El objetivo de este documento es guiarle a través de la instalación de la herramienta de sincronización de usuarios para automatizar el proceso de administración de usuarios.

la herramienta de sincronización de usuarios es un servicio de línea de comandos que mueve la información de usuarios y grupos del sistema de directorios empresarial de su organización (por ejemplo, un Active Directory u otro sistema LDAP) al directorio de su organización en Adobe Admin Console. Cada vez que se ejecuta la herramienta de sincronización de usuarios, esta busca las diferencias entre la información de usuario y de grupo en los dos sistemas y actualiza el directorio de Adobe para que coincida con la información de su directorio.

Este documento proporciona instrucciones paso a paso para conectar un sistema de Active Directory con Adobe Admin Console. Esta es una de las principales combinaciones que utilizan nuestros clientes en los segmentos de pymes y educación primaria y secundaria. la herramienta de sincronización de usuarios es flexible y puede utilizarse para interactuar con la mayoría de los sistemas de directorio y LDAP. Si utiliza un sistema de directorios que no sea Active Directory, las instrucciones en este documento no se pueden aplicar directamente. Realice los ajustes necesarios. Para obtener más información, consulte la Guía de configuración y éxito.

Antes de comenzar

Obtener información sobre Active Directory

Necesitará la siguiente información sobre su sistema de Active Directory (o LDAP).Si no tiene esta información, póngase en contacto con su administrador de TI.

  • Información de host y puerto del servidor donde se ejecuta el sistema.
  • Nombre de usuario y contraseña.
  • Base DN, que es el punto desde donde el servidor busca usuarios.
  • Además, es posible que también necesite una consulta LDAP, que selecciona el conjunto de los usuarios que se sincronizarán con Adobe.
Active Directory

Obtener un certificado digital

Para firmar las llamadas de API, necesita un certificado digital. Si no tiene el certificado, póngase en contacto con su administrador de TI para obtener instrucciones.

Sugerencias de certificado:

  • El certificado debe incluir un archivo de certificado de clave pública y un archivo de clave privada.
  • Formato CRT (X.509 codificado en base 64).
  • Tener un nombre con una extensión de archivo .crt (no .pem ni .cert)
  • SHA-2
  • Formato de varias líneas (el de una sola línea produce errores)
  • Debería durar un mínimo de tres años (ahorra el mantenimiento durante ese periodo y no pone en peligro la seguridad)

Crear un certificado autofirmado

Para realizar pruebas y configuraciones, también puede utilizar un certificado autofirmado. Puede crear certificados en Windows con Cygwin, que incluye openssl. En Mac OS, puede utilizar la herramienta de línea de comandos integrada openssl. Para crear un certificado, siga estos pasos:

  1. Si está utilizando Windows, instale y abra Cygwin. Para macOS, abra Terminal.
  2. Ejecute el siguiente comando:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certificado digital
  3. Cuando se complete la generación de la clave privada, se le solicitará que proporcione información adicional para crear un nombre distintivo para la clave pública. Puede aceptar los valores predeterminados o introducir uno que sea relevante. Para dejar vacío un campo, introduzca "." (un carácter de punto).

    Certificado digital

El archivo de certificado de clave pública y el archivo de clave privada se almacenan de forma predeterminada en las siguientes ubicaciones:

Windows: C:\cygwin64\inicio\<su_nombre__de_usuario>

macOS: /Usuarios/<su_nombre__de_usuario>

Identificar un servidor

Si está pensando en instalar la herramienta de sincronización de usuarios en su equipo, asegúrese de que cumpla los siguientes requisitos:

  • Tiene acceso a Internet y a los servicios de directorio, como LDAP o AD.
  • Está protegido y es seguro (sus credenciales administrativas se almacenan allí y también se puede acceder a ellas).
  • Tiene una disponibilidad ininterrumpida, es fiable y tiene una función de copia de seguridad y restauración.
  • Puede enviar correos electrónicos para permitir que la herramienta de sincronización de usuarios envíe informes a los administradores.
  • Si es un equipo Windows, tiene un procesador de 64 bits.

En caso contrario, tendrá que trabajar con el departamento de TI para identificar un servidor de este tipo y obtener acceso a él.

Configurar Adobe Admin Console

Asegúrese de haber reivindicado el dominio para su organización y de crear los perfiles de productos y grupos de usuarios en Adobe Admin Console.

Configurar el servidor

Crear la integración con Adobe I/O

Para configurar una integración adobe.io, haga lo siguiente:

  1. Inicie sesión en Adobe I/O Console, seleccione su organización en la lista desplegable y haga clic en Nueva integración.

    Nueva integración
  2. En el asistente Crear una nueva integración, seleccione Acceder a una API y haga clic en Continuar.

    Screenshot_3
  3. Seleccione API de administración de usuarios en Servicios de Adobe, y haga clic en Continuar. En la pantalla que aparece a continuación, haga clic de nuevo en Continuar.

    Untitled-2
  4. Introduzca un nombre y una descripción para la integración y cargue el archivo de certificado de clave pública. Haga clic en Crear integración.

    La integración se creará.

    Crear integración
  5. Para ver los detalles de la integración, haga clic en Ir a la información sobre la integración.

    Información sobre la integración

Esta información sobre la integración será necesaria para configurar los archivos de la herramienta de sincronización de usuarios más adelante.

Instalar la herramienta de sincronización de usuarios

  1. Cree una carpeta llamada user_sync_tool en la siguiente ubicación de su equipo o servidor:

    Windows: C:\Usuarios\<su_nombre_de _usuario>\

    macOS: /inicio/<su_nombre_de_usuario>/

  2. Acceda a GitHub, seleccione versiones y descargue los siguientes archivos:

    • example-configurations.tar.gz
    • La herramienta de sincronización de usuarios para la plataforma y la versión de python que esté utilizando.
  3. Extraiga el archivo user-sync.pex del archivo y colóquelo en la carpeta user_sync_tool que ha creado.

  4. En el archivo example-configurations.tar.gz, vaya a config files - basic, extraiga los tres primeros archivos y colóquelos en la carpeta user_sync_tool.

  5. Cambie el nombre de los tres archivos y elimine los números que contengan. De esta forma, ahora tiene los siguientes archivos en la carpeta user_sync_tool:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Establecer la ruta para Python (solo Windows)

  1. Instale Python versión 3.6.2 o superior (64 bits).

  2. Active la casilla de verificación para Añadir Python 3.6 a PATH, anote la ruta de instalación y haga clic en Instalar ahora.

    Instalar Python
  3. Abra el símbolo del sistema y ejecute el siguiente comando:

    python

    El comando debe devolver la versión de Python instalada.

Configurar la herramienta de sincronización de usuarios

Configurar el acceso a directorios

  1. Edite el archivo conector-ldap.yml. Este archivo tiene información de acceso al sistema de directorios.

  2. Introduzca los valores de nombre de usuario, contraseña, host y base_dn.

    Archivo de configuración de acceso a directorios
  3. Establezca search_page_size como 0.

    Si quiere realizar una consulta de LDAP no predeterminada para seleccionar el conjunto de usuarios deseado, está configurada en este archivo como parte del parámetro de configuración all_users_filter.

Configurar las credenciales de UMAPI Adobe

  1. Edite el archivo conector-umapi.yml. Este archivo contiene información de acceso a su organización de Adobe.

  2. Introduzca la siguiente información de la integración de adobe.io que haya creado con anterioridad:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Coloque el archivo de clave privada en la carpeta user_sync_tool. El elemento del archivo de configuración priv_key_path se define a continuación en el nombre de este archivo.

    Credenciales de UMAPI Adobe

Definir un código de país predeterminado

Si el directorio no enumera un país para cada usuario, puede establecer un país de forma predeterminada.

  1. Edite el archivo user-sync-config.yml.

  2. Elimine el símbolo # de la línea de código de país predeterminado e introduzca el código de país apropiado. Por ejemplo:

    default_country_code: US

    Nota:

    El código de país es obligatorio para los Federated ID y se recomienda para los Enterprise ID. Si no se proporciona para los Enterprise ID, se pedirá a los usuarios que elijan un país cuando inicien sesión por primera vez.

Asignación de grupos

Puede proporcionar las cuentas de usuario añadiéndolas a un grupo de directorios de empresa con las herramientas LDAP y Active Directory en lugar de hacerlo con Adobe Admin Console. Después, el archivo de configuración define una asignación de grupos de directorios a perfiles de productos o grupos de usuarios de Adobe.

Si un usuario es abonado de un grupo de directorios, la herramienta de sincronización de usuarios agrega al usuario al grupo de usuarios correspondiente en Adobe Admin Console. Asimismo, si un usuario es abonado de un grupo de usuarios, pero no está en el grupo de directorios, la herramienta de sincronización de usuarios elimina al usuario del grupo de usuarios.

  1. Edite la asignación de grupos en el archivo user-sync-config.yml.

  2. Para cada grupo de directorios que deba asignarse a un grupo de usuarios o perfil de productos de Adobe, añada una entrada después de grupos. Por ejemplo:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Nota:

    La asignación de grupos se puede basar en los grupos de usuarios o en los perfiles de productos de Adobe, pero no en los nombres de los productos. Y puede asignar un grupo de directorios a más de un grupo de usuarios o perfil de productos de Adobe.

Límites de usuario no coincidentes

Para evitar la eliminación accidental de cuentas en el caso de que se haya realizado mal la configuración o exista otro problema, hay un límite establecido para la eliminación de cuentas.

  1. Para cambiar el límite, edite los límites en el archivo user-sync-config.yml.

  2. Si espera que el número de usuarios del directorio reduzca en más de 200 las ejecuciones de la herramienta de sincronización de usuarios, aumente el valor de max_adobe_only_users.

    Nota:

    Si el número de cuentas eliminadas es mayor que el número definido en el valor max_adobe_only_users, las actualizaciones se cancelarán.

Eliminar protección

Si desea realizar la creación y la eliminación de cuentas a través de la herramienta de sincronización de usuarios y quiere crear manualmente algunas cuentas, use esta función para evitar que la herramienta de sincronización de usuarios elimine las cuentas que ha creado de forma manual.

  1. Introduzca los elementos de configuración para exclusiones en el archivo user-sync-config.yml.

    exclude_groups

    Esto define una lista de grupos de usuarios o de perfiles de productos de Adobe o de ambos. Los usuarios de Adobe que son abonados de los grupos que se enumeran no se eliminan ni se actualizan. Tampoco se cambia su abono de grupo.

    exclude_users

    Ofrece una lista de patrones. Los usuarios de Adobe con nombres de usuario que coincidan (valor predeterminado que no distingue entre mayúsculas y minúsculas, a menos que el patrón especifique la distinción entre mayúsculas y minúsculas) con cualquiera de los patrones especificados no se eliminan ni se actualizan. Tampoco se cambia su abono de grupo.

    exclude_identity_types

    Ofrece una lista de los tipos de identidad. Los usuarios de Adobe que tienen uno de estos tipos de identidad no se eliminan ni se actualizan. Tampoco se cambia su abono de grupo.

  2. Para evitar que los usuarios de Admin Console reciban actualizaciones, cree un grupo de usuarios y añada a los usuarios protegidos y, a continuación, indique que este grupo está excluido del procesamiento de la herramienta de sincronización de usuarios. También puede indicar usuarios específicos o un patrón que coincida con los nombres de usuarios específicos para proteger a dichos usuarios. Asimismo, puede proteger a los usuarios en función de su tipo de identidad.

    Por ejemplo:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    En el ejemplo anterior, los nombres de los administradores, los contratistas y el usuario son valores de ejemplo. Utilice los nombres de los grupos de usuarios, los perfiles de productos o los usuarios de Adobe que ha creado.

Crear registros

La herramienta de sincronización de usuarios genera entradas de registro que se imprimen en una salida estándar y también se escriben en un archivo de registro. El conjunto de registro de los parámetros de configuración controla los detalles de dónde y qué cantidad de información de registro se obtiene.

  1. Para activar o desactivar el registro de archivos, edite el valor de log_to_file en el archivo user-sync-config.yml.

    Los mensajes pueden tener uno de los cinco niveles de importancia y se puede elegir el nivel más bajo incluido en el registro de archivo o en el registro de salida estándar de la consola. De forma predeterminada, se genera el registro de archivos y se incluyen los mensajes de nivel "info" o superior. Esta es la configuración recomendada.

  2. Revise la configuración de registros y realice los cambios que desee. El nivel de registro recomendado es info (que es el valor predeterminado).

Configurar con el asistente de configuración de la herramienta de sincronización de usuarios (solo Windows)

Alternativamente, si tiene un servidor Windows, puede usar el asistente de configuración de la herramienta de sincronización de usuarios para configurarla.

El asistente de configuración de la herramienta de sincronización de usuarios es una herramienta de interfaz gráfica de usuario con la API de administración de usuarios (Adobe.io), el directorio de empresa (LDAP) y la configuración de sincronización. Proporciona ayuda basada en el contexto y enlaces a la documentación de la herramienta de sincronización de usuarios. Para obtener más información, consulte el asistente de configuración de la herramienta de sincronización de usuarios de Adobe.

Implementar y automatizar

Comprobar configuración

Ahora que la herramienta de sincronización de usuarios está configurada en su servidor o equipo, puede comprobar si funciona como se esperaba.

  1. Abra el comando del sistema.
  2. Con el siguiente comando, vaya a la carpeta user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Para iniciar la herramienta de sincronización de usuarios, utilice los siguientes comandos:

    Windows: python user-sync.pex...

    UNIX: ./user-sync...

    Por ejemplo, para comprobar que su configuración se ha completado, ejecute los siguientes comandos:

    Para Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    Para UNIX:

    ./user-sync –v
    ./user-sync –h

    -v informa de la versión, -h proporciona ayuda sobre los argumentos de la línea de comandos.

  4. En el modo de prueba, ejecute una sincronización limitada a un grupo asignado en el directorio.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    El comando anterior sincroniza solo a los usuarios del grupo asignado especificado en user-sync-config.yml. Si los usuarios no existen en Admin Console, se intentará crearlos y agregarlos a cualquier grupo asignado a sus grupos de directorios.

    Al ejecutar la herramienta de sincronización de usuarios en modo de prueba (-t), solo trata de crear el usuario, pero no lo hace en realidad. La opción --adobe-only-user-action exclude evita que las cuentas de usuario que ya existen en la organización de Adobe se actualicen.

  5. Ejecute la sincronización sin el modo de prueba, para que cree el usuario y lo agregue a los grupos asignados.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Compruebe en Adobe Admin Console si el usuario aparece y si se han añadido los abonos del grupo.

  7. Vuelva a ejecutar el mismo comando. La herramienta de sincronización de usuarios no debe intentar volver a crear y añadir el usuario a los grupos. Debe detectar que el usuario ya existe y que es un abonado del grupo de usuarios o perfil de productos y no hacer nada.

Si todas las pruebas se ejecutan correctamente, ya puede realizar una ejecución completa (sin el filtro de usuario).

Nota:

Si tiene más de unos cientos de usuarios en su directorio, la sincronización con Adobe Admin Console puede tardar unas horas.

Supervisar y programar

La herramienta de sincronización de usuarios se puede ejecutar manualmente o puede configurar la automatización para que se ejecute una o varias veces al día de forma automática.

Nota:

Si tiene un análisis de registro y un sistema de alertas disponible, organice el registro de la herramienta de sincronización de usuarios para enviarlo al sistema de análisis de registro y configure las alertas si en el registro aparecen errores o mensajes importantes.

  1. Para extraer entradas de registro relevantes para obtener un resumen, cree un archivo por lotes en la carpeta user_sync_tool que llamará a la herramienta de sincronización de usuarios y la conectará con un escaneo. Por ejemplo, cree un archivo run_sync.bat con contenido como:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Opcionalmente, configure una herramienta de línea de comandos de correo electrónico.

    No hay una herramienta de línea de comandos de correo electrónico estándar en Windows, pero hay varias disponibles en el mercado en las que puede introducir sus opciones específicas de línea de comandos.

  3. Configure el programador de tareas de Windows para que ejecute la herramienta de sincronización de usuarios.

    Por ejemplo, el siguiente código ejecuta la herramienta de sincronización de usuarios todos los días a partir de las 4:00 p. m.

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Para asegurarse de que las tareas programadas funcionen, ejecute un comando en el modo de prueba.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea