De Azure AD Connector integreert Microsoft Azure Active Directory (AD) met de Adobe Admin Console om zo het instellen van SSO (eenmalige aanmelding) voor gebruikers van een Azure-identiteit te vereenvoudigen. Met de Azure AD Connector kunt u de workflows voor gebruikersbeheer en licentietoewijzing automatiseren om SSO in slechts enkele minuten in te stellen.

Opmerking:

Als u een werkende SSO op basis van SAML hebt geconfigureerd met een Microsoft Azure-identiteit, raden we u aan uw huidige configuratie te behouden. Met een toekomstige functie kunt u gebruikers en de SSO-configuratie automatisch migreren.

Overzicht

SSO instellen met Microsoft Azure AD Connector (duur: 2 min)

U kunt eenmalige aanmelding (Single Sign-On of SSO) configureren met Microsoft Azure Active Directory (Azure AD) om gebruikers en rechten voor uw Adobe-apps en -services te beheren. De Adobe Admin Console gebruikt Azure AD als identiteitsprovider (IdP). 

De Azure AD Connector combineert de processen voor het maken van directory's, het claimen van domeinen, het instellen van SSO en productplanning in een eenvoudige workflow in de Adobe Admin Console. De Connector bevat ook een ingebouwd mechanisme om gebruikers en gebruikersgroepen tussen de twee systemen te synchroniseren, waardoor u niet meerdere stappen hoeft uit te voeren zoals bij handmatige configuratie. Azure AD-gebruikers die zijn gesynchroniseerd met de Adobe Admin Console, zijn uniek en kunnen worden toegewezen aan een of meer productprofielen. De Connector kan de relatie tussen meerdere Azure AD-tenants en Adobe Admin Consoles beheren.

Nadat de Connector is geconfigureerd, worden tijdens de eerste synchronisatie alle gebruikers en groepen uit Azure AD geïmporteerd. Daarna wordt de synchronisatie periodiek uitgevoerd om gebruikers in de Adobe Admin Console up-to-date te houden. Systeembeheerders van de Admin Console ontvangen per e-mail bericht met een samenvatting van toegevoegde of verwijderde gebruikers en groepen wanneer wijzigingen worden aangebracht met de Azure AD-synchronisatie.

Opmerking:

Nadat de eerste configuratie is voltooid, blijft de synchronisatiecyclus de wijzigingen beheren die zijn aangebracht in de Azure Portal en de Admin Console. U kunt de synchronisatie handmatig starten of periodiek uitvoeren. Het wordt aanbevolen gebruikers/gebruikersgroepen/domeinen alleen te beheren in de Azure Portal.

U beheert gebruikers en hun productrechten door een gebruiker toe te voegen aan of te verwijderen uit de desbetreffende Azure AD-gebruikersgroep. Tijdens de synchronisatie wordt een gebruiker toegevoegd aan of verwijderd uit de gesynchroniseerde Adobe-groep en worden de bijbehorende rechten toegewezen of ingetrokken. Een federatieve gebruiker die is gesynchroniseerd met de Azure AD Connector, bestaat als een directorygebruiker binnen de Adobe Admin Console. Als u een gebruiker verwijdert via de desbetreffende Azure AD-groep, wordt het recht van die gebruiker daardoor ingetrokken en kan deze zich niet meer aanmelden, maar wordt het account niet definitief verwijderd. Als u het gebruikersaccount definitief verwijdert uit de database met directorygebruikers in de Adobe Admin Console, worden eventuele middelen of inhoud die aan het account van die gebruiker zijn gekoppeld, definitief verwijderd.

Voordelen van Azure AD-integratie

De belangrijkste voordelen wanneer u overschakelt naar Azure AD-integratie met de Adobe Admin Console zijn:

  • Geen dubbele stappen zoals domeinen claimen, groepen maken en dergelijke aangezien de twee systemen rechtstreeks zijn gekoppeld
  • Snelle configuratie en uitvoering van de eerste synchronisatie via een naadloze workflow
  • Microsoft Azure AD is de enige plek voor alle bewerkingen, inclusief gebruikersbeheer en licentietoewijzing
  • Gebruikers kunnen eenvoudig rechtstreeks worden toegevoegd of verwijderd via de desbetreffende groepen in Azure AD
  • Er is minder mankracht nodig om de twee systemen te beheren
  • Geen aanvullende service of API-configuratie nodig om te synchroniseren met de Adobe Admin Console aangezien directe goedkeuring voor het beheren van gebruikers en directory's al is gedefinieerd in het Azure AD-systeem

Vereisten

Als u gebruik wilt maken van de mogelijkheid om gebruikersbeheer in de Adobe Admin Console te integreren met Azure AD, hebt u het volgende nodig:

  • Microsoft Azure AD als identiteitsprovider (IdP)
  • Een of meer van de volgende producten: Creative Cloud voor ondernemingen, Document Cloud voor ondernemingen of Experience Cloud
  • Geclaimde domeinen die zijn gekoppeld aan Azure AD, worden verwijderd uit de Adobe Admin Console of u kunt openstaande domeinclaims gemakkelijk intrekken

Als u SSO met Azure AD al hebt geconfigureerd via de aangepaste SAML-connector, doet u het volgende:

  • Verwijder de gebruikers, domeinen en directory's die zijn gekoppeld aan Azure AD
  • Verwijder de tool Gebruikerssynchronisatie of de UMAPI-integratie om gebruikers te synchroniseren

De onderstaande tabel toont de huidige en toekomstige functies van Azure AD Connector. Gebruik deze tabel om te bepalen of een overstap op dit moment geschikt is voor uw organisatie.

Onderdelen Functies Azure AD Connector (huidige versie) Azure AD Connector (toekomstige versie)
Directory maken Gevalideerde domeinen synchroniseren
Gebruikersgroepen synchroniseren met Federated ID-gebruikers
Directory migreren Geclaimde domeinen met Adobe migreren naar de Azure AD-integratieconfiguratie
Handmatig geconfigureerde SSO-instellingen handmatig verplaatsen naar de Azure AD-integratieconfiguratie

Let op:

Als u gebruikers verwijdert, hebben ze geen toegang meer tot producten, services en opslag. Ter voorbereiding op de synchronisatie met de Azure AD Connector, vraagt u uw Federated-gebruikers om de benodigde bestanden te downloaden en er een back-up van te maken voordat ze definitief worden verwijderd uit de Admin Console. Als uw organisatie al een groot aantal actieve Federated-gebruikers in de directory heeft of een apart proces voor gebruikersbeheer gebruikt, zoals de tool Gebruikerssynchronisatie, wordt het aanbevolen de Connector momenteel niet te gaan gebruiken.

Ondersteunde integratiescenario's

De Azure AD Connector ondersteunt scenario's met meerdere Azure AD-tenants en meerdere Admin Consoles. Ondersteunde scenario's zijn:

Eén-naar-één

De organisatie heeft een één-op-één-relatie tussen één Azure-tenant en één Adobe Admin Console waarbij synchronisatie wordt ingesteld via de Azure AD Connector om gebruikers te beheren en licenties toe te wijzen.

Eén-naar-veel (beheerd)

De organisatie heeft meerdere Adobe Admin Consoles in een primaire of beheerrelatie, waardoor de beherende Admin Console gebruik kan maken van de SSO-configuratie die is ingesteld in de primaire Admin Console. De Azure AD Connector kan in dit geval alleen gebruikers voor de primaire Admin Console beheren.

De beherende Adobe Admin Console kan gebruikmaken van de SSO-configuratie. Gebruikers moeten echter worden gesynchroniseerd met de primaire Admin Console voordat ze handmatig of via een service voor gebruikersbeheer (zoals CSV-bestand handmatig uploaden, de tool Gebruikerssynchronisatie of de API voor gebruikersbeheer) aan de vertrouwde Admin Console kunnen worden toegevoegd.

Veel-naar-één

De organisatie heeft meerdere Azure AD-tenants die één Adobe Admin Console vullen voor gebruikersbeheer en licentietoewijzing. De Azure AD Connector kan meerdere tenants synchroniseren met één Admin Console om zo eenmalige aanmelding en gebruikersbeheer mogelijk te maken voor alle verbonden tenants.

Eén-naar-veel

De organisatie heeft één Azure AD-tenant die meerdere Adobe Admin Consoles vult. De Azure AD Connector kan worden gebruikt om gebruikers uit één directorybron te synchroniseren met verschillende Adobe Admin Consoles voor dezelfde organisatie.

Azure AD Connector instellen

Als u voldoet aan de criteria in het gedeelte met vereisten, is het tijd om de integratie te configureren, zodat uw gebruikers aan de slag kunnen met hun rechten.

Stel uw gebruikers en groepen in via de Azure Portal.
  • Claim domeinen en stel Azure AD in.
  • Voeg groepen en gebruikers toe op basis van de gewenste classificatie in de Adobe Admin Console. Het wordt aanbevolen groepen te maken op basis van de productvereisten van de gebruikers.
  • Zorg ervoor dat het aantal gebruikers in een groep overeenkomt met het aantal beschikbare licenties voor de overeenkomstige productprofielen in de Admin Console. Dit kan echter later ook worden ingesteld.

Nadat de Azure Portal is ingesteld en gereed is, doet u het volgende:

  1. Meld u aan bij de Adobe Admin Console en klik op Instellingen. Klik op de pagina Identiteit op Directory maken.

  2. Doe het volgende in het scherm Een directory maken en klik daarna op Starten.

    • Voer een naam in voor de directory
    • Selecteer de kaart Federated ID
    Federated ID
  3. Selecteer Microsoft Azure en klik op Volgende. Klik daarna op Aanmelden bij Azure op het volgende scherm.

    Microsoft Azure
  4. U wordt omgeleid naar de aanmeldingspagina van uw Microsoft-account. Voer uw beheerdersreferenties in met de rol Globale beheerder en klik op Aanmelden. Lees het toestemmingsbericht en klik op Accepteren om de Adobe Azure AD Connector alleen-lezen toegang te geven tot uw Azure AD-tenant.

    Toestemming voor Azure-aanmelding
  5. Keer terug naar de Adobe Admin Console, bekijk uw Azure AD-gegevens en klik op Bevestigen.

    Directory bevestigen
  6. Selecteer het standaarddomein van Azure AD (bijvoorbeeld AdobeTestDir.omnimicrosoft.com) en de andere domeinen die zijn gevalideerd in Azure AD om te synchroniseren met de Adobe Admin Console en klik Volgende.

    Domeinen claimen

    Opmerking:

    Alleen de domeinen met de status Eigendom gevalideerd kunnen worden geselecteerd en gesynchroniseerd. Domeinen met de status Eigendom niet gevalideerd en Eigendom van een andere organisatie kunnen niet worden gesynchroniseerd zonder validatie in de Azure Portal.

  7. Zoek en selecteer in de lijst Groepen de groepen die moeten worden gesynchroniseerd met de Adobe Admin Console. Klik daarna op Opslaan en configuratie voltooien.

    Groepen synchroniseren

    Gevalideerde domeinen en directory's worden gesynchroniseerd vanuit Azure AD. Gegevens zoals gesynchroniseerde gebruikers worden weergegeven in het gedeelte Details op het tabblad Instellingen.

    Synchronisatiescherm

    Zodra de synchronisatie is voltooid, ontvangt u een e-mail waarin u wordt gevraagd producten toe te wijzen aan de gebruikersgroepen.

    Opmerking:

    De Connector synchroniseert bestaande gebruikers in de Adobe Admin Console met een Adobe ID en maakt hun overeenkomstige Federated ID. Zie Bestaande gebruikersaccounts beheren als u Adobe ID-gebruikers wilt migreren naar Federated ID's.

Zodra de eerste synchronisatie is voltooid, worden alle gebruikers en gebruikersgroepen geïmporteerd in de Adobe Admin Console. Maak de juiste productprofielen en koppel ze aan gebruikersgroepen om de toewijzing van producten aan gebruikers te verfijnen. Zie Producten en profielen beheren voor meer informatie.

Opmerking:

Wanneer gebruikers worden toegewezen aan de juiste producten, ontvangen ze hierover per e-mail bericht. Gebruikers kunnen de Creative Cloud desktop-app rechtstreeks downloaden en installeren. Als ze geen beheerdersrechten hebben, voert u de volgende stap uit om pakketten te maken en te distribueren.

Als u uw eindgebruikers toegang wilt bieden tot de apps, maakt en distribueert u de app-pakketten op hun computers. Gebruikers moeten zich aanmelden met hun SSO-aanmeldingsgegevens om de apps en services te kunnen gebruiken.

Zie Pakketten met gebruikerslicenties op naam maken voor meer informatie.

Bestaande gebruikersaccounts beheren

U moet aanvullende stappen uitvoeren als u de bestaande Adobe ID van een gebruiker wilt wijzigen in Federated ID en om SSO met Azure AD opnieuw te configureren via de Connector als dit al is ingesteld in de Admin Console.

Let op:

Aan de gesynchroniseerde Federated ID-gebruiker mogen geen producten zijn toegewezen terwijl de identiteit wordt gewijzigd. Dit moet direct na de synchronisatie, maar vóór de producttoewijzing worden gedaan.

Gebruikers met een bestaande Adobe ID in de Admin Console, kunnen worden gemigreerd naar een Federated ID-account nadat de Azure AD Connector is ingesteld. Als ze eenmaal zijn geconverteerd, synchroniseert de Connector deze accounts.

Voer de onderstaande stappen uit om ervoor te zorgen dat middelen die in de cloud zijn opgeslagen, worden gemigreerd naar het nieuwe identiteitstype van de gebruiker:

  1. Configureer Azure AD Connector en synchroniseer gebruikers, inclusief degenen die al een Adobe ID hebben in de Adobe Admin Console. Gebruikers met een bestaande Adobe ID hebben nu een Adobe ID en een Federated ID in de Adobe Admin Console.

  2. Volg de stappen in Identiteitstype bewerken via CSV-bestand om Adobe ID-gebruikers te wijzigen in Federated ID. Zorg dat u de volgende gegevens op elkaar afstemt:

    • Stem de velden Username en Email af op de velden voor gebruikersnaam (UserPrincipalName) in Azure AD.
    • Stem FirstName en LastName af op de overeenkomende velden in Azure AD.

Nadat de gebruiker zich heeft aangemeld met de nieuwe Federated ID, krijgt deze een melding met de optie om in de cloud opgeslagen middelen automatisch te migreren naar het nieuwe account.

Als u een actieve SSO-configuratie gebruikt met Azure AD en wilt overschakelen naar de configuratie op basis van de Azure AD Connector, moet u eerst alle gebruikers en domeinen verwijderen die zijn gekoppeld aan de bestaande directory. Stel ze vervolgens opnieuw in door ze te synchroniseren met de Azure AD Connector-configuratie.

Opmerking:

In een toekomstige update zal de Azure AD Connector een functie voor selfservicemigratie krijgen, waarbij een bestaande federatieve directory (inclusief alle bijbehorende domeinen en directorygebruikers) kan worden gemigreerd om te worden gesynchroniseerd vanuit Azure AD via de Connector (zonder de directorygebruikers, domeinen en directory's te verwijderen).

  1. Vraag uw actieve Federated ID-gebruikers handmatig een back-up te maken van middelen die ze in de cloud hebben opgeslagen.

    Let op:

    Gebruikers die geen back-up maken van hun middelen, raken hun gegevens permanent kwijt.

  2. Ga naar het gedeelte Gebruikers en open Directorygebruikers in het linkerdeelvenster. Kies de federatieve directory die moet worden verwijderd. Verwijder alle Federated ID-gebruikers uit de directory.

  3. Navigeer naar Instellingen > Identiteit > Domeinen en selecteer de domeinen die aan de bestaande directory zijn gekoppeld. Selecteer Domein verwijderen. Volg dezelfde stappen om alle gekoppelde directory's te verwijderen.

  4. Nadat de federatieve directory, gekoppelde domeinen en bijbehorende Federated ID-gebruikers zijn verwijderd, start u de implementatie van de Azure AD Connector.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid