Настройка Adobe Identity Management (SAML) для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra

В этой статье описаны шаги, которые необходимо выполнить как в Adobe Identity Management (SAML), так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra ID автоматически подготавливает и отменяет подготовку пользователей и групп в Adobe Identity Management (SAML) с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизация предоставления и прекращения доступа пользователей к SaaS приложениям с помощью Microsoft Entra ID.

Поддерживаемые возможности

• Создание пользователей в Adobe Identity Management (SAML).
• Удалите пользователей в Adobe Identity Management (SAML), если они больше не требуют доступа.
• Поддерживайте синхронизацию атрибутов пользователей между Microsoft Entra ID и Adobe Identity Management (SAML).
• Назначение групп и членства в группах в системе управления идентификацией Adobe (SAML).
• Единый вход в Adobe Identity Management (SAML) (рекомендуется).

Предпосылки

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• клиент Microsoft Entra.
• Одна из следующих ролей: администратор приложений, администратор облачных приложений или владелец приложения.
• Федеративный каталог в консоли администрирования Adobe с проверенными доменами.
• Ознакомьтесь с документацией по Adobe по подготовке пользователей

Примечание.

Если в организации используется средство синхронизации пользователей или интеграция UMAPI, необходимо сначала приостановить интеграцию. Затем добавьте автоматическую подготовку Microsoft Entra для автоматизации управления пользователями. После настройки и запуска автоматической подготовки Microsoft Entra можно полностью удалить средство синхронизации пользователей или интеграцию UMAPI.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Шаг 1. Планирование развертывания снабжения

1. Узнайте, как работает служба обеспечения.
2. Определите, кто находится в охвате настройки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Adobe Identity Management (SAML).

Шаг 2: Настройка Adobe Identity Management (SAML) для поддержки провиженинга с помощью Microsoft Entra ID

1. Войдите в консоль администрирования Adobe. Перейдите в параметры > сведения о каталоге > синхронизация.

2. Нажмите кнопку "Добавить синхронизацию".

   

3. Выберите "Синхронизировать пользователей" из Microsoft Azure и нажмите кнопку "Далее".

   

4. Скопируйте и сохраните URL-адрес клиента и маркер секрета. Эти значения вводятся в поля "URL-адрес клиента " и "Секретный маркер " на вкладке "Подготовка" приложения Adobe Identity Management (SAML).

   

Шаг 3. Добавление Adobe Identity Management (SAML) из коллекции приложений Microsoft Entra

Добавьте Adobe Identity Management (SAML) из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Adobe Identity Management (SAML). Если вы ранее настроили Adobe Identity Management (SAML) для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Узнайте больше о добавлении приложения из галереи здесь.

Шаг 4: Определите, кто входит в область предоставления ресурсов

Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем внедрять это для всех. Если область предоставления доступа задана для назначенных пользователей и групп, вы можете управлять этим, назначив одному или двум пользователям или группам доступ к приложению. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Adobe Identity Management (SAML)

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическое предоставление пользователей для Adobe Identity Management (SAML) в Microsoft Entra ID:

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>приложениям для предприятий

   

3. В списке приложений выберите Adobe Identity Management (SAML).

   

4. Выберите вкладку Подготовка.

   

5. Установите Режим конфигурирования на Автоматически.

   

6. В разделе "Учетные данные администратора " введите URL-адрес клиента Adobe Identity Management (SAML) и секретный маркер, полученный ранее на шаге 2. Выберите проверить подключение, чтобы убедиться, что идентификатор Microsoft Entra может подключаться к Adobe Identity Management (SAML). Если подключение завершается ошибкой, убедитесь, что учетная запись Adobe Identity Management (SAML) имеет разрешения администратора и повторите попытку.

   

7. В поле Адрес электронной почты для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках при предоставлении ресурсов, и установите флажок Отправить уведомление по электронной почте при возникновении сбоя.

   

8. Выберите Сохранить.

9. В разделе «Сопоставления» выберите «Синхронизировать пользователей Microsoft Entra с Adobe Identity Management (SAML)».

10. Просмотрите атрибуты пользователя, синхронизированные из Microsoft Entra ID в Adobe Identity Management (SAML) в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления учетных записей пользователей в Adobe Identity Management (SAML) для операций обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Adobe Identity Management (SAML) поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Adobe Identity Management (SAML)
    userName	Струна	✓	✓
    активный	булевый
    emails[тип eq "рабочий"].value	Струна
    адреса[тип eq "работа"].страна	Струна
    имя.имяОтчество	Струна
    имя_фамилия	Струна
    urn:ietf:params:scim:schemas:extension:Adobe:2.0:Пользователь:emailAliases	Струна
    urn:ietf:params:scim:schemas:extension:Adobe:2.0:User:eduRole	Струна

    Примечание.

    Поле eduRole принимает такие значения, как Teacher or Studentи все остальное, игнорируется.

11. В разделе «Сопоставления» выберите «Синхронизировать группы Microsoft Entra с Adobe Identity Management (SAML)».

12. Просмотрите атрибуты группы, синхронизированные из Microsoft Entra ID в Adobe Identity Management (SAML) в разделе Сопоставление атрибутов. Атрибуты, выбранные в качестве свойств сопоставления , используются для сопоставления групп в Adobe Identity Management (SAML) для операций обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации	Требуется для Adobe Identity Management (SAML)
    отображаемое имя	Струна	✓	✓
    члены	Ссылка

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.

14. Чтобы включить службу подготовки Microsoft Entra для Adobe Identity Management (SAML), измените состояние подготовки на On в разделе "Параметры ".

    

15. Определите пользователей и (или) группы, которые вы хотите предоставить в Adobe Identity Management (SAML), выбрав нужные значения в Области в разделе Параметры.

    

16. Когда будете готовы настроить, нажмите Сохранить.

    

Эта операция запускает начальный цикл синхронизации всех пользователей и групп, определенных в Scope в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки ресурсов Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
2. Используйте индикатор выполнения, чтобы узнать текущее состояние цикла подготовки ресурсов и насколько близко он к завершению.
3. Если конфигурация предоставления ресурсов кажется неисправной, приложение переходит в режим изоляции. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .

Журнал изменений

• 07.18.2023 — приложение было добавлено в Gov Cloud.
• 08.15.2023 — добавлена поддержка обнаружения схем.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?

Связанный контент

• Узнайте, как просматривать журналы и получать отчеты о процессе предоставления ресурсов