用户指南 取消(C)

设置用户同步工具

  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署指南
      2. 在 Google 课堂中启用 Adobe Express
      3. 与 Canvas LMS 集成
      4. 与 Blackboard Learn 集成
      5. 为学区门户网站和 LMS 配置 SSO
      6. 通过名册同步功能添加用户
      7. Kivuto 常见问题解答
      8. 主要和次要机构资格准则
  3. 设置您的组织
    1. 身份类型 | 概述
    2. 设置身份 | 概述
    3. 使用 Enterprise ID 设置组织
    4. 设置 Azure AD 联合和同步
      1. 通过 Azure OIDC 用 Microsoft 设置 SSO
      2. 将 Azure Sync 添加到您的目录
      3. Azure 连接器常见问题解答
    5. 设置 Google 联合身份验证和 Google Sync
      1. 用 Google 联合身份验证设置 SSO
      2. 将 Google Sync 添加到您的目录
      3. Google 联合身份验证常见问题解答
    6. 通过 Microsoft ADFS 设置组织
    7. 为区域门户网站和 LMS 建立组织
    8. 通过其他身份提供商设置组织
      1. 创建目录
      2. 验证域的所有权
      3. 将域添加到目录
    9. SSO 常见问题和故障排除
      1. SSO 常见问题
      2. SSO 故障排除
      3. 教育常见问题
  4. 管理您的组织设置
    1. 管理现有域和目录
    2. 启用自动创建帐户
    3. 通过目录信任设置组织
    4. 迁移到新的身份验证提供商 
    5. 资源设置
    6. 身份验证设置
    7. 隐私和安全联系人
    8. 控制台设置
    9. 管理加密  
  5. 管理产品和权利
    1. 管理用户
      1. 概述
      2. 管理角色
      3. 用户管理技术
        1. 逐个管理用户   
        2. 管理多个用户(批量 CSV)
        3. 用户同步工具 (UST)
        4. Microsoft Azure Sync
        5. Google 联合身份验证同步
      4. 更改用户的身份类型
      5. 管理用户组
      6. 管理目录用户
      7. 管理开发人员
      8. 将现有用户迁移至 Adobe Admin Console
      9. 将用户管理迁移至 Adobe Admin Console
    2. 管理产品和产品配置
      1. 管理产品
      2. 管理企业用户的产品配置文件
      3. 管理自动分配规则
      4. 审查产品请求
      5. 管理自助服务策略
      6. 管理应用程序集成
      7. 在 Admin Console 中管理产品权限  
      8. 为产品配置文件启用/禁用服务
      9. 单个应用程序 | Creative Cloud 企业版
      10. 可选服务
    3. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 从设备许可迁移
      6. 管理配置文件
      7. 许可工具包
      8. 共享设备许可常见问题解答
  6. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  7. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
      2. 快速入门
  8. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 适用于程序包的 Adobe 模板
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
      8. Adobe Creative Cloud 许可标识符
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 使用 Adobe Remote Update Manager
      2. 用于 Adobe Remote Update Manager 的通道 ID
      3. 解决 RUM 错误
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
      3. Creative Cloud 包“安装失败”错误消息
    9. 使用 Creative Cloud Packager(CC 2018 或更早版本应用程序)创建程序包
      1. 关于 Creative Cloud Packager
      2. Creative Cloud Packager 发行说明
      3. 应用程序打包
      4. 使用 Creative Cloud Packager 创建程序包
      5. 创建指定许可证包
      6. 使用设备许可证创建包
      7. 创建许可证包
      8. 使用序列号许可证创建程序包
      9. Packager Automation
      10. 对非 Creative Cloud 产品进行打包
      11. 编辑和保存配置
      12. 在系统级别设置区域设置
  9. 管理帐户
    1. 管理您的团队帐户
      1. 概述
      2. 更新付款详细信息
      3. 管理账单
      4. 更改合同负责人
      5. 更改经销商
    2. 向团队版用户分配许可证
    3. 添加产品和许可证
    4. 续订
      1. 团队会员资格:续订
      2. VIP 企业:续订和合规性
    5. ETLA 合约的自动到期阶段
    6. 在现有 Adobe Admin Console 中切换合同类型
    7. 购买请求合规性
    8. 中国版 Value Incentive Plan (VIP)
    9. VIP Select 帮助
  10. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  11. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

本文档旨在引导您完成安装用户同步工具的过程,以自动化用户管理流程。

用户同步工具是一个命令行实用程序,可将用户和组信息从组织的企业目录系统(例如 Active Directory 或其他 LDAP 系统)移动到 Adobe Admin Console 中组织的目录。每次运行用户同步工具时,它都会查找两个系统中用户和组信息之间的差异,并更新 Adobe 目录以匹配您的目录中的信息。

本文档提供了将 Active Directory 系统与 Adobe Admin Console 连接的分步说明。这是我们 K-12 和 SMB 细分市场中的客户最常用的组合之一。用户同步工具非常灵活,可用于与大多数 LDAP 和目录系统进行交互。如果您使用的是 Active Directory 以外的目录系统,则本文档中的说明不直接适用;可根据需要进行修改。有关更多信息,请参阅《设置和成功指南》

开始之前

您需要以下有关 LDAP 系统的信息。如果您没有此信息,请与您的 IT 管理员联系。

  • 域控制器名称(如果固定,则为 IP)和端口。
  • 服务帐户的用户名和密码,该工具可用于从 LDAP 中提取用户(只读访问权限)。
  • BASE DN,即服务器搜索用户的依据;它应该足够宽,以支持发现所有需要同步的用户和组。
  • 要同步的组名称。
  • 最适合所有用户的电子邮件/用户名的 LDAP 属性(需要在 Admin Console 中创建)。
  • (可选)如果默认筛选条件不能满足要求,您可能还需要自定义 LDAP 查询,可选择要与 Adobe 同步的一组用户。
Active Directory

密钥对用于对 JWT 进行签名并验证其在获取 access_token 过程中的合法性。如有必要,请与您的安全团队联系,请其协助您完成此过程。

证书提示:

  • 公共证书既可以由您自己的 CA 签名(必要时提高 CSR),也可以由您自己签名
  • 私钥应为 RSA:最低 2048 位
  • 公共证书应具有 crt 扩展名
  • 使用 SHA-256 签名
  • 公钥有效期:建议三年,但具体视您企业内部的安全政策决定

创建自签名证书

要使用包含随机值的自签名证书以及有效期为一年的公共证书,可以利用 adobe.io 门户在项目创建阶段或者在现有项目的“服务帐户 (JWT)”菜单中生成这些证书。有关更多信息,请参阅使用 Adobe I/O 创建集成

要使用带自行设置的数据和有效期的自签名证书,请执行以下步骤:

  1. 对于 macOS/Linux,请打开终端。

    对于 Windows,请打开 Cygwin 或 cmd 等提供 openssl 支持的程序(如果已安装)。否则,从版本 2.6.0 开始,可以使用用户同步工具来生成公共证书和私钥。要求在本地下载此工具,并且在命令提示符下,从包含 user-sync.exe 文件的文件夹中运行该命令行:

    user-sync.exe certgen
  2. 运行以下命令:

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    数字证书

  3. 私钥生成完成后,系统会提示您输入其他信息以创建公钥的可分辨名称。您可以接受默认值,也可以输入相关值。要将字段留空,请输入“.”(点字符)。

    数字证书

公共证书和私钥文件将存储在以下默认位置:

Windows:C:\cygwin64\home\<your_user_name>

如果已使用 user-sync.exe,则该文件应位于脚本所在的同一文件夹中)

macOS:/Users/<your_user_name>

如果您计划在计算机上安装用户同步工具,请确保计算机符合以下要求:

  • 可以访问 Internet 以及 LDAP 或 AD 等目录服务。
  • 受保护且安全(您的管理凭据存储在那里或从那里访问)。
  • 保持运行、可靠,并具有备份和恢复功能。
  • 可以发送电子邮件,以便用户同步工具可以向管理员发送报告。
  • 如果它是 Windows 计算机,则具有一个 64 位处理器。

否则,请与 IT 部门合作以识别此类服务器并获取对它的访问权限。

确保您已为组织创建目录,并且已在 Adobe Admin Console 中创建“产品配置和用户组”

设置服务器

要设置 adobe.io 集成,请执行以下操作:

  1. 以系统管理员身份登录到 Adobe I/O Console,并从右上角的下拉列表中选择您的组织。单击“创建新项目”

    选择您的组织

  2. 单击右上角的“编辑项目”,然后输入项目标题和项目描述。单击“保存”

    编辑项目

  3. 单击“添加 API”

    添加 API

  4. 在“添加 API”窗口中,按“Adobe 服务”进行筛选,然后选择“User Management API”。单击“下一步”

    User Management API

    • 生成密钥对:

    如果要使用自签名证书(包含由 adobe.io 生成的随机值且有效期为 1 年),请选择“生成密钥对”。然后,单击“生成密钥对”

    config.zip 文件将下载到包含 certificate_pub.crt 文件和 private.key 的本地计算机上。公共证书将自动添加到您的集成中,并且稍后在配置过程中将使用 private.key。

    • 上传公钥:

    如果您拥有自己的公共证书,或者已使用“获取公钥和私钥”部分中的步骤生成公共证书,请选择“上传公钥”。向下滚动并上传公钥证书文件。单击“下一步”

    配置 API

  5. 单击“保存配置的 API”

  6. 要查看凭据详细信息,请导航到“服务帐户 (JWT)”

    凭据详细信息

此页面上的信息稍后将用于用户同步工具的某个配置文件中。

  1. 在驱动器上创建一个名为 user_sync_tool 的文件夹,拥有所需权限的用户可以访问其内容。

  2. 访问 GitHub 并找到“最新版本”标签。

    在此版本中,找到并展开“资源”。然后,找到以下内容并将其下载:

    • examples.zip 文件
    • 列表中与操作系统类型匹配的用户同步工具的 .zip 文件
  3. 将 examples.zip 解压、导航至基本配置文件,然后将这些文件复制到 user_sync_tool 文件夹:connector-ldap.yml、connector-umapi.yml 和 user-sync-config.yml。

  4. 从其他压缩文件中提取 user-sync.exe 文件,并将其放到相同的 user_sync_tool 文件夹中。

  5. 找到拥有公共证书的 private.key,并将其移至相同的 user_sync_tool 文件夹中。现在,该文件夹包含:

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.exe
    • user-sync-config.yml

配置用户同步工具

  1. 使用专业的文本编辑器编辑文件 connector-ldap.yml

  2. 输入用户名、密码、主机和 base_dn 值。

    目录访问配置文件

  3. search_page_size 设置为 200。

  4. 尽管大多数时候默认筛选条件可以满足要求。如果您需要通过自定义 LDAP 查询提取一组用户,则请修改 all_users_filter 配置参数。

  5. 验证剩余的未提及设置以及与它们相关的 LDAP 属性。根据您的需求更改设置及属性。

    部分部署采用基于用户名的登录设置(某一用户在 Admin Console 中的用户名字段并非电子邮件类型的值)。 

    在这种情况下,也请启用以下行(删除 # 字符):
    user_username_format: {sAMAccountName}

    如果相关属性并非您所需的属性,请用正确的属性替换 sAMAccountName。

  1. 编辑 connector-umapi.yml。此文件包含 Adobe 组织的访问信息。

  2. 在您之前创建的 adobe.io 集成输入以下信息:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. 确保 priv_key_path 包含 user_sync_tool 文件夹内私钥的确切名称。
    如果私钥与其他 UST 文件位于同一文件夹,则 priv_key_path 只能包含文件名;否则,它将用作相对路径。

    Adobe UMAPI 凭据

如果您的目录未列出每个用户的国家/地区,您可以设置默认国家/地区。

  1. 编辑 user-sync-config.yml 文件。

  2. 删除 default country code 行中的 #,并输入相应的国家/地区代码。例如:

    default_country_code:US
    注意:

    Federated ID 必须有国家/地区代码,Enterprise ID 则建议使用国家/地区代码。如果不为 Enterprise ID 提供国家/地区代码,在用户首次登录时,将会提示用户选择国家/地区。

组映射定义了 LDAP 中的哪些组在 Admin Console 中应拥有相应的用户组或 PLC。

此操作旨在为该工具提供组/用户来源,以便它与 Admin Console 端组/PLC 中的相同成员匹配。

  1. user-sync-config.yml 文件中编辑“组映射”

  2. 对于必须映射到 Adobe 产品配置或用户组的每个目录组,请在 groups 部分内添加条目。例如:

    groups: - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here
    注意:

    组映射可以使用 Adobe 用户组或产品配置完成,而不是使用产品名称。并且,您可以将一个目录组映射到多个 Adobe 用户组或产品配置。

为防止在出现配置错误或其他问题时,系统意外删除帐户,您可以设置每天同步时允许删除的帐户数量上限。

  1. 要更改限制,请在 user-sync-config.yml 文件中找到 max_adobe_only_users

  2. 如果您希望在两次运行用户同步时删除的帐户数量超过设置的 max_adobe_only_users 值,则请将该数值提升至超过删除的帐户总数。

    注意:

    如果要删除的帐户数量大于 max_adobe_only_users 值,则该工具将不会处理任何帐户删除的操作。日志将显示一个重要条目,宣布删除的帐户数量已达上限。

    此限制不会影响帐户创建操作。

在某些情况下,您不能对某些帐户进行同步。您可以通过编辑 user-sync-config.yml 文件来实现这一目的。
该工具提供三种排除功能:按身份类型、按组名和按正则表达式。
在 Admin Console 中找到的任何帐户(只要至少符合上述条件之一)都可以避免被系统(从组或组织中)删除。

在 Admin Console 中为系统管理员设置 Adobe ID、并通过 exclude_identity_types: adobeID 排除这些帐户是一个很好的做法。

以下是一个示例:

adobe_users:
  exclude_identity_types:
    - Adobe ID、Enterprise ID、Federated ID
  exclude_adobe_groups:
    - adobe_group_name  # 用户同步不会删除其成员
    - other_group_name  # 您可以排除多个组
  exclude_users:
    - ".*@example.com"
    - important_user@domain.com

用户同步会生成日志条目,这些条目可输出到标准输出并写入日志文件。配置设置的日志记录集控制输出日志信息的位置和方式的详细信息。

  1. 要打开或关闭文件日志,请编辑 user-sync-config.yml 文件中的 log_to_file 值。

  2. 查看日志设置并进行所需更改。我们建议您使用
    log_to_file: True
    file_log_level: debug
    进行初始设置

或者,如果您有 Windows 服务器,则可以使用用户同步工具配置向导配置用户同步。

用户同步工具配置向导是一个 GUI 工具,可帮助您通过用户管理 API (Adobe.io)、企业目录 (LDAP) 和同步设置轻松配置用户同步工具。它提供基于上下文的帮助以及用户同步工具文档的链接。有关更多信息,请参阅 Adobe 用户同步工具配置向导

部署和自动化

既然已在服务器或计算机上设置了用户同步工具,接下来就可以检查它是否按预期工作。要解决运行用户同步工具时出现的常见问题,请参阅常见错误解决提示

  1. 打开命令提示符。
  2. 使用以下命令,导航到 user_sync_tool 文件夹。

    cd path/to/user_sync_tool
  3. 要验证配置是否完成,请运行以下命令:

    对于 Windows

    user-sync.exe -v user-sync.exe -h

    对于 UNIX

    ./user-sync –v ./user-sync –h

    -v 报告版本,-h 提供命令行参数的帮助。

  4. 在测试模式下,只能对配置文件中命名的映射组(不包括现有的 Adobe 端帐户)进行同步。

    user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude

    上面的命令仅同步 user-sync-config.yml 中指定的映射组中的用户。如果用户在 Admin Console 中不存在,则会导致尝试创建用户并将其添加到从其目录组映射的任何组。

    在测试模式 (-t) 下运行用户同步仅尝试创建用户而不是实际创建用户。--adobe-only-user-action exclude 选项可防止删除 Adobe 组织中的任何现有用户帐户。

  5. 虽然 invocation_defaults 设置了工具运行时使用的默认参数,但是您可以通过在命令行中提及它们来将其覆盖。在测试模式下,只能对配置文件中命名的映射组进行同步,这将删除在 Adobe 端存在但在 LDAP 提取中不存在的多余帐户。

    user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    进行模拟(并非真正的同步),看看会有何结果。

    --users-mapped

    通过 LDAP 提取用户,这些用户是运行 all_user_filter 和在配置文件中已提供 directory_group 名称的成员的结果。

    --process-groups

    根据帐户是否属于 LDAP 映射组,将用户向/从 Adobe 端用户组或 PLC 添加/删除。

    --adobe-only-user-action 删除

    在 Adobe 端发现的任何帐户都将从用户菜单中删除;对于没有在 LDAP 提取内容中找到且从同步操作中排除的帐户,其相关权限将被取消。

    此处详细了解命令参数。

    点击此处了解其他一些使用场景。

如果所有测试都按预期运行,您就可以进行完整运行(没有 test-mode 标记)。

注意:
  • 提供的命令行仅是示例,可能不涵盖所有用例。
  • 初次同步可能需要几秒钟到几小时,具体取决于要同步的帐户数量。系统每 1.5-2 分钟(包括超时)大约创建 250 个用户。
  • 届时,系统将发送 UMAPI 超时警告代码 429 消息。该工具会处理重试机制。

用户同步可以手动运行,也可以设置为每天自动运行一次到几次。

注意:

如果您有可用的日志分析和警报系统,请安排将用户同步日志发送到日志分析系统。并且,为日志中显示的任何错误或严重消息设置警报。

  1. 要提取相关日志条目以创建摘要,请在 user_sync_tool 文件夹中创建批处理文件,并调用用户同步管道进行扫描。例如,使用以下内容创建文件 run_sync.bat:

    cd path/to/user-sync-folder user-sync.exe --users file example.users-file.csv --process-groups | findstr /I &quot;==== ----- WARNING ERROR CRITICAL Number&quot; > temp.file.txt rem email the contents of temp.file.txt to the user sync administration your-mail-tool –send file temp.file.txt
  2. (可选)设置电子邮件命令行工具。

    Windows 没有标准的电子邮件命令行工具,但有几款商用工具可供您填写特定的命令行选项。

  3. 设置 Windows 任务计划程序以运行用户同步工具。

    例如,以下代码在每天下午 4:00 开始运行用户同步工具:

    C:\> schtasks /create /tn &quot;Adobe User Sync&quot; /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
Adobe 徽标

登录到您的帐户