Per macOS/Linux, avvia Terminal.
Per Windows, apri il programma che offre il supporto per openssl, ad esempio, Cygwin o cmd se installati. Altrimenti, a partire dalla versione 2.6.0, lo strumento User Sync può essere utilizzato per generare il certificato pubblico e la chiave privata. È necessario che lo strumento venga scaricato localmente ed esegua questa riga di comando nel Prompt dei comandi dalla cartella contenente il file user-sync.exe:
- Guida all'amministrazione di Adobe Enterprise & Teams
- Pianificare la distribuzione
- Concetti di base
- Guide alla distribuzione
- Distribuzione di Creative Cloud for education
- Casa di distribuzione
- Procedura guidata di onboarding K-12
- Configurazione semplice
- Sincronizzazione degli utenti
- Sincronizzazione del roster K-12 (Stati Uniti)
- Concetti chiave di concessione di licenza
- Opzioni di distribuzione
- Suggerimenti rapidi
- Approva le app Adobe nella Console di amministrazione Google
- Abilitare Adobe Express in Google Classroom
- Integrazione con Canvas LMS
- Integrazione con Blackboard Learn
- Configurazione dell'accesso unico (SSO) per portali del distretto e Sistemi di gestione dell'apprendimento (LMS)
- Aggiungere utenti tramite la sincronizzazione dell'elenco
- Domande frequenti su Kivuto
- Linee guida sui requisiti di idoneità per gli istituti di istruzione primaria e secondaria
- Configurazione dell'organizzazione
- Tipi di identità | Panoramica
- Configurazione dell'identità | Panoramica
- Configurazione dell'organizzazione con Enterprise ID
- Configurazione e sincronizzazione della federazione Azure AD
- Configurazione e sincronizzazione della federazione Google
- Configurazione dell'organizzazione con Microsoft ADFS
- Configurazione dell'organizzazione per portali del distretto e LMS
- Configurazione dell'organizzazione con altri provider di identità
- Domande frequenti e risoluzione dei problemi SSO
- Gestione della configurazione dell'organizzazione
- Gestione di domini e directory esistenti
- Attivare la creazione automatica dell'account
- Configurazione dell'organizzazione tramite l'affidabilità delle directory
- Migrazione a un nuovo provider di autenticazione
- Impostazioni risorse
- Impostazioni di autenticazione
- Contatti per la sicurezza e la privacy
- Impostazioni console
- Gestire la crittografia
- Gestione di domini e directory esistenti
- Gestione degli utenti
- Panoramica
- Ruoli amministrativi
- Strategie di gestione degli utenti
- Assegnazione delle licenze a un utente Teams
- Aggiungere utenti con domini e-mail corrispondenti
- Cambio del tipo di identità dell'utente
- Gestione dei gruppi di utenti
- Gestione degli utenti della directory
- Gestione degli sviluppatori
- Migrare gli utenti esistenti in Adobe Admin Console
- Migrare la gestione degli utenti in Adobe Admin Console
- Panoramica
- Gestione dei prodotti e delle autorizzazioni
- Gestione di prodotti e profili di prodotto
- Gestione dei prodotti
- Acquisto di prodotti e licenze
- Gestione di profili di prodotto per utenti Enterprise
- Gestione delle regole di assegnazione automatica
- Autorizzare gli utenti ad addestrare modelli personalizzati Firefly
- Verifica delle richieste di prodotti
- Gestione delle policy autonome
- Gestione delle integrazioni delle app
- Gestione delle autorizzazioni del prodotto in Admin Console
- Attivare/disattivare i servizi per un profilo di prodotto
- App singola | Creative Cloud for enterprise
- Servizi facoltativi
- Gestione di licenze per dispositivo condiviso
- Gestione di prodotti e profili di prodotto
- Introduzione a Global Admin Console
- Adottare l'amministrazione globale
- Selezionare l'organizzazione
- Gestire la gerarchia dell'organizzazione
- Gestire i profili di prodotto
- Gestire gli amministratori
- Gestire i gruppi di utenti
- Aggiornare le policy dell'organizzazione
- Gestire i modelli delle policy
- Allocare i prodotti alle organizzazioni secondarie
- Eseguire i processi in sospeso
- Esplorare gli elementi di conoscenza
- Esportare o importare la struttura organizzativa
- Gestione archiviazione e risorse
- Archiviazione
- Migrazione delle risorse
- Recupero delle risorse da un utente
- Migrazione delle risorse degli studenti | Solo Istruzione
- Gestire i servizi
- Adobe Stock
- Font personalizzati
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud for enterprise - iscrizione gratuita
- Distribuzione di app e aggiornamenti
- Panoramica
- Creazione di pacchetti
- Personalizzazione dei pacchetti
- Distribuire i pacchetti
- Distribuire i pacchetti
- Distribuire i pacchetti Adobe usando Microsoft Intune
- Distribuire i pacchetti Adobe con SCCM
- Distribuzione di pacchetti Adobe con ARD
- Installazione dei prodotti nella cartella Exceptions
- Disinstallazione dei prodotti Creative Cloud
- Utilizzo di Adobe Provisioning Toolkit Enterprise Edition
- Identificatori delle licenze di Adobe Creative Cloud
- Distribuire i pacchetti
- Gestione degli aggiornamenti
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Risoluzione dei problemi
- Gestire l'account Teams
- Rinnovi
- Gestori contratti
- Report e registri
- Aiuto
In questo documento è illustrata la procedura di installazione dello strumento User Sync per automatizzare il processo di gestione degli utenti.
Lo strumento User Sync è un’utility della riga di comando che copia i dati di utenti e gruppi presenti nel sistema di directory aziendale dell’organizzazione (ad esempio Active Directory o altri sistemi LDAP) nella directory dell’organizzazione in Adobe Admin Console. Ad ogni esecuzione, lo strumento User Sync confronta i dati di utenti e gruppi nei due sistemi e aggiorna la directory Adobe in modo che corrisponda alla directory aziendale.
In questo documento sono fornite le istruzioni dettagliate per interfacciare un sistema Active Directory con Adobe Admin Console. Questa è una delle combinazioni più popolari utilizzate dai nostri clienti nei settori dell’istruzione primaria e secondaria e PMI. Lo strumento User Sync è flessibile e può essere utilizzato per interfacciarsi con la maggior parte dei sistemi di directory e LDAP. Se utilizzi un sistema di directory diverso da Active Directory, le istruzioni fornite in questo documento non sono direttamente pertinenti ma puoi modificarle secondo necessità. Per ulteriori informazioni, consulta la Setup and Success Guide.
Prima di iniziare
Sono necessarie le seguenti informazioni sul sistema LDAP. Se non hai accesso a queste informazioni, contatta l’amministratore IT.
- Nome del controller di dominio (o il suo IP, se fisso) e porta.
- Nome utente e password per un account di servizio che lo strumento può utilizzare per estrarre gli utenti dal tuo LDAP (accesso di sola lettura).
- DN di base, che è il punto da cui il server cerca gli utenti; deve essere abbastanza ampio da consentire il rilevamento di tutti gli utenti e di tutti i gruppi che richiedono la sincronizzazione.
- Nomi dei gruppi che fanno parte della sincronizzazione.
- L’attributo LDAP più adatto per email/nome utente per tutti gli utenti che devono essere creati in Admin Console.
- (Facoltativo) Potrebbe anche essere necessaria una query LDAP personalizzata che seleziona l’insieme di utenti da sincronizzare con Adobe se i filtri predefiniti non soddisfano i requisiti.
La coppia di chiavi viene utilizzata per firmare un JWT e verificarne la legittimità nell’ottenere il processo access_token. Per ricevere assistenza con questa procedura, contatta, se necessario, il tuo team preposto alla sicurezza.
Suggerimenti per i certificati:
- Il certificato pubblico può essere firmato dalla tua CA (se necessario, crea un CSR); sono accettati anche quelli autofirmati.
- La chiave privata deve essere RSA: minimo 2048 bit
- Il certificato pubblico deve avere un’estensione .crt
- Firma usando SHA-256
- Validità della chiave pubblica: sono consigliati tre anni, ma dipende dalle tue politiche interne sulla sicurezza.
Crea un certificato autofirmato
Per utilizzare certificati autofirmati con valori casuali e un certificato pubblico con validità di un anno, il portale adobe.io offre la possibilità di generarli durante la fase di creazione del progetto o nel menu Account servizio (JWT) di un progetto esistente. Per ulteriori informazioni, consulta Creare un’integrazione con Adobe I/O.
Per i certificati autofirmati con dati e validità impostati dall’utente, procedi come segue:
-
user-sync.exe certgen
-
Esegui il comando seguente:
openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
-
Al termine della generazione della chiave privata, ti verrà richiesto di immettere informazioni aggiuntive per creare un nome distinto per la chiave pubblica. Puoi accettare i valori predefiniti o immetterne uno specifico. Per lasciare un campo vuoto, immetti “.” (il carattere punto).
I file del certificato pubblico e della chiave privata sono memorizzati nei percorsi predefiniti seguenti:
Windows: C:\cygwin64\home\<il tuo nome utente>
(se hai utilizzato user-sync.exe, il file deve trovarsi nella stessa cartella dello script)
macOS: /Users/<il tuo nome utente>
Se prevedi di installare lo strumento User Sync nel tuo computer, assicurati che soddisfi i requisiti riportati di seguito:
- Abbia accesso a Internet e al servizio di directory, ad esempio LDAP o AD.
- Sia protetto e sicuro (l’archiviazione e l’accesso alle credenziali amministrative avviene dal computer).
- Sia sempre in esecuzione e offra funzionalità di backup e ripristino.
- Possa inviare messaggi e-mail per consentire allo strumento User Sync di inviare rapporti agli amministratori.
- Se è un computer Windows, il processore deve essere a 64 bit.
In caso contrario, richiedi al reparto IT di identificare un server con tali specifiche e di concederti l’accesso.
Assicurati di aver creato le directory per l’organizzazione e di aver creato i profili di prodotto e i gruppi di utenti in Adobe Admin Console.
Configura il server
Per configurare l’integrazione adobe.io, effettua le operazioni riportate di seguito:
-
In qualità di amministratore di sistema, accedi ad Adobe I/O Console e seleziona l’organizzazione dall’elenco a discesa in alto a destra. Fai clic su Crea nuovo progetto.
-
Fai clic su Modifica progetto in alto a destra e immetti un titolo e una descrizione per il progetto. Fai clic su Salva.
-
Fai clic su Aggiungi API.
-
Nella finestra Aggiungi API, filtra in base ai Servizi Adobe e seleziona User Management API. Fai clic su Avanti.
-
- Generare una coppia di chiavi:
Se desideri utilizzare un certificato autofirmato con valori casuali generati da adobe.io con una validità di 1 anno, seleziona Genera una coppia di chiavi. Quindi, fai clic su Genera coppia di chiavi.
Nel computer locale viene scaricato un file config.zip contenente il file certificate_pub.crt e il file private.key. Il certificato pubblico viene aggiunto automaticamente all’integrazione e il file private.key viene utilizzato successivamente nel processo di configurazione.
- Caricare la chiave pubblica:
Se disponi di un certificato pubblico o lo hai generato utilizzando i passaggi della sezione Recupero della chiave pubblica e privata, seleziona Carica la chiave pubblica. Scorri verso il basso e carica il file del certificato della chiave pubblica. Fai clic su Avanti.
-
Fai clic su Salva API configurata.
-
Per visualizzare i dettagli delle credenziali, seleziona Account di servizio (JWT).
Le informazioni in questa pagina vengono utilizzate successivamente in uno dei file di configurazione dello strumento User Sync.
-
Crea una cartella denominata user_sync_tool in un percorso del disco a cui gli utenti con le autorizzazioni necessarie possano accedere al contenuto.
-
Accedi a GitHub e trova il tag Latest release.
All’interno di questa versione, trova ed espandi Assets. Trova e quindi scarica:
- Il file examples.zip
- Il file .zip dello strumento User Sync nell’elenco che corrisponde al sistema operativo
-
Decomprimi examples.zip, passa a config files - basic e copia questi file nella cartella user_sync_tool: connector-ldap.yml, connector-umapi.yml e user-sync-config.yml.
-
Dall’altro file zip, estrai il file user-sync.exe e copialo nella stessa cartella user_sync_tool.
-
Individua il file private.key fornito con il certificato pubblico e spostalo nella stessa cartella user_sync_tool. A questo punto, la cartella contiene:
- connector-ldap.yml
- connector-umapi.yml
- private.key
- user-sync.exe
- user-sync-config.yml
Configura User Sync
-
Modifica il file connector-ldap.yml con un editor di testo per il codice.
-
Immetti i valori per nome utente, password, host e base_dn.
-
Imposta search_page_size su 200.
-
Anche se nella maggior parte dei casi, i filtri predefiniti funzionano correttamente. Se è necessaria una query LDAP personalizzata per estrarre un insieme di utenti, modifica il parametro di configurazione all_users_filter.
-
Verifica le impostazioni rimanenti non commentate e a quali attributi LDAP fanno riferimento. Modificale in base alle tue esigenze.
Alcune distribuzioni sono configurate con l’accesso basato su nome utente (il campo Username in Admin Console per un determinato utente non è un valore di tipo email).
In questo caso, attiva anche la seguente riga (rimuovi il carattere #):
user_username_format: {sAMAccountName}Sostituisci sAMAccountName con l’attributo corretto se non è quello che devi usare.
-
Modifica il file connector-umapi.yml. Questo file contiene le informazioni di accesso alla tua organizzazione Adobe.
-
Immetti le informazioni seguenti dall’integrazione adobe.io creata in precedenza:
- org_id
- api_key
- client_secret
- tech_acct
-
Assicurati che priv_key_path contenga il nome esatto della chiave privata nella cartella user_sync_tool.
Se la chiave privata si trova nella stessa cartella con il resto dei file UST, priv_key_path può contenere solo il nome del file (funziona come un percorso relativo).
Se nella tua directory non è specificato un paese per ogni utente, puoi impostarne uno predefinito.
-
Modifica il file user-sync-config.yml.
-
Rimuovi il carattere # dalla riga default country code e immetti il codice paese appropriato. Ad esempio:
default_country_code: US
Nota:Il codice paese è obbligatorio per i Federated ID e consigliato per gli Enterprise ID. Se utilizzi gli Enterprise ID e non specifichi il codice paese, questo verrà richiesto agli utenti al primo accesso.
La mappatura dei gruppi definisce quali gruppi di LDAP devono avere un gruppo di utenti o PLC corrispondente in Admin Console.
L’obiettivo qui è quello di fornire allo strumento una fonte di gruppi/utenti in modo che possa abbinare gli stessi iscritti nei gruppi/PLC di Admin Console.
-
Modifica la mappatura dei gruppi nel file user-sync-config.yml.
-
Per ogni gruppo della directory che deve essere associato a un profilo di prodotto o gruppo di utenti Adobe, aggiungi una voce nella sezione groups. Ad esempio:
groups: - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here
Nota:La mappatura dei gruppi può essere eseguita utilizzando i gruppi di utenti o i profili di prodotto Adobe e non i nomi dei prodotti. Inoltre, puoi mappare un gruppo della directory a più gruppi di utenti o profili di prodotto Adobe.
Per impedire la rimozione accidentale dell’account in caso di errata configurazione o di altri problemi, puoi limitare la rimozione a un numero massimo di account durante la sincronizzazione giornaliera.
-
Per cambiare il limite, cerca max_adobe_only_users nel file user-sync-config.yml.
-
Se prevedi che il numero di account rimossi tra le esecuzioni di User Sync sia superiore a quello impostato nel valore max_adobe_only_users, incrementa il valore in modo che copra il numero totale di account da rimuovere.
Nota:Se il numero di account da rimuovere è superiore al valore di max_adobe_only_users, lo strumento non elaborerà nessuna rimozione di account. Nel registro viene registrata una voce di errore critico che denota il raggiungimento di tale limite.
Questo limite non influisce sulle azioni di creazione.
In alcuni casi, determinati account devono essere esclusi dalla sincronizzazione. Puoi raggiungere questo obiettivo modificando il file user-sync-config.yml.
Lo strumento offre tre funzioni di esclusione: per tipo di identità, per nome di gruppo e per espressione standard.
Qualsiasi account trovato in Admin Console che corrisponda ad almeno uno dei criteri citati è protetto dalle operazioni di rimozione (da gruppo, da organizzazione).
È buona norma assegnare agli amministratori di sistema in Admin Console un Adobe ID ed escluderli tramite exclude_identity_types: adobeID
Di seguito è riportato un esempio:
adobe_users:
exclude_identity_types:
- adobeID # adobeID, enterpriseID o federatedID
exclude_adobe_groups:
- adobe_group_name # gli utenti non sono rimossi da User Sync
- other_group_name # puoi escludere più gruppi
exclude_users:
- ".*@esempio.com"
- utente_importante@dominio.com
Lo strumento User Sync genera voci nel registro che sono stampate sull’output standard e scritte anche in un file di registro. L’insieme di impostazioni di configurazione per la registrazione controlla i dettagli relativi all’ubicazione e alla quantità di informazioni del registro generate.
-
Per attivare o disattivare il file di registro, modifica la voce log_to_file nel file user-sync-config.yml.
-
Verifica le impostazioni per i registri e modificale secondo necessità. Per la configurazione iniziale è consigliabile utilizzare
log_to_file: True
file_log_level: debug
In alternativa, se utilizzi un server Windows, puoi utilizzare la procedura guidata User Sync Tool Configuration per configurare la sincronizzazione degli utenti.
La procedura guidata User Sync Tool Configuration è un’interfaccia utente che ti consente di configurare facilmente lo strumento User Sync con le API di gestione utente (Adobe.io), la directory aziendale (LDAP) e le impostazioni di sincronizzazione. Fornisce l’aiuto contestuale e collegamenti alla documentazione dello strumento User Sync. Per ulteriori informazioni, consulta la procedura guidata Adobe User Sync Tool Configuration.
Distribuisci e automatizza
Ora che lo strumento User Sync è configurato nel server o nel computer, puoi verificare se funziona come previsto. Per risolvere i problemi comuni durante l’esecuzione dello strumento User Sync, consulta i suggerimenti per risolvere gli errori comuni.
-
Apri il prompt dei comandi.
-
Utilizzando il seguente comando, accedi alla cartella user_sync_tool.
cd path/to/user_sync_tool
-
Per verificare che la configurazione sia completa, esegui i comandi seguenti:
Per Windows:
user-sync.exe -v user-sync.exe -h
Per UNIX:
./user-sync –v ./user-sync –h
-v visualizza la versione, -h fornisce aiuto sugli argomenti della riga di comando.
-
In modalità test, esegui una sincronizzazione limitata ai gruppi mappati indicati nel file di configurazione, escludendo gli account lato Adobe esistenti.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude
Il comando sopra riportato sincronizza solo gli utenti nel gruppo mappato specificato nel file user-sync-config.yml. Se gli utenti non esistono in Admin Console, il risultato è un tentativo di creare gli utenti e aggiungerli a qualsiasi gruppo mappato ai relativi gruppi della directory.
L’esecuzione di user-sync in modalità di test (-t) comporta solo il tentativo di creazione dell’utente senza portare a termine la creazione. L’opzione --adobe-only-user-action esclude impedisce la rimozione di qualsiasi account utente già esistente nell’organizzazione Adobe.
-
Sebbene invocation_defaults imposti gli argomenti predefiniti con cui viene eseguito lo strumento, è possibile sovrascriverli indicandoli nella riga di comando. In modalità test, esegui una sincronizzazione limitata ai gruppi mappati indicati nel file di configurazione, rimuovendo gli account extra trovati dal lato Adobe e non trovati nell’estrazione LDAP.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove
-t
esegue una simulazione e non una reale sincronizzazione per vedere che cosa potrebbe succedere.
--users-mapped
estrae utenti da LDAP che sono risultati di all_user_filter e appartenenti ai nomi in directory_group forniti nel file di configurazione.
--process-groups
aggiunge/rimuove utenti a/da gruppi utenti lato Adobe o PLC, a seconda che l’account appartenga o meno ai gruppi mappati LDAP.
--adobe-only-user-action remove
qualsiasi account trovato sul lato Adobe è rimosso dal menu Utenti e le autorizzazioni sono rimosse se non trovate nell’estrazione LDAP e non escluse dalla sincronizzazione.
Se tutti i test sono eseguiti correttamente, puoi eseguire la sincronizzazione completa (senza il flag test-mode).
- Le righe di comando fornite sono solo esempi e potrebbero non illustrare tutti i casi d’uso.
- La sincronizzazione iniziale può richiedere da secondi a ore, a seconda del numero di account da sincronizzare. In termini generali, ogni 1,5-2 minuti (timeout inclusi) sono creati circa 250 utenti.
- I messaggi del codice di avviso 429 per il timeout UMAPI sono previsti. Lo strumento gestisce il meccanismo per un nuovo tentativo.
Lo strumento User Sync può essere eseguito manualmente oppure puoi configurarlo in modo da eseguirlo automaticamente una o più volte al giorno.
Se utilizzi un sistema di analisi dei registri e generazione di avvisi, configura l’invio del registro di User Sync al sistema di analisi dei registri. Configura inoltre gli avvisi per qualsiasi messaggio Error o Critical che potrebbe essere scritto nel registro.
-
Per estrarre le voci del registro pertinenti per un riepilogo, crea un file batch nella cartella user_sync_tool invocando il comando user-sync ridirezionando l’output con pipe a una scansione. Ad esempio, creare un file run_sync.bat che contenga:
cd path/to/user-sync-folder user-sync.exe --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt rem email the contents of temp.file.txt to the user sync administration your-mail-tool –send file temp.file.txt
-
Facoltativamente, configura uno strumento della riga di comando per la posta elettronica.
In Windows non è disponibile uno strumento della riga di comando standard, ma ve ne sono molti disponibili commercialmente, nei quali puoi compilare le opzioni specifiche della riga di comando.
-
Configura l’Utilità di pianificazione di Windows per eseguire lo strumento User Sync.
Ad esempio, il codice riportato di seguito esegue lo strumento User Sync ogni giorno a partire dalle 16:00:
C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00