Tento dokument slouží jako průvodce instalací nástroje pro synchronizaci uživatelů umožňující automatizaci procesu řízení uživatelů.

Nástroj pro synchronizaci uživatelů využívá příkazového řádku pro přenos informací o uživateli a skupině z podnikového adresářového systému organizace (jako je například služba Active Directory nebo jiné systémy LDAP) do adresáře organizace v konzoli Adobe Admin Console. Při každém spuštění nástroje pro synchronizaci uživatelů proběhne kontrola rozdílů mezi informacemi o uživatelích a skupině v obou systémech a k následné úpravě adresáře Adobe do podoby odpovídající informacím ve vašem adresáři.

Tento dokument obsahuje podrobné pokyny k propojení systému Active Directory s konzolí Adobe Admin Console. Jedná se o jednu z nejoblíbenějších kombinací našich zákazníků z oblasti základních a středních škol i malých a středně velkých firem. Nástroj pro synchronizaci uživatelů je flexibilní a lze jej používat pro propojení většiny systémů LDAP s adresářovými systémy. Pokud používáte jiný adresářový systém než Active Directory, pokyny v tomto dokumentu nelze použít přímo bez jistých úprav. Další informace naleznete v tématu Průvodce úspěšným nastavením.

Než začnete

Získání informací o službě Active Directory

Budete potřebovat následující informace o systému Active Directory (nebo LDAP).  Pokud tyto informace nemáte k dispozici, obraťte se na svého správce IT.

  • Informace o hostiteli a portu serveru, na kterém je systém spuštěn.
  • Uživatelské jméno a heslo.
  • Základní rozlišující název, což je bod, odkud server vyhledává uživatele.
  • Stejně tak můžete potřebovat dotaz LDAP, jeho úkolem je vybírat sadu uživatelů určených pro synchronizaci se systémem Adobe.
Active Directory

Získání digitálního certifikátu

K úspěšné autorizaci volání pro rozhraní API je zapotřebí digitální certifikát. Pokud certifikát nemáte, obraťte se s žádostí o pokyny na správce IT.

Tipy k certifikátům:

  • certifikát musí obsahovat soubor s certifikátem veřejného klíče a soubor se soukromým klíčem; 
  • formát CRT (kódování Base 64 X.509);
  • název souboru s příponou .crt (ne přípona .pem či .cer);
  • SHA-2;
  • víceřádkový formát (použití jednoho řádku není možné);
  • musí mít životnost alespoň tři roky (úspora za údržbu během této doby bez obav z narušení zabezpečení).

Vytvoření certifikátu s vlastním podpisem

Za účelem testování a nastavení můžete také použít certifikát s vlastním podpisem. Certifikáty můžete vytvořit v systému Windows s nástrojem Cygwin, který obsahuje openssl. V systému Mac OS může být nutné použít dostupný nástroj openssl v příkazovém řádku. Při vytvoření certifikátu postupujte takto:

  1. Pokud používáte systém Windows, nainstalujte a otevřete nástroj Cygwin. V systému macOS otevřete terminál.
  2. Zadejte následující příkaz:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitální certifikát
  3. Po vygenerování soukromého klíče budete vyzváni k zadání dalších informací pro vytvoření rozlišujícího názvu pro veřejný klíč. Můžete přijmout výchozí hodnoty nebo zadat vhodnou hodnotu. Pokud chcete pole ponechat prázdné, zadejte „.“ (tečku).

    Digitální certifikát

Soubor s certifikátem veřejného klíče a soubor se soukromým klíčem jsou ve výchozím nastavení uloženy v následujících umístěních:

Windows: C:\cygwin64\home\<vaše_uživatelské_jméno>

macOS: /Users/<vaše_uživatelské_jméno>

Určení serveru

Pokud se chystáte nástroj pro synchronizaci uživatelů nainstalovat ve svém počítači, ujistěte se, že počítač splňuje následující požadavky:

  • má přístup k internetu a adresářové službě, jako je LDAP nebo AD;
  • je chráněn a bezpečný (nezapomeňte, že zde budete ukládat nebo používat pověření pro správu);
  • je vždy dostupný a spolehlivý a umožňuje používání zálohování a obnovy;
  • může odesílat e-maily, které nástroji pro synchronizaci uživatelů umožní odesílat hlášení správcům;
  • pokud se jedná o počítač se systémem Windows, má 64bitový procesor.

Pokud počítač výše uvedené požadavky nesplňuje, obraťte se na oddělení IT a určete vhodný server, ke kterému získáte přístup.

Konfigurace konzole Adobe Admin Console

Ujistěte se, že jste deklarovali doménu pro svoji organizaci a v konzoli Adobe Admin Console jsou vytvořeny profily produktu a skupiny uživatelů.

Nastavení serveru

Proveďte integraci ve vstupně výstupním rozhraní Adobe

Integraci adobe.io, provedete následovně:

  1. Přihlaste se ke konzoli Adobe I/O Console, vyberte v rozevíracím seznamu svoji organizaci a klikněte na tlačítko Nová integrace.

    Nová integrace
  2. V průvodci vytvořením nové integrace vyberte možnost Přístup k rozhraní API a klikněte na tlačítko Pokračovat.

    Screenshot_3
  3. V nabídce Služby Adobe vyberte možnost API pro správu uživatelů a klikněte na tlačítko Pokračovat. Na nově otevřené obrazovce klikněte znovu na tlačítko Pokračovat.

    Untitled-2
  4. Zadejte název a popis integrace a nahrajte soubor s certifikátem veřejného klíče. Klikněte na tlačítko Vytvořit integraci.

    Integrace je tímto vytvořena.

    Vytvořit integraci
  5. Podrobnosti o integraci zobrazíte kliknutím na tlačítko Pokračovat k podrobnostem o integraci.

    Podrobnosti o integraci

Tyto podrobnosti o integraci budete potřebovat k pozdější konfiguraci souborů nástroje pro synchronizaci uživatelů.

Instalace nástroje pro synchronizaci uživatelů

  1. V následujícím umístění na vašem počítači nebo serveru vytvořte složku s názvem user_sync_tool:

    Windows: C:\Users\<vaše_uživatelské_jméno>\

    macOS: /home/<vaše_uživatelské_jméno>/

  2. Otevřete GitHub , vyberte vhodné vydání a stáhněte si následující soubory:

    • example-configurations.tar.gz
    • Synchronizace uživatelů pro vámi používanou platformu a verzi pythonu.
  3. Z archivu rozbalte soubor user-sync.pex a umístěte jej do vytvořené složky user_sync_tool.

  4. V archivu example-configurations.tar.gz vyhledejte složku config files - basic, rozbalte první tři soubory a umístěte je do složky user_sync_tool.

  5. Tři soubory přejmenujte a odstraňte z nich čísla. Nyní tedy vaše složka user_sync_tool obsahuje následující soubory:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Nastavení cesty pro Python (pouze systém Windows)

  1. Nainstalujte Python verze 3.6.2 nebo novější (64 bitů).

  2. Označte pole Přidat Python 3.6 k cestě, poznamenejte si instalační cestu a klikněte na tlačítko Nainstalovat.

    Nainstalovat Python
  3. Otevřete příkazový řádek a spusťte následující příkaz:

    python

    Příkaz musí vrátit nainstalovanou verzi Pythonu.

Konfigurace nástroje pro synchronizaci uživatelů

Konfigurace přístupu k adresáři

  1. Upravte soubor connector-ldap.yml. Tento soubor obsahuje informace o přístupu k adresářovému systému.

  2. Zadejte hodnoty pro uživatelské jméno, heslo, hostitele a base_dn (základní rozlišující název).

    Konfigurační soubor pro přístup k adresáři
  3. U parametru search_page_size zadejte hodnotu 0.

    Pokud pro výběr požadované skupiny uživatelů potřebujete jiný než standardní dotaz LDAP, můžete jej nastavit v tomto souboru v rámci konfiguračního parametru all_users_filter.

Konfigurace pověření Adobe UMAPI

  1. Upravte soubor connector-umapi.yml. Tento soubor obsahuje informace o přístupu k vaší organizaci Adobe.

  2. Zadejte následující informace ze dříve vytvořené integrace adobe.io:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Do složky user_sync_tool umístěte soubor se soukromým klíčem. Položka konfiguračního souboru priv_key_path se tímto nastaví na název tohoto souboru.

    Pověření Adobe UMAPI

Definování výchozího kódu země

Pokud váš adresář neuvádí zemi pro každého z uživatelů, můžete nastavit výchozí zemi.

  1. Upravte soubor user-sync-config.yml.

  2. Na řádku default country code odstraňte symbol # a zadejte požadovaný kód země. Příklad:

    default_country_code: US

    Poznámka:

    Kód země je nezbytný při použití identifikátoru Federated ID a je vhodný pro identifikátory Enterprise ID. V případě, že používáte identifikátor Enterprise ID a kód neuvedete, uživatelé budou vyzváni k jeho zadání při prvním přihlášení.

Mapování skupin

Uživatelské účty můžete zřídit jejich přidáním do skupiny firemních adresářů za pomoci nástroje LDAP / AD (tj. nemusíte použít konzoli Adobe Admin Console). V takovém případě konfigurační soubor definuje mapování z adresářových skupin ke skupinám uživatelů nebo profilům produktu Adobe.

Pokud je uživatel členem adresářové skupiny, soubor user-sync zařídí přidání uživatele do příslušné skupiny uživatelů v konzoli Adobe Admin Console. Stejně tak pokud je uživatel členem skupiny uživatelů, ale není členem adresářové skupiny, soubor user-sync uživatele odebere ze skupiny uživatelů.

  1. Upravte parametr group mapping v souboru user-sync-config.yml

  2. U každé adresářové skupiny, kterou chcete namapovat ke skupině uživatelů nebo profilu produktu, vložte záznam pod hlavičkou groups. Příklad:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Poznámka:

    Mapování skupin lze provést prostřednictvím skupin uživatelů nebo profilů produktu Adobe, ale ne pomoci názvů produktu. Navíc můžete jednu adresářovou skupinu namapovat k více než jedné skupině uživatelů nebo profilu produktu Adobe.

Omezení počtu nespárovaných uživatelů

Aby nedocházelo k náhodnému odstranění účtu v případě nesprávné konfigurace nebo jiného problému, existuje limit pro odstranění účtů.

  1. Tento limit můžete změnit úpravou parametru limits v souboru user-sync-config.yml.

  2. Pokud očekáváte, že počet uživatelů v adresáři klesne před dalším spuštěním nástroje pro synchronizaci uživatelů o více než 200 jedinců, upravte hodnotu max_adobe_only_users.

    Poznámka:

    Jestliže bude počet odstraněných účtů vyšší, než je počet definovaný parametrem max_adobe_only_users, aktualizace bude přerušena.

Ochrana před odstraněním

Chcete-li vytváření a odebírání účtů řídit pomoci nástroje pro synchronizaci uživatelů a chystáte se ručně vytvořit několik účtů, můžete tuto funkci použít jako ochranu před jejich odstraněním.

  1. V souboru user-sync-config.yml uveďte položky konfigurace, které mají být z pravidel vyloučeny.

    exclude_groups

    Soubor definuje seznam skupin uživatelů/profilů produktu Adobe (nebo obou). Uživatelé Adobe, kteří jsou členy uvedených skupin, nebudou odebráni ani aktualizováni, a jejich členství ve skupině se nezmění.

    exclude_users

    Seznam vzorců. Uživatelé Adobe, jejichž uživatelská jména se shodují s některým z definovaných vzorců (standardně se nerozlišují velká a malá písmena, pokud vzorec nenastavíte jinak), žádné z uvedených vzorců nebudou odebrány ani aktualizovány a členství ve skupině se nezmění.

    exclude_identity_types

    Seznam typů identit. Uživatelé Adobe, kteří spadají pod některý z uvedených typů identit, nebudou odebráni ani aktualizováni, a jejich členství ve skupině se nezmění.

  2. Kvůli ochraně uživatelů v konzoli Admin Console před aktualizací můžete vytvořit skupinu uživatelů, umístit do ní chráněné uživatele a nakonec danou skupinu označit jako výjimku ze zpracování synchronizace uživatelů. Během nastavení ochrany uživatelů můžete vložit konkrétní uživatele nebo použít vzorce, které odpovídají konkrétním uživatelským jménům. Uživatele můžete chránit také na základě jejich typu identity.

    Příklad:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    Ve výše uvedeném příkladu jsou definováni správci, dodavatelé a uživatelská jména. Použít můžete názvy skupin uživatelů Adobe, profilů produktu Adobe nebo vytvořených uživatelů.

Vytvoření protokolů

Nástroj pro synchronizaci uživatelů dokáže vytvářet protokoly, které budou odeslány jako výstup v konzoli nebo uloženy jako soubor s protokolem. Definice protokolování v nastavení konfigurace řídí podrobnosti o umístění výstupu a objemu protokolovaných informací.

  1. Vytváření souboru s protokolem můžete aktivovat nebo deaktivovat úpravou hodnoty log_to_file v souboru user-sync-config.yml.

    Zprávy mohou mít jednu z pěti úrovní důležitosti a můžete zvolit nejmenší důležitost, která se zobrazí v souboru s protokolem nebo standardním výstupu v konzoli. Ve výchozím a současně doporučeném nastavení se vytvoří soubor s protokolem a zobrazí zpráva obsahující informace alespoň o úrovni důležitosti „informace“ nebo vyšší.

  2. Zkontrolujte nastavení protokolů a proveďte požadované změny. Doporučená úroveň protokolovaných informací je informace (což je současně výchozí nastavení).

Nastavení pomocí průvodce konfigurací nástroje pro synchronizaci uživatelů (pouze systém Windows)

Pokud používáte server se systémem Windows, můžete ke konfiguraci nástroje pro synchronizaci uživatelů použít průvodce konfigurací nástroje pro synchronizaci uživatelů.

Průvodce konfigurací nástroje pro synchronizaci uživatelů je grafický nástroj, který umožňuje jednoduše nastavit nástroj pro synchronizaci uživatelů prostřednictvím rozhraní API pro správu uživatelů (adobe.io), podnikového adresáře (LDAP) a nastavení synchronizace. Jeho součástí je kontextová nápověda a odkazy na dokumentaci k nástroji pro synchronizaci uživatelů. Další informace naleznete v tématu Průvodce konfigurací nástroje pro synchronizaci uživatelů Adobe.

Nasazení a automatizace

Kontrola konfigurace

Nyní po konfiguraci nástroje pro synchronizaci uživatelů na vašem serveru nebo počítači se můžete ujistit, že vše funguje podle očekávání.

  1. Otevřete příkazový řádek.
  2. Pomocí následujícího příkazu přejděte do složky user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Následují příkazy pro spuštění nástroje pro synchronizaci uživatelů:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Pokud například budete chtít ověřit úplnost vaší konfigurace, použijte následující příkazy:

    Systém Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    UNIX:

    ./user-sync –v
    ./user-sync –h

    argument „-v“ připojí informace o verzi, argument „-h“ zobrazí nápovědu o dostupných argumentech příkazového řádku.

  4. V testovacím režimu spusťte synchronizaci výhradně namapované skupiny v adresáři.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Výše uvedený příkaz provede synchronizaci pouze uživatelů v namapované skupině ze souboru user-sync-config.yml. Pokud uživatelé v konzoli Admin Console zatím neexistují, proběhne pokus o vytvoření těchto uživatelů a jejich přidání do libovolné skupiny namapované z příslušné adresářové skupiny.

    Spuštěním příkazu user-sync v testovacím režimu (-t) dojde pouze k pokusu o vytvoření uživatele (bez toho, aby byl uživatel doopravdy vytvořen). Možnost --adobe-only-user-action exclude zabrání aktualizaci všech uživatelských účtů, které již v organizaci Adobe existují.

  5. Spuštěním synchronizace bez testovacího režimu dojde k vytvoření uživatele a jeho přidání do namapovaných skupin.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Pomocí konzole Adobe Admin Console se ujistěte, že uživatel existuje, a že došlo k jeho přidružení do vhodné skupiny.

  7. Spusťte znovu stejný příkaz. Nástroj pro synchronizaci uživatelů se nesmí pokusit o opětovné vytvoření a přidání uživatele do skupin. Musí zjistit, že uživatel již existuje, je členem skupiny uživatelů nebo profilu produktu, a v důsledku těchto informací nic nedělat.

Pokud všechny testy proběhnou podle očekávání, jste připraveni pokračovat v plném rozsahu (bez uživatelského filtru).

Poznámka:

V případě, že váš adresář obsahuje více než několik set uživatelů, může synchronizace uživatelů v konzoli Adobe Admin Console trvat až několik hodin.

Sledování a plánování

Nástroj pro synchronizaci uživatelů lze spustit ručně, nebo můžete připravit jeho automatizaci, kde se synchronizace spustí vždy několikrát denně.

Poznámka:

Používáte-li systém pro analýzu protokolů a systém výstrah, připravte v nástroji pro synchronizaci uživatelů odesílání protokolů do těchto systémů. Stejně tak nastavte upozornění na chyby nebo kritické zprávy, které mohou být součástí protokolu.

  1. Pokud budete chtít vygenerovat souhrnné informace obsahující důležité záznamy, vytvořte ve složce user_sync_tool dávkový soubor, který bude vyvolávat příkaz user-sync a analyzovat jeho výstup. Například vytvořte soubor run_sync.bat obsahující následující příkazy:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Podle potřeby můžete nastavit také e-mailový nástroj pro příkazový řádek.

    V systému Windows žádný integrovaný e-mailový nástroj pro příkazový řádek neexistuje, ale máte k dispozici několik komerčně dostupných variant.

  3. V plánovači úloh pro Windows nastavte spuštění nástroje pro synchronizaci uživatelů.

    Následující kód například umožní spuštění nástroje pro synchronizaci uživatelů každý den v 16:00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Ověřte správnost spuštění nástroje v plánovači úloh spuštěním daného příkazu v testovacím režimu.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online