对于 macOS/Linux,请打开终端。
对于 Windows,请打开 Cygwin 或 cmd 等提供 openssl 支持的程序(如果已安装)。否则,从版本 2.6.0 开始,可以使用用户同步工具来生成公共证书和私钥。要求在本地下载此工具,并且在命令提示符下,从包含 user-sync.exe 文件的文件夹中运行该命令行:
- Adobe 企业版和团队版:管理指南
- 规划您的部署
- 基本概念
- 部署指南
- 部署 Creative Cloud 教育版
- 设置您的组织
- 身份类型 | 概述
- 设置身份 | 概述
- 使用 Enterprise ID 设置组织
- 设置 Azure AD 联合和同步
- 设置 Google 联合身份验证和同步
- 通过 Microsoft ADFS 设置组织
- 为区域门户网站和 LMS 建立组织
- 通过其他身份提供商设置组织
- SSO 常见问题和故障排除
- 管理您的组织设置
- 管理用户
- 管理产品和权利
- 开始使用 Global Admin Console
- 管理存储和资源
- 存储
- 资源迁移
- 从用户回收资源
- 学生资源迁移 | 仅限教育界
- 托管服务
- Adobe Stock
- 自定义字体
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud 企业版 - 免费会员资格
- 部署应用程序和更新
- 概述
- 创建包
- 自定义程序包
- 部署包
- 管理更新
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- 疑难解答
- 管理您的团队帐户
- 续订
- 管理合同
- 报告和日志
- 获取帮助
本文档旨在引导您完成安装用户同步工具的过程,以自动化用户管理流程。
用户同步工具是一个命令行实用程序,可将用户和组信息从组织的企业目录系统(例如 Active Directory 或其他 LDAP 系统)移动到 Adobe Admin Console 中组织的目录。每次运行用户同步工具时,它都会查找两个系统中用户和组信息之间的差异,并更新 Adobe 目录以匹配您的目录中的信息。
本文档提供了将 Active Directory 系统与 Adobe Admin Console 连接的分步说明。这是我们 K-12 和 SMB 细分市场中的客户最常用的组合之一。用户同步工具非常灵活,可用于与大多数 LDAP 和目录系统进行交互。如果您使用的是 Active Directory 以外的目录系统,则本文档中的说明不直接适用;可根据需要进行修改。有关更多信息,请参阅《设置和成功指南》。
开始之前
您需要以下有关 LDAP 系统的信息。如果您没有此信息,请与您的 IT 管理员联系。
- 域控制器名称(如果固定,则为 IP)和端口。
- 服务帐户的用户名和密码,该工具可用于从 LDAP 中提取用户(只读访问权限)。
- BASE DN,即服务器搜索用户的依据;它应该足够宽,以支持发现所有需要同步的用户和组。
- 要同步的组名称。
- 最适合所有用户的电子邮件/用户名的 LDAP 属性(需要在 Admin Console 中创建)。
- (可选)如果默认筛选条件不能满足要求,您可能还需要自定义 LDAP 查询,可选择要与 Adobe 同步的一组用户。
密钥对用于对 JWT 进行签名并验证其在获取 access_token 过程中的合法性。如有必要,请与您的安全团队联系,请其协助您完成此过程。
证书提示:
- 公共证书既可以由您自己的 CA 签名(必要时提高 CSR),也可以由您自己签名
- 私钥应为 RSA:最低 2048 位
- 公共证书应具有 crt 扩展名
- 使用 SHA-256 签名
- 公钥有效期:建议三年,但具体视您企业内部的安全政策决定
创建自签名证书
要使用包含随机值的自签名证书以及有效期为一年的公共证书,可以利用 adobe.io 门户在项目创建阶段或者在现有项目的“服务帐户 (JWT)”菜单中生成这些证书。有关更多信息,请参阅使用 Adobe I/O 创建集成。
要使用带自行设置的数据和有效期的自签名证书,请执行以下步骤:
-
user-sync.exe certgen
-
运行以下命令:
openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
-
私钥生成完成后,系统会提示您输入其他信息以创建公钥的可分辨名称。您可以接受默认值,也可以输入相关值。要将字段留空,请输入“.”(点字符)。
公共证书和私钥文件将存储在以下默认位置:
Windows:C:\cygwin64\home\<your_user_name>
(如果已使用 user-sync.exe,则该文件应位于脚本所在的同一文件夹中)
macOS:/Users/<your_user_name>
如果您计划在计算机上安装用户同步工具,请确保计算机符合以下要求:
- 可以访问 Internet 以及 LDAP 或 AD 等目录服务。
- 受保护且安全(您的管理凭据存储在那里或从那里访问)。
- 保持运行、可靠,并具有备份和恢复功能。
- 可以发送电子邮件,以便用户同步工具可以向管理员发送报告。
- 如果它是 Windows 计算机,则具有一个 64 位处理器。
否则,请与 IT 部门合作以识别此类服务器并获取对它的访问权限。
确保您已为组织创建目录,并且已在 Adobe Admin Console 中创建“产品配置和用户组”。
设置服务器
要设置 adobe.io 集成,请执行以下操作:
-
以系统管理员身份登录到 Adobe I/O Console,并从右上角的下拉列表中选择您的组织。单击“创建新项目”。
-
单击右上角的“编辑项目”,然后输入项目标题和项目描述。单击“保存”。
-
单击“添加 API”。
-
在“添加 API”窗口中,按“Adobe 服务”进行筛选,然后选择“User Management API”。单击“下一步”。
-
- 生成密钥对:
如果要使用自签名证书(包含由 adobe.io 生成的随机值且有效期为 1 年),请选择“生成密钥对”。然后,单击“生成密钥对”。
config.zip 文件将下载到包含 certificate_pub.crt 文件和 private.key 的本地计算机上。公共证书将自动添加到您的集成中,并且稍后在配置过程中将使用 private.key。
- 上传公钥:
如果您拥有自己的公共证书,或者已使用“获取公钥和私钥”部分中的步骤生成公共证书,请选择“上传公钥”。向下滚动并上传公钥证书文件。单击“下一步”。
-
单击“保存配置的 API”。
-
要查看凭据详细信息,请导航到“服务帐户 (JWT)”。
此页面上的信息稍后将用于用户同步工具的某个配置文件中。
-
在驱动器上创建一个名为 user_sync_tool 的文件夹,拥有所需权限的用户可以访问其内容。
-
-
将 examples.zip 解压、导航至基本配置文件,然后将这些文件复制到 user_sync_tool 文件夹:connector-ldap.yml、connector-umapi.yml 和 user-sync-config.yml。
-
从其他压缩文件中提取 user-sync.exe 文件,并将其放到相同的 user_sync_tool 文件夹中。
-
找到拥有公共证书的 private.key,并将其移至相同的 user_sync_tool 文件夹中。现在,该文件夹包含:
- connector-ldap.yml
- connector-umapi.yml
- private.key
- user-sync.exe
- user-sync-config.yml
配置用户同步工具
-
使用专业的文本编辑器编辑文件 connector-ldap.yml。
-
输入用户名、密码、主机和 base_dn 值。
-
将 search_page_size 设置为 200。
-
尽管大多数时候默认筛选条件可以满足要求。如果您需要通过自定义 LDAP 查询提取一组用户,则请修改 all_users_filter 配置参数。
-
验证剩余的未提及设置以及与它们相关的 LDAP 属性。根据您的需求更改设置及属性。
部分部署采用基于用户名的登录设置(某一用户在 Admin Console 中的用户名字段并非电子邮件类型的值)。
在这种情况下,也请启用以下行(删除 # 字符):
user_username_format: {sAMAccountName}如果相关属性并非您所需的属性,请用正确的属性替换 sAMAccountName。
-
编辑 connector-umapi.yml。此文件包含 Adobe 组织的访问信息。
-
在您之前创建的 adobe.io 集成输入以下信息:
- org_id
- api_key
- client_secret
- tech_acct
-
确保 priv_key_path 包含 user_sync_tool 文件夹内私钥的确切名称。
如果私钥与其他 UST 文件位于同一文件夹,则 priv_key_path 只能包含文件名;否则,它将用作相对路径。
如果您的目录未列出每个用户的国家/地区,您可以设置默认国家/地区。
-
编辑 user-sync-config.yml 文件。
-
删除 default country code 行中的 #,并输入相应的国家/地区代码。例如:
default_country_code:US
注意:Federated ID 必须有国家/地区代码,Enterprise ID 则建议使用国家/地区代码。如果不为 Enterprise ID 提供国家/地区代码,在用户首次登录时,将会提示用户选择国家/地区。
组映射定义了 LDAP 中的哪些组在 Admin Console 中应拥有相应的用户组或 PLC。
此操作旨在为该工具提供组/用户来源,以便它与 Admin Console 端组/PLC 中的相同成员匹配。
-
在 user-sync-config.yml 文件中编辑“组映射”。
-
对于必须映射到 Adobe 产品配置或用户组的每个目录组,请在 groups 部分内添加条目。例如:
groups: - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here
注意:组映射可以使用 Adobe 用户组或产品配置完成,而不是使用产品名称。并且,您可以将一个目录组映射到多个 Adobe 用户组或产品配置。
为防止在出现配置错误或其他问题时,系统意外删除帐户,您可以设置每天同步时允许删除的帐户数量上限。
-
要更改限制,请在 user-sync-config.yml 文件中找到 max_adobe_only_users。
-
如果您希望在两次运行用户同步时删除的帐户数量超过设置的 max_adobe_only_users 值,则请将该数值提升至超过删除的帐户总数。
注意:如果要删除的帐户数量大于 max_adobe_only_users 值,则该工具将不会处理任何帐户删除的操作。日志将显示一个重要条目,宣布删除的帐户数量已达上限。
此限制不会影响帐户创建操作。
在某些情况下,您不能对某些帐户进行同步。您可以通过编辑 user-sync-config.yml 文件来实现这一目的。
该工具提供三种排除功能:按身份类型、按组名和按正则表达式。
在 Admin Console 中找到的任何帐户(只要至少符合上述条件之一)都可以避免被系统(从组或组织中)删除。
在 Admin Console 中为系统管理员设置 Adobe ID、并通过 exclude_identity_types: adobeID 排除这些帐户是一个很好的做法。
以下是一个示例:
adobe_users:
exclude_identity_types:
- Adobe ID、Enterprise ID、Federated ID
exclude_adobe_groups:
- adobe_group_name # 用户同步不会删除其成员
- other_group_name # 您可以排除多个组
exclude_users:
- ".*@example.com"
- important_user@domain.com
用户同步会生成日志条目,这些条目可输出到标准输出并写入日志文件。配置设置的日志记录集控制输出日志信息的位置和方式的详细信息。
-
要打开或关闭文件日志,请编辑 user-sync-config.yml 文件中的 log_to_file 值。
-
查看日志设置并进行所需更改。我们建议您使用
log_to_file: True
file_log_level: debug 进行初始设置
或者,如果您有 Windows 服务器,则可以使用用户同步工具配置向导配置用户同步。
用户同步工具配置向导是一个 GUI 工具,可帮助您通过用户管理 API (Adobe.io)、企业目录 (LDAP) 和同步设置轻松配置用户同步工具。它提供基于上下文的帮助以及用户同步工具文档的链接。有关更多信息,请参阅 Adobe 用户同步工具配置向导。
部署和自动化
既然已在服务器或计算机上设置了用户同步工具,接下来就可以检查它是否按预期工作。要解决运行用户同步工具时出现的常见问题,请参阅常见错误解决提示。
-
打开命令提示符。
-
使用以下命令,导航到 user_sync_tool 文件夹。
cd path/to/user_sync_tool
-
要验证配置是否完成,请运行以下命令:
对于 Windows:
user-sync.exe -v user-sync.exe -h
对于 UNIX:
./user-sync –v ./user-sync –h
-v 报告版本,-h 提供命令行参数的帮助。
-
在测试模式下,只能对配置文件中命名的映射组(不包括现有的 Adobe 端帐户)进行同步。
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude
上面的命令仅同步 user-sync-config.yml 中指定的映射组中的用户。如果用户在 Admin Console 中不存在,则会导致尝试创建用户并将其添加到从其目录组映射的任何组。
在测试模式 (-t) 下运行用户同步仅尝试创建用户而不是实际创建用户。--adobe-only-user-action exclude 选项可防止删除 Adobe 组织中的任何现有用户帐户。
-
虽然 invocation_defaults 设置了工具运行时使用的默认参数,但是您可以通过在命令行中提及它们来将其覆盖。在测试模式下,只能对配置文件中命名的映射组进行同步,这将删除在 Adobe 端存在但在 LDAP 提取中不存在的多余帐户。
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove
-t
进行模拟(并非真正的同步),看看会有何结果。
--users-mapped
通过 LDAP 提取用户,这些用户是运行 all_user_filter 和在配置文件中已提供 directory_group 名称的成员的结果。
--process-groups
根据帐户是否属于 LDAP 映射组,将用户向/从 Adobe 端用户组或 PLC 添加/删除。
--adobe-only-user-action 删除
在 Adobe 端发现的任何帐户都将从用户菜单中删除;对于没有在 LDAP 提取内容中找到且从同步操作中排除的帐户,其相关权限将被取消。
如果所有测试都按预期运行,您就可以进行完整运行(没有 test-mode 标记)。
- 提供的命令行仅是示例,可能不涵盖所有用例。
- 初次同步可能需要几秒钟到几小时,具体取决于要同步的帐户数量。系统每 1.5-2 分钟(包括超时)大约创建 250 个用户。
- 届时,系统将发送 UMAPI 超时警告代码 429 消息。该工具会处理重试机制。
用户同步可以手动运行,也可以设置为每天自动运行一次到几次。
如果您有可用的日志分析和警报系统,请安排将用户同步日志发送到日志分析系统。并且,为日志中显示的任何错误或严重消息设置警报。
-
要提取相关日志条目以创建摘要,请在 user_sync_tool 文件夹中创建批处理文件,并调用用户同步管道进行扫描。例如,使用以下内容创建文件 run_sync.bat:
cd path/to/user-sync-folder user-sync.exe --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt rem email the contents of temp.file.txt to the user sync administration your-mail-tool –send file temp.file.txt
-
(可选)设置电子邮件命令行工具。
Windows 没有标准的电子邮件命令行工具,但有几款商用工具可供您填写特定的命令行选项。
-
设置 Windows 任务计划程序以运行用户同步工具。
例如,以下代码在每天下午 4:00 开始运行用户同步工具:
C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00