Il connettore di Azure AD integra Microsoft Azure AD con Adobe Admin Console per semplificare il processo di configurazione di SSO per gli utenti dell’IdP Azure. Il connettore consente di automatizzare i flussi di lavoro di gestione degli utenti e provisioning delle licenze per attivare la configurazione in pochi minuti.

Nota:

Se si dispone di un SSO basato su SAML configurato con Microsoft Azure Identity, si consiglia di mantenere la configurazione corrente. Una funzionalità futura consentirà di migrare automaticamente gli utenti e la configurazione SSO.

Panoramica

Puoi configurare Single Sign-On (SSO) con Microsoft Azure Active Directory (Azure AD) per gestire utenti e autorizzazioni per le app e i servizi Adobe. Adobe Admin Console utilizza Azure AD come provider di identità (IdP). 

Il connettore di Azure AD combina i processi di creazione della directory, richiesta del dominio, configurazione di SSO e pianificazione del prodotto in un flusso di lavoro semplice in Adobe Admin Console. Il connettore contiene anche un meccanismo incorporato per sincronizzare gli utenti e i gruppi di utenti tra i due sistemi, eliminando il processo in più passaggi richiesto dalla configurazione manuale. Gli utenti di Azure AD sincronizzati con Adobe Admin Console sono univoci e possono essere assegnati a uno o più profili di prodotto. Il connettore può gestire la relazione tra più tenant di Azure AD e più Adobe Admin Console.

Al termine della configurazione del connettore, una sincronizzazione iniziale consente di importare tutti gli utenti e i gruppi da Azure AD. Successivamente, la sincronizzazione viene eseguita periodicamente per mantenere aggiornati gli utenti in Adobe Admin Console. Con la sincronizzazione di Azure AD, gli amministratori di sistema di Admin Console ricevono un messaggio e-mail di notifica che include il riepilogo degli utenti e dei gruppi aggiunti o rimossi quando viene apportata una modifica.

Nota:

Al termine della configurazione iniziale, il ciclo di sincronizzazione continua a gestire le modifiche apportate nel portale di Azure e Admin Console. Puoi attivare manualmente la sincronizzazione o lasciare che sia eseguita periodicamente. Si consiglia di gestire utenti/gruppi di utenti/domini solo nel portale di Azure.

Gli utenti e le relative autorizzazioni ai prodotti sono gestiti aggiungendo o rimuovendo un utente dal corrispondente gruppo di utenti di Azure AD. Durante la sincronizzazione, l’utente è aggiunto o rimosso dal gruppo Adobe sincronizzato e le autorizzazioni associate sono concesse o revocate. Un utente federato sincronizzato con il connettore di Azure AD esiste come un utente della directory in Adobe Admin Console, pertanto la sua rimozione tramite il corrispondente gruppo di Azure ne revoca le autorizzazioni impedendogli di accedere, ma non ne elimina definitivamente l’account. L’eliminazione definitiva dell’account dell’utente dalla base di utenti della directory in Adobe Admin Console rimuoverà definitivamente qualsiasi risorsa o contenuto associato all’account dell’utente.

Vantaggi derivanti dall’integrazione di Azure AD

I principali vantaggi offerti dal passaggio all’integrazione di Azure AD con Adobe Admin Console sono:

  • Nessuna duplicazione di passaggi come richiesta di domini, creazione di gruppi e così via, dato che i due sistemi sono direttamente connessi
  • Rapidità nella configurazione e avvio della sincronizzazione iniziale attraverso un flusso di lavoro integrato
  • Microsoft Azure AD è il punto nevralgico in cui è accentrata tutta l’operatività, compresa la gestione degli utenti e il provisioning delle licenze
  • Semplicità di aggiunta o rimozione di utenti direttamente dai gruppi associati in Azure AD
  • L’amministrazione dei due sistemi richiede un numero minore di addetti
  • Non è necessaria nessuna configurazione di servizi o API aggiuntive per sincronizzare con Adobe Admin Console, dato che l’approvazione diretta per la gestione di utenti e directory è già definita nel sistema di Azure AD

Prerequisiti

Per trarre vantaggio dalla funzionalità derivante dall’integrazione della gestione utenti di Adobe Admin Console con quella di Azure AD, è necessario quanto segue:

  • Microsoft Azure AD come provider di identità (IdP)
  • Uno o più dei prodotti seguenti: Creative Cloud for enterprise, Document Cloud for enterprise o Experience Cloud 
  • I domini associati ad Azure AD non devono essere stati richiesti in Adobe Admin Console; in caso contrario puoi facilmente ritirare le richieste dei domini in sospeso

Se SSO è già stato configurato con Azure AD utilizzando il connettore SAML personalizzato, assicurati di effettuare le operazioni seguenti:

  • Rimuovi utenti, domini e directory associati ad Azure AD
  • Rimuovi qualsiasi strumento di sincronizzazione degli utenti o integrazione UMAPI per sincronizzare gli utenti

Nella tabella seguente sono illustrate le funzioni attuali e future del connettore di Azure AD. Utilizza questa tabella per determinare se il passaggio è adatto per la tua organizzazione al momento attuale.

Componenti Funzioni Connettore di Azure AD (versione corrente) Connettore di Azure AD (versione futura)
Creazione della directory Sincronizzazione dei domini convalidati
Sincronizzazione dei gruppi di utenti con utenti Federated ID
Migrazione della directory Migrazione dei domini richiesti con la configurazione dell’integrazione da Adobe ad Azure AD
Spostamento delle installazioni SSO configurate manualmente alla configurazione di integrazione di Azure AD

Attenzione:

L’eliminazione degli utenti comporta la rimozione dell’accesso a prodotti, servizi e archiviazione. In preparazione alla sincronizzazione del connettore di Azure AD, richiedi agli utenti Federated ID di scaricare ed eseguire il backup dei file necessari prima che siano eliminati definitivamente da Admin Console. Se nella directory della tua organizzazione è già presente un numero elevato di utenti Federated ID attivi o utilizzi un processo separato per la gestione degli utenti, ad esempio, lo strumento di sincronizzazione degli utenti, per il momento è consigliabile non adottare il connettore.

Scenari di integrazione supportati

Il connettore di Azure AD supporta scenari per più tenant di Azure AD e più Admin Console. Gli scenari supportati includono:

Uno a uno

La relazione presente nell’organizzazione tra un singolo tenant di Azure e una singola Adobe Admin Console è univoca; la sincronizzazione è attivata tramite il connettore di Azure AD per gestire gli utenti e il provisioning delle licenze.

Uno a molti (affidabile)

Nell’organizzazione sono presenti più Adobe Admin Console in una relazione principale o affidabile, che consentono alle Admin Console affidabili di trarre vantaggio dalla configurazione SSO creata nella console principale. In tal caso, il connettore di Azure AD gestisce solo gli utenti per la Admin Console principale. La Admin Console affidabile può trarre vantaggio dalla configurazione SSO, ma utilizza un servizio di gestione degli utenti separato (ad esempio, caricamento manuale di CSV, strumento di sincronizzazione degli utenti o API di gestione utenti).

Molti a uno

Nell’organizzazione sono presenti più tenant di Azure AD che alimentano una singola Adobe Admin Console per la gestione degli utenti e il provisioning delle licenze. Il connettore di Azure AD può stabilire una sincronizzazione multi-tenant a una singola Admin Console per consentire il Single Sign-On e la gestione degli utenti per tutti i tenant connessi.

Uno a molti

Nell’organizzazione è presente un singolo tenant di Azure AD che alimenta più Adobe Admin Console. Il connettore di Azure AD può essere utilizzato per sincronizzare gli utenti da una singola directory a diverse Adobe Admin Console per la stessa organizzazione.

Configurazione del connettore di Azure AD

Se soddisfi i criteri indicati nella sezione dei prerequisiti, puoi iniziare a configurare l’integrazione e concedere agli utenti le autorizzazioni.

Configura gli utenti e i gruppi utilizzando il portale di Azure.
  • Richiedi i domini e configura Azure AD.
  • Aggiungi gruppi e utenti in Adobe Admin Console, in base alla classificazione desiderata. Si consiglia di creare gruppi in base ai requisiti di prodotto degli utenti.
  • Assicurati che il numero di utenti in un gruppo corrisponda al numero di licenze disponibili per i profili di prodotto corrispondenti in Admin Console. Questi dettagli possono comunque essere gestiti anche in seguito.

Dopo aver configurato il portale di Azure, effettua le seguenti operazioni:

  1. Accedi ad Adobe Admin Console e fai clic su Impostazioni. Nella pagina Identità, fai clic su Crea directory

  2. Nella schermata Crea una directory, effettua le operazioni seguenti e fai clic su Inizia.

    • Immetti un nome per la directory
    • Seleziona la scheda Federated ID
    Federated ID
  3. Seleziona Microsoft Azure, fai clic su Avanti e nella schermata successiva fai clic su Accedi ad Azure.

    Microsoft Azure
  4. Verrai reindirizzato alla pagina di accesso dell’account Microsoft. Immetti le credenziali dell’amministratore con il ruolo Amministratore globale, quindi fai clic su Accedi. Esamina la richiesta di consenso, quindi fai clic su Accetta per autorizzare l’accesso di sola lettura del connettore di Adobe Azure AD al tenant di Azure AD.

    Autorizzazione di accesso di Azure
  5. Torna ad Adobe Admin Console, verifica le informazioni di Azure AD e fai clic su Conferma.

    Conferma directory
  6. Seleziona i domini convalidati in Azure AD da sincronizzare con Adobe Admin Console, quindi fai clic su Avanti.

    Registrazione dei domini

    Nota:

    Possono essere selezionati e sincronizzati solo i domini con lo stato Proprietà convalidata. I domini con stati Proprietà non convalidata e Di proprietà di un’altra organizzazione non possono essere sincronizzati senza convalida nel portale di Azure.

  7. Cerca dall’elenco di gruppi e seleziona quelli da sincronizzare con Adobe Admin Console. Fai quindi clic su Salva e termina configurazione.

    Sincronizzazione dei gruppi

    La sincronizzazione da Azure AD viene avviata per i domini e le directory convalidati. I dettagli quali gli utenti sincronizzati, sono visualizzati nella sezione Dettagli nella scheda Impostazioni.

    Schermata di sincronizzazione

    Al termine della sincronizzazione, riceverai una notifica tramite e-mail per assegnare i prodotti ai gruppi di utenti.

    Nota:

    Il connettore sincronizza gli utenti presenti in Adobe Admin Console con un Adobe ID e crea un Federated ID corrispondente. Per effettuare la migrazione degli utenti da Adobe ID a Federated ID, consulta Gestisci gli account utente esistenti.

Al termine della sincronizzazione iniziale, tutti gli utenti e i gruppi di utenti sono importati in Adobe Admin Console. Crea i profili di prodotto appropriati e associali ai gruppi di utenti per finalizzare l’assegnazione dei prodotti agli utenti. Per ulteriori informazioni, consulta Gestione dei prodotti e dei profili.

Nota:

Gli utenti ricevono una notifica tramite e-mail quando sono assegnati ai prodotti designati. Gli utenti possono scaricare e installare direttamente l’app desktop Creative Cloud. Se gli utenti non dispongono delle autorizzazioni di amministratore, segui il passaggio successivo per creare e distribuire i pacchetti.

Per fornire accesso alle app agli utenti finali, crea e distribuisci i pacchetti di app nei loro computer. Per iniziare a utilizzare le app e i servizi, gli utenti dovranno accedere utilizzando le credenziali SSO.

 Per ulteriori informazioni, consulta Creazione di pacchetti con licenze nominative.

Gestisci gli account utente esistenti

Per modificare l’Adobe ID esistente di un utente in Federated ID e riconfigurare SSO con Azure AD tramite il connettore se già creato in Admin Console, sono richiesti passaggi aggiuntivi.

Gli utenti che dispongono di un Adobe ID in Admin Console possono essere migrati a un account Federated ID una volta stabilito il connettore di Azure AD. Questi account, una volta convertiti, vengono sincronizzati correttamente dal connettore.

Per garantire che tutte le risorse archiviate nel cloud siano migrate al nuovo tipo di identità dell’utente, effettua le operazioni riportate di seguito:

  1. Configura il connettore di Azure AD e sincronizza gli utenti inclusi quelli che hanno già un ID Adobe in Adobe Admin Console. Tutti gli utenti che hanno un ID Adobe hanno ora un ID Adobe e un Federated ID in Adobe Admin Console.

  2. Segui i passaggi in Modifica tipo identità con CSV per cambiare gli utenti Adobe ID in Federated ID. Assicurati di associare i dettagli seguenti:

    • Associa i campi Username e Email ai campi Username (UserPrincipalName) in Azure AD.
    • Associa i campi FirstName e LastName ai campi corrispondenti in Azure AD.

All'accesso con il nuovo Federated ID, all'utente verrà richiesto mediante un'opzione di migrare automaticamente le risorse archiviate nel cloud al nuovo account.

Se desideri passare da una configurazione SSO già funzionante con Azure AD a una configurazione basata sul connettore di Azure AD, dovrai prima eliminare tutti gli utenti e i domini associati alla directory esistente. Riattivali quindi sincronizzando con la configurazione del connettore di Azure AD.

Nota:

In un aggiornamento futuro, il connettore di Azure AD offrirà una funzionalità di migrazione autonoma e consentirà la migrazione di una directory federata già presente (inclusi tutti i domini e gli utenti associati della directory) per sincronizzarla da Azure AD tramite il connettore (senza eliminare utenti della directory, domini e directory).

  1. Attenzione:

    Gli utenti che non eseguono il backup delle loro risorse perderanno definitivamente i dati.

  2. Passa alla sezione Utenti e apri Utenti della directory dal riquadro a sinistra. Scegli la directory federata da rimuovere. Elimina tutti gli utenti Federated ID dalla directory.

  3. Seleziona Impostazioni > Identità > Domini, quindi i domini associati alla directory esistente. Seleziona quindi Rimuovi dominio. Segui infine i passaggi simili per eliminare le directory associate.

  4. Quando avrai eliminato la directory federata, i domini associati e i rispettivi utenti Federated ID, avvia l’implementazione del connettore di Azure AD.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online