Ce document est destiné à vous guider lors de l’installation de l’outil User Sync afin d’automatiser le processus de gestion des utilisateurs.

L’outil User Sync est un utilitaire de ligne de commande qui transfère les informations relatives aux utilisateurs et aux groupes du système d’annuaire de votre entreprise (tel qu’Active Directory ou autres systèmes LDAP) vers l’annuaire de votre entreprise dans le portail Adobe Admin Console. Chaque fois que vous exécutez l’outil User Sync, il recherche les différences entre les données des utilisateurs et des groupes dans les deux systèmes, puis met à jour l’annuaire Adobe afin que ses informations correspondent à celles de votre annuaire.

Ce document fournit des instructions détaillées pour réaliser l’interface d’un système Active Directory avec le portail Adobe Admin Console. Il s’agit de l’une des combinaisons les plus courantes utilisées par nos clients parmi les PME et les établissements du primaire et du secondaire. La souplesse de l’outil User Sync permet de l’utiliser pour établir une interface avec la plupart des systèmes d’annuaire et LDAP. Si vous utilisez un système d’annuaire autre qu’Active Directory, les instructions contenues dans ce document ne s’appliquent pas directement. Vous pourrez les modifier, le cas échéant. Pour plus d’informations, consultez le Guide d’installation.

Informations préalables

Vous avez besoin des informations suivantes sur votre système LDAP. Si vous ne disposez pas de ces informations, contactez votre administrateur informatique.

  • Nom (ou IP, si elle est fixe) et port du contrôleur de domaine.
  • Nom d’utilisateur et mot de passe d’un compte de service que l’outil peut utiliser pour extraire les utilisateurs du LDAP (accès en lecture seule).
  • Nom de domaine de base, qui est le point à partir duquel le serveur recherche des utilisateurs. Il doit être suffisamment vaste pour permettre de découvrir tous les utilisateurs et groupes devant être synchronisés.
  • Noms du groupe faisant partie de la synchronisation.
  • Attribut LDAP le mieux adapté pour l’e-mail/le nom d’utilisateur pour tous les utilisateurs devant être créés dans Admin Console.
  • (Facultatif) Vous pourriez également avoir besoin d’une requête LDAP personnalisée qui sélectionne l’ensemble d’utilisateurs à synchroniser avec Adobe si les filtres par défaut ne couvrent pas les exigences.
Active Directory

La paire de clés est utilisée pour signer un jeton JWT et vérifier sa légitimité dans l’obtention du processus access_token. Contactez votre équipe de sécurité qui vous avez besoin d’aide avec ce processus.

Conseils relatifs aux certificats :

  • Le certificat public peut être signé par votre propre CA (faites une CSR si besoin) ; les certificats auto-signés sont également acceptés
  • La clé privée doit être RSA: 2048 bits au minimum
  • Le certificat public doit posséder une extension .crt
  • Signature à l’aide de SHA-256
  • Validité de la clé publique : nous recommandons trois ans mais cela va dépendre de votre stratégie de sécurité interne

Création d’un certificat auto-signé

Pour des besoins de test et de configuration, vous pouvez également utiliser un certificat auto-signé à l’aide de openssl. Pour Mac OS/Linux, openssl peut être présent par défaut. Pour Windows, ajoutez la prise en charge de openssl séparément (par exemple, Cygwin
Suivez les étapes ci-après pour créer un certificat auto-signé :

  1. Pour macOS/Linux, ouvrez Terminal. 
    Pour Windows, ouvrez le programme proposant une prise en charge de openssl (Cygwin, cmd, autre...).

  2. Exécutez la commande suivante :

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certificat numérique
  3. Une fois la génération de la clé privée terminée, vous êtes invité à saisir des informations supplémentaires pour créer un nom unique pour la clé publique. Vous pouvez accepter les valeurs par défaut ou saisir des valeurs appropriées. Pour laisser un champ vide, entrez « . » (un caractère de point).

    Certificat numérique

Les fichiers de certificat de clé publique et de clé privée sont stockés dans les emplacements suivants par défaut :

Windows : C:\cygwin64\home\<votre_nom_utilisateur>

macOS : /Users/<votre_nom_utilisateur>

Si vous envisagez d’installer l’outil User Sync sur votre ordinateur, assurez-vous qu’il répond aux exigences suivantes :

  • Dispose d’un accès à Internet, et à votre service d’annuaire tel que LDAP ou AD.
  • Est protégé et sécurisé (vos identifiants d’administrateur y seront stockés ou lus).
  • Reste en ligne, est fiable et dispose d’une capacité de sauvegarde et de récupération.
  • Peut envoyer des e-mails afin que l’outil User Sync puisse envoyer des rapports aux administrateurs.
  • S’il s’agit d’un ordinateur Windows, il dispose d’un processeur 64 bits.

Autrement, consultez votre service informatique pour identifier un serveur de ce type et obtenir les droits d’accès associés.

Assurez-vous d’avoir déposé le domaine pour votre organisation, et que les profils de produit et groupes d’utilisateurs sont créés dans le portail Adobe Admin Console.

Configuration du serveur

Pour configurer une intégration adobe.io, procédez comme suit :

  1. Connectez-vous à la console Adobe I/O, sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Nouvelle intégration.

    Nouvelle intégration
  2. Dans l’assistant Créer une nouvelle intégration, sélectionnez Accéder à une API et cliquez sur Continuer.

    Screenshot_3
  3. Sous Adobe Services, sélectionnez API User Management, puis cliquez sur Continuer. Dans l’écran qui s’affiche, cliquez à nouveau sur Continuer.

    Untitled-2
  4. Entrez un nom et une description pour l’intégration, puis téléchargez le fichier de certificat de clé publique. Cliquez sur Créer l’intégration.

    L’intégration est créée.

    Créer l’intégration
  5. Pour afficher les détails de l’intégration, cliquez sur Continuer vers les détails de l’intégration.

    Détails de l’intégration

Ces détails d’intégration sont nécessaires pour configurer les fichiers de l’outil User Sync ultérieurement.

  1. Créez un fichier appelé user_sync_tool dans un emplacement sur le disque dans lequel les utilisateurs possédant les droits requis peuvent accéder à son contenu.

  2. Accédez à GitHub et localisez la balise Dernière version.

    Dans cette version, localisez et agrandissez les Actifs. Ensuite, localisez et téléchargez :

    • Le fichier examples.zip
    • Le fichier .zip de l’outil User Sync dans la liste correspondant à votre type de système d’exploitation et à votre version de Python

    Remarque :

    Le nom de l’archive contient le type de système d’exploitation sur lequel elle fonctionne, mais aussi la version de Python avec laquelle elle a été créée. Par exemple, user-sync-vX.Y-win64-py368.zip est une version Windows, créée avec Python 3.6.8 (64 bits). 
    Si aucune version de Python n’est installée sur le système, essayez d’associer/d’installer celle avec laquelle l’outil a été créé.

  3. Décompressez examples.zip, accédez à config files - basic et copiez ces fichiers vers user_sync_tool folder: connector-ldap.yml, connector-umapi.yml et user-sync-config.yml.

  4. Extrayez le fichier user-sync.pex de l’autre archive et placez-le dans le même dossier user_sync_tool.

  5. Localisez la clé privée fournie avec le certificat public et déplacez-la vers le même dossier user_sync_tool. La liste complète des fichiers devient à présent :

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.pex
    • user-sync-config.yml

  1. Passons à l’installation de Python 3.6.8 (téléchargez le programme d’installation Windows x86-64 et exécutez-le).

  2. Cochez la case Ajouter Python 3.6 à PATH et sélectionnez Personnaliser l’installation.

    Installer Python
  3. Dans l’écran Fonctionnalités supplémentaires, cliquez sur Suivant. Dans l’écran Options avancées, sélectionnez la case à cocher Installer pour tous les utilisateurs et cliquez sur Installer.

    Installer Python
  4. Une fois l’installation terminée, si vous voyez une option permettant de désactiver la limite de longueur de chemin, sélectionnez-la avant de fermer la fenêtre d’installation.

  5. Ouvrez l’invite de commande et exécutez la commande suivante :

    python --version

    Si Python est correctement ajouté à PATH, la ligne de commande ci-dessus retourne la version. Dans le cas contraire, elle retourne une erreur.

Configuration de l’outil User Sync

  1. Modifiez le fichier connector-ldap.yml avec un éditeur de texte spécialisé.

  2. Entrez le nom d’utilisateur, le mot de passe, l’hôte et les valeurs du nom de domaine de base.

    Fichier de configuration d’accès à l’annuaire
  3. Définissez la valeur search_page_size sur 200.

  4. La plupart du temps, les filtres par défaut font l’affaire. Si vous avez besoin d’une requête LDAP personnalisée pour extraire un ensemble d’utilisateurs, modifiez le paramètre de configuration all_users_filter.

  5. Vérifiez le reste des paramètres non commentés et l’attribut LDAP vers lequel ils pointent. Modifiez-les selon vos besoins.

    Certains déploiements possèdent des configurations d’identifiant de type nom d’utilisateur (le champ Nom d’utilisateur dans Admin Console pour un utilisateur donné n’est pas une valeur de type e-mail). 

    Dans ce cas, activez également la ligne suivante (supprimez le caractère #) :
    user_username_format: {sAMAccountName}

    Remplacez l’attribut sAMAccountName par le bon attribut s’il ne s’agit pas de celui que vous devez utiliser.

  1. Modifiez le fichier connector-umapi.yml. Ce fichier contient les informations d’accès à votre organisation Adobe.

  2. Entrez les informations suivantes issues de l’intégration adobe.io créée antérieurement :

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Vérifiez que priv_key_path contient le nom exact de la clé privée se trouvant dans le dossier user_sync_tool. 
    Si une clé privée se trouve dans le même dossier avec le reste des fichiers UST, priv_key_path peut uniquement contenir le nom du fichier ; il fonctionne comme un chemin relatif.

    Identifiants Adobe UMAPI

Si votre annuaire ne répertorie pas un pays pour chaque utilisateur, vous pouvez définir un pays par défaut.

  1. Modifiez le fichier user-sync-config.yml.

  2. Supprimez le symbole # de la ligne code pays par défaut et entrez le code pays approprié. Par exemple :

    default_country_code: US

    Remarque :

    Un code pays est obligatoire pour les Federated ID et recommandé pour les Enterprise ID. S’il n’est pas fourni pour un Enterprise ID, l’utilisateur sera invité à choisir un pays lors de sa première connexion.

Cette section définit quels groupes de LDAP doivent posséder un groupe d’utilisateurs ou un PLC correspondant dans Admin Console.

Nous cherchons ici à donner à l’outil une source de groupes/utilisateurs afin qu’il puisse faire correspondre les mêmes membres dans les groupes latéraux/PLC dans Admin Console.

  1. Modifiez le mappage de groupes dans le fichier user-sync-config.yml

  2. Pour chaque groupe d’annuaire qui doit être mappé à un profil de produit Adobe ou à un groupe d’utilisateurs, ajoutez une entrée dans la section groupes. Par exemple :

    groups:
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here

    Remarque :

    Le mappage de groupe peut être réalisé à l’aide de groupes d’utilisateurs ou de profils de produit Adobe, et non par rapport aux noms de produit. Vous pouvez également mapper un groupe d’annuaire sur plusieurs groupes d’utilisateurs ou profils de produit Adobe.

Pour éviter la suppression accidentelle d’un compte en cas de problème de mauvaise configuration ou autre, vous pouvez décider d’un nombre maximal de suppressions de comptes que vous prévoyez lors de la synchronisation quotidienne.

  1. Pour modifier la limite, recherchez max_adobe_only_users dans le fichier user-sync-config.yml.

  2. Si vous pensez que le nombre de suppressions de comptes sera supérieur à la valeur max_adobe_only_users définie entre deux exécutions de User Sync, augmentez la valeur afin qu’elle couvre toutes les suppressions de compte.

    Remarque :

    Si le nombre de comptes à supprimer est supérieur à la valeur max_adobe_only_users, l’outil ne traite aucune suppression de compte. Une entrée critique apparaît dans le journal pour annoncer que cette limite a été atteinte.

    Cette limite n’affecte pas les actions de création.

Il peut arriver que certains comptes doivent être exclus de la synchronisation. Cela peut être effectué en modifiant le fichier user-sync-config.yml.
L’outil propose trois fonctionnalités d’exclusion : par type d’identité, par nom de groupe et par expression régulière.
Tout compte trouvé dans Admin Console et possédant au moins l’un des critères mentionnés est protégé contre les actions de suppression (du groupe, de l’organisation).

Une bonne pratique consiste à posséder des Adobe ID pour les administrateurs système dans Admin Console et à les exclure via la commande exclude_identity_types: adobeID

Voici un exemple :

adobe_users :
  exclude_identity_types :
    - adobeID           # adobeID, enterpriseID ou federatedID
  exclude_adobe_groups :
    - adobe_group_name  # ces membres ne doivent pas être supprimés par User Sync
    - other_group_name  # vous pouvez exclure plusieurs groupes
  exclude_users :
    - ".*@example.com"
    - important_user@domain.com

L’outil User Sync produit des entrées de journal qui sont imprimées dans un format standard et écrites dans un fichier journal. L’ensemble de consignation des paramètres de configuration contrôle l’emplacement et la quantité des informations générées en sortie.

  1. Pour activer ou désactiver la consignation dans le journal, modifiez la valeur log_to_file dans le fichier user-sync-config.yml.

  2. Passez en revue les paramètres des journaux et apportez les modifications souhaitées. Pour la configuration initiale, il est recommandé d’utiliser 
    log_to_file: True 
    file_log_level: debug

Si vous disposez d’un serveur Windows, vous pouvez également utiliser l’assistant de configuration de l’outil User Sync pour configurer l’outil User Sync.

L’assistant de configuration de l’outil User Sync est un utilitaire graphique qui vous aide à configurer facilement l’outil avec les paramètres d’API User Management (Adobe.io), d’Enterprise Directory (LDAP) et de synchronisation. Il fournit une aide contextuelle et des liens vers la documentation de l’outil User Sync. Pour plus d’informations, consultez la section Assistant de configuration de l’outil Adobe User Sync.

Déploiement et automatisation

Maintenant que l’outil User Sync est configuré sur votre serveur ou votre ordinateur, vous pouvez vérifier s’il fonctionne comme prévu. Pour résoudre les problèmes courants lors de l’exécution de l’outil User Sync, consultez les conseils pour résoudre les erreurs courantes.

  1. Ouvrez l’invite de commande.
  2. A l’aide de la commande suivante, accédez au dossier user_sync_tool.

    cd path/to/user_sync_tool
  3. Pour vérifier que votre configuration est terminée, exécutez les commandes suivantes :

    Pour Windows :

    python user-sync.pex -v
    python user-sync.pex -h

    Pour UNIX :

    ./user-sync –v
    ./user-sync –h

    -v indique la version, -h fournit une aide sur les arguments en ligne de commande.

  4. En mode test, exécutez une synchronisation limitée aux groupes mappés nommés dans le fichier de configuration, en excluant les comptes latéraux Adobe existants.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    La commande ci-dessus synchronise uniquement les utilisateurs du groupe mappé spécifié dans user-sync-config.yml. Si les utilisateurs n’existent pas dans le portail Admin Console, il en résulte une tentative de création des utilisateurs et de leur ajout à tous les groupes mappés à partir de leurs groupes d’annuaire.

    L’exécution de la commande user-sync en mode test (-t), tente uniquement de créer l’utilisateur, sans le créer réellement. L’option --adobe-only-user-action exclude empêche de supprimer un compte d’utilisateur existant dans l’organisation Adobe.

  5. Bien que l’option invocation_defaults définisse les arguments par défaut avec lesquels l’outil s’exécute, vous pouvez les remplacer en les mentionnant dans la ligne de commande. En mode test, exécutez une synchronisation limitée aux groupes mappés dans le fichier de configuration, en supprimant les comptes supplémentaires trouvés dans les systèmes Adobe, et non dans l’extraction LDAP.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    exécutez une simulation, et non une véritable synchronisation, et voyez ce qui pourrait arriver.

    --users-mapped

    extrayez de LDAP les utilisateurs qui sont des résultats à la fois de all_user_filter et membres des noms directory_group fournis dans le fichier de configuration.

    --process-groups

    ajoutez/supprimez des utilisateurs aux/des groupes d’utilisateurs latéraux ou PLC Adobe, selon que le compte est ou non membre des groupes mappés LDAP.

    --adobe-only-user-action remove

    tout compte trouvé sur le système Adobe est supprimé du menu Utilisateurs et les droits sont retirés s’il n’a pas été trouvé dans l’extraction LDAP et n’a pas été exclu de la synchronisation.

    Pour en savoir plus sur les paramètres de commande, cliquez ici.

    Pour en savoir plus sur certains des autres scénarios d’utilisation, cliquez ici.

Si tous les tests fonctionnent comme prévu, vous êtes prêt à effectuer une exécution complète (sans l’indicateur test-mode).

Remarque :

  • Les lignes de commande fournies sont juste des exemples et pourraient ne pas couvrir l’ensemble des cas d’utilisation.
  • La synchronisation initiale peut prendre de quelques secondes à plusieurs heures, en fonction du nombre de comptes à synchroniser. Environ 250 utilisateurs sont créés toutes les 1,5-2 minutes (en comptant le délai d’attente).
  • Selon le code d’avertissement du délai d’attente UMAPI, 429 messages sont attendus. L’outil gère le mécanisme de nouvel essai.

L’outil User Sync peut être exécuté manuellement. Vous pouvez également configurer l’automatisation de manière à ce qu’elle s’exécute automatiquement une à plusieurs fois par jour.

Remarque :

Si vous disposez d’un système d’analyse de journaux et d’alerte, faites en sorte que le journal de l’outil User Sync soit envoyé à ce système. Configurez ensuite des alertes si des erreurs ou des messages critiques apparaissent dans le journal.

  1. Pour effectuer une analyse de façon à extraire les entrées de journal appropriées pour un résumé, créez un fichier de commandes dans le dossier user_sync_tool avec l’appel de user-sync transmis. Par exemple, créez un fichier run_sync.bat avec un contenu tel que :

    cd path/to/user-sync-folder
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Éventuellement, configurez un outil de ligne de commande de messagerie.

    Il n’existe pas d’outil de ligne de commande de messagerie standard dans Windows, mais plusieurs d’entre eux sont disponibles dans le commerce, vous permettant ainsi de renseigner vos options de ligne de commande spécifiques.

  3. Configurez le planificateur de tâches Windows pour exécuter l’outil User Sync.

    Par exemple, le code ci-dessous exécute l’outil User Sync tous les jours à partir de 16h00 :

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne