Administrar el aprovisionamiento de usuarios a través de la consola de administración de Google
Controlar los datos que se envían a Adobe
Asignar productos a varios usuarios en función de las unidades organizativas de Google
Google Sync permite que las tareas de administración de usuarios en su directorio de la Admin Console se realicen automáticamente. Active Google Sync en cualquier directorio federado existente en la Adobe Admin Console, sea cual sea su proveedor de identidades (IdP). Para usar Google Sync, debe almacenar los datos de los usuarios de la organización en la consola de administración de Google.
Puede activar Google Sync en cualquier directorio de la Adobe Admin Console para automatizar las tareas de administración de usuarios. Google Sync se sirve del protocolo SCIM para la administración de usuarios y le da control sobre la información de los usuarios que se comparten con Adobe. Los usuarios específicos de la consola de administración de Google que estén sincronizados con la Adobe Admin Console se pueden asignar a uno o varios perfiles de producto.
Después de configurar Google Sync, Google empezará a enviar datos a la Adobe Admin Console en función del aprovisionamiento de usuarios del directorio de la consola de administración de Google. Todos estos detalles del directorio se pueden consultar en la sección Configuración de la Adobe Admin Console.
Las principales ventajas de usar el método de sincronización de Google Sync en su directorio de la Adobe Admin Console son las siguientes:
Administrar el aprovisionamiento de usuarios a través de la consola de administración de Google
Controlar los datos que se envían a Adobe
Asignar productos a varios usuarios en función de las unidades organizativas de Google
Activar la sincronización en directorios configurados previamente
Añadir Google Sync a otros directorios de IdP
Incorporar y retirar usuarios fácilmente a través de la consola de administración de Google
No es necesario configurar otros servicios o API
Para integrar la administración de usuarios de la Adobe Admin Console en la consola de administración de Google, se necesita lo siguiente:
Supuesto de configuración del directorio |
Método para activar la sincronización |
---|---|
De inquilino único de la consola de administración de Google a una única Adobe Admin Console |
Siga los pasos sobre cómo activar la sincronización para implementar Google Sync. |
Varios directorios federados con uno o varios dominios que pertenecen al mismo inquilino de la consola de administración de Google. |
|
Varios directorios federados con uno o varios dominios que pertenecen a diferentes inquilinos de la consola de administración de Google. |
|
Consulte los siguientes puntos para guiarse con las prácticas recomendadas y las recomendaciones de Adobe antes de configurar Google Sync:
En la Adobe Admin Console, vaya a Configuración > Directorio Detalles > Sincronizar. Haga clic en Añadir sincronización.
Seleccione Ir a la consola de administración de Google e inicie sesión con una cuenta de administrador. Luego, siga los pasos indicados en la página de instrucciones en la Adobe Admin Console para configurar el aprovisionamiento de usuarios automático.
Puede sincronizar las unidades organizativas de Google (OU, por sus siglas en inglés) con su directorio habilitado para sincronizarlo con Google en la Admin Console. Cada OU (incluida la unidad organizativa matriz) en la consola de administración de Google se sincroniza como un grupo independiente junto con los usuarios asociados.
Imagine por ejemplo que hay tres usuarios en la consola de administración de Google (usuario A, usuario B y usuario C) en unidades organizativas independientes. En la siguiente tabla se indica cómo se añadirían estos usuarios a los grupos correspondientes en la Adobe Admin Console (el usuario B y el usuario C se añadirían a más que grupos):
Usuario |
Unidad organizativa de la consola de administración de Google |
Grupo de usuarios de la Adobe Admin Console |
---|---|---|
Usuario A |
Unidad organizativa matriz |
OU-/ |
Usuario B |
“/Ventas” |
1. OU-/ 2. OU-/Ventas |
Usuario C |
“/Ventas/Alemania” |
1. OU-/ 2. OU-/Ventas 3. OU-/Ventas/Alemania |
Debe configurar sus unidades organizativas de Google según los requisitos de obtención de licencias antes de sincronizarlas en la Adobe Admin Console.
Luego, inicie sesión en la consola de administración de Google y vaya a Aplicaciones > Aplicaciones web y móviles > seleccione Aplicación SAML de Adobe > vaya a Aprovisionamiento automático > seleccione Editar asignación de atributos.
En la ventana Atributos, seleccione la opción Ruta de unidad organizativa en el menú desplegable que hay junto al atributo de la aplicación urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit.
Un administrador del sistema puede ajustar la configuración del Origen de sincronización al finalizar la configuración si elige Ir a configuración en la pestaña Configuración de directorio > Sincronizar. Entre las opciones de configuración se incluyen las siguientes:
Permitir la edición de datos sincronizados en Admin Console: cuando se implementa Google Sync, todos los usuarios de un directorio se administrarán automáticamente mediante la sincronización. Después de habilitar el modo de edición, puede modificar los datos sincronizados en la Admin Console durante un breve período. Cualquier modificación realizada durante este tiempo no repercutirá en la información de usuario en la consola de administración de Google, pero se sobrescribirá con las solicitudes de cambio del proveedor de identidades.
De forma predeterminada, debe editar los datos sincronizados del proveedor de identidades y permitir que los cambios se apliquen por medio de la sincronización. No le recomendamos que modifique manualmente los datos en la Adobe Admin Console a menos que sea absolutamente necesario.
Estado de sincronización: indica a Google Sync que rechace las solicitudes de cambio en la consola de administración de Google. Una vez que el estado de Sincronización de usuarios esté Desactivado, los cambios en la consola de administración de Google (la información de origen de los usuarios) no se transferirán a la Adobe Admin Console.
Editar la configuración de sincronización de usuarios: le redirige a las instrucciones de configuración para modificar la sincronización de usuarios. Use esta opción si la ventana modal está cerrada antes de que se complete la configuración de la sincronización o si tiene que hacer ajustes en la consola de administración de Google después de la configuración inicial.
Los administradores tienen la capacidad de eliminar la sincronización de un directorio federado en la Admin Console. Tras quitar la sincronización, dejará intactos el directorio y sus dominios, grupos de usuarios y usuarios asociados y se suprimirá el modo de solo lectura del directorio y sus usuarios y grupos.
Para eliminar la sincronización de un directorio, elija Ir a configuración en la pestaña Configuración de directorio > Sincronizar y luego Quitar sincronización. Desactive también el aprovisionamiento automático de la aplicación Adobe SAML en la consola de administración de Google para evitar que se ponga en cuarentena. Tras realizar esto, la configuración de la sincronización quedará eliminada permanentemente de la Adobe Admin Console. En caso necesario, se puede restablecer la sincronización con el mismo directorio o con uno diferente.
No puede mover dominios hacia o desde un directorio administrado por Google Sync. Cuando se elimina Google Sync del directorio de origen o destino, se puede mover un dominio de dicho directorio a otro directorio de destino y los dominios de otros directorios de origen se pueden mover al directorio que ya no administre Google Sync.
Al implementar Google Sync, se crearán nuevas cuentas de usuario federadas y se sincronizarán los usuarios en la Adobe Admin Console. Los administradores también pueden retirar usuarios añadidos a través de Google Sync por medio de los siguientes tres métodos (en la consola de administración de Google):
Estas tres operaciones hacen que se deshabiliten los usuarios en la Adobe Admin Console. Un usuario deshabilitado ya no podrá iniciar sesión y aparecerá como Desactivado en la lista Usuarios del directorio. Google Sync seguirá ocupándose de la administración del usuario retirado mediante uno de estos métodos. Ni la cuenta del usuario ni los activos almacenados en la nube se eliminarán de la organización.
Eliminar un usuario y sus datos asociados de la Admin Console: elija Ir a configuración en la pestaña Configuración de directorio > Sincronizar y haga clic en Habilitar edición. Luego, diríjase a Usuarios > Usuarios del directorio y escoja al usuario correspondiente en la lista para eliminar permanentemente la cuenta.
Una vez que las funciones de edición se habiliten, podrá modificar los datos sincronizados durante una hora antes de que se desactiven automáticamente. Le recomendamos que haga clic en Deshabilitar edición justo después de eliminar al usuario para garantizar que en la Admin Console se reflejen los cambios de la consola de administración de Google.
Si quita permanentemente a un usuario, este quedará eliminado, así como todos los activos almacenados en la nube que pertenezcan a dicho usuario. Tras realizar esta acción, tanto el usuario como los activos no se podrán recuperar.
Adobe cuenta con una política de cuarentena para administrar un elevado número de llamadas de error durante las operaciones de sincronización.
El servicio de Adobe hace un seguimiento por su cuenta del estado de la sincronización para comprobar el momento en que el índice de error supera un límite concreto en un período de tiempo determinado. Si un número mínimo de solicitudes genera un error y llega a dicho límite, se activará una cuarentena temporal, trayendo consigo que se rechacen todas las llamadas y solicitudes de cambio de la consola de administración de Google durante un período de tiempo, tras el cual las llamadas volverán a aceptarse de nuevo para que se reinicie la sincronización. En caso de que se sigan produciendo las llamadas de error, la sincronización pasará a una fase de pruebas provisional durante un intervalo prolongado de tiempo en cuarentena. Si Adobe inicia la cuarentena, esto puede dar lugar a una cuarentena posterior en Google debido a las llamadas rechazadas, que computarán de cara a los índices de error en Google. Tenga en cuenta que Adobe se reserva el derecho a modificar los parámetros de activación de una cuarentena según los análisis de datos de cada momento.
Google podrá poner en cuarentena la sincronización según el índice de error.
Hay una serie de mensajes de error habituales que aparecen que se deben tener en cuenta a la hora de administrar Google Sync en la consola de administración de Google. Si conoce la causa de los distintos mensajes de error, podrá solucionar los problemas cuando se produzcan dichos errores.
Podrá encontrar los archivos de registro de sincronización y de errores en la sección Aprovisionamiento automático de la aplicación Adobe SAML en la Consola de administración de Google. Obtenga más información sobre cómo supervisar su proceso de implementación en la consola de administración de Google.
Errores de sincronización de OU de Google
Es posible que se produzcan errores de sincronización mientras sincroniza las unidades organizativas de Google con la Adobe Admin Console. En los registros de Google pueden aparecer los siguientes errores:
Como en este caso la Adobe Admin Console usa el servicio de sincronización de Google, todos los problemas de sincronización se resuelven en la consola de administración de Google. Consulte las instrucciones de configuración de Google para solucionar algunos problemas habituales. Si no consigue encontrar la solución, le recomendamos que se ponga en contacto con el servicio de asistencia de Google para recibir ayuda.
Siga las instrucciones que se indican a continuación para diagnosticar un problema de sincronización:
Confirme la configuración:
Compruebe que haya configurado los usuarios y grupos según venga indicado en las instrucciones de configuración:
Confirme la asignación de detalles de los usuarios.
Si desea sincronizar unidades organizativas de Google, asegúrese de que la asignación de atributos de aprovisionamiento de usuarios incluya la Ruta de la unidad organizativa como urn:ietf:params:scim:schemas:extension:Adobe:2.0:User.organizationalUnit .
Supervise la aplicación de aprovisionamiento que use para detectar posibles problemas que puedan afectar a la sincronización:
Si los usuarios no aparecen en los registros de aprovisionamiento, es posible que no se les esté aplicando. Si los registros de aprovisionamiento indican la existencia de un problema, subsánelo para hacer que el usuario se sincronice.
Permita la edición de datos sincronizados en Adobe Admin Console:
Después de habilitar la función de edición, puede modificar los datos sincronizados en la Adobe Admin Console durante un breve período. Cualquier modificación durante este intervalo de tiempo no afectará a la información de los usuarios en la consola de administración de Google. Después, las solicitudes de cambio del proveedor de identidades sobrescribirán automáticamente estos cambios transitorios.