Ce document est destiné à vous guider lors de l’installation de l’outil User Sync afin d’automatiser le processus de gestion des utilisateurs.

L’outil User Sync est un utilitaire de ligne de commande qui transfère les informations relatives aux utilisateurs et aux groupes du système d’annuaire de votre entreprise (tel qu’Active Directory ou autres systèmes LDAP) vers l’annuaire de votre entreprise dans le portail Adobe Admin Console. Chaque fois que vous exécutez l’outil User Sync, il recherche les différences entre les données des utilisateurs et des groupes dans les deux systèmes, puis met à jour l’annuaire Adobe afin que ses informations correspondent à celles de votre annuaire.

Ce document fournit des instructions détaillées pour réaliser l’interface d’un système Active Directory avec le portail Adobe Admin Console. Il s’agit de l’une des combinaisons les plus courantes utilisées par nos clients parmi les PME et les établissements du primaire et du secondaire. La souplesse de l’outil User Sync permet de l’utiliser pour établir une interface avec la plupart des systèmes d’annuaire et LDAP. Si vous utilisez un système d’annuaire autre qu’Active Directory, les instructions contenues dans ce document ne s’appliquent pas directement. Vous pourrez y apporter des modifications, le cas échéant. Pour plus d’informations, consultez le Guide d’installation.

Informations préalables

Obtention des informations Active Directory

Vous aurez besoin des informations suivantes sur votre système Active Directory (ou LDAP). Si vous ne disposez pas de ces informations, contactez votre administrateur informatique.

  • Informations sur l’hôte et le port concernant le serveur sur lequel le système est exécuté.
  • Nom d’utilisateur et mot de passe.
  • Nom de domaine de base, qui est le point à partir duquel le serveur recherche des utilisateurs.
  • En outre, vous pouvez également avoir besoin d’une requête LDAP qui sélectionne l’ensemble des utilisateurs à synchroniser avec Adobe.
Active Directory

Obtention d’un certificat numérique

Pour signer des appels d’API, vous avez besoin d’un certificat numérique. Si vous ne possédez pas le certificat, contactez votre administrateur informatique pour obtenir des instructions.

Conseils relatifs aux certificats :

  • Le certificat doit inclure un fichier de certificat de clé publique et un fichier de clé privée. 
  • Format CRT (X.509 crypté en base 64)
  • Nommé avec une extension de nom de fichier .crt (non .pem, .cer ou .cert)
  • SHA-2
  • Format multiligne (une seule ligne échoue)
  • Doit durer au moins trois ans (il enregistre la maintenance sur cette durée de vie et n’affecte pas la sécurité)

Création d’un certificat auto-signé

Pour des besoins de test et de configuration, vous pouvez également utiliser un certificat auto-signé. Vous pouvez créer des certificats dans Windows avec Cygwin, qui inclut openssl. Dans Mac OS, vous pouvez utiliser l’outil de ligne de commande intégré openssl. Pour créer un certificat, procédez comme suit :

  1. Si vous utilisez Windows, installez et ouvrez Cygwin. Pour macOS, ouvrez le terminal.
  2. Exécutez la commande suivante :

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certificat numérique
  3. Une fois la génération de la clé privée terminée, vous êtes invité à saisir des informations supplémentaires pour créer un nom unique pour la clé publique. Vous pouvez accepter les valeurs par défaut ou saisir des valeurs appropriées. Pour laisser un champ vide, entrez « . » (un caractère de point).

    Certificat numérique

Le fichier de certificat de clé publique et le fichier de clé privée sont stockés aux emplacements suivants par défaut :

Windows : C:\cygwin64\home\<votre_nom_utilisateur>

macOS : /Users/<votre_nom_utilisateur>

Identification d’un serveur

Si vous envisagez d’installer l’outil User Sync sur votre ordinateur, assurez-vous qu’il répond aux exigences suivantes :

  • Dispose d’un accès à Internet, et à votre service d’annuaire tel que LDAP ou AD.
  • Est protégé et sécurisé (vos identifiants d’administrateur y seront stockés ou lus).
  • Reste en ligne, est fiable et dispose d’une capacité de sauvegarde et de récupération.
  • Peut envoyer des e-mails afin que l’outil User Sync puisse envoyer des rapports aux administrateurs.
  • S’il s’agit d’un ordinateur Windows, il dispose d’un processeur 64 bits.

Autrement, consultez votre service informatique pour identifier un serveur de ce type et obtenir les droits d’accès associés.

Configuration du portail Adobe Admin Console

Assurez-vous d’avoir déposé le domaine pour votre organisation, et que les profils de produit et groupes d’utilisateurs sont créés dans le portail Adobe Admin Console.

Configuration du serveur

Création d’une intégration avec Adobe I/O

Pour configurer une intégration adobe.io, procédez comme suit :

  1. Connectez-vous à la console Adobe I/O, sélectionnez votre organisation dans la liste déroulante, puis cliquez sur Nouvelle intégration.

    Nouvelle intégration
  2. Dans l’assistant Créer une nouvelle intégration, sélectionnez Accéder à une API et cliquez sur Continuer.

    Screenshot_3
  3. Sous Adobe Services, sélectionnez API User Management, puis cliquez sur Continuer. Dans l’écran qui s’affiche, cliquez à nouveau sur Continuer.

    Untitled-2
  4. Entrez un nom et une description pour l’intégration, puis téléchargez le fichier de certificat de clé publique. Cliquez sur Créer l’intégration.

    L’intégration est créée.

    Créer l’intégration
  5. Pour afficher les détails de l’intégration, cliquez sur Continuer vers les détails de l’intégration.

    Détails de l’intégration

Ces détails d’intégration sont nécessaires pour configurer les fichiers de l’outil User Sync ultérieurement.

Installation de l’outil User Sync

  1. Créez un dossier nommé user_sync_tool à l’emplacement suivant sur votre ordinateur ou serveur :

    Windows : C:\Users\<votre_nom_utilisateur>\

    macOS : /home/<votre_nom_utilisateur>/

  2. Accédez à GitHub, sélectionnez releases, puis téléchargez les fichiers suivants :

    • example-configurations.tar.gz
    • Outil User Sync pour la plate-forme et la version de python que vous utilisez.
  3. Extrayez le fichier user-sync.pex de l’archive et placez-le dans le dossier user_sync_tool que vous avez créé.

  4. Dans l’archive example-configurations.tar.gz, naviguez vers config files - basic, extrayez les trois premiers fichiers et placez-les dans le dossier user_sync_tool.

  5. Renommez les trois fichiers et supprimez les nombres des noms. Vous avez donc maintenant les fichiers suivants dans le dossier user_sync_tool :

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Définition du chemin pour Python (Windows uniquement)

  1. Installez la version 3.6.2 ou ultérieure de Python (64 bits).

  2. Cochez la case Ajouter Python 3.6 à PATH, notez le chemin d’installation, puis cliquez sur Installer maintenant.

    Installer Python
  3. Ouvrez l’invite de commande et exécutez la commande suivante :

    python

    La commande doit renvoyer la version installée de Python.

Configuration de l’outil User Sync

Configuration de l’accès à l’annuaire

  1. Modifiez le fichier connector-ldap.yml. Celui-ci contient les informations d’accès au système d’annuaire.

  2. Entrez le nom d’utilisateur, le mot de passe, l’hôte et les valeurs du nom de domaine de base.

    Fichier de configuration d’accès à l’annuaire
  3. Définissez la valeur search_page_size sur 0.

    Si vous avez besoin d’une requête LDAP différente de celle par défaut pour sélectionner l’ensemble d’utilisateurs souhaité, celle-ci est définie dans ce fichier au niveau du paramètre de configuration all_users_filter.

Configuration des identifiants Adobe UMAPI

  1. Modifiez le fichier connector-umapi.yml. Ce fichier contient les informations d’accès à votre organisation Adobe.

  2. Entrez les informations suivantes issues de l’intégration adobe.io créée antérieurement :

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Placez le fichier de clé privée dans le dossier user_sync_tool. L’élément de fichier de configuration priv_key_path est ensuite défini sur le nom de ce fichier.

    Identifiants Adobe UMAPI

Définition d’un code pays par défaut

Si votre annuaire ne répertorie pas un pays pour chaque utilisateur, vous pouvez définir un pays par défaut.

  1. Modifiez le fichier user-sync-config.yml.

  2. Supprimez le symbole # de la ligne code pays par défaut et entrez le code pays approprié. Par exemple :

    default_country_code: US

    Remarque :

    Un code pays est obligatoire pour les Federated ID et recommandé pour les Enterprise ID. S’il n’est pas fourni pour un Enterprise ID, l’utilisateur sera invité à choisir un pays lors de sa première connexion.

Mappage de groupe

Vous pouvez mettre en service les comptes d’utilisateurs en les ajoutant à un groupe d’annuaire d’entreprise à l’aide des outils LDAP/AD plutôt que via le portail Adobe Admin Console. Le fichier de configuration définit ensuite un mappage à partir des groupes d’annuaire vers des profils ou des groupes d’utilisateurs de produit Adobe.

Si un utilisateur est un membre d’un groupe d’annuaire, la synchronisation ajoute l’utilisateur au groupe d’utilisateurs correspondant dans le portail Adobe Admin Console. En outre, si un utilisateur est un membre d’un groupe d’utilisateurs mais n’est pas dans le groupe d’annuaire, la synchronisation retire l’utilisateur du groupe d’utilisateurs.

  1. Modifiez le mappage de groupes dans le fichier user-sync-config.yml

  2. Pour chaque groupe d’annuaire qui doit être mappé à un profil de produit Adobe ou à un groupe d’utilisateurs, ajoutez une entrée après groups. Par exemple :

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Remarque :

    Le mappage de groupe peut être réalisé à l’aide de groupes d’utilisateurs ou de profils de produit Adobe, et non par rapport aux noms de produit. Vous pouvez également mapper un groupe d’annuaire sur plusieurs groupes d’utilisateurs ou profils de produit Adobe.

Limites relatives aux non-correspondances d’utilisateurs

Pour empêcher la suppression accidentelle d’un compte en cas de mauvaise configuration ou d’un autre problème, une limite est définie pour la suppression de comptes.

  1. Pour changer la limite, modifiez le paramètre limits dans le fichier user-sync-config.yml.

  2. Si vous estimez que le nombre d’utilisateurs de l’annuaire peut baisser de plus de 200 entre deux exécutions de l’outil User Sync, il vous faudra augmenter la valeur max_adobe_only_users.

    Remarque :

    Si le nombre de comptes supprimés est supérieur au nombre défini par la valeur max_adobe_only_users, les mises à jour sont abandonnées.

Protection contre la suppression

Si vous souhaitez piloter la création et le retrait des comptes via l’outil User Sync et voulez créer manuellement quelques comptes, utilisez cette fonctionnalité pour empêcher l’outil de supprimer des comptes créés manuellement.

  1. Entrez les éléments de configuration relatifs aux exclusions dans le fichier user-sync-config.yml.

    exclude_groups

    Ce paramètre définit la liste des groupes d’utilisateurs Adobe, des configurations de produits ou des deux. Les utilisateurs Adobe qui font partie des groupes répertoriés ne sont ni retirés, ni mis à jour, et leur appartenance au groupe n’est pas modifiée.

    exclude_users

    Ce paramètre donne une liste de motifs. Les utilisateurs Adobe dont les noms d’utilisateur correspondent à l’un des motifs spécifiés (valeur par défaut non sensible à la casse, sauf si le modèle le spécifie) ne sont pas retirés ni mis à jour, et leur appartenance au groupe n’est pas modifiée.

    exclude_identity_types

    Ce paramètre donne une liste de types d’identités. Les utilisateurs Adobe possédant l’un de ces types d’identités ne sont ni retirés, ni mis à jour, et leur appartenance au groupe n’est pas modifiée.

  2. Pour protéger les utilisateurs contre les mises à jour dans le portail Admin Console, créez un groupe d’utilisateurs, puis placez-y les utilisateurs protégés et répertoriez ce groupe comme exclu du traitement par l’outil User Sync. Vous pouvez également dresser une liste d’utilisateurs spécifiques et/ou indiquer un motif correspondant à des noms d’utilisateurs spécifiques, de manière à protéger ces utilisateurs. Vous pouvez aussi protéger les utilisateurs en fonction de leur type d’identité.

    Par exemple :

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    Dans l’exemple ci-dessus, les administrateurs, les sous-traitants et les noms d’utilisateurs sont des exemples de valeurs. Utilisez les noms des groupes d’utilisateurs, des profils de produit ou des utilisateurs Adobe que vous avez créés.

Création de journaux

L’outil User Sync produit des entrées de journal qui sont imprimées dans un format standard et écrites dans un fichier journal. L’ensemble de consignation des paramètres de configuration contrôle l’emplacement et la quantité des informations générées en sortie.

  1. Pour activer ou désactiver la consignation dans le journal, modifiez la valeur log_to_file dans le fichier user-sync-config.yml.

    Les messages peuvent avoir cinq (5) niveaux d’importance différents, et vous pouvez choisir le niveau minimal d’importance à inclure dans le fichier journal ou la sortie standard de la console. Les valeurs par défaut consistent à générer le fichier journal et inclure les messages de niveau « info » ou supérieur, qui est le paramètre recommandé.

  2. Passez en revue les paramètres des journaux et apportez les modifications souhaitées. Le niveau de consignation recommandé est info (il s’agit de la valeur par défaut).

Configuration à l’aide de l’assistant de configuration de l’outil User Sync (Windows uniquement)

Si vous disposez d’un serveur Windows, vous pouvez également utiliser l’assistant de configuration de l’outil User Sync configurer l’outil User Sync.

L’assistant de configuration de l’outil User Sync est un utilitaire graphique qui vous aide à configurer facilement l’outil avec les paramètres d’API User Management (Adobe.io), d’Enterprise Directory (LDAP) et de synchronisation. Il fournit une aide contextuelle et des liens vers la documentation de l’outil User Sync. Pour plus d’informations, consultez la section Assistant de configuration de l’outil Adobe User Sync.

Déploiement et automatisation

Vérification de la configuration

Maintenant que l’outil User Sync est configuré sur votre serveur ou votre ordinateur, vous pouvez vérifier s’il fonctionne comme prévu.

  1. Ouvrez l’invite de commande.
  2. A l’aide de la commande suivante, accédez au dossier user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Voici les commandes pour démarrer l’outil User Sync :

    Windows : python user-sync.pex ....

    UNIX : ./user-sync ....

    Par exemple, pour vérifier que votre configuration est terminée, exécutez les commandes suivantes :

    Pour Windows :

    python user-sync.pex -v
    python user-sync.pex -h

    Pour UNIX :

    ./user-sync –v
    ./user-sync –h

    -v indique la version, -h fournit une aide sur les arguments en ligne de commande.

  4. En mode test, exécutez une synchronisation limitée à un groupe mappé dans votre annuaire.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    La commande ci-dessus synchronise uniquement les utilisateurs du groupe mappé spécifié dans user-sync-config.yml. Si les utilisateurs n’existent pas dans le portail Admin Console, il en résulte une tentative de création des utilisateurs et de leur ajout à tous les groupes mappés à partir de leurs groupes d’annuaire.

    L’exécution de la commande user-sync en mode test (-t), tente uniquement de créer l’utilisateur, sans le créer réellement. L’option --adobe-only-user-action exclude empêche de mettre à jour les comptes utilisateur qui existent déjà dans l’organisation Adobe.

  5. Exécutez la synchronisation sans le mode test pour créer l’utilisateur et l’ajouter aux groupes mappés.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Vérifiez dans le portail Adobe Admin Console si l’utilisateur apparaît et si les appartenances aux groupes ont été ajoutées.

  7. Exécutez à nouveau la même commande. L’outil User Sync ne doit pas tenter de recréer l’utilisateur et de l’ajouter à nouveau aux groupes. Il doit détecter que l’utilisateur existe déjà et qu’il est membre du groupe d’utilisateurs ou du profil de produit, et donc ne rien faire.

Si tous les tests fonctionnent comme prévu, vous êtes prêt à effectuer une exécution complète (sans filtre d’utilisateur).

Remarque :

Si vous disposez de plus de quelques centaines d’utilisateurs dans votre annuaire, la synchronisation des utilisateurs avec le portail Adobe Admin Console peut prendre quelques heures.

Surveillance et planification

L’outil User Sync peut être exécuté manuellement. Vous pouvez également configurer l’automatisation de manière à ce qu’elle s’exécute automatiquement une à plusieurs fois par jour.

Remarque :

Si vous disposez d’un système d’analyse de journaux et d’alerte, faites en sorte que le journal de l’outil User Sync soit envoyé à ce système. Configurez ensuite des alertes si des erreurs ou des messages critiques apparaissent dans le journal.

  1. Pour effectuer une analyse de façon à extraire les entrées de journal appropriées pour un résumé, créez un fichier de commandes dans le dossier user_sync_tool avec l’appel de user-sync transmis. Par exemple, créez un fichier run_sync.bat avec un contenu tel que :

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Éventuellement, configurez un outil de ligne de commande de messagerie.

    Il n’existe pas d’outil de ligne de commande de messagerie standard dans Windows, mais plusieurs d’entre eux sont disponibles dans le commerce, vous permettant ainsi de renseigner vos options de ligne de commande spécifiques.

  3. Configurez le planificateur de tâches Windows pour exécuter l’outil User Sync.

    Par exemple, le code ci-dessous exécute l’outil User Sync tous les jours à partir de 16h00 :

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Pour vous assurer que les tâches planifiées fonctionnent, exécutez une commande en mode test.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne