparación para la sincronización de Azure AD Connector, pida a sus usuarios Federated ID que descarguen y realicen una copia de seguridad de los archivos necesarios antes de su eliminación permanente de Admin Console. Si la organización ya tiene un gran número de usuarios Federated ID activos en el directorio o utiliza un proceso de administración de usuarios separado, como la herramienta de sincronización de usuarios, se recomienda que no adopte actualmente el conector.

Escenarios de integración contemplados

Azure AD Connector admite inquilinos de Azure AD múltiple y escenarios de múltiples Admin Console. Entre los escenarios contemplados se encuentran los siguientes:

Uno a uno

La organización tiene una relación de uno a uno entre un único inquilino de Azure y una única Adobe Admin Console con sincronización establecida a través de Azure AD Connector para administrar usuarios y aprovisionar licencias.

Uno a muchos (de confianza)

La organización tiene varias Adobe Admin Console con relación principal o apoderada, lo que permite a las Admin Console apoderadas aprovechar la configuración de SSO establecida en la Admin Console principal. En tal caso, Azure AD Connector solo administra usuarios para la Admin Console principal.

La Adobe Admin Console del apoderado puede aprovechar la configuración de SSO. Sin embargo, los usuarios deben sincronizarse con la Admin Console principal antes de que se agreguen manualmente a la Admin Console de confianza o mediante el servicio de administración de usuarios (como Carga manual de CSV, Herramienta de sincronización de usuarios o API User Management)

Muchos a uno

La organización tiene varios inquilinos de Azure AD que alimentan a una única Adobe Admin Console para la administración de usuarios y el aprovisionamiento de licencias. Azure AD Connector puede establecer una sincronización multiusuarios a una única Admin Console, para habilitar el inicio de sesión único y la administración de usuarios para todos los inquilinos conectados.

Uno a muchos

La organización tiene un único inquilino de Azure AD que alimenta múltiples Adobe Admin Console. Azure AD Connector puede aprovecharse para sincronizar usuarios desde un origen de directorio único a diferentes Adobe Admin Console de la misma organización.

Configurar Azure AD Connector

Si cumple con los criterios mencionados en la sección de requisitos previos, es el momento de configurar la integración y poner en marcha a sus usuarios con sus derechos.

Configurar los usuarios y grupos usando el portal de Azure.
  • Reivindique dominios y configure Azure AD.
  • Agregue grupos y usuarios según la clasificación deseada en Adobe Admin Console. Se recomienda crear grupos según los requisitos de productos de sus usuarios.
  • Asegúrese de que el número de usuarios de un grupo coincida con el número de licencias disponibles para los perfiles de productos correspondientes en Admin Console. Sin embargo, esto también se puede gestionar más tarde.

Una vez que el portal de Azure esté configurado y listo, haga lo siguiente:

  1. Inicie sesión en Adobe Admin Console y haga clic en Configuración. En la página Identidad, haga clic en Crear directorio.

  2. En la pantalla Crear directorio, haga lo siguiente y haga clic en Comenzar.

    • Introducir un nombre para el directorio
    • Seleccionar la tarjeta Federated ID
    Federated ID
  3. Seleccione Microsoft Azure, haga clic en Siguiente, y luego haga clic en Iniciar sesión en Azure, en la siguiente pantalla.

    Microsoft Azure
  4. Se le redirigirá a la página de inicio de sesión de la cuenta de Microsoft. Introduzca las credenciales de administrador con función de administrador global y haga clic en Iniciar sesión. Revise el aviso de consentimiento y luego haga clic en Aceptar para autorizar a Adobe el acceso de solo lectura de Azure AD Connector a su inquilino de Azure AD.

    Permiso de inicio de sesión de Azure
  5. Regrese a Adobe Admin Console, revise su información de Azure AD y haga clic en Confirmar.

    Confirmar directorio
  6. Seleccione el dominio predeterminado de Azure AD (por ejemplo, AdobeTestDir.omnimicrosoft.com) y los otros dominios validados en Azure AD para sincronizarlos con Adobe Admin Console y haga clic en Siguiente.

    Reivindicar dominios

    Nota:

    Solo los dominios con el estado Propiedad validada se pueden seleccionar y sincronizar. Los dominios con estados Propiedad no validada y Propiedad de otra organización no se puede sincronizar sin validación en Portal de Azure.

  7. Busque en la lista de Grupos y seleccione los grupos a sincronizar con Adobe Admin Console. Luego, haga clic en Guardar y finalizar la configuración.

    Grupos de sincronización

    Los dominios y directorios validados comienzan a sincronizarse desde Azure AD. Los detalles, como los usuarios sincronizados, se muestran en la sección Detalles, en la pestaña Ajustes.

    Pantalla de sincronización

    Una vez terminada la sincronización, recibirá un correo electrónico de notificación para asignar productos a los grupos de usuarios.

    Nota:

    El conector sincroniza los usuarios que ya existan en Adobe Admin Console con un Adobe ID y crea su Federated ID correspondiente. Para migrar usuarios de Adobe ID a Federated ID, consulte Administrar las cuentas de usuario existentes.

Una vez terminada la sincronización inicial, todos los usuarios y grupos de usuarios se importarán a Adobe Admin Console. Cree perfiles de productos adecuados y asócielos a grupos de usuarios para ajustar la asignación de productos entre los usuarios. Para obtener más información, consulte Administrar productos y perfiles.

Nota:

Cuando se les asignan a los usuarios los productos designados, reciben una notificación por correo electrónico. Los usuarios pueden descargar e instalar directamente la aplicación de escritorio de Creative Cloud. Si no tienen permisos de administrador, siga el paso que viene a continuación para crear e implementar paquetes.

Para proporcionar acceso a las aplicaciones a los usuarios finales, cree e implemente los paquetes de aplicaciones en sus ordenadores. Los usuarios deberán iniciar sesión con sus credenciales de SSO para comenzar a usar las aplicaciones y los servicios.

 Para obtener más información, consulte Crear paquetes de licencias de usuarios designados.

Administrar las cuentas de usuario existentes

Se requieren pasos adicionales para modificar el Adobe ID de un usuario existente al tipo Federated ID y para volver a configurar el SSO con Azure AD mediante el conector, en el caso de que ya estuviera establecido en Admin Console.

Precaución:

Al usuario federado sincronizado no se le debe asignar ningún producto al realizar el cambio de identidad de edición. Debe hacerse directamente después de la sincronización, pero antes de cualquier asignación de producto.

Los usuarios que tengan un Adobe ID existente en Admin Console pueden migrarse a una cuenta Federated ID una vez que se haya establecido Azure AD Connector. Una vez convertidas, el conector sincroniza estas cuentas correctamente.

Para garantizar que todos los activos almacenados en la nube se migren al nuevo tipo de identidad del usuario, siga el proceso que viene a continuación:

  1. Configure Azure AD Connector y sincronice usuarios, incluidos aquellos que ya tienen un Adobe ID en Adobe Admin Console. Cualquier usuario con un Adobe ID existente ahora tiene un Adobe y Federated ID en Adobe Admin Console.

  2. Siga los pasos que vienen en Modificar el tipo de identidad mediante CSV para cambiar los usuarios de tipo Adobe ID al tipo Federated ID. Asegúrese de hacer coincidir los siguientes detalles:

    • Haga coincidir los campos Username y Correo electrónico con los campos Nombre de usuario (UserPrincipalName) en Azure AD.
    • Haga coincidir FirstName y LastName con los correspondientes campos en Azure AD.

Al iniciar sesión con el nuevo Federated ID, al usuario se le solicitará una opción para migrar automáticamente activos almacenados en la nube a la nueva cuenta.

Si tiene una configuración de SSO funcionando con Azure AD y desea cambiar a la configuración basada en Azure AD Connector, primero deberá eliminar definitivamente todos los usuarios y dominios asociados con el directorio existente. Luego, vuelva a establecerlos mediante sincronización con la configuración de Azure AD Connector.

Nota:

En una futura actualización, Azure AD Connector obtendrá una función de migración en autoservicio y permitirá migrar los directorios federados establecidos (incluidos todos los dominios y usuarios de directorio asociados) a la sincronización desde Azure AD a través del conector (sin eliminar usuarios de directorio, dominios, y directorios).

  1. Solicite a sus usuarios Federated ID activos que efectúen manualmente una copia de seguridad de sus activos almacenados en la nube.

    Precaución:

    Los usuarios que no realicen una copia de seguridad de su activos perderán sus datos de forma permanente.

  2. Vaya a la sección Usuarios y abra Usuarios del directorio en el panel izquierdo. Elija el directorio federado que desea eliminar. Elimine todos los usuarios Federated ID del directorio.

  3. Vaya a Configuración > Identidad > Dominios y seleccione los dominios asociados al directorio existente. A continuación, seleccione Eliminar dominio. Luego, siga pasos similares para eliminar los directorios asociados.

  4. Una vez que se eliminen el directorio federado, los dominios asociados y los respectivos usuarios Federated ID, comience la implementación de Azure AD Connector.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea