Azure AD Connector intègre Microsoft Azure Active Directory (AD) à Adobe Admin Console afin de simplifier le processus de configuration SSO pour les utilisateurs Azure Identity. Avec Azure AD Connector, vous pouvez automatiser les processus de gestion des utilisateurs et d’attribution des licences afin de configurer l’authentification unique (SSO) en quelques minutes seulement.

Remarque :

Si vous avez une authentification unique basée sur SAML et configurée avec Microsoft Azure Identity, nous vous recommandons de conserver votre configuration actuelle. Une fonctionnalité à venir vous permettra de migrer automatiquement les utilisateurs et la configuration SSO.

Présentation

Configuration SSO à l’aide d’Azure AD Connector (Durée : 2 min)

Vous pouvez configurer l’authentification unique (SSO) avec Microsoft Azure Active Directory (Azure AD) pour gérer les utilisateurs et les droits d’accès de vos applications et services Adobe. Adobe Admin Console utilise Azure AD en tant que fournisseur d’identité (IdP). 

Azure AD Connector combine les processus de création de répertoire, de dépôt de domaine, de configuration de l’authentification unique et de planification du produit en un simple processus sur Adobe Admin Console. Connector contient également un mécanisme intégré pour synchroniser les utilisateurs et les groupes d’utilisateurs entre les deux systèmes, éliminant ainsi le processus en plusieurs étapes requis pour la configuration manuelle. Les utilisateurs Azure AD synchronisés avec Adobe Admin Console sont uniques et peuvent être attribués à un ou plusieurs profils de produit. Connector peut gérer la relation entre plusieurs clients Azure AD et portails Adobe Admin Console.

Une fois que la configuration de Connector est terminée, une première synchronisation importe tous les utilisateurs et groupes d’Azure AD. Ensuite, la synchronisation est effectuée périodiquement pour garder à jour les informations relatives aux utilisateurs dans Adobe Admin Console. Les administrateurs système de l’Admin Console reçoivent un e-mail de notification contenant un récapitulatif des utilisateurs et des groupes ajoutés ou supprimés lorsqu’une modification est apportée à la synchronisation Azure AD.

Remarque :

Une fois la configuration initiale terminée, le cycle de synchronisation continue de gérer les modifications apportées sur Azure Portal et Admin Console. Vous pouvez déclencher la synchronisation manuellement ou la laisser s’exécuter périodiquement. Il est recommandé de gérer les utilisateurs/groupes d’utilisateurs/domaines uniquement sur Azure Portal.

Les utilisateurs et leurs droits d’accès aux produits sont gérés en ajoutant ou en supprimant un utilisateur du groupe d’utilisateurs Azure AD correspondant. Au cours de la synchronisation, un utilisateur est ajouté ou supprimé du groupe Adobe synchronisé et les droits associés sont accordés ou révoqués. Un utilisateur Federated synchronisé avec l’Azure AD Connector existe en tant qu’utilisateur du répertoire dans le portail Adobe Admin Console. Par conséquent, le fait de supprimer un utilisateur via le groupe Azure AD correspondant révoque les droits de l’utilisateur et l’empêche de se connecter, mais ne supprime pas définitivement son compte. Supprimer définitivement le compte de l’utilisateur de la base d’utilisateurs du répertoire dans Adobe Admin Console supprimera définitivement tout actif ou contenu associé au compte de l’utilisateur.

Avantages de l’intégration Azure AD

Les principaux avantages du passage à l’intégration d’Azure AD avec Adobe Admin Console sont les suivants :

  • Pas de répétition d’étapes telles que le dépôt de domaine, la création de groupe, etc., car les deux systèmes sont directement connectés
  • Configuration rapide et lancement de la synchronisation initiale par l’intermédiaire d’un processus fluide
  • Microsoft Azure AD est l’endroit unique où toutes les actions sont effectuées, y compris la gestion des utilisateurs et l’attribution des licences
  • Intégration et retrait des utilisateurs facile directement à partir des groupes associés dans Azure AD
  • Moins de travail humain nécessaire pour administrer les deux systèmes
  • Aucun service ni aucune configuration d’API supplémentaire n’est requis pour la synchronisation avec Adobe Admin Console, étant donné que l’approbation directe pour gérer les utilisateurs et les répertoires est déjà définie dans le système Azure AD

Conditions préalables

Pour tirer parti de la fonctionnalité permettant d’intégrer la gestion des utilisateurs Adobe Admin Console à celle d’Azure AD, il vous faudra disposer des éléments suivants :

  • Microsoft Azure AD en tant que fournisseur d’identité (IdP)
  • Un ou plusieurs des produits suivants : Creative Cloud abonnement Entreprise, Document Cloud abonnement Entreprise ou Experience Cloud
  • Les domaines associés à Azure AD ne sont pas déposés dans Adobe Admin Console. Vous pouvez également retirer facilement les dépôts de domaine en attente.

Si vous avez déjà configuré l’authentification unique avec Azure AD à l’aide du SAML Connector personnalisé, vérifiez les points suivants :

  • Supprimez les utilisateurs, les domaines et les répertoires associés à Azure AD
  • Supprimez tout outil de synchronisation d’utilisateur ou l’intégration UMAPI pour synchroniser les utilisateurs

Le tableau ci-dessous présente les fonctionnalités actuelles et à venir d’Azure AD Connector. Utilisez ce tableau pour décider s’il serait actuellement avantageux pour votre organisation de passer à ce système.

Composants Caractéristiques Azure AD Connector (version actuelle) Azure AD Connector (version future)
Créer un répertoire Synchronisation des domaines validés
Synchronisation des groupes d’utilisateurs avec des utilisateurs Federated ID
Migrer un répertoire Migration des domaines déposés avec Adobe vers la configuration d’intégration Azure AD
Déplacement de la configuration d’authentification unique définie manuellement vers la configuration d’intégration Azure AD

Attention :

La suppression d’utilisateurs révoque l’accès aux produits, services et stockage. Pour préparer la synchronisation Azure AD Connector, demandez à vos utilisateurs Federated de télécharger et de sauvegarder les fichiers requis avant leur suppression définitive d’Admin Console. Si votre organisation compte déjà un grand nombre d’utilisateurs Federated actifs dans le répertoire ou utilise un processus de gestion d’utilisateurs distinct, tel que l’outil de synchronisation des utilisateurs, il est recommandé de ne pas adopter Connector pour le moment.

Scénarios d’intégration pris en charge

L’Azure AD Connector prend en charge des scénarios avec plusieurs clients Azure AD et plusieurs portails Admin Console. Les scénarios pris en charge comprennent :

Un pour un

L’organisation entretient une relation de type « un pour un » entre un seul client Azure et un seul portail Adobe Admin Console avec la synchronisation établie via Azure AD Connector pour gérer les utilisateurs et fournir des licences.

Un pour plusieurs (mandataire)

L’organisation dispose de plusieurs portails Adobe Admin Console avec une relation principale ou mandataire, ce qui permet aux portails Admin Console mandataires de tirer parti de la configuration de l’authentification unique établie sur la console principale. Dans ce cas, l’Azure AD Connector ne gère que les utilisateurs du portail Admin Console principal. L’Admin Console mandataire peut utiliser la configuration de l’authentification unique, mais il utilise un formulaire distinct de service de gestion des utilisateurs (tel que le Transfert manuel au format CSV, l’Outil de synchronisation des utilisateurs, ou l’API de gestion des utilisateurs).

Plusieurs pour un

L’organisation compte plusieurs clients Azure AD qui alimentent un seul portail Adobe Admin Console pour la gestion des utilisateurs et l’attribution de licences. Azure AD Connector peut établir une synchronisation à plusieurs clients pour un seul portail Admin Console afin d’activer l’authentification unique et la gestion des utilisateurs pour tous les clients connectés.

Un pour plusieurs

L’organisation a un seul client Azure AD qui alimente plusieurs portails Adobe Admin Console. L’Azure AD Connector peut être utilisé pour synchroniser des utilisateurs à partir d’une source de répertoire unique vers différents portails Adobe Admin Console pour la même organisation.

Configuration d’Azure AD Connector

Si vous remplissez les critères mentionnés dans la section des conditions préalables, il est temps de configurer l’intégration et de permettre à vos utilisateurs de commencer à utiliser leurs droits.

Configurez vos utilisateurs et groupes à l’aide du portail Azure.
  • Déposez des domaines et configurez Azure AD.
  • Ajouter des Groupes et des Utilisateurs en fonction de la classification souhaitée dans Adobe Admin Console. Il est conseillé de créer des groupes en fonction des besoins en produits de leurs utilisateurs.
  • Assurez-vous que le nombre d’utilisateurs d’un groupe corresponde au nombre de licences disponibles pour les profils de produit correspondants dans l’Admin Console. Cependant, cela peut aussi être géré plus tard.

Une fois le portail Azure configuré et prêt à être utilisé, procédez comme suit :

  1. Connectez-vous à Adobe Admin Console et cliquez sur Réglages. Sur la page Identité, cliquez sur Créer le répertoire

  2. Dans l’écran Créer un répertoire, procédez comme suit et cliquez sur Commencer.

    • Donnez un nom au répertoire
    • Sélectionnez la carte Federated ID
    Federated Id
  3. Sélectionnez Microsoft Azure, cliquez sur Suivant, puis cliquez sur Se connecter à Azure sur l’écran suivant.

    Microsoft Azure
  4. Vous êtes redirigé vers la page de connexion au compte Microsoft. Entrez les informations d’identification de l’administrateur avec le rôle d’administrateur global et cliquez sur Se connecter. Vérifiez l’invite de consentement puis cliquez sur Accepter pour autoriser l’accès en lecture seule d’Adobe Azure AD Connector à votre client Azure AD.

    Autorisation de connexion Azure
  5. Revenez à Adobe Admin Console, examinez vos informations Azure AD et cliquez sur Confirmer.

    Confirmer le répertoire
  6. Sélectionnez le domaine Azure AD par défaut (par exemple, AdobeTestDir.omnimicrosoft.com) et les autres domaines validés sur Azure AD à synchroniser avec Adobe Admin Console et cliquez sur Suivant.

    Dépôt de domaines

    Remarque :

    Seuls les domaines dotés du statut Propriété validée peuvent être sélectionnés et synchronisés. Les domaines avec le statut Propriété non validée et Détenu par une autre organisation ne peuvent pas être synchronisés sans validation dans Azure Portal.

  7. Recherchez dans la liste de Groupes et sélectionnez les groupes à synchroniser avec Adobe Admin Console. Puis cliquez Enregistrer et terminer la configuration.

    Synchroniser les groupes

    Les domaines et répertoires validés commencent à être synchronisés à partir d’Azure AD. Des détails tels que les utilisateurs synchronisés sont affichés dans la section Détails sous l’onglet Réglages.

    Écran de synchronisation

    Une fois la synchronisation terminée, vous recevrez un e-mail de notification pour attribuer des produits aux groupes d’utilisateurs.

    Remarque :

    Connector synchronise les utilisateurs déjà enregistrés avec un Adobe ID dans Adobe Admin Console et génère un Federated ID pour leur profil. Pour migrer un compte Adobe ID vers un compte Federated ID, reportez-vous à la section Gestion des comptes utilisateur existants.

Une fois la synchronisation initiale terminée, tous les utilisateurs et groupes d’utilisateurs sont importés dans Adobe Admin Console. Créez des profils de produits appropriés et associez-les à des groupes d’utilisateurs pour affiner l’attribution des produits entre les utilisateurs. Pour plus d’informations, consultez la section Gestion de produits et de profils.

Remarque :

Lorsque les produits désignés sont attribués aux utilisateurs, ils reçoivent une notification par e-mail. Les utilisateurs peuvent directement télécharger et installer l’application pour postes de travail Creative Cloud. S’ils ne disposent pas des autorisations d’administrateur, suivez l’étape suivante pour créer et déployer des packs.

Pour fournir un accès aux applications à vos utilisateurs finaux, créez et déployez les packs d’application sur leurs ordinateurs. Les utilisateurs devront se connecter à l’aide de leurs informations d’identification par authentification unique pour pouvoir utiliser les applications et les services.

 Pour plus d’informations, consultez la section Création de packs de licences d’utilisateurs nominatifs.

Gestion des comptes utilisateur existants

Des étapes supplémentaires sont nécessaires pour transformer l’Adobe ID existant d’un utilisateur en Federated ID et pour reconfigurer l’authentification unique avec Azure AD via Connector si elle est déjà définie dans Admin Console.

Attention :

N’attribuez pas d’utilisateurs Adobe ID à des profils de produit avant de les migrer vers leurs Federated ID respectifs. Attribuer des produits aux utilisateurs Adobe ID avant la migration entraîne l’erreur suivante : Une erreur s’est produite : USER_ENTITLEMENTS_ALREADY_ASSIGNED.

Les profils Adobe ID enregistrés dans le portail Admin Console peuvent être migrés vers un compte Federated ID une fois Azure AD Connect installé et configuré. Une fois la conversion effectuée, Connector synchronise ces comptes avec succès.

Pour vous assurer que tous les actifs stockés dans le cloud sont migrés vers le nouveau type d’identité de l’utilisateur, suivez la procédure suivante :

  1. Configurez l’Azure AD Connector et synchronisez les utilisateurs, y compris ceux qui ont déjà un Adobe ID sur le portail Adobe Admin Console. Tous les utilisateurs dotés d’un Adobe ID existant possèdent maintenant un Adobe ID et un Federated ID dans le portail Adobe Admin Console.

  2. Suivez les étapes indiquées dans la section Modifier le type d’identité par CSV pour transformer les utilisateurs Adobe ID en Federated ID. Assurez-vous de faire correspondre les détails suivants :

    • Faites correspondre les champs Nom d’utilisateur et Adresse électronique avec les champs Nom d’utilisateur (UserPrincipalName) dans Azure AD.
    • Faites correspondre les champs Prénom et Nom de famille avec les champs correspondants dans Azure AD.

Lors de la connexion avec le nouveau Federated ID, l’utilisateur sera invité à migrer automatiquement les actifs stockés dans le cloud vers le nouveau compte.

Si vous avez une configuration d’authentification unique en cours d’exécution avec Azure AD et souhaitez passer à la configuration basée sur Azure AD Connector, vous devez d’abord supprimer tous les utilisateurs et domaines associés au répertoire existant. Ensuite, rétablissez-les en les synchronisant avec la configuration d’Azure AD Connector.

Remarque :

Dans une future mise à jour, Azure AD Connector aura une fonctionnalité de migration en libre-service et permettra à un répertoire Federated établi d’être migré (avec tous les domaines et utilisateurs de répertoire associés) et d’être synchronisé à partir d’Azure AD via Connector (sans supprimer d’utilisateurs du répertoire, de domaines ni de répertoires.)

  1. Demandez à vos utilisateurs actifs Federated ID de sauvegarder leurs actifs stockés sur le cloud manuellement.

    Attention :

    Les utilisateurs qui ne sauvegardent pas leurs actifs perdront leurs données de manière permanente.

  2. Allez à la section Utilisateurs et ouvrez la section Utilisateurs du répertoire à partir du volet gauche. Choisissez le répertoire Federated à supprimer. Supprimez tous les utilisateurs Federated ID du répertoire.

  3. Aller à Réglages > Identité > Domaines et sélectionnez les domaines associés au répertoire existant. Ensuite, sélectionnez Supprimer le domaine. Suivez ensuite les mêmes étapes pour supprimer les répertoires associés.

  4. Une fois que le répertoire Federated, les domaines associés et les utilisateurs Federated ID respectifs supprimés, commencez l’implémentation d’Azure AD Connector.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne