Tämä asiakirja on tarkoitettu ohjeistukseksi käyttäjien synkronointityökalun asennusvaiheita varten. Kyseisen työkalun avulla käyttäjien hallintaprosessi voidaan automatisoida.

Käyttäjien synkronointityökalu on komentorivityyppinen apuohjelma, joka siirtää käyttäjä- ja ryhmätietoja organisaation yrityshakemistojärjestelmästä (kuten Active Directory tai muut LDAP-järjestelmät) organisaation hakemistoon Adobe Admin Consolessa. Joka kerta, kun suoritat käyttäjien synkronointityökalun, se etsii eroja kahdessa järjestelmässä olevien käyttäjän ja ryhmän tietojen väliltä ja päivittää Adobe-hakemiston vastaamaan hakemiston tietoja.

Tämä asiakirja sisältää vaiheittaiset ohjeet, joiden avulla Active Directory -järjestelmä voidaan yhdistää Adobe Admin Consolen kanssa. Tämä on yksi suosituimmista yhdistelmistä, joita asiakkaamme käyttävät ensimmäisen ja toisen asteen koulujen sekä SMB (hajautettu levyjärjestelmä) -segmenteissä. Käyttäjien synkronointityökalu on joustava, ja sitä voidaan käyttää useimpien LDAP- ja hakemistojärjestelmien kanssa. Jos käytät muuta kuin Active Directory -hakemistojärjestelmää, tämän asiakirjan ohjeita ei sovelleta suoraan. Muuta niitä tarpeen mukaan. Lisätietoja on kohdassa Asennus- ja onnistumisopas.

Ennen aloittamista

Tarvitset LDAP-järjestelmästäsi seuraavat tiedot. Jos sinulla ei ole näitä tietoja, ota yhteyttä järjestelmänvalvojaan.

  • Toimialueen ohjauskoneen nimi (tai sen IP-osoite, jos se on kiinteä) ja portti.
  • Käyttäjänimi ja salasana palvelutiliin, jota työkalu voi käyttää poimiakseen käyttäjiä LDAP-järjestelmästäsi (vain luku ‑oikeudet).
  • DN-perusnimi, joka on piste, josta palvelin hakee käyttäjiä; sen pitäisi olla tarpeeksi laaja salliakseen kaikkien synkronointia edellyttävien käyttäjien ja ryhmien etsinnän.
  • Ryhmien nimet, jotka kuuluvat synkronointiin.
  • Sopivin sähköpostin/käyttäjänimen LDAP-määrite kaikille käyttäjille, jotka on luotava Admin Consolessa.
  • (Valinnainen) Saatat tarvita myös mukautetun LDAP-kyselyn, joka valitsee Adoben kanssa synkronoitavat käyttäjät, jos oletussuodattimet eivät kata vaatimuksia.
Aktiivinen hakemisto

Avainparia käytetään JWT:n allekirjoittamiseen ja sen laillisuuden vahvistamiseen access_token-prosessin hankinnassa. Jos tarvitset tässä prosessissa apua, ota tarvittaessa yhteyttä tietoturvatiimiin.

Varmenteisiin liittyviä vihjeitä:

  • Julkinen varmenne voi olla oman varmenteen myöntäjäsi allekirjoittama (tee tarvittaessa CSR), mutta myös itse allekirjoitetut varmenteet hyväksytään.
  • Yksityisen avaimen pitäisi olla RSA, vähintään 2 048 bittiä.
  • Julkisella varmenteella pitäisi olla .crt-tarkenne.
  • Allekirjoita SHA-256:lla.
  • Julkisen avaimen voimassaoloaika: suositus kolme vuotta, mutta määräytyy sisäisen tietoturvakäytännön perusteella.

Luo itse allekirjoitettu varmenne

Testaukseen ja käyttöönottoon voit käyttää myös itse allekirjoittamaasi varmennetta openssl:llä. macOS:ssä ja Linuxissa openssl saattaa tulla vakiona. Lisää Windowsissa openssl-tuki erikseen (esimerkiksi Cygwin). 
Voit luoda itse allekirjoitetun varmenteen seuraavasti:

  1. Avaa macOS:ssä tai Linuxissa Pääte. 
    Avaa Windowsissa ohjelma, joka tukee openssl:ää (Cygwin, cmd, muu...).

  2. Suorita seuraava komento:

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitaalinen varmenne
  3. Kun yksityisen avaimen luominen on suoritettu, sinua pyydetään antamaan lisätietoja julkisen avaimen erottuvan nimen luomiseksi. Voit hyväksyä oletusarvot tai kirjoittaa haluamasi nimen. Jos haluat jättää kentän tyhjäksi, kirjoita "." (pisteen merkki).

    Digitaalinen varmenne

Julkisen varmenteen tiedosto ja yksityisen avaimen tiedosto tallennetaan seuraaviin oletussijainteihin:

Windows: C:\cygwin64\home\<käyttäjätunnus>

macOS: /Käyttäjät/<käyttäjätunnus>

Jos haluat asentaa käyttäjien synkronointityökalun koneellesi, varmista, että se täyttää seuraavat vaatimukset:

  • Siinä on Internet-yhteys ja pääsy hakemistopalveluusi, kuten LDAP tai AD.
  • Se on suojattu ja turvallinen (hallintatietosi tallennetaan synkronointityökaluun tai niihin pääsee sitä kautta).
  • Se pysyy käynnissä, on luotettava ja siinä on varmuuskopiointi- ja palautustoiminnot.
  • Sillä voi lähettää sähköposteja, jotta synkronointityökalu voi lähettää raportteja hallinnoijille.
  • Jos kyseessä on Windows-kone, siinä on 64-bittinen prosessori.

Muussa tapauksessa toimi yhdessä IT-osaston kanssa tällaisen palvelimen tunnistamiseksi ja saadaksesi siihen käyttöoikeuden.

Varmista, että olet luonut hakemistot organisaatiotasi varten ja että tuoteprofiilit ja käyttäjäryhmät luodaan Adobe Admin Consolessa.

Palvelimen asetusten määrittäminen

Voit määrittää adobe.io-integroinnin seuraavasti:

  1. Kirjaudu sisään Adobe I/O Console, valitse pudotusvalikosta organisaatiosi ja napsauta Uusi integraatio.

    Uusi integraatio
  2. Valitse ohjatussa Luo uusi integraatio -määritystoiminnossa Access an API (API:n käyttö) ja napsauta Continue (Jatka).

    Screenshot_3
  3. Valitse kohdassa Adobe Services User Management API (Käyttäjien hallinta-API) ja napsauta Continue (Jatka). Valitse näyttöön seuraavaksi tulevista vaihtoehdoista Continue (Jatka) uudelleen.

    Untitled-2
  4. Anna integraation nimi ja kuvaus ja lataa julkisen avaimen varmennetiedosto. Valitse Create integration (Luo integrointi).

    Integrointi luodaan.

    Luo integrointi
  5. Voit tarkastella integrointitietoja napsauttamalla Continue to Integration Details (Jatka integrointitietoihin).

    Integraatiotiedot

Näitä integraatiotietoja tarvitaan käyttäjien synkronointitiedostojen myöhemmin tapahtuvaan määrittämiseen.

  1. Luo kansio user_sync_tool asemassa sijaintiin, jossa tarvittavat käyttöoikeudet saaneet käyttäjät voivat käyttää kansion sisältöä.

  2. Avaa GitHub ja etsi Uusin versio ‑tunniste.

    Etsi tässä versiossa Resurssit ja laajenna se. Etsi ja lataa sitten seuraavat:

    • examples.zip-tiedosto
    • luettelossa olevan, käyttöjärjestelmän tyyppiä ja Python-versiota vastaavan käyttäjien synkronointityökalun .zip-tiedosto.

    Huomautus:

    Arkiston nimi sisältää käyttöjärjestelmän tyypin, jossa työkalu toimii, ja myös Python-version, jolla se on kehitetty. Esimerkiksi user-sync-vX.Y-win64-py368.zip on Windows-versio, joka on kehitetty 64-bittisellä Python 3.6.8:lla. 
    Jos järjestelmääsi ei ole asennettu Python-versiota, yritä löytää/asentaa versio, jolla työkalu on kehitetty.

  3. Pura examples.zip, etsi config files - basic ja kopioi nämä tiedostot user_sync_tool-kansioon: connector-ldap.yml, connector-umapi.yml ja user-sync-config.yml.

  4. Pura toisesta zip-tiedostosta user-sync.pex-tiedosto ja lisää se samaan user_sync_tool-kansioon.

  5. Etsi private.key, joka toimitettiin julkisen varmenteen mukana, ja siirrä se samaan user_sync_tool-kansioon. Tiedostojen koko luettelo näyttää nyt seuraavalta:

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.pex
    • user-sync-config.yml

  1. Siirrytään Python 3.6.8:n asennukseen (lataa Windows x86-64 executable installer ja suorita se).

  2. Valitse Add Python 3.6 to PATH (Lisää Python 3.6 polkuun) ‑valintaruutu ja sitten Customize Installation (Mukauta asennusta).

    Asenna Python
  3. Valitse Optional Features (Valinnaiset ominaisuudet) ‑näytössä Next (Seuraava). Valitse Advanced Options (Lisäasetukset) ‑näytöstä Install for all users (Asenna kaikille käyttäjille) ‑valintaruutu ja sitten Install (Asenna).

    Asenna Python
  4. Jos näet asennuksen päätyttyä vaihtoehdon, jolla voit poistaa polun pituusrajoituksen käytöstä, valitse se ennen asennusikkunan sulkemista.

  5. Avaa komentokehote ja suorita seuraava komento:

    python --version

    Jos Pythonin lisääminen polkuun onnistui, edellä oleva komentorivi palauttaa version, muussa tapauksessa virheen.

Määritä käyttäjien synkronointi

  1. Muokkaa tiedostoa connector-ldap.yml erikoistekstieditorilla.

  2. Anna käyttäjätunnus, salasana, isäntä ja base_dn-arvot.

    Hakemiston käyttöoikeusasetustiedosto
  3. Aseta asetuksen search_page_size arvoksi 200.

  4. Useimmissa tapauksissa oletussuodattimet riittävät. Jos tarvitset mukautetun LDAP-kyselyn käyttäjäjoukon poimimista varten, muokkaa all_users_filter-määritysparametria.

  5. Tarkista muut kommentoimattomat asetukset ja LDAP-määritteet, joihin ne viittaavat. Muuta niitä tarpeidesi mukaan.

    Joissakin käyttöönotoissa käytetään käyttäjänimipohjaista kirjautumista (käyttäjän Admin Consolen Username (Käyttäjänimi) ‑kentässä ei ole sähköpostin tyyppistä arvoa). 

    Ota tällöin myös seuraava rivi käyttöön (poista merkki #):
    user_username_format: {sAMAccountName}

    Korvaa sAMAccountName oikealla arvolla, jos se ei vastaa sitä, mitä haluat käyttää.

  1. Muokkaa tiedostoa connector-umapi.yml. Tällä tiedostolla on Adobe-organisaatiosi käyttöoikeustietoja.

  2. Syötä seuraavat tiedot aikaisemmin luomastasi adobe.io-integraatiosta:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Varmista, että priv_key_path sisältää user_sync_tool-kansiossa olevan yksityisen avaimen nimen täsmälleen samassa muodossa. 
    Jos yksityinen avain on samassa kansiossa muiden UST-tiedostojen kanssa, priv_key_path voi sisältää vain tiedoston nimen; se toimii suhteellisena polkuna.

    Adoben UMAPI-tunnistetiedot

Jos hakemistossasi ei näy jokaisen käyttäjän maata, voit asettaa oletusmaan.

  1. Muokkaa user-sync-config.yml-tiedostoa.

  2. Poista # oletusmaakoodin rivistä ja kirjoita tarvittava maakoodi. Esimerkki:

    default_country_code: US

    Huomautus:

    Maatunnus vaaditaan Federated ID -tunnuksille, ja sitä suositellaan Enterprise ID -tunnuksille. Jos maakoodia ei lisätä Enterprise ID -tunnuksiin, käyttäjiä pyydetään valitsemaan maa, kun he kirjautuvat sisään.

Tässä osassa määritetään, millä LDAP-ryhmillä pitäisi olla vastaava käyttäjäryhmä tai PLC Admin Consolessa.

Tavoitteena on antaa työkalulle ryhmien/käyttäjien lähde, jotta se pystyy yhdistämään siihen samat jäsenet Admin Consolen ryhmissä/PLC:issä.

  1. Muokkaa ryhmän määritystä user-sync-config.yml-tiedostossa.

  2. Lisää merkintä jokaista Adoben tuoteprofiiliin tai käyttäjäryhmään määritettävää hakemistoryhmää kohden ryhmien osiossa. Esimerkki:

    groups:
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here

    Huomautus:

    Ryhmän määrittäminen voidaan tehdä käyttämällä Adobe-käyttäjäryhmiä tai tuoteprofiileja vaan ei tuotenimiin. Voit lisäksi määrittää yhden hakemistoryhmän useampaan kuin yhteen Adobe-käyttäjäryhmään tai tuoteprofiiliin.

Jotta tiliä ei vahingossa poisteta virheellisen määrityksen tai jonkin muun ongelman vuoksi, voit määrittää päivittäisen synkronoinnin yhteydessä odottamillesi tilinpoistojen määrälle enimmäisrajoituksen.

  1. Voit muuttaa rajoitusta etsimällä max_adobe_only_users-parametrin user-sync-config.yml-tiedostosta.

  2. Jos odotat tilinpoistojen määrän ylittävän asettamasi max_adobe_only_users-arvon käyttäjien synkronointikertojen välillä, lisää arvoa niin, että se kattaa kaikki tilinpoistot.

    Huomautus:

    Jos poistettavien tilien määrä ylittää max_adobe_only_users-arvon, työkalu ei käsittele tilinpoistoja. Lokiin ilmestyy kriittinen merkintä, joka ilmoittaa kyseisen rajoituksen saavuttamisesta.

    Tämä rajoitus ei vaikuta luontitoimintoihin.

Joissakin tilanteissa jotkin tilit on jätettävä synkronoinnin ulkopuolelle. Tämä on mahdollista muokkaamalla user-sync-config.yml-tiedostoa.
Työkalu tarjoaa kolme ohitustoimintoa: tunnistetietojen tyypin, ryhmän nimen ja säännönmukaisen lausekkeen mukaan.
Kaikki Admin Consolesta löytyneet tilit, jotka vastaavat vähintään yhtä mainituista ehdoista, suojataan poistotoiminnoilta (ryhmästä tai organisaatiosta).

Järjestelmänvalvojille kannattaa määrittää Admin Consolessa Adobe ID:t ja ohittaa ne exclude_identity_types: adobeID ‑parametrin ohitustoiminnolla.

Tässä on esimerkki:

adobe_users:
  exclude_identity_types:
    - adobeID           # adobeID, enterpriseID tai federatedID
  exclude_adobe_groups:
    - adobe_group_name  # sen jäseniä ei poisteta käyttäjien synkronoinnilla
    - other_group_name  # voit ohittaa useita ryhmiä
  exclude_users:
    - ”.*@example.com”
    - important_user@domain.com

Käyttäjien synkronointi tuottaa lokitietoja, jotka tulostetaan vakiotulosteeseen ja kirjataan myös lokitiedostoon. Kokoonpanoasetusten kirjautumisvalikoimalla määritetään tarkemmin, missä ja kuinka paljon lokitietoja lähetetään.

  1. Voit ottaa tiedostolokin käyttöön tai poistaa sen käytöstä muokkaamalla log_to_file-arvoa user-sync-config.yml-tiedostossa.

  2. Tarkista lokien asetukset ja tee haluamasi muutokset. Ensimääritystä varten suosittelemme, että käytät 
    log_to_file: True 
    file_log_level: debug
    ‑parametria.

Vaihtoehtoisesti, jos käytössäsi on Windows-palvelin, voit käyttää käyttäjien synkronointityökalun ohjatun määrityksen sovellusta käyttäjien synkronoinnin määrittämiseksi.

Käyttäjien synkronointityökalun ohjatun määrityksen sovellus on graafisen käyttöliittymän työkalu, jonka avulla voit helposti määrittää käyttäjien synkronointityökalun User Management API:lla (Adobe.io), Enterprise Directorylla (LDAP) ja synkronointiasetuksilla. Se tarjoaa kontekstiperustaisia ohjeita ja linkkejä käyttäjien synkronointityökalun dokumentaatioon. Lisätietoja on artikkelissa Adoben käyttäjien synkronointityökalun ohjattu määritystoiminto.

Käyttöönotto ja automatisointi

Kun käyttäjien synkronointityökalu on asetettu palvelimellesi tai koneellesi, voit tarkistaa, toimiiko se odotetulla tavalla. Lisätietoja yleisten ongelmien vianmäärityksestä käyttäjien synkronointityökalun käytön aikana on yleisten virheiden ratkaisuvinkeissä.

  1. Avaa komentorivi.
  2. Siirry seuraavan komennon avulla user_sync_tool-kansioon.

    cd path/to/user_sync_tool
  3. Jos haluat varmistaa, että määritykset ovat valmiit, suorita seuraavat komennot:

    Windowsissa:

    python user-sync.pex -v
    python user-sync.pex -h

    UNIXissa:

    ./user-sync –v
    ./user-sync –h

    -v raportoi version, ja -h antaa komentorivin argumenttien ohjeen.

  4. Suorita testitilassa rajoitettu synkronointi määritystiedostossa määritettyihin ryhmiin, ohittamalla Adoben puolella olemassa olevat tilit.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Edellä oleva komento synkronoi vain käyttäjät, jotka on määritetty user-sync-config.yml-tiedostossa määritetyssä ryhmässä. Jos Admin Console -ohjelmassa ei ole käyttäjiä, se yrittää luoda käyttäjiä ja lisätä ne mihin tahansa ryhmään, jotka on määritetty niiden hakemistoryhmistä.

    Ohjelman user-sync suorittaminen testitilassa (-t) yrittää vain luoda käyttäjän eikä tehdä sitä oikeasti. Vaihtoehto --adobe-only-user-action exclude estää Adobe-organisaation jo olemassa olevien käyttäjätilien poiston.

  5. Vaikka invocation_defaults määrittää työkalun käyttämät oletusargumentit, voit ohittaa ne mainitsemalla ne komentorivillä. Suorita testitilassa synkronointi, joka on rajoitettu määritystiedostossa mainittuihin määritettyihin ryhmiin, ja poista Adoben puolella näkyvät ylimääräiset tilit, joita ei ole löytynyt LDAP:n tietojen poiminnassa.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    Suorita simulaatio, ei varsinainen synkronointi, ja katso, mitä tapahtuisi.

    --users-mapped

    Poimi LDAP:stä käyttäjät, jotka ovat all_user_filter-suodattimen ja määritystiedoston annettujen directory_group-nimien jäsenten tuloksia.

    --process-groups

    Lisää käyttäjiä Adoben puoleisiin käyttäjäryhmiin tai PLC:ihin tai poista käyttäjiä niistä sen mukaan, kuuluuko tili LDAP:hen määritettyihin ryhmiin vai ei.

    --adobe-only-user-action remove

    Adoben puolelta löydetyt tilit poistetaan Käyttäjät-valikosta, ja oikeudet kumotaan, jos tilejä ei löydy LDAP:n tietojen poiminnasta ja niitä ei ohiteta synkronoinnissa.

    Lue lisää komentoparametreista täältä.

    Lue joistakin käyttötilanteista täältä.

Jos kaikki testisuoritukset toimivat odotetulla tavalla, voit suorittaa ohjelman kokonaan (ilman testitilan merkintää).

Huomautus:

  • Esitetyt komentorivit ovat vain esimerkkejä, eivätkä ne välttämättä kata kaikkia käyttötapauksia.
  • Ensimmäinen synkronointi voi kestää muutamasta sekunnista useaan tuntiin synkronoitavien tilien määrän mukaan. Joka 1,5–2 minuutin välein (aikalisä mukaan luettuna) luodaan noin 250 käyttäjää.
  • UMAPI-aikakatkaisun varoituskoodiin 429 liittyvät viestit ovat odotettavissa. Työkalu käsittelee uudelleenyritysmekanismin.

Käyttäjien synkronointi voidaan suorittaa manuaalisesti tai voit määrittää automaattisen asennuksen, jolloin se suoritetaan automaattisesti kerran päivässä.

Huomautus:

Jos käytössäsi on lokianalyysi ja hälytysjärjestelmä, järjestä asetukset niin, että käyttäjien synkronoinnin loki lähetetään lokianalyysijärjestelmään. Määritä lisäksi hälytysten suorittaminen siltä varalta, että lokissa näkyy virheitä tai kriittisiä viestejä.

  1. Jos haluat, että tärkeistä lokitiedoista koostetaan yhteenveto, luo erätiedosto user_sync_tool-kansiossa, johon käyttäjän synkronointi kutsutaan tarkistettavaksi. Luo esimerkiksi tiedosto run_sync.bat seuraavanlaisella sisällöllä:

    cd path/to/user-sync-folder
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Vaihtoehtoisesti voit määrittää sähköpostin komentorivityökalun.

    Windowsissa ei ole sähköpostin vakiokomentorivityökalua, mutta monia sellaisia on saatavilla kaupallisina versioina, joissa voit täyttää haluamasi komentorivit.

  3. Aseta Windowsin tehtäväajastin suorittamaan käyttäjien synkronointityökalu.

    Esimerkiksi alla oleva koodi asettaa käyttäjän synkronointityökalun suorittamisen käynnistymään päivittäin klo 16.00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö