Este documento tem como objetivo instruí-lo na instalação da ferramenta User Sync para automatizar o processo de gerenciamento de usuários.

A ferramenta User Sync tool é um utilitário de linha de comando que migra as informações de usuários e grupos do seus sistemas de diretório corporativo (como Active Directory ou outro sistema LDAP) para o diretório da sua organização no Adobe Admin Console. Sempre que você executa a ferramenta User Sync, ela procura as diferenças entre as informações de usuários e grupos nos dois sistemas e atualiza o diretório da Adobe para corresponder às informações do seu diretório.

Este documento fornece instruções passo a passo para integrar um sistema Active Directory com o Adobe Admin Console. Essa é uma das combinações mais populares que nossos clientes de instituições de ensino fundamental e médio e pequenas empresas usam. A ferramenta User Sync é flexível e pode ser usada para integrar a maioria dos sistemas LDAP e de diretórios. Se você estiver usando um sistema de diretórios diferente do Active Directory, as instruções neste documento não se aplicam diretamente; faça modificações conforme necessário. Para obter mais informações, consulte o Guia de configuração e sucesso.

Antes de começar

Obter informações do Active Directory

Você precisará das seguintes informações sobre o sistema Active Directory (ou LDAP). Caso não tenha essas informações, fale com seu administrador de TI.

  • Informações de host e porta do servidor no qual o sistema está sendo executado.
  • Nome de usuário e senha.
  • Base DN, que é o ponto no qual o servidor procura os usuários.
  • Além disso, você pode exigir uma consulta LDAP que seleciona o conjunto de usuários para serem sincronizados com a Adobe.
Active Directory

Obter um certificado digital

Para assinar chamadas API, você precisa de um certificado digital. Se você não tiver o certificado, entre em contato com o administrador de TI para obter instruções.

Dicas de certificado:

  • O certificado deve incluir um arquivo de certificado de chave pública e um arquivo de chave privada 
  • No formato CRT (X.509 codificado na base 64)
  • Nomeado com a extensão de arquivo .crt (não .pem, .cer ou .cert)
  • SHA-2
  • Formato de várias linhas (falha com linha única)
  • Deve ter uma duração mínima de três anos (economiza em manutenção ao longo da vida e não compromete a segurança)

Criar um certificado autoassinado

Para testar e configurar, você também pode usar um certificado autoassinado. Você pode criar certificados em Windows com o Cygwin, que inclui openssl. No Mac OS, use a ferramenta de linha de comando integrada openssl. Para criar um certificado, siga estas etapas:

  1. Se você estiver usando Windows, instale e abra Cygwin. Para macOS, abra o terminal.
  2. Execute o seguinte comando:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certificado digital
  3. Quando a geração da chave privada estiver concluída, você será solicitado a inserir informações adicionais para criar um Nome Distinto para a chave pública. Aceite os valores padrão ou insira outros mais relevantes. Para deixar um campo em branco, digite "." (um ponto final).

    Certificado digital

O arquivo de certificado de chave pública e o arquivo de chave privada são armazenados nos seguintes locais por padrão:

Windows: C:\cygwin64\home\<seu_nome_de_usuario>

macOS: /Users/<seu_nome_de_usuário>

Identifique um servidor

Se planejar instalar o User Sync no seu computador, verifique se ele atende aos seguintes requisitos:

  • Tem acesso à Internet e ao seu serviço de diretório como LDAP ou AD.
  • Está protegido e seguro (suas credenciais administrativas são armazenadas ou acessadas lá).
  • Está ativo, é confiável e tem uma política de backup e recuperação implementada.
  • Envia emails, para que o User Sync possa enviar relatórios para os administradores.
  • Se for um computador Windows, deve ter um processador de 64 bits.

Caso contrário, trabalhe com seu departamento de TI para identificar qual é o servidor e como acessá-lo.

Configurar o Adobe Admin Console

Verifique se você reivindicou o domínio para a sua organização e os Perfis de produto e os Grupos de usuários estão criados no Adobe Admin Console.

Configurar o servidor

Criar integração com Adobe I/O

Para configurar uma integração do adobe.io, faça o seguinte:

  1. Faça login no Adobe I/O Console, selecione sua organização na lista suspensa e clique em Nova integração.

    Nova integração
  2. No assistente Criar uma nova integração, selecione Acessar uma API e clique em Continuar.

    Screenshot_3
  3. Selecione API de gerenciamento de usuários em Serviços da Adobe e clique em Continuar. Na tela exibida, clique em Continuar novamente.

    Untitled-2
  4. Digite um nome e uma descrição para a integração e faça upload do arquivo de certificado de chave pública. Clique em Criar integração.

    A integração é criada.

    Criar integração
  5. Para ver os detalhes da integração, clique em Continuar para os detalhes de integração.

    Detalhes da integração

Esses detalhes de integração são necessários para configurar os arquivos do User Sync posteriormente.

Instalar a ferramenta User Sync

  1. Crie uma pasta chamada user_sync_tool no seguinte local no seu computador ou servidor:

    Windows: C:\Users\<seu_nome_de_usuario>\

    macOS: /home/<seu_nome_de_usuario>/

  2. Acesse o GitHub, selecione versões e baixe os seguintes arquivos:

    • example-configurations.tar.gz
    • User Sync da plataforma e versão do python usadas.
  3. Extraia o arquivo user-sync.pex e copie-o para a pasta user_sync_tool que você criou.

  4. No example-configurations.tar.gz, vá para config files - basic, extraia os três primeiros arquivos e copie-os na pasta user_sync_tool.

  5. Renomeie os três arquivos e remova os números dos nomes. Agora, você tem os seguintes arquivos na pasta user_sync_tool:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Definir o caminho para o Python (somente Windows)

  1. Instale o Python versão 3.6.2 ou superior (64 bit).

  2. Marque a caixa de seleção Add Python 3.6 to PATH, verifique o caminho da instalação e clique em Instalar agora.

    Instalar Python
  3. Abra o prompt de comando e execute o seguinte comando:

    python

    O comando deve retornar a versão do Python instalada.

Configurar o User Sync

Configurar o acesso ao diretório

  1. Edite o arquivo connector-ldap.yml. Esse arquivo tem informações de acesso ao sistema de diretório.

  2. Insira os valores de nome de usuário, senha, host e base_dn.

    Arquivo de configuração de acesso ao diretório
  3. Defina search_page_size para 0.

    Se você precisar de uma consulta LDAP que não seja padrão para listar o conjunto de usuários desejado, ela está configurada neste arquivo como parte do parâmetro de configuração all_users_filter.

Configurar credenciais Adobe UMAPI

  1. Edite o arquivo connector-umapi.yml. Esse arquivo contém as informações de acesso para sua organização da Adobe.

  2. Insira as seguintes informações da integração adobe.io criada anteriormente:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Copie o arquivo de chave privada na pasta user_sync_tool. O item do arquivo de configuração priv_key_path é configurado para o nome desse arquivo.

    Credenciais Adobe UMAPI

Definir um código de país padrão

Se o seu diretório não lista o país de cada usuário, defina um país padrão.

  1. Edite o arquivo user-sync-config.yml.

  2. Remova # da linha default country code e insira o código do país apropriado. Por exemplo:

    default_country_code: US

    Observação:

    Um código de país é necessário para Federated IDs e recomendado para Enterprise IDs. Se não for fornecido para Enterprise IDs, os usuários serão solicitados a escolher um país assim que fizerem logon pela primeira vez.

Mapeamento de grupo

Você pode provisionar contas de usuários adicionando-as a um grupo de diretórios corporativos usando ferramentas de LDAP/AD em vez do Adobe Admin Console. Em seguida, o arquivo de configuração define um mapeamento dos grupos de diretórios para os Perfis de produto ou Grupos de usuário da Adobe.

Se um usuário for membro de um grupo de diretórios, o user-sync adicionará o usuário ao grupo de usuários correspondente no Adobe Admin Console. Além disso, se um usuário for membro de um grupo de usuários, mas não fizer parte do grupo de diretórios, o user-sync removerá o usuário do grupo de usuários.

  1. Edite o mapeamento de grupos no arquivo user-sync-config.yml

  2. Para cada grupo de diretórios que deve ser mapeado para um perfil de produto ou grupo de usuários da Adobe, adicione uma entrada após grupos. Por exemplo:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Observação:

    O mapeamento de grupos pode ser feito usando os grupos de usuários ou os perfis de produto da Adobe e não os nomes de produto. E você pode mapear um grupo de diretórios para mais de um grupo de usuários ou perfil de produto da Adobe.

Limites de usuário sem comparação

Para evitar a exclusão acidental de uma conta no caso de erro de configuração ou outro problema, há um limite definido para exclusão de contas.

  1. Para alterar o limite, edite limits no arquivo user-sync-config.yml.

  2. Se você espera que no número de usuários do diretório reduza em mais de 200 execuções do User Sync runs, aumente o valor do max_adobe_only_users.

    Observação:

    Se o número de contas excluídas for maior que o número definido no valor max_adobe_only_users, as atualizações serão canceladas.

Proteger exclusão

Se quiser criar e remover contas por meio do User Sync e criar algumas contas manualmente, use esse recurso para evitar que o User Sync exclua as contas criadas manualmente.

  1. Insira os itens de configuração para exclusão no arquivo user-sync-config.yml.

    exclude_groups

    Ele define uma lista de grupos de usuários, perfis de produtos da Adobe ou ambos. Usuários da Adobe membros de um destes grupos listados não serão removidos ou atualizados e sua associação aos grupos não será alterada.

    exclude_users

    Dá uma lista de padrões. Usuários da Adobe com nomes de usuário correspondentes (o padrão é sem distinção entre maiúsculas e minúsculas, a menos que o padrão especifique esta distinção) a qualquer um dos padrões especificados não serão removidos ou atualizados e sua associação a um grupo não será alterada.

    exclude_identity_types

    Dá uma lista de tipos de identidade. Usuários da Adobe que tenham somente um destes tipos de identidade não serão removidos ou atualizados e sua associação aos grupos não será alterada.

  2. Para evitar que usuários no Admin Console recebam atualizações, crie um grupo de usuários e adicione os usuários protegidos a ele e, em seguida, liste esse grupo como fora do processamento do User Sync. Você também pode listar usuários específicos ou um padrão que corresponda aos nomes de usuário específicos para proteger estes usuários. Você pode proteger usuários de acordo com o tipo de identidade também.

    Por exemplo:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    No exemplo acima, administradores, fornecedores e nomes de usuários são valores de exemplo. Use os nomes de grupos de usuários ou perfis de produtos da Adobe ou usuários criados por você.

Criar logs

O User Sync produz entradas de log que são impressas no dispositivo de impressão padrão ou gravadas em um arquivo de log. O conjunto de registros das configurações controla os detalhes de quando e quantas informações de log são geradas.

  1. Para ativar ou desativar o arquivo de log, edite o valor log_to_file no arquivo user-sync-config.yml.

    As mensagens podem ter de um a cinco níveis de importância e você pode escolher o menor nível para ser incluído tanto no arquivo de log quanto para o log padrão enviado ao console. Os padrões são produzir o arquivo de log e incluir mensagens dos níveis “info” ou superiores, que é a configuração recomendada.

  2. Revise as configurações de log e faça as alterações desejadas. O nível de log recomendado é info (padrão).

Configurar usando o assistente de configuração da ferramenta User Sync (somente Windows)

Como alternativa, se tiver um servidor Windows, use o Assistente de configuração da ferramenta User Sync para configurar o User Sync.

O assistente de configuração da ferramenta User Sync é uma ferramenta com interface gráfica que ajuda a configurar com facilidade o User Sync com a API de gerenciamento de usuários (Adobe.io), o diretório corporativo (LDAP) e sincronizar as configurações. Ele fornece ajuda baseada em contexto e é vinculado à documentação do User Sync. Para saber mais informações, consulte Assistente de configuração da ferramenta Adobe User Sync.

Implantar e automatizar

Verificar a configuração

Agora que a ferramenta User Sync está configurada no servidor ou computador, é possível verificar seu funcionamento.

  1. Abra o prompt de comando.
  2. Com o seguinte comando, vá até a pasta user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Veja a seguir os comandos para iniciar o User Sync:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Por exemplo, para verificar se a configuração está completa, execute os seguintes comandos:

    No Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    No UNIX:

    ./user-sync –v
    ./user-sync –h

    -v exibe a versão, -h exibe a ajuda sobre os argumentos da linha de comando.

  4. No modo de teste, execute uma sincronização limitada a um grupo mapeado no seu diretório.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    O comando acima sincroniza apenas os usuários no grupo mapeado especificado no arquivo user-sync-config.yml. Se os usuários não existirem no Admin Console, ele tentará criar os usuários e adicioná-los aos grupos mapeados nos grupos de diretório.

    Executar a sincronização de usuários no modo de teste (-t) tenta apenas criar o usuário, mas não vai realmente fazê-lo. A opção --adobe-only-user-action exclude evita atualizações a qualquer conta de usuário que já exista na organização Adobe.

  5. Execute a sincronização sem o modo de teste, para que ela crie o usuário e adicione-o aos grupos mapeados.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Verifique no Adobe Admin Console se o usuário é exibido e as associações aos grupos são adicionadas.

  7. Execute novamente o mesmo comando. O User Sync não deve tentar recriar o usuário e adicioná-lo novamente aos grupos. Ele deve detectar que o usuário já existe e é membro de um grupo de usuário ou perfil de produto e não fazer nada.

Se todos os testes forem executados conforme o esperado, você estará pronto para a execução completa (sem o filtro de usuários).

Observação:

Se tiver mais de algumas centenas de usuários no diretório, a sincronização com o Adobe Admin Console pode demorar algumas horas.

Monitorar e agendar

O User Sync pode ser executado manualmente ou você pode configurar a execução automática uma vez ou várias vezes por dia.

Observação:

Se você tiver um sistema de análise e alerta disponível, configure o envio do log do User Sync ao sistema de análise de logs. Além disso, configure alertas para qualquer mensagem crítica ou de erro que apareça no log.

  1. Para extrair entradas de log relevantes, crie um arquivo em lote na pasta user_sync_tool para chamar o user-sync vinculado a uma varredura. Por exemplo, crie o arquivo run_sync.bat contendo:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Opcionalmente, configure uma ferramenta de linha de comando de email.

    Não existe uma ferramenta de linha de comando de email padrão no Windows, mas há outras disponíveis comercialmente, nas quais você pode preencher suas opções de linha de comando específicas.

  3. Configure o agendador de tarefas do Windows para executar a ferramenta User Sync.

    Por exemplo, o código abaixo executa a ferramenta User Sync tool diariamente às 16h:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Para garantir que as tarefas agendadas sejam executadas, execute um comando no modo de teste.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online