Tento dokument slouží jako průvodce instalací nástroje pro synchronizaci uživatelů umožňující automatizaci procesu řízení uživatelů.

Nástroj pro synchronizaci uživatelů využívá příkazového řádku pro přenos informací o uživateli a skupině z podnikového adresářového systému organizace (jako je například služba Active Directory nebo jiné systémy LDAP) do adresáře organizace v konzoli Adobe Admin Console. Při každém spuštění nástroje pro synchronizaci uživatelů proběhne kontrola rozdílů mezi informacemi o uživatelích a skupině v obou systémech a k následné úpravě adresáře Adobe do podoby odpovídající informacím ve vašem adresáři.

Tento dokument obsahuje podrobné pokyny k propojení systému Active Directory s konzolí Adobe Admin Console. Jedná se o jednu z nejoblíbenějších kombinací našich zákazníků z oblasti základních a středních škol i malých a středně velkých firem. Nástroj pro synchronizaci uživatelů je flexibilní a lze jej používat pro propojení většiny systémů LDAP s adresářovými systémy. Pokud používáte jiný adresářový systém než Active Directory, pokyny v tomto dokumentu nelze použít přímo bez jistých úprav. Další informace naleznete v tématu Průvodce úspěšným nastavením.

Než začnete

O vašem systému LDAP budete potřebovat následující informace. Pokud tyto informace nemáte k dispozici, obraťte se na svého správce IT.

  • Název řadiče domény (nebo jeho IP adresa, pokud je pevná) a port
  • Uživatelské jméno a heslo k účtu služby, který tento nástroj může použít k exportu informací o uživatelích z vašeho serveru LDAP (přístup jen ke čtení)
  • Základní rozlišující název, tedy umístění, kde server vyhledává informace o uživatelích, by měl být dostatečně široký, aby umožňoval zjistit všechny uživatele a skupiny vyžadující synchronizaci.
  • Názvy skupin, které jsou zahrnuty do synchronizace
  • Nejvhodnější atribut LDAP pro mail / uživatelské jméno pro všechny uživatele, které je třeba vytvořit v konzoli Admin Console
  • (Volitelné) Můžete také potřebovat vlastní dotaz LDAP, který vybere skupinu uživatelů, jež bude synchronizována s Adobe, pokud výchozí filtry tyto požadavky nepokrývají.
Active Directory

Tento pár klíčů se používá k podepsání tokenu JWT a ověření jeho pravosti při vyvolání procesu access_token. Pokud potřebujete s tímto procesem pomoci, obraťte se na váš tým pro zabezpečení.

Tipy k certifikátům:

  • Veřejný certifikát může být podepsán vlastní certifikační autoritou (v případě potřeby můžete vytvořit žádost CSR); akceptovány jsou i certifikáty s vlastním podpisem.
  • Soukromý klíč musí být RSA s minimální délkou 2048 bitů.
  • Veřejný certifikát musí mít příponu .crt.
  • Podepisujte pomocí algoritmu SHA-256.
  • Platnost veřejného klíče: doporučují se tři roky, ale konkrétní požadavky budou určeny vašimi vnitřními bezpečnostními zásadami.

Vytvoření certifikátu s vlastním podpisem

Pro účely testování a nastavení můžete také použít certifikát s vlastním podpisem poskytovaný implementací openssl. V systémech Mac OS / Linux může být implementace openssl k dispozici ve výchozí instalaci. Ve Windows je třeba podporu openssl přidat samostatně (například Cygwin).
Chcete-li vytvořit certifikát s vlastním podpisem, postupujte takto:

  1. V systémech Mac OS / Linux otevřete terminál. 
    Ve Windows spusťte program, který poskytuje podporu openssl (Cygwin, cmd apod...).

  2. Zadejte následující příkaz:

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitální certifikát
  3. Po vygenerování soukromého klíče budete vyzváni k zadání dalších informací pro vytvoření rozlišujícího názvu pro veřejný klíč. Můžete přijmout výchozí hodnoty nebo zadat vhodnou hodnotu. Pokud chcete pole ponechat prázdné, zadejte „.“ (tečku).

    Digitální certifikát

Soubor s veřejným certifikátem a soubor se soukromým klíčem jsou ve výchozím nastavení uloženy v následujících umístěních:

Windows: C:\cygwin64\home\<vaše_uživatelské_jméno>

macOS: /Users/<vaše_uživatelské_jméno>

Pokud se chystáte nástroj pro synchronizaci uživatelů nainstalovat ve svém počítači, ujistěte se, že počítač splňuje následující požadavky:

  • má přístup k internetu a adresářové službě, jako je LDAP nebo AD;
  • je chráněn a bezpečný (nezapomeňte, že zde budete ukládat nebo používat pověření pro správu);
  • je vždy dostupný a spolehlivý a umožňuje používání zálohování a obnovy;
  • může odesílat e-maily, které nástroji pro synchronizaci uživatelů umožní odesílat hlášení správcům;
  • pokud se jedná o počítač se systémem Windows, má 64bitový procesor.

Pokud počítač výše uvedené požadavky nesplňuje, obraťte se na oddělení IT a určete vhodný server, ke kterému získáte přístup.

Ujistěte se, že jste deklarovali doménu pro svoji organizaci a v konzoli Adobe Admin Console jsou vytvořeny profily produktu a skupiny uživatelů.

Nastavení serveru

Integraci adobe.io, provedete následovně:

  1. Přihlaste se ke konzoli Adobe I/O Console, vyberte v rozevíracím seznamu svoji organizaci a klikněte na tlačítko Nová integrace.

    Nová integrace
  2. V průvodci vytvořením nové integrace vyberte možnost Přístup k rozhraní API a klikněte na tlačítko Pokračovat.

    Screenshot_3
  3. V nabídce Služby Adobe vyberte možnost API pro správu uživatelů a klikněte na tlačítko Pokračovat. Na nově otevřené obrazovce klikněte znovu na tlačítko Pokračovat.

    Untitled-2
  4. Zadejte název a popis integrace a nahrajte soubor s certifikátem veřejného klíče. Klikněte na tlačítko Vytvořit integraci.

    Integrace je tímto vytvořena.

    Vytvořit integraci
  5. Podrobnosti o integraci zobrazíte kliknutím na tlačítko Pokračovat k podrobnostem o integraci.

    Podrobnosti o integraci

Tyto podrobnosti o integraci budete potřebovat k pozdější konfiguraci souborů nástroje pro synchronizaci uživatelů.

  1. Vytvořte složku s názvem user_sync_tool v umístění na disku, kam mají uživatelé s příslušnými oprávněními přístup.

  2. Přejděte na web GitHub a vyhledejte značku Latest release (Nejnovější verze).

    V této verzi vyhledejte a rozbalte položku Assets (Zdroje). Následně vyhledejte a stáhněte:

    • Soubor examples.zip
    • Soubor .zip s nástrojem pro synchronizaci uživatelů v seznamu, který odpovídá vašemu typu operačního systému a verzi Pythonu

    Poznámka:

    Název archivu obsahuje typ operačního systému, pro který je určen, a také verzi Pythonu, pro kterou byl sestaven. Například user-sync-vX.Y-win64-py368.zip je vydání pro Windows, sestavené v Pythonu verze 3.6.8 (64 bit). 
    Pokud nemáte v systému nainstalovanou příslušnou verzi Pythonu, zkuste získat/nainstalovat verzi, ve které byl tento nástroj sestaven.

  3. Rozbalte soubor examples.zip, přejděte do složky config files - basic a poté do složky user_sync_tool zkopírujte následující soubory: connector-ldap.yml, connector-umapi.yml a user-sync-config.yml.

  4. Z druhého soubor .zip rozbalte soubor user-sync.pex, který zkopírujte do stejné složky user_sync_tool.

  5. Vyhledejte soubor private.key, který byl součástí veřejného certifikátu, a přesuňte jej do stejné složky user_sync_tool. Celý seznam souborů nyní vypadá takto:

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.pex
    • user-sync-config.yml

  1. Pusťme se do instalace verze Python 3.6.8 (stáhněte si spustitelný instalační program pro Windows x86-64 a spusťte jej).

  2. Zaškrtněte políčko Add Python 3.6 to PATH (Přidat Python 3.6 do cesty) a vyberte možnost Customize Installation (Přizpůsobit instalaci).

    Nainstalovat Python
  3. Na obrazovce Optional Features (Volitelné funkce) klikněte na tlačítko Další. Na obrazovce Advanced Options (Rozšířené možnosti) zaškrtněte políčko Install for all users (Nainstalovat pro všechny uživatele) a poté klikněte na tlačítko Install (Nainstalovat).

    Nainstalovat Python
  4. Pokud se po dokončení instalace zobrazí možnost disable path length limit (deaktivovat limit délky cesty), vyberte ji před zavřením instalačního okna.

  5. Otevřete příkazový řádek a zadejte následující příkaz:

    python --version

    Pokud je Python úspěšně přidán do cesty, výše uvedený příkaz vrátí jeho verzi, v opačném případě vrátí chybu.

Konfigurace nástroje pro synchronizaci uživatelů

  1. Upravte soubor connector-ldap.yml pomocí specializovaného textového editoru.

  2. Zadejte hodnoty pro uživatelské jméno, heslo, hostitele a base_dn (základní rozlišující název).

    Konfigurační soubor pro přístup k adresáři
  3. Pro parametr search_page_size zadejte hodnotu 200.

  4. Ve většině případů by ji měly nastavit výchozí filtry. Pokud potřebujete vlastní dotaz LDAP pro export skupiny uživatelů, upravte konfigurační parametr all_users_filter.

  5. Ověřte zbývající nekomentovaná nastavení a na jaké atributy LDAP odkazují. Změňte je podle svých potřeb.

    Některá nasazení využívají přihlášení založené na uživatelském jménu (pole Username v konzoli Admin Console pro daného uživatele není hodnota typu E-mail). 

    V tomto případě aktivujte také následující řádek (odeberte znak #):
    user_username_format: {sAMAccountName}

    Pokud potřebujete použít jiný atribut než sAMAccountName, nahraďte jej příslušným jiným názvem.

  1. Upravte soubor connector-umapi.yml. Tento soubor obsahuje informace o přístupu k vaší organizaci Adobe.

  2. Zadejte následující informace ze dříve vytvořené integrace adobe.io:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Ujistěte se, že atribut priv_key_path obsahuje přesný název soukromého klíče uvnitř složky user_sync_tool. 
    Pokud je soukromý klíč ve stejné složce jako zbytek souborů UST, může atribut priv_key_path obsahovat pouze název souboru, protože funguje jako relativní cesta.

    Pověření Adobe UMAPI

Pokud váš adresář neuvádí zemi pro každého z uživatelů, můžete nastavit výchozí zemi.

  1. Upravte soubor user-sync-config.yml.

  2. Na řádku default country code odstraňte symbol # a zadejte požadovaný kód země. Příklad:

    default_country_code: US

    Poznámka:

    Kód země je nezbytný při použití identifikátoru Federated ID a je vhodný pro identifikátory Enterprise ID. V případě, že používáte identifikátor Enterprise ID a kód neuvedete, uživatelé budou vyzváni k jeho zadání při prvním přihlášení.

Tato část definuje, které skupiny z LDAP by měly mít v konzoli Admin Console odpovídající skupinu uživatelů nebo PLC.

Cílem je poskytnout nástroji zdroj skupin/uživatelů, aby mohl namapovat stejné členy ve skupinách/PLC na straně konzole Admin Console.

  1. Upravte parametr group mapping v souboru user-sync-config.yml

  2. U každé adresářové skupiny, kterou chcete namapovat na profil produktu Adobe nebo uživatelskou skupinu, vložte záznam do části groups. Příklad:

    groups:
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here

    Poznámka:

    Mapování skupin lze provést prostřednictvím skupin uživatelů nebo profilů produktu Adobe, ale ne pomoci názvů produktu. Navíc můžete jednu adresářovou skupinu namapovat k více než jedné skupině uživatelů nebo profilu produktu Adobe.

Chcete-li zabránit náhodnému odebrání účtu v případě nesprávné konfigurace nebo jiného problému, můžete se rozhodnout omezit maximální počet odstranění účtu, která je možné rozumně očekávat v průběhu každodenní synchronizace.

  1. Tento limit můžete změnit úpravou parametru max_adobe_only_users v souboru user-sync-config.yml.

  2. Pokud očekáváte, že počet odstranění účtu mezi jednotlivými synchronizacemi uživatelů bude vyšší než nastavená hodnota max_adobe_only_users, zvyšte příslušně tuto hodnotu.

    Poznámka:

    Pokud je počet účtů, které mají být odstraněny, vyšší než hodnota max_adobe_only_users, nástroj neodstraní žádný účet. Do protokolu se zapíše kritická položka oznamující dosažení tohoto limitu.

    Tento limit nemá vliv na akce vytvoření.

Existují určité situace, kdy některé účty musí být ze synchronizace vyloučeny. Toho lze dosáhnout úpravou souboru user-sync-config.yml.
Tento nástroj nabízí tři možnosti vyloučení: na základě typu identity, na základě názvu skupiny a na základě regulárního výrazu.
Jakýkoli účet nalezený v konzoli Admin Console, který splňuje alespoň jedno z uvedených kritérií, je chráněn před akcí odebrání (ze skupiny, z Org).

Doporučujeme mít účty AdobeID pro správce systému v konzoli Admin Console a vyloučit je prostřednictvím atributu exclude_identity_types: adobeID.

Zde je příklad:

adobe_users:
  exclude_identity_types:
    - adobeID           # adobeID, enterpriseID nebo federatedID
  exclude_adobe_groups:
    - adobe_group_name  # členy této skupiny nesmí nástroj pro synchronizaci uživatelů odebrat
    - other_group_name  # zde je možné odebrat více skupin
  exclude_users:
    - ".*@example.com"
    - important_user@domain.com

Nástroj pro synchronizaci uživatelů dokáže vytvářet protokoly, které budou odeslány jako výstup v konzoli nebo uloženy jako soubor s protokolem. Definice protokolování v nastavení konfigurace řídí podrobnosti o umístění výstupu a objemu protokolovaných informací.

  1. Vytváření souboru s protokolem můžete aktivovat nebo deaktivovat úpravou hodnoty log_to_file v souboru user-sync-config.yml.

  2. Zkontrolujte nastavení protokolů a proveďte požadované změny. Pro počáteční nastavení se doporučuje použít
    log_to_file: True 
    file_log_level: debug

Pokud používáte server se systémem Windows, můžete ke konfiguraci nástroje pro synchronizaci uživatelů použít Průvodce konfigurací nástroje pro synchronizaci uživatelů.

Průvodce konfigurací nástroje pro synchronizaci uživatelů je grafický nástroj, který umožňuje jednoduše nastavit nástroj pro synchronizaci uživatelů prostřednictvím rozhraní API pro správu uživatelů (Adobe.io), podnikového adresáře (LDAP) a nastavení synchronizace. Jeho součástí je kontextová nápověda a odkazy na dokumentaci k nástroji pro synchronizaci uživatelů. Další informace najdete v tématu Průvodce konfigurací nástroje pro synchronizaci uživatelů Adobe.

Nasazení a automatizace

Nyní po dokončení konfigurace nástroje pro synchronizaci uživatelů na vašem serveru nebo počítači se můžete ujistit, že vše funguje podle očekávání. Chcete-li vyřešit běžné problémy se spouštěním nástroje pro synchronizaci uživatelů, přečtěte si téma tipy k řešení běžných chyb.

  1. Otevřete příkazový řádek.
  2. Pomocí následujícího příkazu přejděte do složky user_sync_tool.

    cd path/to/user_sync_tool
  3. Pro ověření úplnosti vaší konfigurace použijte následující příkazy:

    Systém Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    UNIX:

    ./user-sync –v
    ./user-sync –h

    Argument „-v“ připojí informace o verzi, argument „-h“ zobrazí nápovědu o dostupných argumentech příkazového řádku.

  4. V testovacím režimu spusťte synchronizaci omezenou na namapované skupiny uvedené v konfiguračním souboru s vyloučením existujících účtů na straně Adobe.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Výše uvedený příkaz provede synchronizaci pouze uživatelů v namapované skupině ze souboru user-sync-config.yml. Pokud uživatelé v konzoli Admin Console zatím neexistují, proběhne pokus o vytvoření těchto uživatelů a jejich přidání do libovolné skupiny namapované z příslušné adresářové skupiny.

    Spuštěním příkazu user-sync v testovacím režimu (-t) dojde pouze k pokusu o vytvoření uživatele (bez toho, aby byl uživatel doopravdy vytvořen). Možnost --adobe-only-user-action exclude zabrání odebrání uživatelských účtů existujících v organizaci Adobe.

  5. Přestože parametr invocation_defaults nastavuje výchozí argumenty, se kterými nástroj pracuje, můžete je přepsat jejich uvedením na příkazovém řádku. V testovacím režimu spusťte synchronizaci omezenou na namapované skupiny uvedené v konfiguračním souboru s vyloučením dalších účtů nalezených na straně Adobe a nenalezených v exportu ze serveru LDAP.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    Spustí simulaci, nikoli skutečnou synchronizaci, a zobrazí potenciální výsledek synchronizace.

    --users-mapped

    Exportuje uživatele ze serveru LDAP, kteří jsou výsledkem filtru all_user_filter a zároveň jsou členy adresářových skupin určených parametry directory_group v konfiguračním souboru.

    --process-groups

    Přidá/odebere uživatele do/z uživatelských skupin na straně Adobe nebo PLC podle toho, zda je účet členem skupin namapovaných na LDAP.

    --adobe-only-user-action remove

    Jakýkoli účet nalezený na straně Adobe je odebrán z nabídky Uživatelé a jemu přiřazené licence jsou odňaty, pokud není nalezen v exportu ze serveru LDAP a není vyloučen ze synchronizace.

    Další informace o parametrech tohoto příkazu najdete zde.

    Další informace o některých dalších scénářích použití najdete zde.

Pokud všechny testy proběhnou podle očekávání, jste připraveni spustit synchronizaci v plném rozsahu (bez příznaku testovacího režimu).

Poznámka:

  • Uvedené příkazy jsou jen příklady a nemusí pokrývat všechny případy použití.
  • Prvotní synchronizace může trvat od sekund do hodin v závislosti na počtu synchronizovaných účtů. Každé 1,5–2 minuty (včetně časového limitu) je vytvořeno zhruba 250 uživatelů.
  • Je možné očekávat zprávy s výstražným kódem 429 časového limitu UMAPI. Nástroj zajišťuje mechanismus opakování.

Nástroj pro synchronizaci uživatelů lze spustit ručně, nebo můžete připravit jeho automatizaci, kde se synchronizace spustí vždy několikrát denně.

Poznámka:

Používáte-li systém pro analýzu protokolů a systém výstrah, připravte v nástroji pro synchronizaci uživatelů odesílání protokolů do těchto systémů. Stejně tak nastavte upozornění na chyby nebo kritické zprávy, které mohou být součástí protokolu.

  1. Pokud budete chtít vygenerovat souhrnné informace obsahující důležité záznamy, vytvořte ve složce user_sync_tool dávkový soubor, který bude vyvolávat příkaz user-sync a analyzovat jeho výstup. Například vytvořte soubor run_sync.bat obsahující následující příkazy:

    cd path/to/user-sync-folder
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Podle potřeby můžete nastavit také e-mailový nástroj pro příkazový řádek.

    V systému Windows není k dispozici žádný standardní e-mailový nástroj pro příkazový řádek, existuje ale několik komerčně dostupných nástrojů.

  3. V plánovači úloh pro Windows nastavte spuštění nástroje pro synchronizaci uživatelů.

    Následující kód například umožní spuštění nástroje pro synchronizaci uživatelů každý den v 16:00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online