Управление всеми элементами в Azure AD
Контроль данных, отправляемых в Adobe
Отсутствие необходимости в дополнительных услугах или в настройке API
Настройка сопоставления атрибутов пользователей Azure AD
Azure Sync автоматизирует управление пользователями для каталога Admin Console. Вы можете легко добавить Azure Sync в любой федеративный каталог в Admin Console независимо от используемого поставщика удостоверений (IdP). Для использования Azure Sync данные пользователей и групп вашей организации должны храниться в Microsoft Azure Active Directory (Azure AD).
Можете добавить Azure Sync в любой каталог в Adobe Admin Console, чтобы автоматизировать процесс управления пользователями. Azure Sync использует протокол SCIM для управления пользователями и позволяет вам контролировать отправку пользователей и групп в Adobe. Пользователи Azure AD, синхронизированные с Adobe Admin Console, являются уникальными и могут быть назначены одному или нескольким профилям продуктов.
После настройки Azure Sync Azure AD начинает отправлять данные в Adobe Admin Console в соответствии с параметрами подготовки пользователей и групп каталога Azure AD. Все подробности, связанные с каталогом, отображаются в разделе Настройки в Adobe Admin Console.
Основные преимущества использования Azure Sync с каталогом в Adobe Admin Console:
Управление всеми элементами в Azure AD
Контроль данных, отправляемых в Adobe
Отсутствие необходимости в дополнительных услугах или в настройке API
Настройка сопоставления атрибутов пользователей Azure AD
Добавление синхронизации в ранее настроенные каталоги
Добавление синхронизации с Azure в каталоги, настроенные для любого IdP
Возможность простого использования Azure AD как внедренными, так и невнедренными пользователями
Чтобы интегрировать управление пользователями Adobe Admin Console с Azure AD необходимо выполнить следующие условия.
Сценарий настройки каталога |
Способ добавления синхронизации |
---|---|
Единый федеративный каталог с одним или несколькими доменами одного клиента Azure AD. |
Выполните действия по добавлению синхронизации, чтобы установить синхронизацию Azure Sync. |
Несколько федеративных каталогов с одним или несколькими доменами, принадлежащими одному клиенту Azure AD. |
|
Несколько федеративных каталогов с одним или несколькими доменами, принадлежащими разным клиентам Azure AD. |
|
Используйте приведенные ниже пункты справки, чтобы ознакомиться с передовыми практиками и рекомендациями Adobe перед настройкой синхронизации Azure Sync:
Вы можете добавить Azure Sync в федеративный каталог Adobe Admin Console, с которым связаны требуемые домены. Чтобы добавить синхронизацию в установленный федеративный каталог, выполните следующие действия:
На вкладке «Настройки» в Adobe Admin Console перейдите в каталог Подробные сведения > Синхронизация. Нажмите Добавить синхронизацию.
Выберите карту Синхронизация пользователей из Microsoft Azure и нажмите Далее.
Шаги, выполняемые на портале Microsoft Azure:
Оставьте открытым окно Admin Console для справки и откройте портал Microsoft Azure в отдельном окне браузера. После этого выполните шаги, указанные в документации Microsoft для настройки автоматической подготовки пользователей.
Вы можете синхронизировать вложенные группы из Azure AD с помощью интеграции с Azure Sync, хотя вложенные группы при этом не синхронизируются автоматически, когда родительский узел группы добавляется в область синхронизации. Кроме того, необходимо добавить вложенные группы в область, чтобы обеспечить их автоматическую синхронизацию.
Организациям необходимо иметь подписку Premium (P1 или P2) или Microsoft 365 (E3 или A3) с Azure Active Directory, чтобы использовать возможности группового назначения, которые позволяют администратору выбирать определенные группы и пользователей в качестве единственных объектов для синхронизации с Adobe Admin Console.
Организации, не имеющие этих уровней подписки, могут синхронизировать только индивидуальных пользователей (не группы) или всех пользователей и группы в Azure AD с Adobe Admin Console. Проверьте свою подписку Microsoft Azure, чтобы подтвердить уровень своей организации, и при необходимости свяжитесь со своим представителем Microsoft.
После настройки Azure начинает свою работу и отправляет данные для подготовки в Adobe. Дополнительные инструкции приведены в руководствах по управлению приложениями Microsoft.
В окне Adobe Admin Console установите флажок, разрешающий доступ Adobe, и завершите настройку в Azure AD. Затем выберите Готово.
Вернитесь к сведениям о каталоге > Синхронизация. Отображается источник синхронизации.
Azure Sync интегрирован с вашим каталогом, однако синхронизация пока не запущена. Чтобы начать синхронизацию, нажмите Перейти к настройкам и измените настройки синхронизации.
Системный администратор может обновить настройки в разделе Источник синхронизации после завершения настройки, для этого необходимо выбрать Перейти к настройкам на вкладке Настройки каталога > Синхронизация. Возможности настройки:
Разрешить редактирование синхронизированных данных в Admin Console: после установки Azure Sync все пользователи и созданные для синхронизации группы в каталоге автоматически добавляются в синхронизацию. После того как вы разрешите редактирование, вы можете редактировать синхронизированные данные в Admin Console в течение короткого периода. Любые изменения в течение этого времени не влияют на информацию о пользователях в Azure AD, однако настройки перезаписываются при получении запросов на изменения от вашего поставщика удостоверений.
По умолчанию вы должны отредактировать синхронизированные данные через поставщика удостоверений и разрешить распространение изменений посредством синхронизации. Мы не рекомендуем вручную изменять данные в Admin Console без крайней необходимости.
Статус синхронизации: указывает Azure Sync на необходимость отклонения запросов на изменение от Azure AD. После того как для параметра Статус User Sync будет выбрано значение Выкл., выполненные в Azure AD изменения (источник информации о пользователе) не будут принудительно переноситься в Adobe Admin Console.
Изменить конфигурацию синхронизации пользователей: перенаправляет вас к инструкциям по настройке для редактирования синхронизации пользователей. Используйте в случае закрытия модального окна до завершения настройки синхронизации либо если вам необходимо внести изменения в Azure AD после начальной настройки.
Администраторы могут удалить синхронизацию из федеративного каталога в Admin Console. При удалении синхронизации каталог и связанные с ним домены, группы пользователей и сами пользователи остаются без изменений. При этом для каталога и его пользователей и групп удаляется режим «только для чтения».
Чтобы удалить синхронизацию из каталога, выберите Перейти к настройкам на вкладке Настройки каталога > Синхронизация, после чего нажмите Удалить синхронизацию. Это действие навсегда удаляет настройку синхронизации из Admin Console. При необходимости вы можете восстановить синхронизацию повторно с тем же или другим каталогом.
Домены нельзя перемещать в каталог или из каталога, управляемого службой Azure Sync внутри одной организации. После удаления Azure Sync из исходного и/или целевого каталога домен из этого каталога может быть перемещен в другой целевой каталог, а домены из других исходных каталогов могут быть перемещены в каталог, который больше не находится под управлением Azure Sync.
При внедрении Azure Sync создаются новые объединенные учетные записи пользователей и выполняется синхронизация пользователей с Adobe Admin Console. Администраторы также могут отменить инициализацию пользователей и групп, добавленных через Azure Sync, с помощью следующих трех методов (на портале Microsoft Azure):
Удалить пользователя из всех синхронизируемых групп в Azure AD
Удалить пользователя (soft-удаление) из Azure AD
Удалить все группы, частью которых является пользователь, из области подготовки в Azure AD
Эти три операции блокируют пользователей в Adobe Admin Console. Заблокированный пользователь больше не может войти в систему и имеет статус Отключен в списке Пользователи каталога. Azure Sync будет по-прежнему управлять пользователем, подготовка которого была отменена с помощью одного из этих методов. Ни учетная запись пользователя, ни его ресурсы, хранящиеся в облаке, не удалены из организации.
Удаление пользователя и связанных с ним данных из Admin Console: чтобы удалить пользователя навсегда, выберите Перейти к настройкам на вкладке Настройки каталога > Синхронизация и нажмите Включить редактирование. После этого перейдите в раздел Пользователи > Пользователи каталога и выберите пользователя из списка, чтобы удалить окончательно его учетную запись.
Включенный режим редактирование позволяет редактировать синхронизированные данные в течение часа, прежде чем автоматически отключится. Мы рекомендуем вам нажать Отключить редактирование сразу после удаления пользователя, чтобы убедиться, что Admin Console отражает изменения Azure AD.
Если пользователь удаляется окончательно, происходит удаление пользователя со всеми принадлежащими ему ресурсами в облаке. После выполнения этой операции восстановление пользователя и ресурсов невозможно.
Adobe и Microsoft имеют политику карантина для обработки многочисленных ошибочных вызовов во время операций синхронизации.
Служба подготовки Azure AD отслеживает состояние вашей конфигурации и помещает неработоспособные приложения в «карантинное» состояние. Если большая часть вызовов (все вызовы) на целевой системе постоянно терпят неудачу из-за ошибки, например из-за неверных учетных данных администратора, то задание по подготовке помечается как «находящееся в карантине». При нахождении в карантине частота дополнительных циклов постепенно снижается до одного раза в день. Задание на подготовку удаляется из карантина после исправления всех ошибок и запуска следующего цикла синхронизации. Если задание на подготовку остается в карантине более четырех недель, то оно отключается (перестает выполняться). Узнайте подробнее о подготовке приложений со статусом «на карантине» в Azure AD.
Служба Adobe самостоятельно контролирует состояние синхронизации для проверки того, что частота ошибок превышает определенный порог в течение заданного периода времени. При достижении минимального порогового количества запросов, приводящих к ошибке, включается временный карантин, который приводит к отклонению всех вызовов и запросов на обновление из Azure AD на определенный период времени, после чего вызовы будут снова приняты к исполнению для повторной попытки синхронизации. Если вызовы продолжают завершаться ошибкой, синхронизация помещается на карантин в течение длительного периода времени для временной проверки. Если Adobe инициирует карантин, это также может привести к последующему карантину в Azure из-за отклоненных вызовов, которые будут учитываться при подсчете количества ошибок в Azure. Обратите внимание, что Adobe оставляет за собой право обновлять параметры карантина на основе текущей аналитики данных.
При управлении синхронизацией Azure Sync из Azure AD используется набор сообщений о типичных ошибках, которые отображаются для уведомления пользователя. Понимание причины различных сообщений об ошибке поможет устранить соответствующие ошибки в случае их возникновения.
Узнайте подробнее о мониторинге вашего развертывания внутри Azure AD.
Поскольку Adobe Admin Console использует службу синхронизации Azure Microsoft, все проблемы с синхронизацией устраняются в Azure AD. Для решения некоторых распространенных проблем см. инструкции Microsoft по настройке. Если не удается найти решение, рекомендуем вам обратиться в службу поддержки Майкрософт за дополнительной помощью.
Следуйте приведенным ниже инструкциям для диагностирования проблемы с синхронизацией:
Подтвердите настройку пользователя и группы:
Убедитесь, что пользователи и группы настроены в соответствии с инструкциями по настройке:
Подтвердить сопоставления сведений о пользователе: документация Microsoft.
Отслеживайте приложения подготовки для выявления проблем, которые могут повлиять на синхронизацию:
Если пользователи не отображаются в журналах подготовки, они могут быть вне диапазона. Если в журнале подготовки отображается проблема, исправьте ее, чтобы пользователь мог выполнить синхронизацию. Документация Microsoft
Расширения Powershell:
Используйте расширения Azure Powershell для выявления любых проблем с записью пользователя Azure AD.
Подтвердите данные пользователя с помощью следующих команд Powershell. Если требуется время для выполнения этих шагов, включите режим редактирования в Admin Console, чтобы внести временные изменения:
Разрешить редактирование синхронизируемых данных в Admin Console:
После того как вы разрешите редактирование, вы можете редактировать синхронизированные данные в Admin Console в течение короткого периода. Любые изменения в течение этого времени не влияют на информацию о пользователях в каталоге Azure AD. Позже запросы на изменение вашего поставщика удостоверений автоматически перезаписывают эти кратковременные изменения.
Требуются дополнительные действия для преобразования всех существующих пользователей без Federated ID в пользователей с типом Federated ID.
ЗАПРЕЩАЕТСЯ назначать какие-либо продукты синхронизированному федеративному пользователю при изменении идентификатора. Это необходимо сделать непосредственно после синхронизации, но перед любыми назначениями продуктов.
Пользователи, имеющие существующую учетную запись, отличную от Federated ID, в Admin Console, могут быть перенесены в учетную запись Federated ID после установки Azure Sync. После преобразования Azure AD успешно отправит эти учетные записи в Adobe Admin Console.
Чтобы обеспечить перенос любого ресурса, хранящегося в облаке, на новый тип удостоверения пользователя, выполните следующие действия.
Настройте Azure Sync для пользователей, уже имеющих удостоверения, отличные от Federated ID, в Adobe Admin Console. Все пользователи с существующим удостоверением, отличным от Federated ID, теперь имеют еще и Federated ID в Adobe Admin Console.
Чтобы изменить пользователей с удостоверениями, отличными от Federated ID, на Federated ID, следуйте инструкциям в разделе Изменить тип удостоверения через CSV-файл. Убедитесь, что следующие данные соответствуют.
После входа в систему с новым Federated ID пользователю будет предложена возможность автоматически перенести хранящиеся в облаке ресурсы в новую учетную запись.
После добавления Azure Sync в каталог все пользователи и группы пользователей импортируются в Adobe Admin Console и регулярно обновляются. Затем нужно предоставить этим пользователям доступ к назначенным им приложениям Adobe:
Если вы являетесь администратором учреждения, после настройки синхронизации Azure рекомендуется включить синхронизацию ролей. О синхронизации ролей для образовательных учреждений.