Guide d'utilisation Annuler

Ajout de Microsoft Azure Sync à votre répertoire

Azure Sync automatise la gestion des utilisateurs pour votre répertoire Admin Console. Vous pouvez facilement ajouter Azure Sync à n’importe quel répertoire Federated dans le portail Admin Console, quel que soit son fournisseur d’identité (IdP). Pour utiliser Azure Sync, les données des utilisateurs et des groupes de votre organisation doivent être stockées dans Microsoft Azure Active Directory (Azure AD).

Remarque :
  • Si votre fournisseur d’identité est Microsoft Azure Active Directory (Azure AD) et que vous ne disposez pas d’un répertoire Federated dans le portail Adobe Admin Console, vous pouvez configurer la fédération de l’une des manières suivantes :
    • OpenID Connect (OIDC) : créez un répertoire Federated en quelques secondes via OIDC. Le processus de configuration se déroule principalement dans le portail Adobe Admin Console.
    • Authentification unique avec Azure AD via SAML : créez un répertoire Federated à l’aide de la configuration Azure AD avec SAML. Le processus de configuration se déroule principalement dans Microsoft Azure Portal.
  • Si vous avez un répertoire basé sur le protocole SAML qui fonctionne, vous pouvez ajouter des capacités de synchronisation à votre configuration existante.
  • Vous ne pouvez pas gérer les utilisateurs manuellement ou en utilisant d’autres méthodes de synchronisation des utilisateurs si vous avez configuré la synchronisation Azure pour un répertoire. Consultez la section Remarques avant la configuration de la synchronisation et les questions courantes pour en savoir plus.

Présentation

Vous pouvez ajouter Azure Sync à n’importe quel répertoire du portail Adobe Admin Console pour automatiser son processus de gestion des utilisateurs. Azure Sync utilise le protocole SCIM pour la gestion des utilisateurs et vous permet de contrôler les utilisateurs et les groupes envoyés à Adobe. Les utilisateurs Azure AD synchronisés avec le portail Adobe Admin Console sont uniques et peuvent être attribués à un ou plusieurs profils de produit.

Une fois que vous avez configuré Azure Sync, Azure AD commence à envoyer des données au portail Adobe Admin Console en suivant le provisionnement des utilisateurs et des groupes du répertoire Azure AD. Tous les détails associés au répertoire sont affichés dans la section Paramètres du portail Adobe Admin Console.

Les avantages d’Azure Sync

Les principaux avantages de l’ajout d’Azure Sync à votre répertoire dans le portail Adobe Admin Console sont les suivants :

 Gérez tout dans Azure AD

 Contrôlez les données envoyées à Adobe

 Aucun autre service ni configuration API nécessaire

 Personnalisez le mappage des attributs utilisateur Azure AD

 Ajoutez la synchronisation à des répertoires configurés précédemment

 Ajoutez la synchronisation Azure à des répertoires configurés pour n’importe quel fournisseur d’identité

 Intégrez et retirez des utilisateurs facilement avec Azure AD

Conditions préalables

Pour intégrer la gestion des utilisateurs du portail Adobe Admin Console à Azure AD, vous devez disposer des éléments suivants :

  • Compte Microsoft Azure AD avec données d’utilisateur et de groupe
  • Produits Adobe appartenant à l’une des offres suivantes : Creative Cloud abonnement Entreprise, Document Cloud abonnement Entreprise ou Experience Cloud 
  • Un répertoire Federated dans le portail Adobe Admin Console avec des domaines vérifiés

Scénarios d’intégration pris en charge

La configuration du répertoire peut différer et Azure Sync prend en charge différents scénarios, qui nécessitent des étapes supplémentaires pour configurer Azure Sync. Utilisez le tableau pour suivre les étapes en fonction de la configuration de votre répertoire :

Scénario de configuration de répertoire

Méthode pour ajouter une synchronisation

Répertoire Federated unique avec un ou plusieurs domaines dans le même environnement client Azure AD. 

Suivez la procédure Ajouter une synchronisation pour établir Azure Sync. 

Répertoires Federated multiples avec un ou plusieurs domaines appartenant au même environnement client Azure AD. 

  1. Consolidez les domaines dans un répertoire Federated unique.
  2. Suivez la procédure Ajouter une synchronisation pour établir Azure Sync. 

 

Répertoires Federated multiples avec un ou plusieurs domaines appartenant à différents environnements clients Azure AD.  

  1. Suivez la procédure Ajouter une synchronisation pour établir Azure Sync pour un répertoire unique.
  2. Répétez la configuration d’Azure Sync pour tous les répertoires distincts qui nécessitent une synchronisation.

 

Remarques avant la configuration de la synchronisation

Consultez les points ci-dessous pour prendre connaissance des bonnes pratiques et des recommandations Adobe avant de configurer Azure Sync :

  • Exportez la liste d’utilisateurs existants avant d’ajouter Azure Sync pour conserver un enregistrement de tous les comptes d’utilisateurs et licences provisionnées au moment de la configuration.
  • Si vous avez configuré l’authentification unique Azure AD avec Open ID Connect (OIDC), vous devez ajouter une nouvelle application Adobe Identity Management dans Microsoft Azure Portal pour configurer la synchronisation des répertoires.
  • Si vous avez configuré l’authentification unique Azure AD avec SAML, utilisez l’application Adobe Identity Management existante pour configurer la synchronisation des répertoires. Suivez les étapes mentionnées dans le document Microsoft pour configurer le provisionnement automatique des utilisateurs avec l’application Adobe Identity Management.
  • Azure Sync dissocie les e-mails des noms d’utilisateurs, ce qui permet aux utilisateurs d’utiliser une valeur d’e-mail et de nom d’utilisateur différente pour valider la connexion et accéder aux produits et services Adobe, collaborer sur des projets, partager des fichiers, etc.​ Suivez les étapes indiquées dans le document Microsoft pour personnaliser le mappage d’attributs du provisionnement des utilisateurs.
  • Si vous intégrez Azure Sync à un répertoire ayant des utilisateurs Federated ID, vérifiez que le format du champ de leur nom d’utilisateur correspond au nom d’utilisateur principal (UPN) dans Azure AD avant d’exécuter la synchronisation initiale.
    Si ces valeurs ne correspondent pas, le portail Admin Console considère qu’il s’agit d’un nouveau compte utilisateur net et crée des enregistrements en double pour un seul utilisateur. Vous pouvez mettre à jour le mappage d’attributs pour vous assurer que les valeurs transmises par synchronisation correspondent aux valeurs des profils utilisateur dans le portail Admin Console, qui mettra automatiquement à jour leurs comptes lors de la prochaine synchronisation.
  • Azure Sync ne peut être établi que dans un portail Admin Console avec au moins un répertoire fédéré et un domaine configuré. Si le portail Admin Console avec Azure Sync (propriétaire de la console) est dans une relation d’approbation avec d’autres portails Admin Console (consoles mandataires), les mandataires doivent utiliser une autre forme de gestion des utilisateurs, telle que l’outil de synchronisation des utilisateurs, l’API User Management, ou la fonction de chargement CSV en bloc, pour créer, gérer et octroyer des licences aux utilisateurs Federated ID.
    Pour ajouter des utilisateurs à une console mandataire pour le provisionnement des licences, vous devez d’abord ajouter l’utilisateur à la console propriétaire.
  • Si votre organisation utilise l’outil de synchronisation des utilisateurs ou une intégration UMAPI, vous devez d’abord suspendre l’intégration. Ensuite, ajoutez Azure Sync pour automatiser la gestion des utilisateurs à partir d’Azure AD. Une fois Azure Sync configuré et exécuté, l’outil de synchronisation des utilisateurs ou l’intégration UMAPI peut être supprimé(e) complètement.
  • Votre organisation doit disposer d’un abonnement Premium (P1 ou P2) ou Microsoft 365 (E3 ou A3) avec Azure AD pour utiliser les capacités d’attribution basées sur des groupes. Il vous permet de choisir des groupes et des utilisateurs spécifiques à synchroniser avec le portail Adobe Admin Console.
    Les organisations sans ces niveaux d’abonnement peuvent uniquement synchroniser tous les utilisateurs et groupes avec le portail Adobe Admin Console en même temps. Le système synchronisera automatiquement tous les utilisateurs et groupes, puis générera un Adobe Federated ID pour les utilisateurs synchronisés. En savoir plus sur les formules d’abonnement Azure AD et les options de mise à jour.
  • Pour déplacer un domaine vers ou depuis un annuaire établi avec Azure Sync, vous devez d’abord activer la modification pour le répertoire temporairement. Une fois activé, déplacez le domaine souhaité vers ou depuis le répertoire synchronisé Azure AD avant de désactiver les fonctionnalités de modification pour le répertoire.
  • Azure ne synchronise pas les utilisateurs qui font partie de groupes avec l’attribut HiddenMembership dans Azure AD. Pour synchroniser des utilisateurs spécifiques, créez un groupe sur Azure AD et copiez les utilisateurs respectifs dans le nouveau groupe.

Ajout d’Azure Sync à un répertoire Federated

Vous pouvez ajouter Azure Sync à un répertoire Federated du portail Adobe Admin Console avec les domaines requis qui lui sont liés. Pour ajouter une synchronisation à un répertoire Federated établi, suivez le processus ci-dessous :

  1. Dans l’onglet Paramètres du portail Adobe Admin Console, accédez à la section Détails du répertoire > Synchronisation. Cliquez sur Ajouter une synchronisation.

  2. Sélectionnez la fiche Synchroniser les utilisateurs de Microsoft Azure et cliquez sur Suivant.

  3. Étapes dans Microsoft Azure Portal :

    Laissez la fenêtre du portail Admin Console ouverte pour référence et ouvrez Microsoft Azure Portal dans une nouvelle fenêtre de navigateur. Ensuite, suivez les étapes mentionnées dans le document Microsoft pour configurer le provisionnement automatique des utilisateurs.

    Remarque :
    • Vous pouvez synchroniser des groupes imbriqués à partir d’Azure AD via l’intégration Azure Sync, bien que les groupes imbriqués ne soient pas automatiquement synchronisés lorsque le nœud parent du groupe est ajouté à la portée de synchronisation. Vous devez également ajouter les groupes imbriqués à la portée pour les inclure dans la synchronisation automatique.

    • Les organisations doivent disposer d’un abonnement Premium (P1 ou P2) ou Microsoft 365 (E3 ou A3) avec Azure Active Directory pour utiliser les capacités d’attribution basées sur des groupes qui permettent à un administrateur de choisir des groupes et des utilisateurs spécifiques comme seuls objets à synchroniser avec le portail Adobe Admin Console.

      Les organisations sans ces niveaux d’abonnement peuvent uniquement synchroniser des utilisateurs individuels (pas des groupes) ou tous les utilisateurs et groupes d’Azure AD avec le portail Adobe Admin Console. Vérifiez votre abonnement Microsoft Azure pour confirmer le niveau de votre organisation et contactez votre représentant Microsoft si nécessaire.

    Après la configuration, Azure commence le traitement et l’envoi de données pour le provisionnement dans Adobe. Vous pouvez consulter d’autres instructions via des tutoriels Microsoft Application Management.

  4. Dans la fenêtre du portail Adobe Admin Console, cochez la case pour confirmer l’autorisation d’accès Adobe et la configuration dans Azure AD. Sélectionnez ensuite Terminé.

  5. Revenez aux détails du répertoire > Synchroniser. L’écran Synchronisation avec la source s’affiche.

    Azure Sync est intégré à votre répertoire, mais il n’a pas encore démarré. Pour lancer la synchronisation, vous devez cliquer sur Accéder aux paramètres et modifier les paramètres de synchronisation.

Modification des paramètres de synchronisation

Un administrateur système peut mettre à jour les paramètres de la synchronisation avec la source une fois la configuration terminée en choisissant Accéder aux paramètres à partir de l’onglet Paramètres du répertoire > Synchroniser. Les options de paramètres suivantes sont disponibles :

  • Autoriser la modification des données synchronisées dans le portail Admin Console : une fois Azure Sync établi, tous les utilisateurs et les groupes créés par synchronisation dans un répertoire passent automatiquement dans la gestion de la synchronisation. Après avoir activé la modification, vous pouvez modifier les données synchronisées dans le portail Admin Console pendant une courte période. Toute modification apportée pendant cette période n’affecte pas les données utilisateur dans Azure AD, mais est écrasée par les demandes de modification de votre fournisseur d’identité.

    Attention :

    Par défaut, vous devez modifier les données synchronisées avec le fournisseur d’identité et autoriser la propagation des modifications via la synchronisation. Nous vous déconseillons de modifier manuellement les données dans le portail Admin Console, sauf en cas de nécessité absolue.

  • État de la synchronisation : demande à Azure Sync de rejeter les demandes de modification d’Azure AD. Une fois que le statut Azure Sync est Désactivé, les modifications dans Azure AD (source de données utilisateur) ne sont pas transmises au portail Adobe Admin Console. 

  • Modifier la configuration de synchronisation d’utilisateurs : vous redirige vers les instructions de configuration pour modifier la synchronisation d’utilisateurs. Utilisez cette option si la fenêtre modale se ferme avant que la configuration de la synchronisation soit terminée ou si vous devez apporter des modifications dans Azure AD après la configuration initiale.

Suppression de la synchronisation

Les administrateurs peuvent choisir de supprimer la synchronisation d’un répertoire fédéré dans Admin Console. Le fait de supprimer la synchronisation laisse le répertoire et ses domaines, groupes d’utilisateurs et utilisateurs associés intacts et supprime le mode lecture seule du répertoire et de ses utilisateurs et groupes.

Pour supprimer la synchronisation d’un répertoire, choisissez Accéder aux paramètres dans l’onglet Paramètres du répertoire > Synchroniser, puis Supprimer la synchronisation. Cette action supprimera définitivement la configuration de synchronisation dans Admin Console. Si nécessaire, vous pouvez rétablir la synchronisation avec le même répertoire ou un répertoire différent.

Remarque :

Les domaines ne peuvent pas être déplacés vers ou à partir d’un répertoire géré par Azure Sync au sein de la même organisation.  Une fois Azure Sync supprimé du répertoire source et/ou cible, un domaine de ce répertoire peut être déplacé vers un autre répertoire cible, et les domaines d’autres répertoires sources peuvent être déplacés vers le répertoire qui n’est plus géré par Azure Sync. 

Désactivation des utilisateurs et des groupes

La mise en œuvre d’Azure Sync crée de nouveaux comptes d’utilisateurs fédérés et synchronise les utilisateurs avec Adobe Admin Console. Les administrateurs peuvent également annuler la gestion des utilisateurs et des groupes ajoutés via Azure Sync via les trois méthodes ci-dessous (dans le Microsoft Azure Portal) :

  • Suppression de l’utilisateur de tous les groupes synchronisés dans Azure AD

  • Marquage de l’utilisateur pour suppression dans Azure AD

  • Suppression de tous les groupes dont l’utilisateur fait partie de la portée d’application dans Azure AD

Ces trois opérations désactivent les utilisateurs dans Adobe Admin Console. Un utilisateur désactivé ne peut plus se connecter et apparaît comme Désactivé dans la liste Utilisateurs de répertoire. Azure Sync continuera à gérer un utilisateur dont l’approvisionnement est annulé par l’une de ces méthodes. Ni le compte de l’utilisateur, ni les ressources stockées dans le cloud ne sont supprimés de l’organisation. 

Supprimer un utilisateur et les données associées du portail Admin Console : choisissez Accéder aux paramètres dans l’onglet Paramètres du répertoire > Synchroniser et cliquez sur Activer la modification. Accédez ensuite à Utilisateurs > Utilisateurs du répertoire et choisissez l’utilisateur dans la liste pour supprimer définitivement ce compte.

Une fois la modification activée, elle permet de modifier les données synchronisées pendant une heure avant d’être automatiquement désactivée. Nous vous recommandons de cliquer sur Désactiver la modification immédiatement après la suppression de l’utilisateur pour garantir qu’Admin Console reflète les modifications d’Azure AD.

Attention :

Si vous supprimez définitivement un utilisateur, toutes les ressources stockées dans le cloud lui appartenant sont également supprimées. L’utilisateur et les ressources ne peuvent pas être récupérés une fois cette action effectuée.

Politique de quarantaine

Adobe et Microsoft ont une politique de quarantaine pour gérer de nombreux appels d’erreur lors des opérations de synchronisation. 

Le service de provisionnement Azure AD surveille l’intégrité de votre configuration et place les applications défectueuses dans un état de « quarantaine ». Si la plupart ou la totalité des appels effectués sur le système cible échouent systématiquement en raison d’une erreur, par exemple, des informations d’identification d’administrateur non valides, le travail de provisionnement est marqué comme étant en quarantaine. En quarantaine, la fréquence des cycles incrémentiels est progressivement réduite à une fois par jour. Le travail de provisionnement est supprimé de la quarantaine une fois que toutes les erreurs sont corrigées et que le cycle de synchronisation suivant démarre. Si le travail de provisionnement reste en quarantaine pendant plus de quatre semaines, il est désactivé (cesse de s’exécuter). En savoir plus sur le provisionnement des applications en état de quarantaine dans Azure AD.

Le service d’Adobe surveille indépendamment l’état de la synchronisation pour vérifier si le taux d’erreur dépasse un certain seuil dans un laps de temps défini. Un nombre minimum de demandes entraînant une erreur qui atteint le seuil déclenchera une mise en quarantaine temporaire, ce qui entraînera le rejet de tous les appels et des demandes de mise à jour d’Azure AD pendant un certain temps, après quoi les appels seront à nouveau acceptés pour une nouvelle tentative de synchronisation. Si les appels d’erreur persistent, la synchronisation sera mise en probation temporaire pendant une période prolongée en quarantaine. Si Adobe initie la mise en quarantaine, cela peut également conduire à une mise en quarantaine ultérieure avec Azure en raison des appels rejetés, qui compteront dans les taux d’erreur dans Azure. Veuillez noter qu’Adobe se réserve le droit de mettre à jour les paramètres de quarantaine en fonction de l’analyse des données en cours. 

Messages d’erreur courants

Un ensemble de messages d’erreur courants peuvent s’afficher et sont à prendre en compte lors de la gestion d’Azure Sync à partir d’Azure AD. Comprendre la cause des différents messages d’erreur aidera à résoudre les erreurs lorsqu’elles se produisent.

En savoir plus à propos de la surveillance de votre déploiement dans Azure AD.

Résolution de problème de synchronisation

Comme Adobe Admin Console utilise le service de synchronisation Azure de Microsoft, tous les problèmes de synchronisation sont résolus dans Azure AD. Vous pouvez vous référer aux instructions de configuration de Microsoft pour résoudre certains problèmes courants. Si vous ne parvenez pas à trouver une solution, nous vous recommandons de contacter le support Microsoft pour obtenir de l’aide.

Suivez les instructions ci-dessous pour diagnostiquer un problème de synchronisation :

  1. Confirmez votre configuration d’utilisateur et de groupe :

    Assurez-vous d’avoir configuré les utilisateurs et les groupes conformément aux instructions de configuration :

  2. Confirmez le mappage des détails de l’utilisateur : documentation Microsoft.

  3. Contrôlez votre application de provisionnement pour identifier les problèmes susceptibles d’affecter la synchronisation :

    Si les utilisateurs n’apparaissent pas dans les journaux de provisionnement, ils peuvent être hors du champ d’application. Si les journaux de provisionnement indiquent un problème, corrigez-le pour permettre la synchronisation des utilisateurs. Documentation Microsoft

  4. Extensions Powershell :

    Utilisez les extensions Azure Powershell pour identifier tout problème avec l’enregistrement Azure AD de l’utilisateur.

    Confirmez les données utilisateur à l’aide des commandes Powershell suivantes. Si vous avez besoin de temps pour accomplir ces étapes, activez le mode de modification dans la console d’administration pour effectuer les modifications temporaires :

    1. Install-Module AzureAD
    2. Connect-AzureAD -Credential (Get-Credential)
    3. Get-AzureADUser -ObjectId <adresse e-mail de l’utilisateur> | FL
  5. Autorisez la modification des données synchronisées dans Admin Console :

    Après avoir activé la modification, vous pouvez modifier les données synchronisées dans Admin Console pendant une courte période. Les modifications effectuées pendant cette période n’affectent pas les informations utilisateur dans Azure AD. Plus tard, les demandes de modification de votre fournisseur d’identité remplacent automatiquement ces brèves modifications.

Gestion des comptes utilisateur existants

Des étapes supplémentaires sont nécessaires pour convertir tous les utilisateurs disposant d’identifiants existants autres que Federated ID en utilisateurs de type Federated ID.

Attention :

N’attribuez PAS de produits aux utilisateurs Federated synchronisés lors de la modification d’identité. Celle-ci doit être effectuée directement après la synchronisation, mais avant toute attribution de produit.

Les utilisateurs disposant d’identifiants existants autres que Federated ID dans le portail Admin Console peuvent être migrés vers un compte Federated ID une fois Azure Sync établi. Une fois convertis, ces comptes sont transférés par Azure AD vers Adobe Admin Console avec succès.

Pour vous assurer que toutes les ressources stockées dans le cloud sont migrées vers le nouveau type d’identité de l’utilisateur, effectuez la procédure suivante :

  1. Configurez Azure Sync pour les utilisateurs qui ont déjà un identifiant autre que Federated ID sur le portail Adobe Admin Console. Tous les utilisateurs avec des identifiants existants autres que Federated ID ont désormais un Federated ID et un identifiant autre que Federated ID dans le portail Adobe Admin Console.

  2. Suivez les étapes indiquées dans la section Modifier le type d’identité par CSV pour transformer les utilisateurs avec un identifiant existant autres que Federated ID en Federated ID. Assurez-vous de faire correspondre les détails suivants :

    • Faites correspondre les champs Nom d’utilisateur et Adresse électronique avec les champs Nom d’utilisateur (UserPrincipalName) dans Azure AD.
    • Faites correspondre les champs Prénom et Nom de famille avec les champs correspondants dans Azure AD.

    Lors de la connexion avec le nouveau Federated ID, l’utilisateur sera invité à migrer automatiquement les ressources stockées dans le cloud vers le nouveau compte.

Étapes suivantes

Une fois que vous avez ajouté Azure Sync à votre répertoire, tous les utilisateurs et groupes d’utilisateurs sont importés dans Adobe Admin Console et mis à jour à intervalles réguliers. Ensuite, vous devez autoriser ces utilisateurs à accéder à leurs applications Adobe désignées :

  1. Créer et gérer des profils de produit : créez des profils de produit appropriés et associez-les aux utilisateurs et groupes d’utilisateurs pour déterminer qui peut utiliser quelles applications et quels services Adobe. Découvrez comment gérer des produits et des profils de produit.
  2. Lorsque les produits désignés sont attribués aux utilisateurs, ils reçoivent une notification par e-mail. Les utilisateurs peuvent directement télécharger et installer l’application de bureau Creative Cloud.
    Si vos utilisateurs ne disposent pas des autorisations d’administrateur, vous devez créer et déployer les packs appropriés.
  3. Créer et déployer des packs : pour fournir un accès aux applications à vos utilisateurs, créez et déployez les packs d’application sur leurs ordinateurs. Les utilisateurs doivent se connecter à l’aide de leurs informations d’identification par authentification unique pour pouvoir utiliser les applications et les services. Pour plus d’informations, consultez la section Création de packs de licences nominatives.

Si vous êtes administrateur d’un établissement scolaire, après avoir configuré la synchronisation Azure, nous vous recommandons d’activer la synchronisation des rôles. En savoir plus sur la synchronisation des rôles pour le secteur de l’éducation.

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?