Dit document leidt u door de installatie van de tool Gebruikerssynchronisatie waarmee gebruikersbeheer wordt geautomatiseerd.

De tool Gebruikerssynchronisatie is een opdrachtregelprogramma dat gegevens over gebruikers en groepen uit het directorysysteem van uw organisatie (zoals Active Directory of een ander LDAP-systeem) verplaatst naar de directory van uw organisatie in de Adobe Admin Console. Telkens wanneer u de tool Gebruikerssynchronisatie uitvoert, wordt gezocht naar verschillen in de gegevens over gebruikers en groepen tussen de twee systemen en wordt de Adobe-directory bijgewerkt, zodat deze overeenkomt met de informatie in uw eigen directory.

Dit document biedt stapsgewijze instructies voor het koppelen van een Active Directory-systeem aan de Adobe Admin Console. Dit is een van de populairste combinaties die onze klanten in het primair en voortgezet onderwijs en in het MKB gebruiken. De tool Gebruikerssynchronisatie is flexibel en kan worden gebruikt om een koppeling te maken met de meeste LDAP- en directorysystemen. Als u een ander directorysysteem dan Active Directory gebruikt, zijn de instructies in dit document niet rechtstreeks van toepassing. Breng waar nodig wijzigingen aan. Raadpleeg de Setup and Success Guide voor meer informatie.

Voordat u begint

Active Directory-gegevens ophalen

U hebt de volgende gegevens over uw Active Directory-systeem (of LDAP-systeem) nodig.  Neem contact op met uw IT-beheerder als u deze gegevens niet hebt.

  • Host- en poortgegevens voor de server waarop het systeem wordt uitgevoerd.
  • Gebruikersnaam en wachtwoord.
  • Basis-DN. Dit is het punt vanaf waar de server naar gebruikers zoekt.
  • Daarnaast hebt u mogelijk ook een LDAP-query nodig die de set gebruikers selecteert die met Adobe moet worden gesynchroniseerd.
Active Directory

Een digitaal certificaat ophalen

Als u API-oproepen wilt ondertekenen, hebt u een digitaal certificaat nodig. Als u dit certificaat niet hebt, neemt u contact op met uw IT-beheerder voor instructies.

Tips voor certificaten:

  • Het certificaat moet een certificaatbestand met een openbare sleutel en een bestand met een persoonlijke sleutel bevatten.
  • CRT-indeling (X.509 met base-64-codering)
  • De bestandsnaam moet de extensie .crt hebben (niet .pem, .cer of .cert)
  • SHA-2
  • Het certificaat moet een indeling met meerdere regels hebben (één regel werkt niet)
  • Moet minimaal drie jaar meegaan (besparing op onderhoud gedurende deze levensduur zonder dat dit ten koste gaat van de veiligheid)

Een zelfondertekend certificaat maken

Om het systeem te testen en in te stellen kunt u ook een zelfondertekend certificaat gebruiken. U kunt certificaten maken in Windows met Cygwin, dat openssl omvat. In Mac OS kunt u het ingebouwde opdrachtregelprogramma openssl gebruiken. U maakt als volgt een certificaat:

  1. Als u Windows gebruikt, installeert en opent u Cygwin. Op macOS opent u Terminal.
  2. Voer de volgende opdracht uit:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitaal certificaat
  3. Nadat de persoonlijke sleutel is gegenereerd, wordt u gevraagd aanvullende informatie in te voeren om een ​​onderscheidende naam voor de openbare sleutel te maken. U kunt standaardwaarden accepteren of een relevante waarde invoeren. Als u het ​​veld leeg wilt laten, voert u '.' (een punt) in.

    Digitaal certificaat

Het certificaatbestand met de openbare sleutel en het bestand met de persoonlijke sleutel worden standaard opgeslagen op de volgende locaties:

Windows: C:\cygwin64\home\<uw_gebruikersnaam>

macOS: /Gebruikers/<uw_gebruikersnaam>

Een server identificeren

Als u van plan bent gebruikerssynchronisatie op uw computer te installeren, moet u ervoor zorgen dat deze aan de volgende vereisten voldoet:

  • Heeft toegang tot internet en uw directoryservice, zoals LDAP of AD.
  • Is veilig en beveiligd (uw beheerdersreferenties worden daar opgeslagen of geopend).
  • Blijft aanstaan, is betrouwbaar en heeft back-up- en herstelvoorzieningen.
  • Kan e-mails verzenden, zodat Gebruikerssynchronisatie rapporten naar beheerders kan verzenden.
  • Als het een Windows-computer is, moet deze een 64-bits processor hebben.

Werk anders samen met uw IT-afdeling om een geschikte server te vinden en er toegang toe te krijgen.

De Adobe Admin Console configureren

Zorg dat u het domein hebt geclaimd voor uw organisatie en dat de productprofielen en gebruikersgroepen zijn gemaakt in de Adobe Admin Console.

De server instellen

Integratie met Adobe I/O maken

Ga als volgt te werk om een ​​adobe.io-integratie in te stellen:

  1. Meld u aan bij de Adobe I/O-console, selecteer uw organisatie in de vervolgkeuzelijst en klik op New Integration.

    Nieuwe integratie
  2. Selecteer in de wizard Create a new integration de optie Access an API en klik op Continue.

    Screenshot_3
  3. Selecteer User Management API onder Adobe Services en klik op Continue. Klik in het volgende scherm nogmaals op Continue.

    Untitled-2
  4. Voer een naam en een beschrijving in voor de integratie en upload het certificaatbestand met de openbare sleutel. Klik op Create integration.

    De integratie wordt gemaakt.

    Integratie maken
  5. Als u de details van de integratie wilt bekijken, klikt u op Continue to Integration Details.

    Details van integratie

Deze details zijn vereist om later de bestanden voor gebruikerssynchronisatie te kunnen configureren.

De tool Gebruikerssynchronisatie installeren

  1. Maak een map met de naam user_sync_tool op de volgende locatie op uw computer of server:

    Windows: C:\Gebruikers\<uw_gebruikersnaam>\

    macOS: /home/<uw_gebruikersnaam>/

  2. Ga naar GitHub, selecteer releases en download de volgende bestanden:

    • example-configurations.tar.gz
    • Gebruikerssynchronisatie voor het platform en de versie van python die u gebruikt.
  3. Pak het bestand user-sync.pex uit het archief uit en plaats het in de map user_sync_tool die u hebt gemaakt.

  4. Navigeer in example-configurations.tar.gz naar config files - basic, pak de eerste drie bestanden uit en plaats ze in de map user_sync_tool.

  5. Wijzig de naam van de drie bestanden en verwijder de cijfers uit de namen. U hebt nu de volgende bestanden in de map user_sync_tool:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Het pad voor Python instellen (alleen Windows)

  1. Installeer Python versie 3.6.2 of hoger (64 bits).

  2. Schakel het selectievakje Add Python 3.6 to PATH in, noteer het installatiepad en klik op Install Now.

    Python installeren
  3. Open de opdrachtprompt en voer de volgende opdracht uit:

    python

    De opdracht moet de geïnstalleerde versie van Python retourneren.

Gebruikerssynchronisatie configureren

Directorytoegang configureren

  1. Bewerk het bestand connector-ldap.yml. Dit bestand bevat toegangsgegevens voor het directorysysteem.

  2. Voer waarden in voor de gebruikersnaam, het wachtwoord, de host en base_dn.

    Configuratiebestand voor directorytoegang
  3. Stel search_page_size in op 0.

    Als u een niet-standaard LDAP-query nodig hebt om de gewenste set gebruikers te selecteren, wordt deze in dit bestand ingesteld als onderdeel van de configuratieparameter all_users_filter.

Adobe UMAPI-referenties configureren

  1. Bewerk connector-umapi.yml. Dit bestand bevat toegangsgegevens voor uw Adobe-organisatie.

  2. Voer de volgende gegevens in van de adobe.io-integratie die u eerder hebt gemaakt:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Plaats het bestand met de persoonlijke sleutel in de map user_sync_tool. Het item voor het configuratiebestand priv_key_path wordt ingesteld op de naam van dit bestand.

    Adobe UMAPI-referenties

Een standaardlandcode definiëren

Als uw directory geen land voor elke gebruiker vermeldt, kunt u een standaardland instellen.

  1. Bewerk het bestand user-sync-config.yml.

  2. Verwijder # uit de regel default country code en voer de juiste landcode in. Bijvoorbeeld:

    default_country_code: US

    Opmerking:

    Een landcode is vereist voor Federated ID's en wordt aanbevolen voor Enterprise ID's. Als er geen land is opgegeven voor Enterprise ID's, wordt de gebruiker gevraagd een ​​land te kiezen wanneer deze zich voor het eerst aanmeldt.

Groepstoewijzing

U kunt gebruikersaccounts inrichten door ze toe te voegen aan een ondernemingsdirectorygroep met behulp van LDAP/AD-tools in plaats van de Adobe Admin Console. Vervolgens definieert het configuratiebestand een toewijzing van directorygroepen aan Adobe-productprofielen of -gebruikersgroepen.

Als een gebruiker lid is van een directorygroep, voegt gebruikerssynchronisatie de gebruiker toe aan de overeenkomstige gebruikersgroep in de Adobe Admin Console. Als een gebruiker lid is van een gebruikersgroep, maar niet van de directorygroep, verwijdert gebruikerssynchronisatie de gebruiker uit de gebruikersgroep.

  1. Bewerk group mapping in het bestand user-sync-config.yml.

  2. Voor elke directorygroep die moet worden toegewezen aan een Adobe-productprofiel of -gebruikersgroep, voegt u een ingang toe na groups. Bijvoorbeeld:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Opmerking:

    Groepstoewijzing kan gebeuren via Adobe-gebruikersgroepen of -productprofielen, niet via productnamen. En u kunt één directorygroep toewijzen aan meer dan één Adobe-gebruikersgroep of -productprofiel.

Limieten voor het aantal niet-overeenkomende gebruikers

Om te voorkomen dat een account per ongeluk wordt verwijderd als er een verkeerde configuratie of een ander probleem is, geldt er een limiet voor het verwijderen van accounts.

  1. Als u deze limiet wilt wijzigen, bewerkt u limits in het bestand user-sync-config.yml.

  2. Als u verwacht dat het aantal directorygebruikers met meer dan 200 afneemt wanneer u gebruikerssynchronisatie uitvoert, verhoogt u de waarde voor max_adobe_only_users.

    Opmerking:

    Als het aantal verwijderde accounts groter is dan het aantal dat is gedefinieerd in max_adobe_only_users, worden de updates afgebroken.

Beveiligen tegen verwijderen

Als u accounts wilt maken en verwijderen via Gebruikerssynchronisatie, maar ook handmatig enkele accounts wilt maken, gebruikt u deze functie om te voorkomen dat Gebruikerssynchronisatie uw handmatig gemaakte accounts verwijdert.

  1. Voer configuratie-items die u wilt uitsluiten, in het bestand user-sync-config.yml in.

    exclude_groups

    Definieert een lijst met Adobe-gebruikersgroepen, -productprofielen of beide. Adobe-gebruikers die lid zijn van de vermelde groepen, worden niet verwijderd of bijgewerkt en hun groepslidmaatschap wordt niet gewijzigd.

    exclude_users

    Biedt een lijst met patronen. Adobe-gebruikers met gebruikersnamen (standaard niet hoofdlettergevoelig, tenzij het patroon aangeeft dat namen hoofdlettergevoelig zijn) die overeenkomen met een van de opgegeven patronen, worden niet verwijderd of bijgewerkt en hun groepslidmaatschap wordt niet gewijzigd.

    exclude_identity_types

    Biedt een lijst met identiteitstypen. Adobe-gebruikers die een van deze identiteitstypen hebben, worden niet verwijderd of bijgewerkt en hun groepslidmaatschap wordt niet gewijzigd.

  2. Als u wilt voorkomen dat gebruikers in de Admin Console worden bijgewerkt, maakt u een gebruikersgroep en plaatst u de beveiligde gebruikers in die groep. Vervolgens geeft u aan dat die groep is uitgesloten van Gebruikerssynchronisatie. U kunt ook specifieke gebruikers selecteren of een patroon opgeven dat overeenkomt met specifieke gebruikersnamen om die gebruikers te beschermen. U kunt gebruikers ook beschermen op basis van hun identiteitstype.

    Bijvoorbeeld:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    In het bovenstaande voorbeeld zijn beheerders (administrators), contractanten (contractors) en de genoemde gebruikersnamen uitgesloten. Gebruik de namen van Adobe-gebruikersgroepen, -productprofielen of -gebruikers die u hebt gemaakt.

Logbestanden maken

Gebruikerssynchronisatie creëert logboekvermeldingen die naar de standaarduitvoer worden verzonden en ook worden weggeschreven in een logbestand. De configuratie-instellingen bepalen waar en hoeveel logboekgegevens worden uitgevoerd.

  1. Als u het logbestand wilt in- of uitschakelen, bewerkt u de waarde log_to_file in het bestand user-sync-config.yml.

    Berichten kunnen een van de vijf niveaus van belang hebben en u kunt het laagste niveau kiezen dat wordt opgenomen in zowel het bestandslogboek als het standaarduitvoerlogboek voor de console. Bij de standaardinstellingen wordt het bestandslogboek gemaakt en worden berichten van het niveau 'info' of hoger (de aanbevolen instelling) toegevoegd.

  2. Controleer de instellingen voor logbestanden en breng de gewenste wijzigingen aan. Het aanbevolen logniveau is info (de standaardinstelling).

Configureren met de configuratiewizard voor de tool Gebruikerssynchronisatie (alleen Windows)

Als u een Windows-server hebt, kunt u ook de configuratiewizard voor de tool Gebruikerssynchronisatie gebruiken om Gebruikerssynchronisatie te configureren.

De configuratiewizard voor de tool Gebruikerssynchronisatie is een hulpprogramma met een grafische interface waarmee u de tool Gebruikerssynchronisatie eenvoudig kunt configureren met behulp van de API voor gebruikersbeheer (Adobe.io), Enterprise Directory (LDAP) en synchronisatie-instellingen. De wizard biedt contextgebaseerde hulp en koppelingen naar documentatie over de tool Gebruikerssynchronisatie. Zie Configuratiewizard voor de Adobe-tool Gebruikerssynchronisatie voor meer informatie.

Distribueren en automatiseren

Configuratie controleren

Nu de tool Gebruikerssynchronisatie is ingesteld op uw server of computer, kunt u controleren of deze naar verwachting werkt.

  1. Open de opdrachtprompt.
  2. Gebruik de volgende opdracht om naar de map user_sync_tool te navigeren.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Gebruik de volgende opdrachten om Gebruikerssynchronisatie te starten:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Als u bijvoorbeeld wilt controleren of uw configuratie is voltooid, voert u de volgende opdrachten uit:

    Voor Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    Voor UNIX:

    ./user-sync –v
    ./user-sync –h

    -v vermeldt de versie, -h biedt hulp bij opdrachtregelargumenten.

  4. Voer in de testmodus een synchronisatie uit die is beperkt tot een toegewezen groep in uw directory.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    De bovenstaande opdracht synchroniseert alleen de gebruikers in de toegewezen groep die is opgegeven in het bestand user-sync-config.yml. Als de gebruikers niet bestaan ​​in de Admin Console, wordt geprobeerd de gebruikers te maken en toe te voegen aan groepen die zijn toegewezen vanuit hun directorygroepen.

    Als u gebruikerssynchronisatie uitvoert in de testmodus (-t), wordt alleen geprobeerd of de gebruiker kan worden gemaakt en wordt deze niet daadwerkelijk gemaakt. De optie --adobe-only-user-action exclude voorkomt updates in gebruikersaccounts die al bestaan ​​in de Adobe-organisatie.

  5. Voer de synchronisatie uit zonder de testmodus, zodat de gebruiker wordt gemaakt en aan de toegewezen groepen wordt toegevoegd.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Controleer in de Adobe Admin Console of de gebruiker wordt weergegeven en of de groepslidmaatschappen zijn toegevoegd.

  7. Voer dezelfde opdracht nogmaals uit. Gebruikerssynchronisatie mag niet opnieuw proberen de gebruiker te maken en aan groepen toe te voegen. De tool moet vaststellen dat de gebruiker bestaat en lid is van de gebruikersgroep of het productprofiel en niets doen.

Als alle tests volgens verwachting verlopen, bent u klaar om een ​​volledige run uit te voeren (zonder gebruikersfilter).

Opmerking:

Als uw directory meer dan enkele honderden gebruikers bevat, kan het een paar uur duren om de gebruikers te synchroniseren met de Adobe Admin Console.

Bewaking en planning

Gebruikerssynchronisatie kan handmatig worden uitgevoerd, maar u kunt dit ook automatiseren, zodat het een of enkele malen per dag wordt uitgevoerd.

Opmerking:

Als u een logboeksysteem voor analyse en waarschuwingen gebruikt, moet u ervoor zorgen dat het logbestand van Gebruikerssynchronisatie naar het logboekanalysesysteem wordt verzonden. Stel ook waarschuwingen in voor fouten of kritieke berichten die in het logboek worden weergegeven.

  1. Als u relevante logboekvermeldingen voor een samenvatting wilt verzamelen, maakt u een batchbestand in de map user_sync_tool waarbij gebruikerssynchronisatie wordt aangeroepen en wordt doorgestuurd naar een scan. Maak bijvoorbeeld het bestand run_sync.bat met de volgende inhoud:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. U kunt ook een opdrachtregelprogramma voor e-mail instellen.

    Windows biedt geen standaard opdrachtregelprogramma voor e-mail, maar er zijn verschillende tools in de handel verkrijgbaar, waarin u uw specifieke opdrachtregelopties kunt invoeren.

  3. Stel Windows-taakplanner in om de tool Gebruikerssynchronisatie uit te voeren.

    De onderstaande code voert de tool Gebruikerssynchronisatie bijvoorbeeld elke dag om 16:00 uur uit:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Voer een opdracht uit in de testmodus om te controleren of de geplande taken werken.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid