Einrichten des Benutzer-Synchronisationstools

  1. Adobe Unternehmen und Teams – Administrationshandbuch
  2. Bereitstellungsplanung
    1. Grundbegriffe
      1. Lizenzierung
      2. Identität
      3. Benutzerverwaltung
      4. Anwendungsbereitstellung
      5. Administratorrollen
    2. Implementierungshandbücher
      1. Implementierungshandbuch für die personengebundene Lizenzierung
      2. Implementierungshandbuch für die Lizenzierung für gemeinsam genutzte Geräte
    3. Bereitstellen von Creative Cloud für Bildungseinrichtungen
      1. Implementierungshandbuch
      2. Integration mit Canvas LMS
      3. Integration mit Blackboard Learn
      4. Konfigurieren von SSO für Verbandsportale und Lernmanagementsysteme
      5. Kivuto – Häufige Fragen
      6. Richtlinien für die Berechtigungen für Grund- und weiterführende Schulen
  3. Einrichten der Organisation
    1. Einrichten der Identität
      1. Identitätstypen | Übersicht
      2. Einrichten der Organisation mit Enterprise ID
      3. Einrichten der Organisation mit Federated ID
        1. Übersicht über SSO
        2. Einrichten von Azure-Connector und -Synchronisation
          1. Einrichten von SSO mit Microsoft über Azure OIDC
          2. Hinzufügen von Azure Sync zum Verzeichnis
          3. Häufige Fragen zum Azure-Connector
        3. Einrichten von Google-Verbund und -Synchronisation
          1. Einrichten von SSO mit dem Google-Verbund
          2. Hinzufügen von Google Sync zum Verzeichnis
          3. Häufige Fragen zum Google-Verbund
        4. Generisches SAML
          1. Einrichten von SSO mit anderen SAML-Anbietern
          2. Einrichten von SSO mit Microsoft ADFS
          3. Häufige Fragen zu SSO
          4. Fehlerbehebung bei SSO
        5. SSO für Bildungseinrichtungen
          1. Konfigurieren von SSO für Verbandsportale und LMS
          2. Häufige Fragen
          3. Dovetail
      4. Bestätigen des Eigentums an einer Domäne
      5. Hinzufügen und Verwalten von Domänen
      6. Verknüpfen von Domänen mit Verzeichnissen
      7. Verwenden der Verzeichnisvertrauensstellung, um vorab beanspruchte Domänen hinzuzufügen
      8. Migrieren zu einem neuen Authentifizierungsanbieter
    2. Medienelementeinstellungen
    3. Authentifizierungseinstellungen
    4. Datenschutz- und Sicherheitskontakte
    5. Konsoleneinstellungen
    6. Verwalten der Verschlüsselung
  4. Verwalten von Produkten und Berechtigungen
    1. Verwalten von Benutzern
      1. Übersicht
      2. Verwaltungsrollen
      3. Verfahren zur Benutzerverwaltung
        1. Verwalten einzelner Benutzer   
        2. Verwalten mehrerer Benutzer (Massen-CSV)
        3. Benutzer-Synchronisationstool (UST)
        4. User Management API (UMAPI)
        5. Microsoft Azure Sync
        6. Google Federation Sync
      4. Ändern des Identitätstyps eines Benutzers
      5. Verwalten von Benutzergruppen
      6. Verwalten von Verzeichnisbenutzern
      7. Verwalten von Entwicklern
      8. Migrieren bestehender Benutzer zur Adobe Admin Console
      9. Migrieren der Benutzerverwaltung in die Adobe Admin Console
    2. Verwalten von Produkten und Produktprofilen
      1. Verwalten von Produkten
      2. Verwalten von Produktprofilen für Unternehmensbenutzer
      3. Verwalten von Self-Service-Richtlinien
      4. Verwalten von Programmintegrationen
      5. Verwalten von Produktberechtigungen in der Admin Console  
      6. Aktivieren/Deaktivieren von Services für ein Produktprofil
      7. Einzelprodukt | Creative Cloud für Unternehmen
      8. Optionale Services
    3. Verwalten von Lizenzen für gemeinsam genutzte Geräte
      1. Neue Funktionen
      2. Implementierungshandbuch
      3. Erstellen von Paketen
      4. Wiederherstellen von Lizenzen
      5. Migrieren von Gerätelizenzen
      6. Verwalten von Profilen
      7. Licensing Toolkit
      8. Häufige Fragen zur Lizenzierung für gemeinsam genutzte Geräte
  5. Verwalten von Speicher und Assets
    1. Speicher
      1. Verwalten des Enterprise-Speichers
      2. Adobe Creative Cloud: Update des Speichers
      3. Verwalten des Adobe-Speichers
    2. Asset-Migration
      1. Automatisierte Elementmigration
      2. Häufige Fragen zur automatisierten Elementmigration  
      3. Verwalten von übertragenen Assets
    3. Rückübertragen von Elementen eines Benutzers
    4. Elementmigration für Schüler/Studierende | nur Bildungseinrichtungen
      1. Automatische Elementmigration für Schüler/Studierende
      2. Migrieren von Assets
  6. Verwalten von Services
    1. Adobe Stock
      1. Adobe Stock-Credit-Packs für Teams
      2. Adobe Stock für Unternehmen
      3. Verwenden von Adobe Stock für Unternehmen
      4. Genehmigung von Adobe Stock-Lizenzen
    2. Benutzerdefinierte Schriften
    3. Adobe Asset Link
      1. Übersicht
      2. Erstellen einer Benutzergruppe
      3. Konfigurieren von Adobe Experience Manager 6.x-Assets
      4. Konfigurieren und Installieren von Adobe Asset Link
      5. Verwalten von Assets
      6. Adobe Asset Link für XD
    4. Adobe Sign
      1. Einrichten von Adobe Sign für Unternehmen oder Teams
      2. Adobe Sign – Team-Funktionsadministrator
      3. Verwalten von Adobe Sign in der Admin Console
    5. Creative Cloud für Unternehmen – kostenloses Abo
      1. Übersicht
      2. Erste Schritte
  7. Bereitstellen von Anwendungen und Updates
    1. Übersicht
      1. Bereitstellen und Verteilen von Anwendungen und Updates
      2. Planen der Bereitstellung
      3. Vorbereiten der Bereitstellung
    2. Erstellen von Paketen
      1. Erstellen von Paketen mit Anwendungen über die Admin Console
      2. Erstellen von Paketen für die personengebundene Lizenzierung
      3. Adobe-Vorlagen für Pakete
      4. Verwalten von Paketen
      5. Verwalten von Gerätelizenzen
      6. Seriennummernlizenzierung
    3. Anpassen von Paketen
      1. Anpassen des Creative Cloud-Clients
      2. Einschließen von Erweiterungen im Paket
    4. Bereitstellen von Paketen 
      1. Bereitstellen von Paketen
      2. Bereitstellen von Adobe-Paketen mit SCCM
      3. Bereitstellen von Adobe-Paketen mit ARD
      4. Installieren von Produkten im Ordner „Exceptions“
      5. Deinstallieren von Creative Cloud-Produkten
      6. Adobe Provisioning Toolkit Enterprise Edition
      7. Lizenzbezeichner für Adobe Creative Cloud
    5. Verwalten von Updates
      1. Änderungsmanagement für Adobe-Unternehmens- und ‑Team-Kunden
      2. Bereitstellen von Updates
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST – Übersicht
      2. Einrichten des internen Updateservers
      3. Verwalten des internen Updateservers
      4. Übliche Anwendungsfälle von AUSST   
      5. Beheben von Problemen mit dem internen Updateserver
    7. Adobe Remote Update Manager (RUM)
      1. Verwenden von Adobe Remote Update Manager
      2. Kanal-IDs für die Verwendung mit Adobe Remote Update Manager
      3. Beheben von RUM-Fehlern
    8. Fehlerbehebung
      1. Beheben von Fehlern bei der Installation und Deinstallation von Creative Cloud-Anwendungen
      2. Abfragen der Clientcomputer zum Überprüfen der Bereitstellung eines Pakets
      3. Creative Cloud Packager-Fehlermeldung „Installationsfehler“
    9. Erstellen von Paketen mit Creative Cloud Packager (CC 2018 oder frühere Anwendungen)
      1. Übersicht über Creative Cloud Packager
      2. Creative Cloud Packager – Versionshinweise
      3. Erstellen von Programmpaketen
      4. Erstellen von Paketen mit Creative Cloud Packager
      5. Erstellen personengebundener Lizenzpakete
      6. Erstellen von Paketen mit gerätegebundenen Lizenzen
      7. Erstellen eines Lizenzpakets
      8. Erstellen von Paketen mit Seriennummernlizenzen
      9. Packager-Automatisierung
      10. Erstellen eines Pakets mit Produkten, die nicht zu Creative Cloud gehören
      11. Bearbeiten und Speichern von Konfigurationen
      12. Festlegen des Gebietsschemas auf Systemebene
  8. Kontoverwaltung
    1. Verwalten des Teams-Kontos
      1. Übersicht
      2. Aktualisieren von Rechnungsangaben
      3. Verwalten von Rechnungen
      4. Ändern des Vertragseigentümers
    2. Zuweisen von Lizenzen zu einem Teams-Benutzer
    3. Hinzufügen von Produkten und Lizenzen
    4. Verlängerungen
      1. Teams-Abonnement: Verlängerungen
      2. VIP für Unternehmen: Verlängerungen und Einhaltung der Lizenzbestimmungen
    5. Einhaltung der Bedingungen für Kaufaufträge
    6. Value Incentive Plan (VIP) in China
    7. VIP Select-Hilfe
  9. Berichte und Protokolle
    1. Administratorprotokoll
    2. Zuweisungsberichte
    3. Inhaltsprotokolle
  10. Hilfe
    1. Kontaktaufnahme mit der Adobe-Kundenunterstützung
    2. Supportoptionen für Teams-Konten
    3. Supportoptionen für Unternehmenskonten
    4. Supportoptionen für Experience Cloud

In diesem Dokument wird die Installation des Benutzer-Synchronisationstools beschrieben, mit dem der Benutzerverwaltungsprozess automatisiert werden kann.

Das Benutzer-Synchronisationstool ist ein Befehlszeilenprogramm, das Benutzer- und Gruppeninformationen aus dem Unternehmensverzeichnissystem Ihrer Organisation (z. B. einem Active Directory- oder sonstigen LDAP-System) in das Verzeichnis Ihrer Organisation in der Adobe Admin Console verschiebt. Bei jeder Ausführung des Benutzer-Synchronisationstools wird nach Unterschieden zwischen den Benutzer- und Gruppeninformationen in den beiden Systemen gesucht und das Adobe-Verzeichnis wird so aktualisiert, dass es die Informationen in Ihrem Verzeichnis widerspiegelt.

Dieses Dokument enthält schrittweise Anweisungen zum Verbinden eines Active Directory-Systems mit der Adobe Admin Console. Dies ist eine der beliebtesten Kombinationen bei Kunden in den Segmenten Schule und KMU. Das Benutzer-Synchronisationstool ist flexibel und kann zum Herstellen von Verbindungen mit den meisten LDAP- und Verzeichnissystemen verwendet werden. Wenn Sie ein anderes Verzeichnissystem als Active Directory verwenden, können die Anweisungen in diesem Dokument nicht direkt angewendet werden. Nehmen Sie ggf. Anpassungen vor. Weitere Informationen finden Sie im Einrichtungs- und Nutzungshandbuch.

Vorbereitung

Sie benötigen die folgenden Informationen zu Ihrem LDAP-System. Sollten Sie über diese Informationen nicht verfügen, wenden Sie sich an Ihren IT-Administrator.

  • Name (oder IP-Adresse, sofern es sich um eine feste IP-Adresse handelt) und Port des Domänencontrollers.
  • Benutzername und Kennwort für ein Service-Konto, mit dem das Tool Benutzer aus dem LDAP-System extrahieren kann (schreibgeschützter Zugriff).
  • Basis-DN, d. h. der Punkt, ab dem der Server nach Benutzern sucht. Der Bereich sollte ausreichend groß sein, um die Erkennung aller Benutzer und Gruppen zu ermöglichen, die synchronisiert werden müssen.
  • Die Namen der zu synchronisierenden Gruppen.
  • Das am besten geeignete LDAP-Attribut für E-Mail-Adresse/Benutzername sämtlicher Benutzer, die in der Admin Console erstellt werden müssen.
  • (Optional) Möglicherweise benötigen Sie auch eine benutzerdefinierte LDAP-Abfrage, mit der die Benutzer ausgewählt werden, die mit Adobe synchronisiert werden sollen, wenn die Standardfilter die Anforderungen nicht erfüllen.
Active Directory

Das Schlüsselpaar wird verwendet, um ein JWT zu signieren und zu überprüfen, ob es zum Abrufen des access_token-Prozesses verwendet werden darf. Wenn Sie Hilfe bei diesem Prozess benötigen, wenden Sie sich an das Sicherheitsteam.

Empfehlungen zu Zertifikaten:

  • Das öffentliche Zertifikat kann von Ihrer Zertifizierungsstelle signiert werden (erstellen Sie ggf. eine Zertifikatregistrierungsanforderung (Certificate Signing Request, CSR)). Selbstsignierte Zertifikate werden ebenfalls akzeptiert.
  • Der private Schlüssel sollte mindestens ein RSA-2048-Schlüssel sein.
  • Das öffentliche Zertifikat muss die Erweiterung „.crt“ besitzen.
  • Signieren Sie mit SHA-256.
  • Gültigkeitsdauer des öffentlichen Schlüssels: Empfohlen werden drei Jahre, maßgeblich sind jedoch die internen Sicherheitsrichtlinien.

Selbst signiertes Zertifikat erstellen

Für die Verwendung von selbst signierten Zertifikaten mit Zufallswerten und einem öffentlichen Zertifikat mit einer Gültigkeitsdauer von einem Jahr bietet das Portal adobe.io die Möglichkeit, diese während der Projekterstellungsphase oder im Menü Service Account (JWT) (Service-Konto (JSON Web Token)) eines vorhandenen Projekts zu generieren. Weitere Informationen finden Sie unter Integration mit Adobe I/O einrichten.

Führen Sie bei selbst signierten Zertifikate mit selbst festgelegten Daten und Gültigkeitswerten die folgenden Schritte aus:

  1. Öffnen Sie unter macOS/Linux das Terminal. 

    Unter Windows öffnen Sie ein Programm mit OpenSSL-Unterstützung wie Cygwin oder cmd, sofern installiert. Andernfalls kann ab Version 2.6.0 das Benutzersynchronisations-Tool verwendet werden, um das öffentliche Zertifikat und den privaten Schlüssel zu generieren. Dazu müssen Sie das Tool lokal herunterladen und diese Befehlszeile in dem Ordner, der die Datei user-sync.exe enthält, an der Eingabeaufforderung ausführen:

    user-sync.exe certgen
  2. Führen Sie den folgenden Befehl aus:

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitales Zertifikat

  3. Wenn die Generierung des privaten Schlüssels abgeschlossen wurde, werden Sie aufgefordert, weitere Informationen einzugeben, um einen definierten Namen für den öffentlichen Schlüssel zu erstellen. Sie können Standardwerte übernehmen oder einen relevanten Wert eingeben. Wenn Sie ein Feld leer lassen möchten, geben Sie „.“  (einen Punkt) ein.

    Digitales Zertifikat

Die Zertifikatsdatei mit dem öffentlichen Schlüssel und die Datei mit dem privaten Schlüssel werden standardmäßig unter den folgenden Pfaden gespeichert:

Windows: C:\cygwin64\home\<Ihr_Benutzername>

(Wenn Sie die Datei „user-sync.exe“ verwendet haben, sollte sich die Datei im selben Ordner wie das Skript befinden.)

macOS: /Benutzer/<Ihr_Benutzername>

Wenn Sie das Benutzer-Synchronisationstool auf Ihrem Computer installieren möchten, muss dieser folgende Anforderungen erfüllen:

  • Internetzugriff sowie Zugriff auf Ihren Verzeichnis-Service wie LDAP oder AD.
  • Geschützt und sicher (die Administrator-Anmeldeinformationen sind auf dem Server gespeichert oder abrufbar).
  • Unterbrechungsfreie und zuverlässige Verfügbarkeit, sowie Fähigkeit zu Sicherung und Wiederherstellung.
  • Möglichkeit zum Senden von E-Mails, sodass das Benutzer-Synchronisationstool Berichte an Administratoren senden kann.
  • Wenn es sich um einen Windows-Computer handelt, muss er über einen 64-Bit-Prozessor verfügen.

Bestimmen Sie andernfalls in Zusammenarbeit mit Ihrer IT-Abteilung einen Server, der diese Anforderungen erfüllt, und richten Sie den Zugriff darauf für sich ein.

Stellen Sie sicher, dass Sie die Verzeichnisse für Ihre Organisation erstellt haben und dass Produktprofile und Benutzergruppen in der Adobe Admin Console erstellt wurden.

Server einrichten

Führen Sie zum Einrichten einer Adobe.io-Integration folgende Schritte aus:

  1. Melden Sie sich als Systemadministrator bei der Adobe I/O-Konsole an und wählen Sie rechts oben in der Dropdown-Liste Ihr Unternehmen aus. Klicken Sie auf Create New Project (Neues Projekt erstellen).

    Organisation auswählen

  2. Klicken Sie rechts oben auf Edit Project (Projekt bearbeiten) und geben Sie einen Titel und eine Beschreibung für das Projekt ein. Klicken Sie auf Save (Speichern).

    Projekt bearbeiten

  3. Klicken Sie auf Add API (API hinzufügen).

    API hinzufügen

  4. Filtern Sie im Fenster „Add an API“ nach Adobe Services und wählen Sie User Management API. Klicken Sie auf Next (Weiter).

    User Management API

    • Schlüsselpaar generieren:

    Wenn Sie ein selbst signiertes Zertifikat mit Zufallswerten verwenden möchten, die von adobe.io mit einer Gültigkeitsdauer von 1 Jahr generiert werden, wählen Sie Generate a Key Pair (Schlüsselpaar generieren). Klicken Sie dann auf Generate Keypair.

    Die Datei „config.zip“ wird auf Ihren lokalen Computer heruntergeladen, die die Datei „certificate_pub.crt“ und die Datei „private.key“ enthält. Das öffentliche Zertifikat wird automatisch zu Ihrer Integration hinzugefügt und „private.key“ wird später im Konfigurationsvorgang verwendet.

    • Öffentlichen Schlüssel hochladen:

    Wenn Sie über ein eigenes öffentliches Zertifikat verfügen oder mithilfe der Schritte im Abschnitt Öffentlichen und privaten Schlüssel abrufen erstellt haben, wählen Sie dannUpload Your Public Key (Öffentlichen Schlüssel hochladen). Scrollen Sie nach unten und laden Sie die Zertifikatsdatei mit dem öffentlichen Schlüssel hoch. Klicken Sie auf Next (Weiter).

    API konfigurieren

  5. Klicken Sie auf Save Configured API (Konfigurierte API speichern).

  6. Um die Berechtigungsdetails anzuzeigen, navigieren Sie zu Service Account (JWT) (Service-Konto (JSON Web Token)).

    Berechtigungsdetails

Die Informationen auf dieser Seite werden später in einer der Konfigurationsdateien des Benutzersynchronisations-Tools verwendet.

  1. Erstellen Sie einen Ordner mit dem Namen user_sync_tool an einem Speicherort auf dem Laufwerk, für das die Benutzer die erforderlichen Zugriffsberechtigungen besitzen.

  2. Öffnen Sie GitHub und suchen Sie die Kennzeichnung Latest release (Neuste Version).

    Suchen und erweitern Sie in dieser Version die Liste Assets. Suchen Sie dann die folgenden Dateien und laden Sie sie herunter:

    • Die Datei „examples.zip“
    • Die ZIP-Datei des Benutzer-Synchronisationstools in der Liste, die Ihrem Betriebssystemtyp entspricht
  3. Entpacken Sie „examples.zip“, navigieren Sie zu „config files - basic“ und kopieren Sie die folgenden Dateien in den Ordner „user_sync_tool“: „connector-ldap.yml“, „connector-umapi.yml“ und „user-sync-config.yml“.

  4. Extrahieren Sie aus der anderen ZIP-Datei die Datei „user-sync.exe“und platzieren Sie sie ebenfalls im Ordner „user_sync_tool“.

  5. Suchen Sie den „private.key“ im öffentlichen Zertifikat und verschieben Sie ihn ebenfalls in den Ordner „user_sync_tool“. Der Ordner enthält jetzt Folgendes:

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.exe
    • user-sync-config.yml

Benutzersynchronisation konfigurieren

  1. Bearbeiten Sie die Datei connector-ldap.yml mit einem speziellen Texteditor.

  2. Geben Sie Werte für Benutzername, Kennwort, Host und Basis-DN ein.

    Konfigurationsdatei für den Verzeichniszugriff

  3. Legen Sie search_page_size auf 200 fest.

  4. Meistens reichen zwar die Standardfilter aus. Wenn Sie eine benutzerdefinierte LDAP-Abfrage zum Extrahieren einer Gruppe von Benutzern benötigen, ändern Sie den Konfigurationsparameter „all_users_filter“.

  5. Überprüfen Sie die restlichen auskommentierten Einstellungen und die LDAP-Attribute, auf die sie verweisen. Ändern Sie sie nach Ihren Bedürfnissen.

    Bei einigen Bereitstellungen basiert die Anmeldung auf dem Benutzernamen (das Feld für den Benutzernamen in der Admin Console akzeptiert keine E-Mail-Adresse). 

    Aktivieren Sie in diesem Fall auch die folgende Zeile (entfernen Sie das Zeichen #):
    user_username_format: {sAMAccountName}

    Ersetzen Sie „sAMAccountName“ ggf. durch das Attribut, das Sie verwenden müssen.

  1. Bearbeiten Sie die Datei connector-umapi.yml. Diese Datei enthält Informationen für den Zugriff auf Ihre Adobe-Organisation.

  2. Geben Sie die folgenden Informationen aus der Adobe.io-Integration ein, die Sie zuvor erstellt haben:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Stellen Sie sicher, dass „priv_key_path“ den genauen Namen des privaten Schlüssels im Ordner „user_sync_tool“ enthält.
    Wenn sich der private Schlüssel in demselben Ordner wie die restlichen UST-Dateien befindet, ist es zulässig, dass „priv_key_path“ nur den Namen der Datei enthält. Es handelt sich dann um einen relativen Pfad.

    Anmeldeinformationen für die Adobe UMAPI

Wenn im Verzeichnis nicht für jeden Benutzer ein Land aufgelistet ist, können Sie ein Standardland festlegen.

  1. Bearbeiten Sie die Datei user-sync-config.yml.

  2. Entfernen Sie # aus der Zeile default country code und geben Sie den entsprechenden Ländercode ein. Beispiel:

    default_country_code: US
    Hinweis:

    Ein Ländercode ist für Federated IDs erforderlich und wird für Enterprise IDs empfohlen. Wenn er für Enterprise IDs nicht angegeben ist, werden Benutzer beim ersten Anmelden aufgefordert, ein Land auszuwählen.

In der Gruppenzuordnung wird definiert, für welche Gruppen aus LDAP eine entsprechende Benutzergruppe oder PLC in der Admin Console vorhanden sein soll.

Hierdurch soll für das Tool eine Quelle von Gruppen/Benutzern bereitgestellt werden, die den Mitgliedern in den Gruppen/PLCs der Admin Console entsprechen.

  1. Bearbeiten Sie group mapping in der Datei user-sync-config.yml

  2. Fügen Sie für jede Verzeichnisgruppe, die einem Adobe-Produktprofil bzw. einer Adobe-Benutzergruppe zugeordnet sein muss, im Abschnitt groups einen Eintrag hinzu. Beispiel:

    groups: - directory_group: LDAP-Gruppennamen-hier-einfügen adobe_groups: - Adobe-Gruppennamen-hier-einfügen - directory_group: LDAP-Gruppennamen-hier-einfügen adobe_groups: - Adobe-Gruppennamen-hier-einfügen
    Hinweis:

    Die Gruppenzuordnung kann anhand von Adobe-Benutzergruppen oder -Produktprofilen erfolgen, jedoch nicht mit Produktnamen. Zudem können Sie eine Verzeichnisgruppe mehreren Adobe-Benutzergruppen oder -Produktprofilen zuordnen.

Um ein versehentliches Entfernen von Konten bei einer Fehlkonfiguration oder einem anderen Problem zu verhindern, können Sie festlegen, wie viele Konten bei der täglichen Synchronisation maximal entfernt werden sollen.

  1. Suchen Sie zum Ändern dieser Begrenzung max_adobe_only_users in der Datei „user-sync-config.yml“.

  2. Wenn Sie erwarten, dass die Anzahl der zu entfernenden Konten zwischen Ausführungen der Benutzersynchronisation den festgelegten Wert für max_adobe_only_users überschreitet, erhöhen Sie den Wert, damit er der Gesamtzahl der zu entfernenden Konten entspricht.

    Hinweis:

    Wenn die Anzahl der zu entfernenden Konten größer als der Wert von max_adobe_only_users ist, werden von dem Tool keine Konten entfernt. Im Protokoll wird ein wichtiger Eintrag angezeigt, der auf das Erreichen dieser Begrenzung hinweist.

    Diese Begrenzung wirkt sich nicht auf die Erstellungsaktionen aus.

Es gibt Situationen, in denen einige Konten von der Synchronisation ausgeschlossen werden müssen. Dies kann durch Bearbeiten der Datei „user-sync-config.yml“ erreicht werden.
Das Tool bietet drei Ausschlussfunktionen: nach Identitätstyp, nach Gruppennamen und nach regulärem Ausdruck.
Jedes Konto in der Admin Console, das mindestens einem der genannten Kriterien entspricht, ist vor dem Entfernen (aus der Gruppe, aus der Organisation) geschützt.

Es empfiehlt sich, dass die Admin Console Adobe IDs für Systemadministratoren enthält, und die Adobe IDs durch exclude_identity_types: adobeID auszuschließen.

Beispiel:

adobe_users:
  exclude_identity_types:
    - adobeID           # Adobe ID, Enterprise ID oder Federated ID
  exclude_adobe_groups:
    - adobe_group_name  # die Mitglieder dürfen nicht durch die Benutzersynchronisation ausgeschlossen werden
    - other_group_name  # Sie können mehrere Gruppen ausschließen
  exclude_users:
    - ".*@example.com"
    - important_user@domain.com

Das Benutzer-Synchronisationstool erzeugt Protokolleinträge, die in die Standardausgabe sowie in eine Protokolldatei geschrieben werden. Der Protokollierungsabschnitt der Konfigurationseinstellungen steuert Ziel und Umfang der ausgegebenen Protokollinformationen.

  1. Bearbeiten Sie zum Aktivieren bzw. Deaktivieren der Dateiprotokollierung den Wert log_to_file in der Datei user-sync-config.yml.

  2. Überprüfen Sie die Einstellungen für die Protokolle und nehmen Sie die gewünschten Änderungen vor. Für die Ersteinrichtung empfohlen:
    log_to_file: True
    file_log_level: debug

Wenn Sie über einen Windows-Server verfügen, können Sie die Benutzersynchronisation auch mit dem Konfigurationsassistenten für das Benutzer-Synchronisationstool konfigurieren.

Der Konfigurationsassistent für das Benutzer-Synchronisationstool ist ein Benutzeroberflächentool, mit dem Sie das Benutzer-Synchronisationstool auf einfache Weise mit der User Management API (Adobe.io), dem Unternehmensverzeichnis (LDAP) und Synchronisationseinstellungen konfigurieren können. Es bietet kontextbasierte Hilfe sowie Links zur Dokumentation für das Benutzer-Synchronisationstool. Weitere Informationen finden Sie unter Konfigurationsassistent für das Adobe-Benutzer-Synchronisationstool.

Bereitstellen und automatisieren

Das Benutzer-Synchronisationstool ist nun auf dem Server oder Computer eingerichtet und Sie können es auf ordnungsgemäße Funktion überprüfen. Informationen zur Behebung häufiger Probleme beim Ausführen des Benutzer-Synchronisationstools finden Sie unter Tipps zur Behebung häufiger Fehler.

  1. Öffnen Sie die Eingabeaufforderung.
  2. Navigieren Sie mit dem folgenden Befehl zum Ordner „user_sync_tool“.

    cd pfad/zu/user_sync_tool
  3. Wenn Sie sich vergewissern möchten, dass die Konfiguration abgeschlossen wurde, führen Sie die folgenden Befehle aus:

    Für Windows:

    user-sync.exe -v user-sync.exe -h

    Für UNIX:

    ./user-sync –v ./user-sync –h

    -v gibt die Version an, -h bietet Hilfe zu Befehlszeilenargumenten.

  4. Führen Sie im Testmodus eine Synchronisation aus, die auf die zugeordneten Gruppen beschränkt ist, die in der Konfigurationsdatei angegeben sind, unter Ausschluss der vorhandenen Konten auf Adobe-Seite.

    user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude

    Mit dem Befehl oben werden nur die Benutzer in der zugeordneten Gruppe synchronisiert, die in „user-sync-config.yml“ angegeben ist. Sind die Benutzer in der Admin Console nicht vorhanden, wird versucht, die Benutzer zu erstellen und diese Gruppen hinzuzufügen, die über deren Verzeichnisgruppen zugeordnet sind.

    Beim Ausführen der Benutzersynchronisation im Testmodus (-t) wird lediglich versucht, den Benutzer zu erstellen, ohne dass er tatsächlich erstellt wird. Mit der Option --adobe-only-user-action exclude wird verhindert, dass in der Adobe-Organisation vorhandene Benutzerkonten entfernt werden.

  5. Mit „invocation_defaults“ werden die Standardargumente festgelegt, mit denen das Tool ausgeführt wird. Sie können sie jedoch überschreiben, indem Sie sie in der Befehlszeile angeben. Führen Sie im Testmodus eine Synchronisation aus, die auf die zugeordneten Gruppen beschränkt ist, die in der Konfigurationsdatei angegeben sind, und entfernen Sie die zusätzlichen Konten, die auf Adobe-Seite vorhanden und in der LDAP-Extraktion nicht vorhanden sind.

    user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    Führen Sie statt einer tatsächlichen Synchronisation eine Simulation aus, und beobachten Sie, was passieren würde.

    --users-mapped

    Extrahieren Sie Benutzer aus LDAP, die das Ergebnis von „all_user_filter“ sind und in den angegebenen Verzeichnisgruppennamen in der Konfigurationsdatei enthalten sind.

    --process-groups

    Hinzufügen/Entfernen von Benutzern zu/aus Adobe-seitigen Benutzergruppen oder PLCs, abhängig davon, ob sie Mitglied der LDAP zugeordneten Gruppen sind.

    --adobe-only-user-action remove

    Alle auf Adobe-Seite gefundenen Konten werden aus dem Menü „Benutzer“ entfernt, und Berechtigungen werden entfernt, wenn sie nicht in der LDAP-Extraktion gefunden wurden und nicht aus der Synchronisation ausgeschlossen wurden.

    Weitere Informationen zu Befehlsparametern finden Sie hier.

    Informationen zu weiteren Verwendungsszenarien finden Sie hier.

Wenn alle diese Tests erwartungsgemäß ausgeführt werden, können Sie den Vorgang ohne Einschränkungen (ohne das Flag „test-mode“) ausführen.

Hinweis:
  • Die angegebenen Befehlszeilen sind lediglich Beispiele und decken möglicherweise nicht alle Anwendungsfälle ab.
  • Die Erstsynchronisation kann abhängig von der Anzahl der zu synchronisierenden Konten von einigen Sekunden bis zu mehreren Stunden dauern. Es werden alle 1,5 bis 2 Minuten (einschließlich Zeitüberschreitung) ca. 250 Benutzer erstellt.
  • Die UMAPI-Zeitüberschreitungsmeldungen mit dem Warnungscode 429 sind erwartungsgemäß. Das Tool führt den Wiederholungsmechanismus aus.

Die Benutzersynchronisation kann manuell ausgeführt werden. Sie können jedoch auch eine Automatisierung einrichten, bei der die Benutzersynchronisation mehrmals täglich automatisch ausgeführt wird.

Hinweis:

Wenn Sie über ein Protokollanalyse- und Benachrichtigungssystem verfügen, richten Sie es so ein, dass das Protokoll aus dem Benutzer-Synchronisationstool an das Protokollanalysesystem gesendet wird. Richten Sie zudem Benachrichtigungen ein, wenn ein normaler oder schwerwiegender Fehler im Protokoll erscheint.

  1. Erstellen Sie zum Auslesen aller relevanten Protokolleinträge für eine Zusammenfassung eine Stapeldatei im Ordner user_sync_tool, in der das Benutzer-Synchronisationstool aufgerufen wird und die Ausgabe übergeben wird. Erstellen Sie beispielsweise eine Datei „run_sync.bat“ mit folgendem Inhalt:

    cd pfad/zu/user-sync-folder user-sync.exe --users file beispiel.benutzerdatei.csv --process-groups | findstr /I &quot;==== ----- WARNING ERROR CRITICAL Number&quot; > temp.datei.txt rem Inhalt der Datei „temp.datei.txt“ per E-Mail an die Benutzer-Synchronisationsadministration senden Ihr-Mail-Tool –send file temp.datei.txt
  2. Richten Sie optional ein Befehlszeilentool für E-Mails ein.

    Unter Windows gibt es kein Standard-Befehlszeilentool für E-Mails, es sind aber verschiedene Lösungen erhältlich, bei denen Sie Ihre spezifischen Befehlszeilenoptionen eingeben können.

  3. Richten Sie die Aufgabenplanung von Windows für die Ausführung des Benutzer-Synchronisationstools ein.

    Mir dem folgenden Code wird das Benutzer-Synchronisationstool beispielsweise täglich ab 16:00 Uhr ausgeführt:

    C:\> schtasks /create /tn &quot;Adobe User Sync&quot; /tr pfad_zur_bat-datei/run_sync.bat /sc DAILY /st 16:00
Adobe-Logo

Bei Ihrem Konto anmelden