Dette dokument hjælper dig med at installere Værktøj til brugersynkronisering for at automatisere brugerstyringsprocessen.

Værktøj til brugersynkronisering er et kommandolinjeværktøj, der flytter bruger- og gruppedata fra din virksomheds enterprise-katalogsystem (f.eks. Active Directory eller andre LDAP-systemer) til din organisations katalog i Adobe Admin Console. Hver gang du kører Værktøj til brugersynkronisering, søger det efter forskelle mellem bruger- og gruppedata i de to systemer og opdaterer Adobe-kataloget, så det matcher oplysningerne i dit katalog.

Dette dokument indeholder trinvise instruktioner i, hvordan du får et Active Directory-system til at kommunikere med Adobe Admin Console. Det er en af ​​de mest populære kombinationer, som vores kunder bruger i skole- og SMV-segmenterne. Værktøj til brugersynkronisering er fleksibelt og kan bruges til at kommunikere med de fleste LDAP- og katalogsystemer. Hvis du bruger et andet katalogsystem end Active Directory, gælder instruktionerne i dette dokument ikke direkte. Du må foretage de nødvendige ændringer efter behov. Der er flere oplysninger i konfigurations- og succeshåndbogen.

Før du begynder

Indhent Active Directory-oplysninger

Du skal bruge følgende oplysninger om dit Active Directory- eller LDAP-system.  Hvis du ikke har disse oplysninger, kan du kontakte din it-administrator.

  • Værts- og portoplysninger om den server, hvor systemet kører.
  • Brugernavn og adgangskode.
  • Basis-DN, som er det punkt, hvorfra serveren søger efter brugere.
  • Derudover skal du muligvis også have en LDAP-forespørgsel, der udvælger det sæt brugere, som skal synkroniseres med Adobe.
Active Directory

Hent et digitalt certifikat

For at kunne signere API-kald skal du have et digitalt certifikat. Hvis du ikke har certifikatet, skal du kontakte din it-administrator for at få instruktioner.

Tip til certifikater:

  • Certifikatet skal indeholde en offentlig nøglecertifikatfil og en privat nøglefil. 
  • CRT-format (base-64-kodet X.509).
  • Navngivet med et .crt-filtypenavn (ikke .pem, .cer eller .cert)
  • SHA-2
  • Format på flere linjer (enkelt linje fungerer ikke)
  • Skal vare mindst tre år (det sparer vedligeholdelse i den pågældende levetid og kompromitterer ikke sikkerheden)

Opret et selvsigneret certifikat

Til test og opsætning kan du også bruge et selvsigneret certifikat. Du kan oprette certifikater i Windows med Cygwin, som inkluderer openssl. I Mac OS kan du bruge det indbyggede kommandolinjeværktøj openssl. Gør følgende for at oprette et certifikat:

  1. Hvis du bruger Windows, skal du installere og åbne Cygwin. Til macOS skal du åbne terminal.
  2. Kør følgende kommando:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitalt certifikat
  3. Når den private nøglegenerering er gennemført, bliver du bedt om at angive yderligere oplysninger for at oprette et entydigt navn for den offentlige nøgle. Du kan acceptere standardværdierne eller angive et relevant navn. Hvis et felt skal være tomt, skal du angive "." (et punktum).

    Digitalt certifikat

Den offentlige nøglecertifikatfil og den private nøglefil gemmes som standard på følgende steder:

Windows: C:\cygwin64\home\<dit_brugernavn>

macOS: /Brugere/<dit_brugernavn>

Identificer en server

Hvis du vil installere Brugersynkronisering på din computer, skal du sikre dig, at den opfylder følgende krav:

  • Har adgang til internettet og din katalogtjeneste, f.eks. LDAP eller AD.
  • Er beskyttet og sikker (dine administrative legitimationsoplysninger gemmes eller åbnes der).
  • Er stabil og pålidelig og har funktioner til sikkerhedskopiering og gendannelse.
  • Kan sende e-mails, så Brugersynkronisering kan sende rapporter til administratorer.
  • Har en 64-bit processor (hvis det er en Windows-maskine).

Ellers skal du kontakte it-afdelingen for at identificere en sådan server og få adgang til den.

Konfigurer Adobe Admin Console

Sørg for, at du har gjort krav på domænet for din organisation, og at produktprofiler og brugergrupper er oprettet i Adobe Admin Console.

Konfigurer serveren

Skab integration med Adobe I/O

Gør følgende for at oprette en adobe.io-integration:

  1. Log ind på Adobe I/O-konsollen, vælg din organisation fra rullelisten, og klik på New integration.

    New Integration
  2. Vælg Access an API i guiden Create a New Integration, og klik på Continue.

    Screenshot_3
  3. Vælg User Management API under Adobe Services, og klik på Continue. Klik på Continue igen på det næste skærmbillede.

    Untitled-2
  4. Indtast et navn og en beskrivelse for integrationen, og upload den offentlige nøglecertifikatfil. Klik på Create integration.

    Integrationen oprettes.

    Create integration
  5. Klik på Continue to Integration Details for at se integrationsoplysningerne.

    Integration Details

Disse integrationsoplysninger skal du bruge, når du skal konfigurere filer til Brugersynkronisering senere.

Installer Værktøj til brugersynkronisering

  1. Opret en mappe med navnet user_sync_tool på følgende placering på din computer eller server:

    Windows: C:\Brugere\<dit_brugernavn>\

    macOS: /home/<dit_brugernavn>/

  2. Åbn GitHub, vælg releases, og download følgende filer:

    • example-configurations.tar.gz
    • Brugersynkronisering til den platform og version af ​​python, du bruger.
  3. Udpak filen user-sync.pex fra arkivet, og placer den i mappen user_sync_tool, som du har oprettet.

  4. I example-configurations.tar.gz skal du gå til config files - basic, udpakke de første tre filer og placere dem i mappen user_sync_tool.

  5. Omdøb de tre filer, og fjern numrene fra navnene. Nu har du følgende filer i mappen user_sync_tool:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Angiv stien til Python (kun Windows)

  1. Installer Python version 3.6.2 eller nyere (64-bit).

  2. Markér afkrydsningsfeltet for Add Python 3.6 to PATH, notér installationsstien, og klik på Install Now.

    Installer Python
  3. Åbn kommandoprompten, og kør følgende kommando:

    python

    Kommandoen skal returnere den installerede version af ​​Python.

Konfigurer Brugersynkronisering

Konfigurer katalogadgang

  1. Rediger filen connector-ldap.yml. Denne fil har adgangsoplysninger til katalogsystemet.

  2. Angiv brugernavn, adgangskode, vært og base_dn-værdier.

    Konfigurationsfil til katalogadgang
  3. Sæt search_page_size til 0.

    Hvis du har brug for en LDAP-forespørgsel, som ikke er standard, for at vælge det ønskede sæt brugere, er den konfigureret i denne fil som en del af konfigurationsparameteren all_users_filter.

Konfigurer Adobe UMAPI-legitimationsoplysninger

  1. Rediger connector-umapi.yml. Denne fil har adgangsoplysninger til din Adobe-organisation.

  2. Indtast følgende oplysninger fra den adobe.io-integration, du oprettede tidligere:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Placer den private nøglefil i mappen user_sync_tool. Konfigurationsfilelementet priv_key_path angives derefter til navnet på denne fil.

    Adobe UMAPI-legitimationsoplysninger

Definer en standardlandekode

Hvis der ikke findes et land for hver bruger i kataloget, kan du angive et standardland.

  1. Rediger filen user-sync-config.yml.

  2. Fjern # fra linjen default country code, og angiv den relevante landekode. F.eks:

    default_country_code: US

    Bemærk:

    En landekode er påkrævet for Federated ID'er og anbefales til Enterprise ID'er. Hvis den ikke er angivet for Enterprise ID'er, bliver brugerne bedt om at vælge et land, første gang de logger på.

Gruppetilknytning

Du kan klargøre brugerkonti ved at føje dem til en enterprise-kataloggruppe ved hjælp af LDAP/AD-værktøjer i stedet for Adobe Admin Console. Derefter definerer konfigurationsfilen en tilknytning fra kataloggrupper til Adobe-produktprofiler eller brugergrupper.

Hvis en bruger er medlem af en kataloggruppe, føjer Brugersynkronisering brugeren til den tilsvarende brugergruppe i Adobe Admin Console. Og hvis en bruger er medlem af en brugergruppe, men ikke er i kataloggruppen, fjerner Brugersynkronisering brugeren fra brugergruppen.

  1. Rediger group mapping i filen user-sync-config.yml

  2. For hver kataloggruppe, der skal knyttes til en Adobe-produktprofil eller brugergruppe, skal du tilføje en post efter groups. F.eks:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Bemærk:

    Gruppetilknytning kan udføres ved hjælp af Adobe-brugergrupper eller -produktprofiler, ikke til produktnavne. Og du kan knytte én kataloggruppe til mere end én Adobe-brugergruppe eller -produktprofil.

Ikke-matchede brugergrænser

For at forhindre, at konti slettes utilsigtet, hvis der findes en fejlagtig konfiguration eller et andet problem, er der en grænse for sletning af konti.

  1. Du kan ændre grænsen ved at redigere limits i filen user-sync-config.yml.

  2. Hvis du forventer, at antallet af katalogbrugere falder med mere end 200 mellem kørsler af Brugersynkronisering, skal du hæve værdien af max_adobe_only_users.

    Bemærk:

    Hvis antallet af slettede konti er større end det antal, der er defineret i værdien max_adobe_only_users, afbrydes opdateringerne.

Beskyttelse mod sletning

Hvis du ønsker, at konti skal oprettes og fjernes via Brugersynkronisering, og vil oprette nogle konti manuelt, kan du bruge denne funktion til at forhindre, at Brugersynkronisering sletter dine manuelt oprettede konti.

  1. Angiv de konfigurationselementer, som er undtaget, i filen user-sync-config.yml.

    exclude_groups

    Den definerer en liste over Adobe-brugergrupper, -produktprofiler eller begge dele. Adobe-brugere, der er medlemmer af de angivne grupper, fjernes eller opdateres ikke, og deres gruppemedlemskab ændres ikke.

    exclude_users

    Den giver en liste over mønstre. Adobe-brugere med brugernavne, der matcher (standard skelner ikke mellem store og små bogstaver, medmindre mønsteret angiver, at der skelnes) et af de angivne mønstre, fjernes eller opdateres ikke, og deres gruppemedlemskab ændres ikke.

    exclude_identity_types

    Den giver en liste over identitetstyper Adobe-brugere, der har en af disse identitetstyper, fjernes eller opdateres ikke, og deres gruppemedlemskab ændres ikke.

  2. For at beskytte brugerne på Admin Console mod opdateringer skal du oprette en brugergruppe og placere de beskyttede brugere i denne gruppe. Så udelukkes denne gruppe fra behandling med Brugersynkronisering. Du kan også angive specifikke brugere eller et mønster, der matcher bestemte brugernavne, for at beskytte disse brugere. Du kan desuden beskytte brugere baseret på deres identitetstype.

    F.eks:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    I ovenstående eksempel er administratorer, leverandører og brugernavne eksempelværdier. Brug navnene på Adobe-brugergrupper, produktprofiler eller brugere, du har oprettet.

Opret logfiler

Brugersynkronisering genererer logposter, der kan udskrives, og som også skrives til en logfil. Konfigurationsindstillingerne for logningsopsætningen styrer oplysningerne om, hvor og hvor meget loginformation der udskrives.

  1. Du kan slå filloggen til eller fra ved at redigere værdien log_to_file i filen user-sync-config.yml.

    Meddelelser kan have fem forskellige prioritetsniveauer, og du kan vælge den laveste prioritet, som findes til filloggen eller standardoutputloggen til konsollen. Standardindstillingerne er at generere filloggen og inkludere meddelelser på niveauet "info" eller højere, hvilket er den anbefalede indstilling.

  2. Gennemgå indstillingerne for logfiler, og foretag de ønskede ændringer. Det anbefalede logniveau er info (som er standardindstillingen).

Konfigurer ved hjælp af konfigurationsguiden til Værktøj til brugersynkronisering (kun Windows)

Hvis du har en Windows-server, kan du også bruge konfigurationsguiden til Værktøj til brugersynkronisering til at konfigurere Brugersynkronisering.

Konfigurationsguiden til Værktøj til brugersynkronisering er et grænsefladeværktøj, der gør det nemt at konfigurere Værktøj til brugersynkronisering med brugerstyrings-API (Adobe.io), Enterprise Directory (LDAP) og synkroniseringsindstillinger. Den indeholder kontekstbaseret hjælp og linker til dokumentationen til Værktøj til brugersynkronisering. Der er flere oplysninger under beskrivelsen af konfigurationsguiden til Adobes brugersynkroniseringsværktøj.

Udrul og automatiser

Kontrollér konfiguration

Nu hvor Værktøj til brugersynkronisering er konfigureret på din server eller maskine, kan du kontrollere, om det virker som forventet.

  1. Åbn kommandoprompten.
  2. Brug følgende kommando til at gå til mappen user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Følgende kommandoer starter Brugersynkronisering:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Hvis du f.eks. vil kontrollere, om din konfiguration er fuldført, skal du køre følgende kommandoer:

    For Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    For UNIX:

    ./user-sync –v
    ./user-sync –h

    -v rapporterer versionen, -h giver hjælp til kommandolinjeargumenter.

  4. Brug testtilstand til at køre en synkronisering begrænset til en tilknyttet gruppe i kataloget.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Kommandoen ovenfor synkroniserer kun brugerne i den tilknyttede gruppe, der er angivet i user-sync-config.yml. Hvis brugerne ikke findes i Admin Console, gøres der forsøg på at oprette brugerne og tilføje dem i en af de grupper, der er tilknyttet fra deres kataloggrupper.

    Når du kører Brugersynkronisering i testtilstand (-t), gøres der kun forsøg på at oprette brugeren, og den oprettes ikke rigtigt. Indstillingen --adobe-only-user-action exclude forhindrer opdateringer af brugerkonti, der allerede findes i Adobe-organisationen.

  5. Kør synkroniseringen uden testtilstand, så brugeren oprettes og tilføjes i de tilknyttede grupper.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Kontrollér, om brugeren vises og gruppemedlemskaberne tilføjes, i Adobe Admin Console.

  7. Kør den samme kommando igen. Brugersynkronisering må ikke forsøge at genskabe og tilføje brugeren igen i grupper. Den skal registrere, at brugeren findes og er et medlem af brugergruppen eller produktprofilen, og ikke gøre noget.

Hvis alle testene kører som forventet, er du klar til at foretage en fuld kørsel (uden brugerfilteret).

Bemærk:

Hvis du har mere end et par hundrede brugere i dit katalog, kan det tage et par timer at synkronisere brugerne med Adobe Admin Console.

Overvåg og planlæg

Brugersynkronisering kan køres manuelt. Du kan også konfigurere automatisering, så den køres automatisk én eller nogle gange pr. dag.

Bemærk:

Hvis du har et loganalyse- og varslingssystem til rådighed, skal du sørge for, at loggen fra Brugersynkronisering sendes til loganalysesystemet. Konfigurer også alarmer for eventuelle fejlmeddelelser eller vigtige meddelelser, der vises i logfilen.

  1. Hvis du vil hente relevante logposter til en oversigt, skal du oprette en batchfil i mappen user_sync_tool med kaldet user-sync koblet til en scanning. Du kan for eksempel oprette en run_sync.bat-fil med indhold som:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Konfigurer eventuelt et kommandolinjeværktøj til e-mail.

    Der findes ikke noget kommandolinjeværktøj til e-mail i Windows som standard, men der flere, som du kan anskaffe og udfylde med dine specifikke kommandolinjeindstillinger.

  3. Konfigurer Windows Opgavestyring til at køre Værktøj til brugersynkronisering.

    Nedenstående kode kører f.eks. Værktøj til brugersynkronisering hver dag fra kl. 16:00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. For at sikre, at de planlagte opgaver fungerer, skal du køre en kommando i testtilstand.

Dette arbejde har licens under en Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Opslag på Twitter™ og Facebook er ikke omfattet af vilkårene for Creative Commons.

Juridiske meddelelser   |   Politik for beskyttelse af personlige oplysninger online