本文档旨在引导您完成安装用户同步工具的过程,以自动化用户管理流程。

用户同步工具是一个命令行实用程序,可将用户和组信息从组织的企业目录系统(例如 Active Directory 或其他 LDAP 系统)移动到 Adobe Admin Console 中组织的目录。每次运行用户同步工具时,它都会查找两个系统中用户和组信息之间的差异,并更新 Adobe 目录以匹配您的目录中的信息。

本文档提供了将 Active Directory 系统与 Adobe Admin Console 连接的分步说明。这是我们 K-12 和 SMB 细分市场中的客户最常用的组合之一。用户同步工具非常灵活,可用于与大多数 LDAP 和目录系统进行交互。如果您使用的是 Active Directory 以外的目录系统,则本文档中的说明不直接适用;可根据需要进行修改。有关更多信息,请参阅设置和成功指南

开始之前

获取 Active Directory 信息

您需要有关 Active Directory(或 LDAP)系统的以下信息。如果您没有此信息,请与您的 IT 管理员联系。

  • 有关运行系统的服务器的主机和端口信息。
  • 用户名和密码。
  • Base DN,这是服务器搜索用户的依据。
  • 此外,您还可能需要 LDAP 查询来选择要与 Adobe 同步的用户集。
Active Directory

获取数字证书

要签署 API 调用,您需要一个数字证书。如果您没有证书,请与 IT 管理员联系以获取相关说明。

证书提示:

  • 证书必须包含公钥证书文件和私钥文件。
  • CRT(Base64 编码 X.509)格式
  • 使用 .crt 文件扩展名(而非 .pem、.cer 或 .cert)命名
  • SHA-2
  • 多行格式(单行会失败)
  • 必须至少持续 3 年(这可以在该生命周期内省却维护,而且不会影响安全性)

创建自签名证书

对于测试和设置,您还可以使用自签名证书。您可以使用 Cygwin 在 Windows 中创建证书,其中包括 openssl。在 Mac OS 中,您可以使用内置的命令行工具 openssl。要创建证书,请执行以下操作:

  1. 如果您使用的是 Windows,请安装并打开 Cygwin。对于 macOS,打开终端。
  2. 运行以下命令:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    数字证书
  3. 私钥生成完成后,系统会提示您输入其他信息以创建公钥的可分辨名称。您可以接受默认值,也可以输入相关值。要将字段留空,请输入“.”(点字符)。

    数字证书

默认情况下,公钥证书文件和私钥文件存储在以下位置:

Windows:C:\cygwin64\home\<your_user_name>

macOS:/Users/<your_user_name>

识别服务器

如果您计划在计算机上安装用户同步工具,请确保计算机符合以下要求:

  • 可以访问 Internet 以及 LDAP 或 AD 等目录服务。
  • 受保护且安全(您的管理凭据存储在那里或从那里访问)。
  • 保持运行、可靠,并具有备份和恢复功能。
  • 可以发送电子邮件,以便用户同步工具可以向管理员发送报告。
  • 如果它是 Windows 计算机,则具有一个 64 位处理器。

否则,请与 IT 部门合作以识别此类服务器并获取对它的访问权限。

配置 Adobe Admin Console

确保您已为组织申请该域,并且已在 Adobe Admin Console 中创建产品配置和用户组

设置服务器

使用 Adobe I/O 创建集成

要设置 adobe.io 集成,请执行以下操作:

  1. 登录到 Adobe I/O 控制台,从下拉列表中选择您的组织,然后单击“新建集成”

    新建集成
  2. 在“新建集成”向导中,选择“访问 API”,然后单击“继续”

    Screenshot_3
  3. 在“Adobe Services”下选择“用户管理 API”,单击“继续”。在随后出现的屏幕上,再次单击“继续”

    Untitled-2
  4. 输入集成的名称和描述,然后上传公钥证书文件。单击“创建集成”

    随即创建集成。

    创建集成
  5. 要查看集成详细信息,请单击“继续查看集成详细信息”

    集成详细信息

稍后配置用户同步文件时需要这些集成详细信息。

安装用户同步工具

  1. 在您的计算机或服务器上的以下位置创建一个名为 user_sync_tool 的文件夹:

    Windows:C:\Users\<your_user _name>\

    macOS:/home/<your_user _name>/

  2. 访问 GitHub,选择“发布”,并下载以下文件:

    • example-configurations.tar.gz
    • 适用于您使用的平台和 python 版本的用户同步工具。
  3. 从存档中提取 user-sync.pex 文件并将其放入您创建的 user_sync_tool 文件夹。

  4. example-configurations.tar.gz 中,导航到 config files - basic,提取前三个文件,并将它们放在 user_sync_tool 文件夹中。

  5. 重命名这三个文件并从名称中删除数字。因此,user_sync_tool 文件夹中现在有以下文件:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

设置 Python 的路径(仅限 Windows)

  1. 安装 Python 版本 3.6.2 或更高版本(64 位)。

  2. 选中复选框“将 Python 3.6 添加到 PATH”,记下安装路径,然后单击“立即安装”

    安装 Python
  3. 打开命令提示符并运行以下命令:

    python

    该命令必须返回已安装的 Python 版本。

配置用户同步工具

配置目录访问

  1. 编辑 connector-ldap.yml 文件。该文件具有目录系统的访问信息。

  2. 输入用户名、密码、主机和 base_dn 值。

    目录访问配置文件
  3. search_page_size 设置为 0。

    如果您需要非默认 LDAP 查询来选择所需的用户集,则会在此文件中作为 all_users_filter 配置参数的一部分对其进行设置。

配置 Adobe UMAPI 凭据

  1. 编辑 connector-umapi.yml。此文件包含 Adobe 组织的访问信息。

  2. 从您之前创建的 adobe.io 集成输入以下信息:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. 将私钥文件放在 user_sync_tool 文件夹中。priv_key_path 配置文件项随后被设置为此文件的名称。

    Adobe UMAPI 凭据

定义默认国家/地区代码

如果您的目录未列出每个用户的国家/地区,您可以设置默认国家/地区。

  1. 编辑 user-sync-config.yml 文件。

  2. 删除 default country code 行中的 #,并输入相应的国家/地区代码。例如:

    default_country_code: US

    注意:

    Federated ID 必须有国家/地区代码,Enterprise ID 则建议使用国家/地区代码。如果不为 Enterprise ID 提供国家/地区代码,在用户首次登录时,将会提示用户选择国家/地区。

组映射

您可以通过使用 LDAP/AD 工具而不是 Adobe Admin Console 将用户帐户添加到企业目录组来配置用户帐户。然后,配置文件定义从目录组到 Adobe 产品配置或用户组的映射。

如果用户是目录组的成员,则用户同步工具会将用户添加到 Adobe Admin Console 中的相应用户组。此外,如果用户是用户组的成员,但不在目录组中,则用户同步工具会将用户从用户组中删除。

  1. user-sync-config.yml 文件中编辑组映射

  2. 对于必须映射到 Adobe 产品配置或用户组的每个目录组,请在 groups 之后添加一个条目。例如:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    注意:

    组映射可以使用 Adobe 用户组或产品配置完成,而不是使用产品名称。并且,您可以将一个目录组映射到多个 Adobe 用户组或产品配置。

不匹配用户限制

为防止在出现配置错误或其他问题时意外删除帐户,对删除帐户设置了限制。

  1. 要更改限制,请在 user-sync-config.yml 文件中编辑限制

  2. 如果您希望在两次运行用户同步时目录用户数量减少 200 以上,请提高 max_adobe_only_users 值。

    注意:

    如果删除的帐户数超过 max_adobe_only_users 值中定义的数量,则更新将中止。

删除保护

如果您想通过用户同步来创建和删除帐户,并希望手动创建一些帐户,请使用此功能阻止用户同步删除您手动创建的帐户。

  1. user-sync-config.yml 文件中编辑要排除的配置项。

    exclude_groups

    它定义 Adobe 用户组和/或产品配置的列表。作为列出的组成员的 Adobe 用户不会被删除或更新,并且他们的组成员身份不会更改。

    exclude_users

    它给出模式列表。用户名匹配任何指定模式(默认不区分大小写,除非模式指定区分大小写)的 Adobe 用户都不会被删除或更新,并且他们的组成员身份不会更改。

    exclude_identity_types

    它给出身份类型列表。具有这些身份类型的其中一种类型的 Adobe 用户不会被删除或更新,并且他们的组成员身份不会更改。

  2. 要保护 Admin Console 上的用户免遭更新,请创建一个用户组并将受保护的用户放入该组,然后将该组列为从用户同步处理中排除。您还可以列出与特定用户名匹配的特定用户或模式以保护这些用户。您也可以根据用户的身份类型保护用户。

    例如:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    在上面的示例中,管理员、承包商和用户名是示例值。使用您创建的 Adobe 用户组、产品配置或用户的名称。

创建日志

用户同步会生成日志条目,这些条目可输出到标准输出并写入日志文件。配置设置的日志记录集控制输出日志信息的位置和方式的详细信息。

  1. 要打开或关闭文件日志,请编辑 user-sync-config.yml 文件中的 log_to_file 值。

    消息的重要性可以是五个级别之一,您可为输出到控制台的文件日志或标准输出日志选择最低重要性。默认设置是生成文件日志并包含级别为“info”或更高级别的消息,这是推荐设置。

  2. 查看日志设置并进行所需更改。推荐的日志级别是 info(这是默认值)。

使用用户同步工具配置向导进行配置(仅限 Windows)

或者,如果您有 Windows 服务器,则可以使用用户同步工具配置向导配置用户同步。

用户同步工具配置向导是一个 GUI 工具,可帮助您使用用户管理 API (Adobe.io)、企业目录 (LDAP) 和同步设置轻松配置用户同步工具。它提供基于上下文的帮助以及用户同步工具文档的链接。有关更多信息,请参阅 Adobe 用户同步工具配置向导

部署和自动化

检查配置

既然已在服务器或计算机上设置了用户同步工具,接下来就可以检查它是否按预期工作。

  1. 打开命令提示符。
  2. 使用以下命令,导航到 user_sync_tool 文件夹。

    cd C:\Users\<your_user _name>\user_sync_tool
  3. 以下是用于启动用户同步的命令:

    Windowspython user-sync.pex ....

    UNIX:/user-sync ....

    例如,要验证配置是否完整,请运行以下命令:

    对于 Windows

    python user-sync.pex -v
    python user-sync.pex -h

    对于 UNIX

    ./user-sync –v
    ./user-sync –h

    -v 报告版本,-h 提供命令行参数的帮助。

  4. 在测试模式下,运行仅限于目录中映射组的同步。

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    上面的命令仅同步 user-sync-config.yml 中指定的映射组中的用户。如果用户在 Admin Console 中不存在,则会导致尝试创建用户并将其添加到从其目录组映射的任何组。

    在测试模式 (-t) 下运行用户同步仅尝试创建用户而不是实际创建用户。--adobe-only-user-action exclude 选项可防止更新 Adobe 组织中已存在的任何用户帐户。

  5. 不使用测试模式运行同步,以便它创建用户并将其添加到映射组。

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. 检查 Adobe Admin Console 以确定用户是否出现以及是否添加了组成员身份。

  7. 重新运行相同的命令。用户同步不得尝试重新创建并再次将用户添加到组。它必须检测到用户已存在,并且是用户组或产品配置的成员,而不执行任何操作。

如果所有测试都按预期运行,您就可以进行完整运行(不进行用户筛选)。

注意:

如果目录中有超过几百个用户,则可能需要几个小时才能将用户与 Adobe Admin Console 同步。

监控和安排

用户同步可以手动运行,也可以设置为每天自动运行一次到几次。

注意:

如果您有可用的日志分析和警报系统,请安排将用户同步日志发送到日志分析系统。并且,为日志中显示的任何错误或严重消息设置警报。

  1. 要提取相关日志条目以创建摘要,请在 user_sync_tool 文件夹中创建批处理文件,并调用用户同步管道进行扫描。例如,使用以下内容创建文件 run_sync.bat:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. (可选)设置电子邮件命令行工具。

    Windows 中没有标准的电子邮件命令行工具,但有几种商业工具,您可以在其中填写特定的命令行选项。

  3. 设置 Windows 任务计划程序以运行用户同步工具。

    例如,以下代码在每天下午 4:00 开始运行用户同步工具:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. 要确保计划的任务正常运行,请在测试模式下运行一个命令。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略