V systémech macOS/Linux otevřete terminál.
Ve Windows spusťte program, který podporuje openssl, například Cygwin nebo cmd (pokud je nainstalován). Jinak lze počínaje verzí 2.6.0 pomocí nástroje pro synchronizaci uživatelů vygenerovat veřejný certifikát i soukromý klíč. Nástroj je nutno mít stažený na místní disk a spustit v příkazovém řádku ze složky obsahující soubor user-sync.exe tento příkaz:
- Příručka pro správu podnikových a týmových produktů Adobe
- Plánování nasazení
- Základní koncepty
- Průvodci nasazením
- Nasazení produktů Creative Cloud pro vzdělávací instituce
- Úvodní stránka nasazení
- K-12 Průvodce zaškolením
- Jednoduché nastavení
- Synchronizace uživatelů
- Synchronizace seznamu K-12 (USA)
- Klíčové licenční koncepty
- Možnosti nasazení
- Rychlé tipy
- Schvalování aplikací Adobe v konzoli Google Admin Console
- Povolení aplikace Adobe Express v nástroji Google Classroom
- Integrace pomocí Canvas LMS
- Integrace pomocí Blackboard Learn
- Konfigurace jednotného přihlašování pro školní portály a systémy pro vedení výuky
- Přidání uživatelů prostřednictvím synchronizace seznamu
- Nejčastější dotazy ke službě Kivuto
- Pokyny pro způsobilost základních a středních škol
- Nastavit vaši organizaci
- Typy identit | Přehled
- Nastavení identity | Přehled
- Nastavení organizace pomocí Enterprise ID
- Nastavení federace Azure AD a synchronizace
- Nastavte Google Federation a synchronizujte
- Nastavení organizace prostřednictvím Microsoft ADFS
- Nastavení organizace pro školní portály a systémy pro vedení výuky
- Nastavení organizace s jinými poskytovateli identity
- Běžné dotazy a řešení potíží s jednotným přihlašováním
- Správa a nastavení organizace
- Správa stávajících domén a adresářů
- Povolení automatického vytváření účtu
- Nastavení organizace prostřednictvím důvěryhodnosti adresáře
- Přechod na nového poskytovatele autentizace
- Nastavení datových zdrojů
- Nastavení ověřování
- Ochrana osobních údajů a bezpečnostní kontakty
- Nastavení konzole
- Správa šifrování
- Správa stávajících domén a adresářů
- Správa uživatelů
- Přehled
- Role pro správu
- Strategie správy uživatelů
- Přiřazení licencí uživateli v týmu
- Správa uživatelů v aplikaci pro týmy
- Přidání uživatelů s odpovídajícími e-mailovými doménami
- Změna typu identity uživatele
- Správa skupin uživatelů
- Správa uživatelů v adresáři
- Správa vývojářů
- Přesun stávajících uživatelů do konzole Adobe Admin Console
- Přesun správy uživatelů do konzole Adobe Admin Console
- Přehled
- Správa produktů a oprávnění
- Správa produktů a jejich profilů
- Spravovat produkty
- Zakoupení produktů a licencí
- Správa profilů produktů pro podnikové uživatele
- Správa pravidel automatického přiřazování
- Zmocnění uživatelů trénovat vlastní modely Firefly
- Zkontrolovat žádosti o produkt
- Správa zásad samoobsluhy
- Správa integrací do aplikací
- Správa oprávnění k produktům v konzoli Admin Console
- Povolení/zakázání služeb pro profil produktu
- Jedna aplikace | Creative Cloud pro podniky
- Volitelné služby
- Správa licencí pro sdílená zařízení
- Správa produktů a jejich profilů
- Začínáme s konzolí Global Admin Console
- Přechod na globální správu
- Výběr organizace
- Správa organizační hierarchie
- Správa profilů produktu
- Správa správců
- Správa skupin uživatelů
- Aktualizace zásad organizace
- Správa šablon zásad
- Přidělení produktů podřízeným organizacím
- Provedení nevyřízených úloh
- Prozkoumejte vhledy
- Export nebo import organizační struktury
- Správa úložiště a položek
- Úložiště
- Migrace datových zdrojů
- Převzetí datových zdrojů od uživatele
- Přenesení studentských datových zdrojů | Pouze EDU
- Správa služeb
- Adobe Stock
- Vlastní písma
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud pro podniky – bezplatné členství
- Nasazení aplikací a aktualizací
- Přehled
- Vytváření balíčků
- Přizpůsobení balíčků
- Nasazování balíčků
- Nasazování balíčků
- Nasazování balíčků Adobe pomocí služby Microsoft Intune
- Nasazování balíčků Adobe pomocí nástroje SCCM
- Nasazování balíčků produktů Adobe pomocí nástroje ARD
- Instalace produktů do složky Výjimky
- Odinstalování produktů Creative Cloud
- Použití podnikové edice sady nástrojů Adobe Provisioning Toolkit
- Nasazování balíčků
- Správa aktualizací
- Adobe Update Server Setup Tool (AUSST)
- Nástroj Remote Update Manager (RUM)
- Řešení problémů
- Správa účtu Teams
- Prodlužování
- Správa smluv
- Zprávy a protokoly
- Zažádat o asistenci
Tento dokument slouží jako průvodce instalací nástroje pro synchronizaci uživatelů umožňující automatizaci procesu řízení uživatelů.
Nástroj pro synchronizaci uživatelů využívá příkazového řádku pro přenos informací o uživateli a skupině z podnikového adresářového systému organizace (jako je například služba Active Directory nebo jiné systémy LDAP) do adresáře organizace v konzoli Adobe Admin Console. Při každém spuštění nástroje pro synchronizaci uživatelů proběhne kontrola rozdílů mezi informacemi o uživatelích a skupině v obou systémech a k následné úpravě adresáře Adobe do podoby odpovídající informacím ve vašem adresáři.
Tento dokument obsahuje podrobné pokyny k propojení systému Active Directory s konzolí Adobe Admin Console. Jedná se o jednu z nejoblíbenějších kombinací našich zákazníků z oblasti základních a středních škol i malých a středně velkých firem. Nástroj pro synchronizaci uživatelů je flexibilní a lze jej používat pro propojení většiny systémů LDAP s adresářovými systémy. Pokud používáte jiný adresářový systém než Active Directory, pokyny v tomto dokumentu nelze použít přímo bez jistých úprav. Další informace naleznete v tématu Průvodce úspěšným nastavením.
Než začnete
O vašem systému LDAP budete potřebovat následující informace. Pokud tyto informace nemáte k dispozici, obraťte se na svého správce IT.
- Název řadiče domény (nebo jeho IP adresa, pokud je pevná) a port
- Uživatelské jméno a heslo k účtu služby, který tento nástroj může použít k exportu informací o uživatelích z vašeho serveru LDAP (přístup jen ke čtení)
- Základní rozlišující název, tedy umístění, kde server vyhledává informace o uživatelích, by měl být dostatečně široký, aby umožňoval zjistit všechny uživatele a skupiny vyžadující synchronizaci.
- Názvy skupin, které jsou zahrnuty do synchronizace
- Nejvhodnější atribut LDAP pro mail / uživatelské jméno pro všechny uživatele, které je třeba vytvořit v konzoli Admin Console
- (Volitelné) Můžete také potřebovat vlastní dotaz LDAP, který vybere skupinu uživatelů, jež bude synchronizována s Adobe, pokud výchozí filtry tyto požadavky nepokrývají.
Tento pár klíčů se používá k podepsání tokenu JWT a ověření jeho pravosti při vyvolání procesu access_token. Pokud potřebujete s tímto procesem pomoci, obraťte se na váš tým pro zabezpečení.
Tipy k certifikátům:
- Veřejný certifikát může být podepsán vlastní certifikační autoritou (v případě potřeby můžete vytvořit žádost CSR); akceptovány jsou i certifikáty s vlastním podpisem.
- Soukromý klíč musí být RSA s minimální délkou 2048 bitů.
- Veřejný certifikát musí mít příponu .crt.
- Podepisujte pomocí algoritmu SHA-256.
- Platnost veřejného klíče: doporučují se tři roky, ale konkrétní požadavky budou určeny vašimi vnitřními bezpečnostními zásadami.
Vytvoření certifikátu s vlastním podpisem
Pro účely používání certifikátů s vlastním podpisem s náhodnými hodnotami a veřejného certifikátu s platností jeden rok nabízí portál adobe.io možnost generovat je během fáze vytváření projektu nebo v nabídce účtu služeb (JWT) stávajícího projektu. Další informace najdete v článku o vytvoření integrace s Adobe I/O.
U certifikátů s vlastním podpisem, jejichž data a platnost nastavujete sami, postupujte takto:
-
user-sync.exe certgen
-
Zadejte následující příkaz:
openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
-
Po vygenerování soukromého klíče budete vyzváni k zadání dalších informací pro vytvoření rozlišujícího názvu pro veřejný klíč. Můžete přijmout výchozí hodnoty nebo zadat vhodnou hodnotu. Pokud chcete pole ponechat prázdné, zadejte „.“ (tečku).
Soubor s veřejným certifikátem a soubor se soukromým klíčem jsou ve výchozím nastavení uloženy v následujících umístěních:
Windows: C:\cygwin64\home\<vaše_uživatelské_jméno>
(pokud jste program user-sync.exe už použili, soubor by měl být ve stejné složce jako skript)
macOS: /Users/<vaše_uživatelské_jméno>
Pokud se chystáte nástroj pro synchronizaci uživatelů nainstalovat ve svém počítači, ujistěte se, že počítač splňuje následující požadavky:
- má přístup k internetu a adresářové službě, jako je LDAP nebo AD;
- je chráněn a bezpečný (nezapomeňte, že zde budete ukládat nebo používat pověření pro správu);
- je vždy dostupný a spolehlivý a umožňuje používání zálohování a obnovy;
- může odesílat e-maily, které nástroji pro synchronizaci uživatelů umožní odesílat hlášení správcům;
- pokud se jedná o počítač se systémem Windows, má 64bitový procesor.
Pokud počítač výše uvedené požadavky nesplňuje, obraťte se na oddělení IT a určete vhodný server, ke kterému získáte přístup.
Ujistěte se, že jste vytvořili adresáře pro svoji organizaci a v konzoli Adobe Admin Console jsou vytvořeny profily produktu a skupiny uživatelů.
Nastavení serveru
Integraci adobe.io, provedete následovně:
-
Přihlaste se jako správce systému do konzole Adobe I/O Console a vyberte v rozbalovacím seznamu v pravém horním rohu svoji organizaci. Klikněte na Vytvořit nový projekt.
-
Klikněte vpravo nahoře na Upravit projekt a zadejte název a popis projektu. Klikněte na tlačítko Uložit.
-
Klikněte na Přidat API.
-
V okně pro přidání API filtrujte podle služeb Adobe a vyberte API správy uživatelů. Klikněte na tlačítko Další.
-
- Vygenerovat dvojici klíčů:
Pokud chcete použít certifikát s vlastním podpisem a s náhodnými hodnotami vygenerovanými portálem adobe.io s platností 1 rok, vyberte možnost Vygenerovat dvojici klíčů. Potom klikněte na Vygenerovat dvojici klíčů.
Do místního počítače se stáhne soubor config.zip obsahující soubory certificate_pub.crt a private.key. Veřejný certifikát se automaticky přidá do vaší integrace a soubor private.key se použije později při konfiguraci.
- Nahrát veřejný klíč:
Pokud máte svůj vlastní veřejný certifikát nebo jste ho vygenerovali pomocí kroků v části Získání veřejného a soukromého klíče, vyberte možnost Nahrát veřejný klíč. Posuňte se dolů a nahrajte soubor certifikátu s veřejným klíčem. Klikněte na tlačítko Další.
-
Klikněte na Uložit nakonfigurované API.
-
Chcete‑li zobrazit podrobnosti pověření, přejděte do části Účet služby (JWT).
Informace na této stránce se později použijí v jednom z konfiguračních souborů nástroje pro synchronizaci uživatelů.
-
Vytvořte složku s názvem user_sync_tool v umístění na disku, kam mají uživatelé s příslušnými oprávněními přístup.
-
Přejděte na web GitHub a vyhledejte značku Latest release (Nejnovější verze).
V této verzi vyhledejte a rozbalte položku Assets (Zdroje). Následně vyhledejte a stáhněte:
- Soubor examples.zip
- Soubor ZIP s nástrojem pro synchronizaci uživatelů v seznamu, který odpovídá typu vašeho operačního systému
-
Rozbalte soubor examples.zip, přejděte do složky config files - basic a do složky user_sync_tool zkopírujte následující soubory: connector-ldap.yml, connector-umapi.yml a user-sync-config.yml.
-
Z druhého souboru ZIP extrahujte soubor user-sync.exe a umístěte ho do stejné složky user_sync_tool.
-
Vyhledejte soubor private.key, který byl součástí veřejného certifikátu, a přesuňte ho do téže složky user_sync_tool. Složka teď tedy obsahuje tyto soubory:
- connector-ldap.yml
- connector-umapi.yml
- private.key
- user-sync.exe
- user-sync-config.yml
Konfigurace nástroje pro synchronizaci uživatelů
-
Upravte soubor connector-ldap.yml pomocí specializovaného textového editoru.
-
Zadejte hodnoty pro uživatelské jméno, heslo, hostitele a base_dn (základní rozlišující název).
-
Pro parametr search_page_size zadejte hodnotu 200.
-
Ve většině případů by ji měly nastavit výchozí filtry. Pokud potřebujete vlastní dotaz LDAP pro export skupiny uživatelů, upravte konfigurační parametr all_users_filter.
-
Ověřte zbývající nekomentovaná nastavení a na jaké atributy LDAP odkazují. Změňte je podle svých potřeb.
Některá nasazení využívají přihlášení založené na uživatelském jménu (pole Username v konzoli Admin Console pro daného uživatele není hodnota typu E-mail).
V tomto případě aktivujte také následující řádek (odeberte znak #):
user_username_format: {sAMAccountName}Pokud potřebujete použít jiný atribut než sAMAccountName, nahraďte jej příslušným jiným názvem.
-
Upravte soubor connector-umapi.yml. Tento soubor obsahuje informace o přístupu k vaší organizaci Adobe.
-
Zadejte následující informace ze dříve vytvořené integrace adobe.io:
- org_id
- api_key
- client_secret
- tech_acct
-
Ujistěte se, že atribut priv_key_path obsahuje přesný název soukromého klíče uvnitř složky user_sync_tool.
Pokud je soukromý klíč ve stejné složce jako zbytek souborů UST, může atribut priv_key_path obsahovat pouze název souboru, protože funguje jako relativní cesta.
Pokud váš adresář neuvádí zemi pro každého z uživatelů, můžete nastavit výchozí zemi.
-
Upravte soubor user-sync-config.yml.
-
Na řádku default country code odstraňte symbol # a zadejte požadovaný kód země. Příklad:
default_country_code: US
Poznámka:Kód země je nezbytný při použití identifikátoru Federated ID a je vhodný pro identifikátory Enterprise ID. V případě, že používáte identifikátor Enterprise ID a kód neuvedete, uživatelé budou vyzváni k jeho zadání při prvním přihlášení.
Mapování skupin určuje, které skupiny z LDAP by měly mít v konzoli Admin Console odpovídající skupinu uživatelů nebo PLC.
Cílem je poskytnout nástroji zdroj skupin/uživatelů, aby mohl namapovat stejné členy ve skupinách/PLC na straně konzole Admin Console.
-
Upravte parametr group mapping v souboru user-sync-config.yml.
-
U každé adresářové skupiny, kterou chcete namapovat na profil produktu Adobe nebo uživatelskou skupinu, vložte záznam do části groups. Příklad:
groups: - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here
Poznámka:Mapování skupin lze provést prostřednictvím skupin uživatelů nebo profilů produktu Adobe, ale ne pomoci názvů produktu. Navíc můžete jednu adresářovou skupinu namapovat k více než jedné skupině uživatelů nebo profilu produktu Adobe.
Chcete-li zabránit náhodnému odebrání účtu v případě nesprávné konfigurace nebo jiného problému, můžete se rozhodnout omezit maximální počet odstranění účtu, která je možné rozumně očekávat v průběhu každodenní synchronizace.
-
Tento limit můžete změnit úpravou parametru max_adobe_only_users v souboru user-sync-config.yml.
-
Pokud očekáváte, že počet odstranění účtu mezi jednotlivými synchronizacemi uživatelů bude vyšší než nastavená hodnota max_adobe_only_users, zvyšte příslušně tuto hodnotu.
Poznámka:Pokud je počet účtů, které mají být odstraněny, vyšší než hodnota max_adobe_only_users, nástroj neodstraní žádný účet. Do protokolu se zapíše kritická položka oznamující dosažení tohoto limitu.
Tento limit nemá vliv na akce vytvoření.
Existují určité situace, kdy některé účty musí být ze synchronizace vyloučeny. Toho lze dosáhnout úpravou souboru user-sync-config.yml.
Tento nástroj nabízí tři možnosti vyloučení: na základě typu identity, na základě názvu skupiny a na základě regulárního výrazu.
Jakýkoli účet nalezený v konzoli Admin Console, který splňuje alespoň jedno z uvedených kritérií, je chráněn před akcí odebrání (ze skupiny, z Org).
Doporučujeme mít účty AdobeID pro správce systému v konzoli Admin Console a vyloučit je prostřednictvím atributu exclude_identity_types: adobeID.
Zde je příklad:
adobe_users:
exclude_identity_types:
- adobeID # adobeID, enterpriseID nebo federatedID
exclude_adobe_groups:
- adobe_group_name # členy této skupiny nesmí nástroj pro synchronizaci uživatelů odebrat
- other_group_name # zde je možné odebrat více skupin
exclude_users:
- ".*@example.com"
- important_user@domain.com
Nástroj pro synchronizaci uživatelů dokáže vytvářet protokoly, které budou odeslány jako výstup v konzoli nebo uloženy jako soubor s protokolem. Definice protokolování v nastavení konfigurace řídí podrobnosti o umístění výstupu a objemu protokolovaných informací.
-
Vytváření souboru s protokolem můžete aktivovat nebo deaktivovat úpravou hodnoty log_to_file v souboru user-sync-config.yml.
-
Zkontrolujte nastavení protokolů a proveďte požadované změny. Pro počáteční nastavení se doporučuje použít
log_to_file: True
file_log_level: debug
Pokud používáte server se systémem Windows, můžete ke konfiguraci nástroje pro synchronizaci uživatelů použít Průvodce konfigurací nástroje pro synchronizaci uživatelů.
Průvodce konfigurací nástroje pro synchronizaci uživatelů je grafický nástroj, který umožňuje jednoduše nastavit nástroj pro synchronizaci uživatelů prostřednictvím rozhraní API pro správu uživatelů (Adobe.io), podnikového adresáře (LDAP) a nastavení synchronizace. Jeho součástí je kontextová nápověda a odkazy na dokumentaci k nástroji pro synchronizaci uživatelů. Další informace najdete v tématu Průvodce konfigurací nástroje pro synchronizaci uživatelů Adobe.
Nasazení a automatizace
Nyní po dokončení konfigurace nástroje pro synchronizaci uživatelů na vašem serveru nebo počítači se můžete ujistit, že vše funguje podle očekávání. Chcete-li vyřešit běžné problémy se spouštěním nástroje pro synchronizaci uživatelů, přečtěte si téma tipy k řešení běžných chyb.
-
Otevřete příkazový řádek.
-
Pomocí následujícího příkazu přejděte do složky user_sync_tool.
cd path/to/user_sync_tool
-
Pro ověření úplnosti vaší konfigurace použijte následující příkazy:
Systém Windows:
user-sync.exe -v user-sync.exe -h
UNIX:
./user-sync –v ./user-sync –h
Argument „-v“ připojí informace o verzi, argument „-h“ zobrazí nápovědu o dostupných argumentech příkazového řádku.
-
V testovacím režimu spusťte synchronizaci omezenou na namapované skupiny uvedené v konfiguračním souboru s vyloučením existujících účtů na straně Adobe.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude
Výše uvedený příkaz provede synchronizaci pouze uživatelů v namapované skupině ze souboru user-sync-config.yml. Pokud uživatelé v konzoli Admin Console zatím neexistují, proběhne pokus o vytvoření těchto uživatelů a jejich přidání do libovolné skupiny namapované z příslušné adresářové skupiny.
Spuštěním příkazu user-sync v testovacím režimu (-t) dojde pouze k pokusu o vytvoření uživatele (bez toho, aby byl uživatel doopravdy vytvořen). Možnost --adobe-only-user-action exclude zabrání odebrání uživatelských účtů existujících v organizaci Adobe.
-
Přestože parametr invocation_defaults nastavuje výchozí argumenty, se kterými nástroj pracuje, můžete je přepsat jejich uvedením na příkazovém řádku. V testovacím režimu spusťte synchronizaci omezenou na namapované skupiny uvedené v konfiguračním souboru s vyloučením dalších účtů nalezených na straně Adobe a nenalezených v exportu ze serveru LDAP.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove
-t
Spustí simulaci, nikoli skutečnou synchronizaci, a zobrazí potenciální výsledek synchronizace.
--users-mapped
Exportuje uživatele ze serveru LDAP, kteří jsou výsledkem filtru all_user_filter a zároveň jsou členy adresářových skupin určených parametry directory_group v konfiguračním souboru.
--process-groups
Přidá/odebere uživatele do/z uživatelských skupin na straně Adobe nebo PLC podle toho, zda je účet členem skupin namapovaných na LDAP.
--adobe-only-user-action remove
Jakýkoli účet nalezený na straně Adobe je odebrán z nabídky Uživatelé a jemu přiřazené licence jsou odňaty, pokud není nalezen v exportu ze serveru LDAP a není vyloučen ze synchronizace.
Pokud všechny testy proběhnou podle očekávání, jste připraveni spustit synchronizaci v plném rozsahu (bez příznaku testovacího režimu).
- Uvedené příkazy jsou jen příklady a nemusí pokrývat všechny případy použití.
- Prvotní synchronizace může trvat od sekund do hodin v závislosti na počtu synchronizovaných účtů. Každé 1,5–2 minuty (včetně časového limitu) je vytvořeno zhruba 250 uživatelů.
- Je možné očekávat zprávy s výstražným kódem 429 časového limitu UMAPI. Nástroj zajišťuje mechanismus opakování.
Nástroj pro synchronizaci uživatelů lze spustit ručně, nebo můžete připravit jeho automatizaci, kde se synchronizace spustí vždy několikrát denně.
Používáte-li systém pro analýzu protokolů a systém výstrah, připravte v nástroji pro synchronizaci uživatelů odesílání protokolů do těchto systémů. Stejně tak nastavte upozornění na chyby nebo kritické zprávy, které mohou být součástí protokolu.
-
Pokud budete chtít vygenerovat souhrnné informace obsahující důležité záznamy, vytvořte ve složce user_sync_tool dávkový soubor, který bude vyvolávat příkaz user-sync a analyzovat jeho výstup. Například vytvořte soubor run_sync.bat obsahující následující příkazy:
cd path/to/user-sync-folder user-sync.exe --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt rem email the contents of temp.file.txt to the user sync administration your-mail-tool –send file temp.file.txt
-
Podle potřeby můžete nastavit také e-mailový nástroj pro příkazový řádek.
V systému Windows není k dispozici žádný standardní e-mailový nástroj pro příkazový řádek, existuje ale několik komerčně dostupných nástrojů.
-
V plánovači úloh pro Windows nastavte spuštění nástroje pro synchronizaci uživatelů.
Následující kód například umožní spuštění nástroje pro synchronizaci uživatelů každý den v 16:00:
C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00