Öffnen Sie unter macOS/Linux das Terminal.
Unter Windows öffnen Sie ein Programm mit OpenSSL-Unterstützung wie Cygwin oder cmd, sofern installiert. Andernfalls kann ab Version 2.6.0 das Benutzersynchronisations-Tool verwendet werden, um das öffentliche Zertifikat und den privaten Schlüssel zu generieren. Dazu müssen Sie das Tool lokal herunterladen und diese Befehlszeile in dem Ordner, der die Datei user-sync.exe enthält, an der Eingabeaufforderung ausführen:
- Adobe Unternehmen und Teams – Administrationshandbuch
- Bereitstellungsplanung
- Grundbegriffe
- Bereitstellungshandbücher
- Bereitstellen von Creative Cloud für Bildungseinrichtungen
- Bereitstellungsstartseite
- Onboarding-Assistent für Schulen
- Einfache Einrichtung
- Benutzer synchronisieren
- Synchronisation von Klassenlisten (USA)
- Wichtige Lizenzierungskonzepte
- Bereitstellungsoptionen
- Kurze Tipps
- Genehmigen von Adobe-Anwendungen in der Google Admin Console
- Aktivieren Sie Adobe Express in Google Classroom
- Integration mit Canvas LMS
- Integration mit Blackboard Learn
- Konfigurieren von SSO für Verbandsportale und Lernmanagementsysteme
- Hinzufügen von Benutzern über die Synchronisation von Klassenlisten
- Kivuto – Häufige Fragen
- Richtlinien für die Berechtigungen für Grund- und weiterführende Schulen
- Einrichten der Organisation
- Identitätstypen | Übersicht
- Einrichten der Identität | Übersicht
- Einrichten der Organisation mit Enterprise ID
- Einrichten von Azure AD-Verbund und -Synchronisation
- Einrichten von Google-Verbund und -Synchronisation
- Einrichten einer Organisation mit Microsoft ADFS
- Einrichten einer Organisation für Distriktsportale und LMS
- Einrichten einer Organisation mit anderen Identitätsanbietern
- Häufige Fragen und Fehlerbehebung zu SSO
- Verwalten der Einrichtung von Organisationen
- Verwalten bestehender Domänen und Verzeichnisse
- Aktivieren der automatischen Kontoerstellung
- Einrichten einer Organisation über Bevollmächtigte für Verzeichnisse
- Migrieren zu einem neuen Authentifizierungsanbieter
- Elementeinstellungen
- Authentifizierungseinstellungen
- Datenschutz- und Sicherheitskontakte
- Konsoleneinstellungen
- Verwalten der Verschlüsselung
- Verwalten bestehender Domänen und Verzeichnisse
- Verwalten von Benutzern
- Übersicht
- Administratorrollen
- Strategien zur Benutzerverwaltung
- Zuweisen von Lizenzen zu Teams-Benutzern
- In-App-Benutzerverwaltung für Teams
- Hinzufügen von Benutzern mit übereinstimmenden E‑Mail-Domänen
- Ändern des Identitätstyps eines Benutzers
- Verwalten von Benutzergruppen
- Verwalten von Verzeichnisbenutzern
- Verwalten von Entwicklern
- Migrieren bestehender Benutzer zur Adobe Admin Console
- Migrieren der Benutzerverwaltung in die Adobe Admin Console
- Übersicht
- Verwalten von Produkten und Berechtigungen
- Verwalten von Produkten und Produktprofilen
- Verwalten von Produkten
- Kaufen von Produkten und Lizenzen
- Verwalten von Produktprofilen für Unternehmensbenutzer
- Verwalten von Regeln für die automatische Zuordnung
- Erteilen der Benutzungsberechtigung zum Trainieren von Firefly Custom Models
- Produktanforderungen überprüfen
- Verwalten von Self-Service-Richtlinien
- Verwalten von Programmintegrationen
- Verwalten von Produktberechtigungen in der Admin Console
- Aktivieren/Deaktivieren von Services für ein Produktprofil
- Einzelprodukt | Creative Cloud für Unternehmen
- Optionale Services
- Verwalten von Lizenzen für gemeinsam genutzte Geräte
- Verwalten von Produkten und Produktprofilen
- Erste Schritte mit der Global Admin Console
- Einführung der globalen Administration
- Auswählen der Organisation
- Verwalten der Organisationshierarchie
- Verwalten von Produktprofilen
- Verwalten von Administratoren
- Verwalten von Benutzergruppen
- Aktualisieren von Organisationsrichtlinien
- Verwalten von Richtlinienvorlagen
- Zuordnen von Produkten zu untergeordneten Organisationen
- Ausführen ausstehender Aufträge
- Auswertung
- Exportieren oder Importieren der Organisationsstruktur
- Verwalten von Speicher und Assets
- Speicher
- Asset-Migration
- Rückübertragen von Elementen eines Benutzers
- Elementmigration für Schüler/Studierende | nur Bildungseinrichtungen
- Verwalten von Services
- Adobe Stock
- Benutzerdefinierte Schriften
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud für Unternehmen – kostenloses Abo
- Bereitstellen von Applikationen und Updates
- Übersicht
- Erstellen von Paketen
- Anpassen von Paketen
- Bereitstellen von Paketen
- Verwalten von Updates
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Fehlerbehebung
- Verwalten des Teams-Kontos
- Verlängerungen
- Verwalten von Verträgen
- Berichte und Protokolle
- Hilfe
In diesem Dokument wird die Installation des Benutzer-Synchronisationstools beschrieben, mit dem der Benutzerverwaltungsprozess automatisiert werden kann.
Das Benutzer-Synchronisationstool ist ein Befehlszeilenprogramm, das Benutzer- und Gruppeninformationen aus dem Unternehmensverzeichnissystem Ihrer Organisation (z. B. einem Active Directory- oder sonstigen LDAP-System) in das Verzeichnis Ihrer Organisation in der Adobe Admin Console verschiebt. Bei jeder Ausführung des Benutzer-Synchronisationstools wird nach Unterschieden zwischen den Benutzer- und Gruppeninformationen in den beiden Systemen gesucht und das Adobe-Verzeichnis wird so aktualisiert, dass es die Informationen in Ihrem Verzeichnis widerspiegelt.
Dieses Dokument enthält schrittweise Anweisungen zum Verbinden eines Active Directory-Systems mit der Adobe Admin Console. Dies ist eine der beliebtesten Kombinationen bei Kunden in den Segmenten Schule und KMU. Das Benutzer-Synchronisationstool ist flexibel und kann zum Herstellen von Verbindungen mit den meisten LDAP- und Verzeichnissystemen verwendet werden. Wenn Sie ein anderes Verzeichnissystem als Active Directory verwenden, können die Anweisungen in diesem Dokument nicht direkt angewendet werden. Nehmen Sie ggf. Anpassungen vor. Weitere Informationen finden Sie im Einrichtungs- und Nutzungshandbuch.
Vorbereitung
Sie benötigen die folgenden Informationen zu Ihrem LDAP-System. Sollten Sie über diese Informationen nicht verfügen, wenden Sie sich an Ihren IT-Administrator.
- Name (oder IP-Adresse, sofern es sich um eine feste IP-Adresse handelt) und Port des Domänencontrollers.
- Benutzername und Kennwort für ein Service-Konto, mit dem das Tool Benutzer aus dem LDAP-System extrahieren kann (schreibgeschützter Zugriff).
- Basis-DN, d. h. der Punkt, ab dem der Server nach Benutzern sucht. Der Bereich sollte ausreichend groß sein, um die Erkennung aller Benutzer und Gruppen zu ermöglichen, die synchronisiert werden müssen.
- Die Namen der zu synchronisierenden Gruppen.
- Das am besten geeignete LDAP-Attribut für E-Mail-Adresse/Benutzername sämtlicher Benutzer, die in der Admin Console erstellt werden müssen.
- (Optional) Möglicherweise benötigen Sie auch eine benutzerdefinierte LDAP-Abfrage, mit der die Benutzer ausgewählt werden, die mit Adobe synchronisiert werden sollen, wenn die Standardfilter die Anforderungen nicht erfüllen.
Das Schlüsselpaar wird verwendet, um ein JWT zu signieren und zu überprüfen, ob es zum Abrufen des access_token-Prozesses verwendet werden darf. Wenn Sie Hilfe bei diesem Prozess benötigen, wenden Sie sich an das Sicherheitsteam.
Empfehlungen zu Zertifikaten:
- Das öffentliche Zertifikat kann von Ihrer Zertifizierungsstelle signiert werden (erstellen Sie ggf. eine Zertifikatregistrierungsanforderung (Certificate Signing Request, CSR)). Selbstsignierte Zertifikate werden ebenfalls akzeptiert.
- Der private Schlüssel sollte mindestens ein RSA-2048-Schlüssel sein.
- Das öffentliche Zertifikat muss die Erweiterung „.crt“ besitzen.
- Signieren Sie mit SHA-256.
- Gültigkeitsdauer des öffentlichen Schlüssels: Empfohlen werden drei Jahre, maßgeblich sind jedoch die internen Sicherheitsrichtlinien.
Selbst signiertes Zertifikat erstellen
Für die Verwendung von selbst signierten Zertifikaten mit Zufallswerten und einem öffentlichen Zertifikat mit einer Gültigkeitsdauer von einem Jahr bietet das Portal adobe.io die Möglichkeit, diese während der Projekterstellungsphase oder im Menü Service Account (JWT) (Service-Konto (JSON Web Token)) eines vorhandenen Projekts zu generieren. Weitere Informationen finden Sie unter Integration mit Adobe I/O einrichten.
Führen Sie bei selbst signierten Zertifikate mit selbst festgelegten Daten und Gültigkeitswerten die folgenden Schritte aus:
-
user-sync.exe certgen
-
Führen Sie den folgenden Befehl aus:
openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
-
Wenn die Generierung des privaten Schlüssels abgeschlossen wurde, werden Sie aufgefordert, weitere Informationen einzugeben, um einen definierten Namen für den öffentlichen Schlüssel zu erstellen. Sie können Standardwerte übernehmen oder einen relevanten Wert eingeben. Wenn Sie ein Feld leer lassen möchten, geben Sie „.“ (einen Punkt) ein.
Die Zertifikatsdatei mit dem öffentlichen Schlüssel und die Datei mit dem privaten Schlüssel werden standardmäßig unter den folgenden Pfaden gespeichert:
Windows: C:\cygwin64\home\<Ihr_Benutzername>
(Wenn Sie die Datei „user-sync.exe“ verwendet haben, sollte sich die Datei im selben Ordner wie das Skript befinden.)
macOS: /Benutzer/<Ihr_Benutzername>
Wenn Sie das Benutzer-Synchronisationstool auf Ihrem Computer installieren möchten, muss dieser folgende Anforderungen erfüllen:
- Internetzugriff sowie Zugriff auf Ihren Verzeichnis-Service wie LDAP oder AD.
- Geschützt und sicher (die Administrator-Anmeldeinformationen sind auf dem Server gespeichert oder abrufbar).
- Unterbrechungsfreie und zuverlässige Verfügbarkeit, sowie Fähigkeit zu Sicherung und Wiederherstellung.
- Möglichkeit zum Senden von E-Mails, sodass das Benutzer-Synchronisationstool Berichte an Administratoren senden kann.
- Wenn es sich um einen Windows-Computer handelt, muss er über einen 64-Bit-Prozessor verfügen.
Bestimmen Sie andernfalls in Zusammenarbeit mit Ihrer IT-Abteilung einen Server, der diese Anforderungen erfüllt, und richten Sie den Zugriff darauf für sich ein.
Stellen Sie sicher, dass Sie die Verzeichnisse für Ihre Organisation erstellt haben und dass Produktprofile und Benutzergruppen in der Adobe Admin Console erstellt wurden.
Server einrichten
Führen Sie zum Einrichten einer Adobe.io-Integration folgende Schritte aus:
-
Melden Sie sich als Systemadministrator bei der Adobe I/O-Konsole an und wählen Sie rechts oben in der Dropdown-Liste Ihr Unternehmen aus. Klicken Sie auf Create New Project (Neues Projekt erstellen).
-
Klicken Sie rechts oben auf Edit Project (Projekt bearbeiten) und geben Sie einen Titel und eine Beschreibung für das Projekt ein. Klicken Sie auf Save (Speichern).
-
Klicken Sie auf Add API (API hinzufügen).
-
Filtern Sie im Fenster „Add an API“ nach Adobe Services und wählen Sie User Management API. Klicken Sie auf Next (Weiter).
-
- Schlüsselpaar generieren:
Wenn Sie ein selbst signiertes Zertifikat mit Zufallswerten verwenden möchten, die von adobe.io mit einer Gültigkeitsdauer von 1 Jahr generiert werden, wählen Sie Generate a Key Pair (Schlüsselpaar generieren). Klicken Sie dann auf Generate Keypair.
Die Datei „config.zip“ wird auf Ihren lokalen Computer heruntergeladen, die die Datei „certificate_pub.crt“ und die Datei „private.key“ enthält. Das öffentliche Zertifikat wird automatisch zu Ihrer Integration hinzugefügt und „private.key“ wird später im Konfigurationsvorgang verwendet.
- Öffentlichen Schlüssel hochladen:
Wenn Sie über ein eigenes öffentliches Zertifikat verfügen oder mithilfe der Schritte im Abschnitt Öffentlichen und privaten Schlüssel abrufen erstellt haben, wählen Sie dannUpload Your Public Key (Öffentlichen Schlüssel hochladen). Scrollen Sie nach unten und laden Sie die Zertifikatsdatei mit dem öffentlichen Schlüssel hoch. Klicken Sie auf Next (Weiter).
-
Klicken Sie auf Save Configured API (Konfigurierte API speichern).
-
Um die Berechtigungsdetails anzuzeigen, navigieren Sie zu Service Account (JWT) (Service-Konto (JSON Web Token)).
Die Informationen auf dieser Seite werden später in einer der Konfigurationsdateien des Benutzersynchronisations-Tools verwendet.
-
Erstellen Sie einen Ordner mit dem Namen user_sync_tool an einem Speicherort auf dem Laufwerk, für das die Benutzer die erforderlichen Zugriffsberechtigungen besitzen.
-
Öffnen Sie GitHub und suchen Sie die Kennzeichnung Latest release (Neuste Version).
Suchen und erweitern Sie in dieser Version die Liste Assets. Suchen Sie dann die folgenden Dateien und laden Sie sie herunter:
- Die Datei „examples.zip“
- Die ZIP-Datei des Benutzer-Synchronisationstools in der Liste, die Ihrem Betriebssystemtyp entspricht
-
Entpacken Sie „examples.zip“, navigieren Sie zu „config files - basic“ und kopieren Sie die folgenden Dateien in den Ordner „user_sync_tool“: „connector-ldap.yml“, „connector-umapi.yml“ und „user-sync-config.yml“.
-
Extrahieren Sie aus der anderen ZIP-Datei die Datei „user-sync.exe“und platzieren Sie sie ebenfalls im Ordner „user_sync_tool“.
-
Suchen Sie den „private.key“ im öffentlichen Zertifikat und verschieben Sie ihn ebenfalls in den Ordner „user_sync_tool“. Der Ordner enthält jetzt Folgendes:
- connector-ldap.yml
- connector-umapi.yml
- private.key
- user-sync.exe
- user-sync-config.yml
Benutzersynchronisation konfigurieren
-
Bearbeiten Sie die Datei connector-ldap.yml mit einem speziellen Texteditor.
-
Geben Sie Werte für Benutzername, Kennwort, Host und Basis-DN ein.
-
Legen Sie search_page_size auf 200 fest.
-
Meistens reichen zwar die Standardfilter aus. Wenn Sie eine benutzerdefinierte LDAP-Abfrage zum Extrahieren einer Gruppe von Benutzern benötigen, ändern Sie den Konfigurationsparameter „all_users_filter“.
-
Überprüfen Sie die restlichen auskommentierten Einstellungen und die LDAP-Attribute, auf die sie verweisen. Ändern Sie sie nach Ihren Bedürfnissen.
Bei einigen Bereitstellungen basiert die Anmeldung auf dem Benutzernamen (das Feld für den Benutzernamen in der Admin Console akzeptiert keine E-Mail-Adresse).
Aktivieren Sie in diesem Fall auch die folgende Zeile (entfernen Sie das Zeichen #):
user_username_format: {sAMAccountName}Ersetzen Sie „sAMAccountName“ ggf. durch das Attribut, das Sie verwenden müssen.
-
Bearbeiten Sie die Datei connector-umapi.yml. Diese Datei enthält Informationen für den Zugriff auf Ihre Adobe-Organisation.
-
Geben Sie die folgenden Informationen aus der Adobe.io-Integration ein, die Sie zuvor erstellt haben:
- org_id
- api_key
- client_secret
- tech_acct
-
Stellen Sie sicher, dass „priv_key_path“ den genauen Namen des privaten Schlüssels im Ordner „user_sync_tool“ enthält.
Wenn sich der private Schlüssel in demselben Ordner wie die restlichen UST-Dateien befindet, ist es zulässig, dass „priv_key_path“ nur den Namen der Datei enthält. Es handelt sich dann um einen relativen Pfad.
Wenn im Verzeichnis nicht für jeden Benutzer ein Land aufgelistet ist, können Sie ein Standardland festlegen.
-
Bearbeiten Sie die Datei user-sync-config.yml.
-
Entfernen Sie # aus der Zeile default country code und geben Sie den entsprechenden Ländercode ein. Beispiel:
default_country_code: US
Hinweis:Ein Ländercode ist für Federated IDs erforderlich und wird für Enterprise IDs empfohlen. Wenn er für Enterprise IDs nicht angegeben ist, werden Benutzer beim ersten Anmelden aufgefordert, ein Land auszuwählen.
In der Gruppenzuordnung wird definiert, für welche Gruppen aus LDAP eine entsprechende Benutzergruppe oder PLC in der Admin Console vorhanden sein soll.
Hierdurch soll für das Tool eine Quelle von Gruppen/Benutzern bereitgestellt werden, die den Mitgliedern in den Gruppen/PLCs der Admin Console entsprechen.
-
Bearbeiten Sie group mapping in der Datei user-sync-config.yml.
-
Fügen Sie für jede Verzeichnisgruppe, die einem Adobe-Produktprofil bzw. einer Adobe-Benutzergruppe zugeordnet sein muss, im Abschnitt groups einen Eintrag hinzu. Beispiel:
groups: - directory_group: LDAP-Gruppennamen-hier-einfügen adobe_groups: - Adobe-Gruppennamen-hier-einfügen - directory_group: LDAP-Gruppennamen-hier-einfügen adobe_groups: - Adobe-Gruppennamen-hier-einfügen
Hinweis:Die Gruppenzuordnung kann anhand von Adobe-Benutzergruppen oder -Produktprofilen erfolgen, jedoch nicht mit Produktnamen. Zudem können Sie eine Verzeichnisgruppe mehreren Adobe-Benutzergruppen oder -Produktprofilen zuordnen.
Um ein versehentliches Entfernen von Konten bei einer Fehlkonfiguration oder einem anderen Problem zu verhindern, können Sie festlegen, wie viele Konten bei der täglichen Synchronisation maximal entfernt werden sollen.
-
Suchen Sie zum Ändern dieser Begrenzung max_adobe_only_users in der Datei „user-sync-config.yml“.
-
Wenn Sie erwarten, dass die Anzahl der zu entfernenden Konten zwischen Ausführungen der Benutzersynchronisation den festgelegten Wert für max_adobe_only_users überschreitet, erhöhen Sie den Wert, damit er der Gesamtzahl der zu entfernenden Konten entspricht.
Hinweis:Wenn die Anzahl der zu entfernenden Konten größer als der Wert von max_adobe_only_users ist, werden von dem Tool keine Konten entfernt. Im Protokoll wird ein wichtiger Eintrag angezeigt, der auf das Erreichen dieser Begrenzung hinweist.
Diese Begrenzung wirkt sich nicht auf die Erstellungsaktionen aus.
Es gibt Situationen, in denen einige Konten von der Synchronisation ausgeschlossen werden müssen. Dies kann durch Bearbeiten der Datei „user-sync-config.yml“ erreicht werden.
Das Tool bietet drei Ausschlussfunktionen: nach Identitätstyp, nach Gruppennamen und nach regulärem Ausdruck.
Jedes Konto in der Admin Console, das mindestens einem der genannten Kriterien entspricht, ist vor dem Entfernen (aus der Gruppe, aus der Organisation) geschützt.
Es empfiehlt sich, dass die Admin Console Adobe IDs für Systemadministratoren enthält, und die Adobe IDs durch exclude_identity_types: adobeID auszuschließen.
Beispiel:
adobe_users:
exclude_identity_types:
- adobeID # Adobe ID, Enterprise ID oder Federated ID
exclude_adobe_groups:
- adobe_group_name # die Mitglieder dürfen nicht durch die Benutzersynchronisation ausgeschlossen werden
- other_group_name # Sie können mehrere Gruppen ausschließen
exclude_users:
- ".*@example.com"
- important_user@domain.com
Das Benutzer-Synchronisationstool erzeugt Protokolleinträge, die in die Standardausgabe sowie in eine Protokolldatei geschrieben werden. Der Protokollierungsabschnitt der Konfigurationseinstellungen steuert Ziel und Umfang der ausgegebenen Protokollinformationen.
-
Bearbeiten Sie zum Aktivieren bzw. Deaktivieren der Dateiprotokollierung den Wert log_to_file in der Datei user-sync-config.yml.
-
Überprüfen Sie die Einstellungen für die Protokolle und nehmen Sie die gewünschten Änderungen vor. Für die Ersteinrichtung empfohlen:
log_to_file: True
file_log_level: debug
Wenn Sie über einen Windows-Server verfügen, können Sie die Benutzersynchronisation auch mit dem Konfigurationsassistenten für das Benutzer-Synchronisationstool konfigurieren.
Der Konfigurationsassistent für das Benutzer-Synchronisationstool ist ein Benutzeroberflächentool, mit dem Sie das Benutzer-Synchronisationstool auf einfache Weise mit der User Management API (Adobe.io), dem Unternehmensverzeichnis (LDAP) und Synchronisationseinstellungen konfigurieren können. Es bietet kontextbasierte Hilfe sowie Links zur Dokumentation für das Benutzer-Synchronisationstool. Weitere Informationen finden Sie unter Konfigurationsassistent für das Adobe-Benutzer-Synchronisationstool.
Bereitstellen und automatisieren
Das Benutzer-Synchronisationstool ist nun auf dem Server oder Computer eingerichtet und Sie können es auf ordnungsgemäße Funktion überprüfen. Informationen zur Behebung häufiger Probleme beim Ausführen des Benutzer-Synchronisationstools finden Sie unter Tipps zur Behebung häufiger Fehler.
-
Öffnen Sie die Eingabeaufforderung.
-
Navigieren Sie mit dem folgenden Befehl zum Ordner „user_sync_tool“.
cd pfad/zu/user_sync_tool
-
Wenn Sie sich vergewissern möchten, dass die Konfiguration abgeschlossen wurde, führen Sie die folgenden Befehle aus:
Für Windows:
user-sync.exe -v user-sync.exe -h
Für UNIX:
./user-sync –v ./user-sync –h
-v gibt die Version an, -h bietet Hilfe zu Befehlszeilenargumenten.
-
Führen Sie im Testmodus eine Synchronisation aus, die auf die zugeordneten Gruppen beschränkt ist, die in der Konfigurationsdatei angegeben sind, unter Ausschluss der vorhandenen Konten auf Adobe-Seite.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude
Mit dem Befehl oben werden nur die Benutzer in der zugeordneten Gruppe synchronisiert, die in „user-sync-config.yml“ angegeben ist. Sind die Benutzer in der Admin Console nicht vorhanden, wird versucht, die Benutzer zu erstellen und diese Gruppen hinzuzufügen, die über deren Verzeichnisgruppen zugeordnet sind.
Beim Ausführen der Benutzersynchronisation im Testmodus (-t) wird lediglich versucht, den Benutzer zu erstellen, ohne dass er tatsächlich erstellt wird. Mit der Option --adobe-only-user-action exclude wird verhindert, dass in der Adobe-Organisation vorhandene Benutzerkonten entfernt werden.
-
Mit „invocation_defaults“ werden die Standardargumente festgelegt, mit denen das Tool ausgeführt wird. Sie können sie jedoch überschreiben, indem Sie sie in der Befehlszeile angeben. Führen Sie im Testmodus eine Synchronisation aus, die auf die zugeordneten Gruppen beschränkt ist, die in der Konfigurationsdatei angegeben sind, und entfernen Sie die zusätzlichen Konten, die auf Adobe-Seite vorhanden und in der LDAP-Extraktion nicht vorhanden sind.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove
-t
Führen Sie statt einer tatsächlichen Synchronisation eine Simulation aus, und beobachten Sie, was passieren würde.
--users-mapped
Extrahieren Sie Benutzer aus LDAP, die das Ergebnis von „all_user_filter“ sind und in den angegebenen Verzeichnisgruppennamen in der Konfigurationsdatei enthalten sind.
--process-groups
Hinzufügen/Entfernen von Benutzern zu/aus Adobe-seitigen Benutzergruppen oder PLCs, abhängig davon, ob sie Mitglied der LDAP zugeordneten Gruppen sind.
--adobe-only-user-action remove
Alle auf Adobe-Seite gefundenen Konten werden aus dem Menü „Benutzer“ entfernt, und Berechtigungen werden entfernt, wenn sie nicht in der LDAP-Extraktion gefunden wurden und nicht aus der Synchronisation ausgeschlossen wurden.
Wenn alle diese Tests erwartungsgemäß ausgeführt werden, können Sie den Vorgang ohne Einschränkungen (ohne das Flag „test-mode“) ausführen.
- Die angegebenen Befehlszeilen sind lediglich Beispiele und decken möglicherweise nicht alle Anwendungsfälle ab.
- Die Erstsynchronisation kann abhängig von der Anzahl der zu synchronisierenden Konten von einigen Sekunden bis zu mehreren Stunden dauern. Es werden alle 1,5 bis 2 Minuten (einschließlich Zeitüberschreitung) ca. 250 Benutzer erstellt.
- Die UMAPI-Zeitüberschreitungsmeldungen mit dem Warnungscode 429 sind erwartungsgemäß. Das Tool führt den Wiederholungsmechanismus aus.
Die Benutzersynchronisation kann manuell ausgeführt werden. Sie können jedoch auch eine Automatisierung einrichten, bei der die Benutzersynchronisation mehrmals täglich automatisch ausgeführt wird.
Wenn Sie über ein Protokollanalyse- und Benachrichtigungssystem verfügen, richten Sie es so ein, dass das Protokoll aus dem Benutzer-Synchronisationstool an das Protokollanalysesystem gesendet wird. Richten Sie zudem Benachrichtigungen ein, wenn ein normaler oder schwerwiegender Fehler im Protokoll erscheint.
-
Erstellen Sie zum Auslesen aller relevanten Protokolleinträge für eine Zusammenfassung eine Stapeldatei im Ordner user_sync_tool, in der das Benutzer-Synchronisationstool aufgerufen wird und die Ausgabe übergeben wird. Erstellen Sie beispielsweise eine Datei „run_sync.bat“ mit folgendem Inhalt:
cd pfad/zu/user-sync-folder user-sync.exe --users file beispiel.benutzerdatei.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.datei.txt rem Inhalt der Datei „temp.datei.txt“ per E-Mail an die Benutzer-Synchronisationsadministration senden Ihr-Mail-Tool –send file temp.datei.txt
-
Richten Sie optional ein Befehlszeilentool für E-Mails ein.
Unter Windows gibt es kein Standard-Befehlszeilentool für E-Mails, es sind aber verschiedene Lösungen erhältlich, bei denen Sie Ihre spezifischen Befehlszeilenoptionen eingeben können.
-
Richten Sie die Aufgabenplanung von Windows für die Ausführung des Benutzer-Synchronisationstools ein.
Mir dem folgenden Code wird das Benutzer-Synchronisationstool beispielsweise täglich ab 16:00 Uhr ausgeführt:
C:\> schtasks /create /tn "Adobe User Sync" /tr pfad_zur_bat-datei/run_sync.bat /sc DAILY /st 16:00