Nástroj pro synchronizaci uživatelů – časté chyby

Uvádíme některé z častých chyb při spuštění UST a tipy k jejich řešení

FileNotFoundError: [Errno 2]

Vzor chybového výstupu konzole:

FileNotFoundError: [Errno 2] No such file or directory: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'

Může se objevit ve Windows kvůli cestám s více než 256 znaky.

Tip: Vytvořte proměnnou prostředí s názvem PEX_ROOT s hodnotou C:\pex (pokud se skript spouští z disku C:, nebo odpovídacím způsobem upravte písmeno). Aby se změna projevila, je někdy zapotřebí systém restartovat.

 

nelze otevřít soubor 'user-sync.pex': [Errno 2]

Vzor chybového výstupu konzole:

python: can't open file 'user-sync.pex': [Errno 2] No such file or directory

Tip: Ověřte, že příkazový řádek Python spouštíte ze složky, kde je soubor user-sync.pex.

 

Vypršení časového limitu UMAPI

Vzor chybového výstupu konzole:

2018-01-01 11:49:42 28102 WARNING umapi - UMAPI timeout...service unavailable (code 429 on try 1)
2018-01-01 11:49:42 28102 WARNING umapi - Next retry in 42 seconds...

Tip: Tato upozornění jsou normální. Když je server zaneprázdněný, je jeho odpovědí kód HTTP 429; řešením tedy může být zkusit to znovu.UST přichází s exponenciálním regresním mechanismem pro opakování volání, který zvyšuje čas mezi opakováními. Skript se zastaví po třech nezdařených opakováních.

error.user.belongs_to_another_org

Vzorová položka protokolu (režim ladění):

2018-01-01 11:49:42 28102 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Command: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): code: "error.user.belongs_to_another_org" message: "Illegal to invite user from another organization's owned auth src"

Tip: Doména, která se použila k vytvoření účtu, nemusí být ve vaší organizaci deklarována nebo důvěryhodná. V části Konzola pro správu -> Nastavení se u aktivních domén musí zobrazovat zelený příznak nebo puntík. Pokud tomu tak není, problém může vyřešit dokončení procesu deklarace domény.

error.user.type_mismatch

Vzorová položka protokolu (režim ladění):

2018-01-01 12:34:23 13383 ERROR umapi.action - Error in requestID: action_6 (User: {'user': ‘user@domain.com’, 'requestID': 'action_6'}, Command: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': ‘US’}}): code: "error.user.type_mismatch" message: "The user type requested for the invite does not match the claimed domain type"

Tip: Proběhl pokus o vytvoření účtu typu ID Federated, ale adresář byl vytvořen pro účet Enterprise, nebo naopak. Vyhledejte atribut user_identity_type v souboru user-sync-config.yml. Změňte hodnotu podle typu adresáře, který se zobrazuje v Konzole pro správu (Nastavení > Identita > Domény > Typ adresáře pro danou doménu).

Vzorová položka protokolu (režim ladění):

Chybějící závislosti

Vzor chybového výstupu konzole:

Failed to execute PEX file, missing compatible dependencies for:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync

Tipy:

a) Zkontrolujte, zda jste na svém systému nenainstalovali 32bitovou verzi Python. Tuto 32bitovou verzi odinstalujte a nainstalujte 64bitovou verzi, abyste problém vyřešili.

b) Zkontrolujte, že verze user-sync.pex, kterou jste stáhli z GitHub, odpovídá vaší verzi Python a typu OS. Například user-sync-v2.3-win64-py365.zip je třeba stáhnout pro 64bitovou verzi systému Windows a Python 3.

Používání nejnovější verze jazyka Python není vždy tím nejlepším řešením. Ideální je, aby verze Python odpovídala původně sestavenému souboru .pex. Zjistěte příponu staženého souboru .zip, abyste identifikovali verzi Python, která bude fungovat. Pro příklad nahoře (user-sync-v2.3-win64-py365.zip) lze identifikovat Python 3.6.5.

Chyba dešifrování privátního klíče

Vzorová položka protokolu (režim ladění):

2018-01-01 09:52:23 7920 DEBUG umapi - umapi: reading private key data from file C:\path\to\private.key
2018-01-01 09:52:23 7920 CRITICAL main - umapi configuration.enterprise: Error decrypting private key, either the password is wrong or: RSA key format is not supported

Tipy:

a) Někdy může privátní klíč obsahovat některé nedatované znaky neb prázdné řádky, které byly vloženy omylem. Pokuste se prázdné řádky odstranit nebo znovu vygenerujte pár privátních a veřejných klíčů.

b) Nepoužívejte atribut umapi_private_key_data, pokud spouštíte skript ve Windows. Místo toho klíč zašifrujte a uložte heslo ve Správci přihlašovacích údajů.

c) Pokud používáte jiný formát, vyzkoušejte RSA256 / 2048bitový privátní klíč.

d) Je možné, že jste nastavili secure_priv_key_pass_key: umapi_private_key_passphrase v souboru connector-umapi.yml. V tomto případě zajistěte, aby příslušná položka v Úložišti přihlašovacích údajů odpovídala souvisejícím hodnotám (viz níže).

Správce přihlašovacích údajů Windows

Žádná hodnota v zabezpečeném úložišti pro uživatele...

Vzorová položka protokolu (režim ladění):

2018-01-01 09:52:23 7920 CRITICAL main - umapi CRITICAL main - umapi configuration.enterprise: No value in secure storage for user "someUUIDvalue@AdobeOrg", key "umapi_api_key"

Tipy:

a) Chybí položka Úložiště přihlašovacích údajů pro umapi_api_key.. Vytvořte položku v Úložišti přihlašovacích údajů. Pomocnou dokumentaci lze najít zde.

b) Je možné, že tato hodnota byla přidána do Úložiště přihlašovacích údajů pod jiným uživatelským účtem. Pro právě připojeného uživatele ale tato položka chybí. V případě potřeby ji přidejte nebo přepněte uživatele.

error.internal.exceptionflys / error.unauthorized


		
	





Vzor chybového výstupu konzole:

umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Failed to exchange token"}

OR

"umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.unauthorized","message":"Failed to authenticate provided token"}"

Tip: Je možné, že v části Konzola pro správu -> Nastavení -> Nastavení ověřování je vybrána jiná možnost než Nejjednodušší pro uživatele (platnost hesla neomezená). Pokud je aktivní možnost Bezpečnější nebo Nejbezpečnější, může dojít k vypršení hesla Technického účtu spojeného s integrací.

Abyste problém vyřešili, musíte vytvořit novou integraci. Zkontrolujte, že k obnovení metadat došlo také v souboru connector-umapi.yml.

Za tímto účelem byla nasazena oprava, která ale může ovlivnit integrace před říjnem 2018.

Nepodařilo se založit nové připojení [Errno 10061]

Vzor chybového výstupu konzole:

ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Max retries exceeded with url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Failed to establish a new connection: [Errno 10061] No connection could be made because the target machine actively refused it',))

Tip:

Souvisí to s tím, že UST se nedokáže připojit k veřejným koncovým bodům API. Místní nastavení může bránit v přístupu  v důsledku pravidel brány firewall, serveru proxy blokujícího komunikaci, nastavení účtu pro přístup k internetu a dalších.

V některých případech může pomoci přidat tyto dvě proměnné prostředí:

http_proxy a přidružená hodnota ve formátu http://<host proxy>:<port>

https_proxy a přidružená hodnota ve formátu  https://<host proxy>:<port>

V ostatních případech může pomoci povolit přístup k těmto koncovým bodům:

ims-na1.adobelogin.com:443

usermanagement.adobe.io:443

Problém lze vyřešit pouze lokálně zrušením přístupu k výše uvedeným koncovým bodům pro spuštěný účet.

Metaobory v JWT nejsou podmnožinou metaoborů ve vazbě

Vzorová položka protokolu (režim ladění):

2017-07-07 09:01:37 4916 CRITICAL main -  Connection to org [...] at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: Unable to authorise against https://ims-na1.adobelogin.com/ims/exchange/jwt: Response Code: 400, Response Text: {"error_description":"The metascopes in the JWT are not a subset of the metascopes in the binding.","error":"invalid_scope"}

Tip: Přistupte k integraci, kterou jste vytvořili v https://console.adobe.io/projects, a zkontrolujte levou nabídku, kde jsou uvedena rozhraní API. Ověřte, že API pro Správu uživatelů je přidáno jako služba (uvedeno na seznamu).

Pro kombinaci organizace a technického účtu nebyly nalezeny žádné platné vazby

Vzorová položka protokolu (režim ladění):

2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: Unable to authorize against https://ims-na1.adobelogin.com/ims/exchange/jwt:
Response Code: 400, Response Text: {"error_description":"No valid bindings were found for organization and technical account combination","error":"invalid_token"}

Tipy:

a) Příčinou může být to, že hodnota tech_acct v souboru connector-umapi.yml odpovídá jiné hodnotě, než je ID technického účtu v integraci https://console.adobe.io. Ověřte hodnotu ID technického účtu ze stávající integrace a zkopírujte ji do tohoto souboru.

b) Příčinou může být také to, že platnost veřejného certifikátu integrace vypršela. Platnost privátního a veřejného klíče prodlužte. Pak veřejný klíč nahrajte a nahraďte starý privátní klíč novým. Ověřte cestu v souboru connector-umapi.yml, aby odkazovala na správný soubor.

c) Zkontrolujte, že integrace byl provedena pro správnou organizaci. Vyberte organizaci v rozevíracím seznamu, který je v levém horním rohu na stránce https://console.adobe.io/integrations. Poté ověřte hodnotu ID technického účtu pro aktivní integraci spolu s ostatními metadaty (ID organizace, tajný kód a ID klienta).

SSL: CERTIFICATE_VERIFY_FAILED

Vzorová položka protokolu (režim ladění):

2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)

Tip: Důvodem je to, že na serveru proxy mohou být povoleny určité kontroly SSL (místní nastavení prostředí)

1. řešení: Získejte certifikát CA pro bránu firewall ve formátu PEM (předpokládejme, že jeho název je thecert.crt). Pokud se používá formát DER, převeďte ho na PEM pomocí příkazu openssl:

openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM

Poznámka: Pokud si nejste jistí, zda je soubor .crt již ve formátu PEM, nebo ne, spusťte nejdříve tyto příkazové řádky, abyste viděli, který selže.

openssl x509 -text -inform DER -in thecert.crt
openssl x509 -text -inform PEM -in thecert.crt

Pokud selže DER, váš soubor je již ve formátu PEM, a tak přejmenujte thecert.crt na thecert.pem; v opačném případě jej převeďte na formát PEM pomocí prvního příkazového řádku openssl nahoře.

Následně vytvořte proměnnou prostředí s názvem REQUESTS_CA_BUNDLE a nastavte její hodnotu jako cestu k souboru thecert.pem.

2. řešení: V systému Windows; v případech, kdy se nástroj spouští z jednotky, která je odlišná od té, kde je instalován OS a Python. V tomto případě nemá přístup k sadě důvěryhodných kořenových certifikátů CA. Řešením může být přesunutí celého skriptu na jednotku, kde je OS. Pokud to není možné, soubor cacert, který obsahuje důvěryhodné kořenové certifikáty CA, se musí použít jak cíl pro proměnnou prostředí REQUESTS_CA_BUNDLE. Pokud server proxy kontroluje přenos SSL, obsah kořenového certifikátu CA musí být zkopírován v souboru cacert.pem pro ověření těchto certifikátů.

Poznámka: Výchozí instalace Python má sadu certifikátů na  C:\Python36\Lib\site-packages\certifi\cacert.pem.

3. řešení: Zakažte kontrolu SSL na straně proxy pro koncové body API ims-na1.adobelogin.com a usermanagement.adobe.io

Nebylo nalezena žádná skupina [...]

Vzorová položka protokolu (režim ladění):

2018-01-01 09:01:37 4916 WARNING ldap - No group found for: Name_Of_The_Group

Tipy:

a) Tato skupina není k dispozici v LDAP se stejným názvem; napravte to přidáním správného názvu LDAP skupiny

b) Skupinu nelze zjistit v deklarovaném prvku base_dn (viz soubor connector-ldap.yml). Změňte hodnotu base_dn tak, aby obsahovala zmíněnou skupinu (obvykle se vyskytuje, když base_dn poukazuje na určitou organizační jednotku).

error.group.not_found

Vzorová položka protokolu (režim ladění):

2018-01-01 11:25:45 1 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Command: {'add': {'product': ['group_name']}}): code: "error.group.not_found" message: "Group my_group_name was not found"

Tip: Skupina uživatelů group_name ve výstupu výše neexistuje na straně Adobe, takže ji budete muset vytvořit. Pokud zamýšlíte namísto skupiny uživatelů nastavit název PLC, podívejte se na tuto stránku dokumentace, kde je názornější vysvětlení.

obrázek nebyl nalezen

Vzorová položka protokolu (režim ladění):

2018-09-05 10:58:08 96329 CRITICAL main - Connection to org some_Org_UUID@AdobeOrg at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Library not loaded: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
  Referenced from: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
  Reason: image not found
2018-09-05 10:58:08 96329 INFO main - ========== End Run (User Sync version: 2.3) (Total time: 0:00:00) 

Tip: Tato chyba byla zaznamenána na systému macOS High Sierra při používání UST v2.3 s   Python 3.7.0. V tomto konkrétním případě bylo řešením spuštění brew install openssl v aplikaci Terminál.

Nelze vytvořit osobu pro typ 2 nebo 3 [...]

Vzorová položka protokolu (režim ladění):

2019-07-28 07:17:51 2220 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Command: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): code: "error.internal.create_failed" message: "Could not create person for type 2 or 3. Renga result is NOT_ALLOWED, Resource is externally managed and token is missing the GROUP_SOURCE_UPDATE purpose."

Někdy doménu @claimed-domain.com vlastní jiná organizace, která nastavila konektor Azure nebo Google pro správu synchronizace účtů na Konzoli pro správu. Stejná doména je pak svěřena jiné organizaci, která používá nástroj pro synchronizaci uživatelů k synchronizaci účtů ve formátu @claimed-domain.com

Příčina: Protokolovaná zpráva se zobrazí, když nástroj synchronizace extrahuje účet
 user@claimed-domain.com ze serveru LDAP, aby vytvořil sekundární organizaci. Účet ale ještě není vytvořen/synchronizován do hlavní organizace pomocí konektoru Azure nebo Google.

Tip: Pokuste se účet user@claimed-domain.com vytvořit/synchronizovat v organizaci pomocí konektoru Azure nebo Google; pak opět zkuste synchronizaci s UST v důvěryhodné organizaci.

Neočekávané selhání LDAP při čtení [...]

Vzorová položka protokolu (režim ladění):

2018-09-05 10:58:08 96329 6348 CRITICAL main - Unexpected LDAP failure reading group info: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}

Možná příčina: Relevantní skupina(y) je umístěna v subdoméně, ale hodnota hostitele odpovídá jedné z kořenových domén.

Tip: Změňte hodnotu hostitele na jednu ze subdomén, kde se nachází skupina(y) uživatelů. Pokud jsou relevantní uživatelé nebo skupiny umístěny jak v kořenové doméně, tak subdoméně (subdoménách), použijte na kořenovou doménu port globálního katalogu. Upravte skupiny v subdoménách tak, aby byly univerzální namísto globálních. Příklad hodnoty hostitele využívající globální katalog:  ldap://domain.local:3268 nebo ldaps://domain.local:3269

V posledním scénáři, pokud se používá port globálního katalogu, ověřte, že hodnota base_dn nepřebírá žádnou hodnotu:

base_dn: ""

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online