Guia do Usuário Cancelar

Adicionar a sincronização do Microsoft Azure ao diretório

A sincronização do Azure automatiza o gerenciamento de usuários no seu diretório do Admin Console. Você pode adicionar a sincronização do Azure a qualquer diretório federado no Admin Console com facilidade, independentemente do provedor de identidade (IdP). Para usar a sincronização do Azure, os dados de usuários e grupos da organização precisam estar armazenados no Microsoft Azure Active Directory (Azure AD).

Observação:
  • Se o provedor de identidade for o Microsoft Azure Active Directory (Azure AD) e você não tiver um diretório federado no Adobe Admin Console, poderá configurar a federação das seguintes maneiras:
    • OpenID Connect (OIDC): crie um diretório federado em segundos via OIDC. O processo de configuração encontra-se principalmente no Adobe Admin Console.
    • SSO com Azure AD por SAML: crie um diretório federado usando o Azure AD com configuração SAML. O processo de configuração ocorre principalmente no Portal do Microsoft Azure.
  • Se você tiver um diretório baseado em SAML, poderá adicionar recursos de sincronização à configuração existente.
  • Não é possível gerenciar usuários manualmente ou usando outros métodos de sincronização de usuários se tiver configurado a sincronização do Azure para um diretório. Consulte as observações antes da sincronização e perguntas comuns para saber mais.

Visão geral

Você pode adicionar a sincronização do Azure a qualquer diretório no Adobe Admin Console para automatizar o processo de gerenciamento de usuários. A sincronização do Azure usa o protocolo SCIM para o gerenciamento de usuários e oferece controle sobre os usuários e os grupos enviados à Adobe. Os usuários do Azure AD sincronizados com o Adobe Admin Console são exclusivos e podem ser atribuídos a um ou mais perfis de produto.

Depois que o Azure Sync é configurada, o Azure AD começa a enviar dados ao Adobe Admin Console de acordo com o provisionamento de usuários e grupos do diretório do Azure AD. Todos os detalhes associados ao diretório são exibidos na seção Configurações do Adobe Admin Console.

Vantagens da sincronização do Azure

As principais vantagens da sincronização do Azure com seu diretório no Adobe Admin Console são:

 Gerenciar tudo no Azure AD

 Controlar quais dados são enviados à Adobe

 Não há necessidade de outro serviço ou configuração de API

 Personalizar o mapeamento de atributos do usuário do Azure AD

 Adicionar sincronização a diretórios configurados anteriormente

 Adicionar sincronização do Azure a diretórios configurados com qualquer IdP

 Incluir e excluir facilmente usuários com o Azure AD

Pré-requisitos

Para integrar o gerenciamento de usuários do Adobe Admin Console com o Azure AD, você precisa do seguinte:

  • Conta do Microsoft Azure AD com dados de usuários e grupos
  • Produtos da Adobe que pertencem a qualquer um dos seguintes: Creative Cloud para corporações, Document Cloud para corporações ou Experience Cloud 
  • Um diretório federado no Adobe Admin Console com domínios verificados

Cenários de integração compatíveis

A configuração do diretório pode variar, e a sincronização do Azure é compatível com diferentes cenários, o que exige etapas adicionais para configurar a sincronização do Azure. Use a tabela para seguir etapas com base na configuração do diretório:

Cenário de configuração de diretório

Método para adicionar sincronização

Diretório federado único com um ou mais domínios no mesmo locatário do Azure AD. 

Siga as etapas em Adicionar sincronização para estabelecer a sincronização do Azure. 

Vários diretórios federados com um ou mais domínios que pertencem ao mesmo locatário do Azure AD. 

  1. Reúna domínios em um único diretório federado. 
  2. Siga as etapas em Adicionar sincronização para estabelecer a sincronização do Azure. 

 

Vários diretórios federados com um ou mais domínios que pertencem a diferentes locatários do Azure AD.  

  1. Siga as etapas em Adicionar sincronização para estabelecer a sincronização do Azure em um único diretório.
  2. Repita a configuração da sincronização do Azure para todos os diretórios separados que exigem sincronização. 

 

Observações antes de configurar a sincronização

Siga os itens abaixo para ver as práticas recomendadas e Adobe Recommendations antes de configurar o Azure Sync:

  • Exporte a lista de usuários existentes antes de adicionar a sincronização do Azure para manter um registro de todas as contas de usuário e licenças provisionadas no momento da configuração.
  • Se você configurou o Azure AD SSO com o Open ID Connect (OIDC), precisará adicionar um novo aplicativo do Adobe Identity Management ao Portal do Microsoft Azure para configurar a sincronização do diretório.
  • Se você configurou o Azure AD SSO com SAML, use o aplicativo existente do Adobe Identity Management para configurar a sincronização do diretório. Siga as etapas mencionadas no documento da Microsoft para configurar o provisionamento automático de usuários com o aplicativo do Adobe Identity Management.
  • A sincronização do Azure separa o email do nome de usuário, permitindo que usuários utilizem um valor diferente de email e nome de usuário para validar o logon e acessar produtos e serviços da Adobe, colaborar em projetos, compartilhar arquivos etc. Siga as etapas no documento da Microsoft para personalizar o mapeamento de atributos do provisionamento de usuários.
  • Se você pretende integrar a sincronização do Azure a um diretório com usuários de Federated ID, verifique se o formato do campo Nome de usuário corresponde ao nome principal do usuário (UPN) no Azure AD antes de realizar a sincronização inicial.
    Se esses valores não forem os mesmos, o Admin Console interpretará isso como uma nova conta de usuário e criará registros duplicados para o mesmo usuário. Você pode atualizar o mapeamento de atributos para garantir que os valores enviados pela sincronização correspondam aos valores nos perfis de usuário no Admin Console, que atualizará automaticamente a conta deles na próxima sincronização.
  • A sincronização do Azure só pode ser estabelecida em um Admin Console com pelo menos um diretório federado e domínio configurados. Se o Admin Console com a sincronização do Azure (console proprietário) estiver em uma relação de confiança com outros Admin Consoles (consoles confiáveis), os consoles confiáveis precisarão usar outra forma de gerenciamento de usuários, como a ferramenta User Sync, a API de gerenciamento de usuários ou o upload de CSV em massa, para criar, gerenciar e licenciar usuários de Federated ID.
    Para adicionar usuários a um console confiável e realizar o provisionamento de licenças, você deve adicionar o usuário ao console proprietário primeiro.
  • Se a sua organização utiliza a ferramenta User Sync ou uma integração UMAPI, você deve pausar a integração primeiro. Depois, adicione a Azure Sync para automatizar o gerenciamento de usuários pelo Azure AD. Depois que a sincronização do Azure estiver configurada e funcionando, você poderá remover completamente a ferramenta User Sync ou a integração UMAPI.
  • Sua organização deve ter uma assinatura Premium (P1 ou P2) ou Microsoft 365 (E3 ou A3) com o Azure AD para usar recursos de atribuição baseados em grupo. Isso permite que você escolha grupos e usuários específicos a serem sincronizados com o Adobe Admin Console.
    Organizações sem esses níveis de assinatura só podem sincronizar todos os usuários e grupos com o Adobe Admin Console de uma vez. O sistema sincronizará todos os usuários e grupos automaticamente e gerará uma Adobe Federated ID para os usuários sincronizados. Leia mais sobre os planos de assinatura do Azure AD e as opções de atualização.
  • Para adicionar ou remover um domínio de um diretório com a sincronização do Azure estabelecida, você deve primeiro ativar a edição do diretório temporariamente. Após ativá-la, adicione ou remova o domínio desejado do diretório sincronizado com o Azure AD antes de desativar os recursos de edição do diretório.
  • O Azure Sync não sincroniza usuários de grupos com o atributo HiddenMembership no Azure AD. Para sincronizar usuários específicos, crie um grupo no Azure AD e copie os respectivos usuários para o novo grupo.

Adicionar a sincronização do Azure a um diretório federado

Você pode adicionar a sincronização do Azure a um diretório federado do Adobe Admin Console com os domínios necessários vinculados a ele. Para adicionar a sincronização a um diretório federado estabelecido, siga o processo abaixo:

  1. Na guia Configurações do Adobe Admin Console, acesse Detalhes do  diretório > Sincronização. Clique em Adicionar sincronização.

  2. Selecione o cartão Sincronizar usuários do Microsoft Azure e clique em Próximo.

  3. Etapas no Portal do Microsoft Azure:

    Deixe a janela do Admin Console aberta como referência e abra o Portal do Microsoft Azure em um navegador separado. Em seguida, siga as etapas mencionadas no documento da Microsoft para configurar o provisionamento automático de usuários.

    Observação:
    • Você pode sincronizar grupos aninhados do Azure AD por meio da integração da sincronização do Azure, embora os grupos aninhados não sejam sincronizados automaticamente quando o nó pai do grupo é adicionado ao escopo de sincronização. Você também deve adicionar grupos aninhados ao escopo para incluí-los na sincronização automática.

    • As organizações devem ter uma assinatura Premium (P1 ou P2) ou Microsoft 365 (E3 ou A3) do Azure Active Directory para usar os recursos de atribuição baseados em grupo que permitem a um administrador escolher grupos e usuários específicos como os únicos objetos a serem sincronizados com o Adobe Admin Console.

      As organizações sem esses níveis de assinatura só podem sincronizar usuários individuais (não grupos) ou todos os usuários e grupos no Azure AD para o Adobe Admin Console. Verifique sua assinatura do Microsoft Azure para confirmar o nível da sua organização e entre em contato com o representante da Microsoft, se necessário.

    Após a configuração, o Azure iniciará o processamento e o envio de dados para provisionamento na Adobe. Você pode revisar outras instruções nos tutoriais de gerenciamento de aplicativos da Microsoft.

  4. Na janela do Adobe Admin Console, marque a caixa para confirmar a autorização de acesso da Adobe e a configuração concluída no Azure AD. Em seguida, selecione Concluído.

  5. Volte para os detalhes do diretório > Sincronização. Será exibida a página Fonte de sincronização.

    A sincronização do Azure está integrada com seu diretório, mas ainda não foi iniciada. Para iniciar a sincronização, você precisa clicar em Ir para configurações e editar as configurações de sincronização.

Editar configurações de sincronização

Um administrador de sistema poderá atualizar as configurações da Fonte de sincronização depois que a configuração for concluída selecionando Ir para configurações na guia Configurações do diretório > Sincronização. As opções de configuração incluem:

  • Permitir a edição de dados sincronizados no Admin Console: assim que a sincronização do Azure é estabelecida, todos os usuários e grupos criados por sincronização em um diretório passam automaticamente para o gerenciamento de sincronização. Depois que permitir a edição, você poderá editar os dados sincronizados no Admin Console por um breve período. Nenhuma edição durante esse período afeta as informações do usuário no Azure AD, mas é substituída por solicitações de alteração de seu provedor de identidade.

    Cuidado:

    Por padrão, você deve editar os dados sincronizados do provedor de identidade e permitir que as alterações sejam propagadas por meio da sincronização. Não recomendamos alterar os dados manualmente no Admin Console, exceto se absolutamente necessário.

  • Status da sincronização: instrui a sincronização do Azure a rejeitar solicitações de alteração do Azure AD. Quando o status do User Sync é Desativado, as alterações no Azure AD (fonte de informações dos usuários) não são mais enviadas ao Adobe Admin Console. 

  • Editar configuração de sincronização do usuário: redireciona você para as instruções de configuração para editar a sincronização do usuário. Use essa opção se a janela modal for fechada antes de terminar a configuração de sincronização ou se você precisar fazer alterações no Azure AD após a configuração inicial.

Desabilitar sincronização

Os administradores podem escolher remover a sincronização de um diretório federado no Admin Console. A desabilitação da sincronização deixa o diretório e seus domínios, grupos de usuários e usuários associados intactos, bem como remove o modo somente leitura do diretório e seus usuários e grupos.

Para desabilitar a sincronização de um diretório, escolha Ir para configurações na guia Configurações do diretório > Sincronização e Desabilitar sincronização. Essa ação desabilitará permanentemente a configuração de sincronização do Admin Console. Se necessário, você poderá restabelecer a sincronização com o mesmo diretório ou com um diretório diferente.

Observação:

Os domínios não podem ser movidos de ou para um diretório gerenciado pela sincronização do Azure na mesma organização. Depois que a sincronização do Azure é desabilitada do diretório de origem e/ou destino, um domínio desse diretório pode ser movido para outro diretório de destino, e os domínios de outros diretórios de origem podem ser movidos para o diretório que não é mais gerenciado pela sincronização do Azure. 

Desativar usuários e grupos

A implementação da sincronização do Azure cria contas de usuário federado e sincroniza os usuários com o Adobe Admin Console. Os administradores também podem desprovisionar usuários e grupos adicionados usando a sincronização do Azure por meio dos três métodos a seguir (no Portal do Microsoft Azure):

  • Remover o usuário de todos os grupos sincronizados no Azure AD

  • Excluir temporariamente o usuário do Azure AD

  • Remover todos os grupos dos quais o usuário faz parte do escopo de provisionamento no Azure AD

Essas três operações desabilitam os usuários no Adobe Admin Console. Um usuário desativado não consegue mais fazer logon e aparece como Desativado na lista de Usuários do diretório. O Azure Sync continuará gerenciando um usuário desprovisionado por um desses métodos. Nem a conta do usuário nem os ativos armazenados na nuvem são removidos da organização. 

Remover um usuário e dados associados do Admin Console: Escolha Ir para configurações na guia Configurações do diretório Sincronização e clique em Ativar edição. Em seguida, navegue até Usuários > Usuários de diretório e escolha o usuário da lista para excluir permanentemente a conta.

Quando a edição é ativada, ela permite fazer alterações nos dados sincronizados por até uma hora antes de ser desativada automaticamente. Recomendamos clicar em Desativar edição imediatamente após a remoção do usuário para garantir que as alterações no Admin Console sejam as mesmas do Azure AD.

Cuidado:

Se você excluir permanentemente um usuário, ele será excluído juntamente com todos os ativos armazenados na nuvem pertencentes a ele. O usuário e os ativos não poderão ser recuperados depois que essa ação for executada.

Política de quarentena

A Adobe e a Microsoft têm uma política de quarentena para lidar com várias chamadas de erro durante as operações de sincronização. 

O serviço de provisionamento do Azure AD monitora a integridade da sua configuração e coloca os aplicativos não íntegros em um estado de “quarentena”. Se a maioria ou todas as chamadas feitas no sistema de destino falharem consistentemente em razão de um erro (por exemplo, credenciais de administrador inválidas), o trabalho de provisionamento será marcado como em quarentena. Durante a quarentena, a frequência dos ciclos incrementais é gradualmente reduzida para uma vez por dia. O trabalho de provisionamento é removido da quarentena depois que todos os erros são corrigidos e o próximo ciclo de sincronização é iniciado. Se o trabalho de provisionamento permanecer em quarentena por mais de quatro semanas, ele será desabilitado (parará de funcionar). Saiba mais sobre o provisionamento de aplicativos em status de quarentena no Azure AD.

O serviço da Adobe monitora de forma independente a integridade da sincronização para verificar quando a taxa de erro ultrapassa certo limite em determinado período. Um número mínimo de solicitações que resultem em um erro que atinja o limite determinará a quarentena temporária, resultando na rejeição de todas as chamadas e solicitações de atualização do Azure AD por determinado período, após o qual as chamadas serão aceitas novamente para nova tentativa de sincronização. Se as chamadas de erro persistirem, a sincronização será colocada em teste temporário por um longo período em quarentena. Se a quarentena for iniciada pela Adobe, ela também poderá levar a uma quarentena subsequente com o Azure em razão das chamadas rejeitadas, que contarão para as taxas de erro no Azure. Observe que a Adobe se reserva o direito de atualizar os parâmetros de quarentena com base em análise de dados contínua. 

Mensagens de erro comuns

Ao gerenciar a sincronização do Azure pelo Azure AD, você precisa estar ciente de que há um conjunto de mensagens de erro comuns exibidas. Compreender a causa das várias mensagens de erro ajudará na solução de problemas quando ocorrerem erros.

Saiba mais sobre como monitorar sua implantação no Azure AD.

Resolver problema de sincronização

Como o Adobe Admin Console usa o serviço de sincronização do Azure da Microsoft, todos os problemas de sincronização são detectados no Azure AD. Você pode consultar as instruções de configuração da Microsoft para resolver alguns problemas comuns. Se você não conseguir encontrar uma solução, recomendamos que entre em contato com o Suporte da Microsoft para obter mais assistência.

Siga as instruções abaixo para diagnosticar um problema de sincronização:

  1. Confirme sua configuração de usuário e grupo:

    Certifique-se de ter configurado os usuários e grupos de acordo com as instruções de configuração:

  2. Confirme o mapeamento dos detalhes do usuário: documentação da Microsoft.

  3. Monitore seu aplicativo de provisionamento para descobrir problemas que podem afetar a sincronização:

    Se os usuários não aparecerem nos logs de provisionamento, eles podem estar fora do escopo. Se os registros de provisionamento mostrarem um problema, corrija-o para permitir que o usuário sincronize. Documentação da Microsoft

  4. Extensões do PowerShell:

    Use as extensões do Azure Powershell para identificar qualquer problema com o registro do Azure AD do usuário.

    Confirme os dados do usuário com os seguintes comandos do Powershell. Se precisar de tempo para realizar essas etapas, habilite o modo de edição no console do administrador para fazer as alterações temporárias:

    1. Install-Module AzureAD
    2. Connect-AzureAD -Credential (Get-Credential)
    3. Get-AzureADUser -ObjectId <endereço de email do usuário> | FL
  5. Permitir a edição de dados sincronizados no Admin Console:

    Depois que permitir a edição, você poderá editar os dados sincronizados no Admin Console por um breve período. Todas as edições durante esse período não afetam as informações do usuário no Azure AD. Posteriormente, as solicitações de mudança do seu provedor de identidade sobrescreverão automaticamente essas breves mudanças.

Gerenciar contas de usuários existentes

Etapas adicionais são necessárias para converter todos os usuários que não têm uma conta do tipo Federated ID para o tipo Federated ID.

Cuidado:

NÃO atribua nenhum produto aos usuários federados sincronizados ao fazer a troca de identidade para edição. Isso deve ser feito logo após a sincronização, mas antes de qualquer atribuição de produto.

Os usuários que já tiverem uma conta que não é do tipo Federated ID no Admin Console poderão ser migrados para uma conta do tipo Federated ID depois que a sincronização do Azure for estabelecida. Depois de convertidas, o Azure AD envia essas contas para o Adobe Admin Console com êxito.

Para garantir que os ativos armazenados na nuvem sejam migrados para o novo tipo de identidade do usuário, siga o processo abaixo:

  1. Configure a sincronização do Azure para os usuários que já têm uma conta que não é do tipo Federated ID no Adobe Admin Console. Todos os usuários existentes que não têm uma conta do tipo Federated ID agora têm uma conta sem Federated ID e com Federated ID no Adobe Admin Console.

  2. Siga as etapas em Editar tipo de identidade por CSV para alterar os usuários que não são do tipo Federated ID para Federated ID. Os seguintes detalhes devem ser correspondentes:

    • Corresponda os campos Nome de usuário e Email com os campos Nome de usuário (UserPrincipalName) no Azure AD.
    • Corresponda FirstName e LastName com os respectivos campos no Azure AD.

    Ao fazer logon com a nova Federated ID, o usuário receberá uma solicitação com a opção de migrar automaticamente os ativos armazenados na nuvem para a nova conta.

Próximas etapas

Depois que você adicionar a sincronização do Azure ao diretório, todos os usuários e grupos de usuários serão importados para o Adobe Admin Console e atualizados em intervalos regulares. Em seguida, você deverá permitir que esses usuários acessem os aplicativos da Adobe designados a eles.

  1. Criar e gerenciar perfis de produto: crie perfis de produto apropriados e os associe aos usuários e grupos de usuários para determinar quem usará quais aplicativos e serviços da Adobe. Saiba como gerenciar produtos e perfis de produto.
  2. Quando os usuários são atribuídos aos produtos designados, eles recebem uma notificação por email. Os usuários podem baixar e instalar diretamente o aplicativo de desktop da Creative Cloud.
    Se os usuários não tiverem permissões de administrador, você precisará criar e implantar pacotes apropriados.
  3. Criar e implantar pacotes: para que os usuários tenham acesso aos aplicativos, crie e implante os pacotes de aplicativo em seus computadores. Os usuários precisarão fazer logon com suas credenciais de SSO para começarem a usar os aplicativos e os serviços. Para obter mais informações, consulte Criar pacotes de licenciamento por usuário nomeado.

Se for o administrador de uma instituição, depois de configurar a sincronização do Azure, recomendamos que ative a sincronização de funções. Saiba mais sobre a Sincronização de funções para instituições de ensino.

Receba ajuda com mais rapidez e facilidade

Novo usuário?