Tämä asiakirja on tarkoitettu ohjeistukseksi käyttäjien synkronointityökalun asennusvaiheita varten. Kyseisen työkalun avulla käyttäjien hallintaprosessi voidaan automatisoida.

Käyttäjien synkronointityökalu on komentorivityyppinen apuohjelma, joka siirtää käyttäjä- ja ryhmätietoja organisaation yrityshakemistojärjestelmästä (kuten Active Directory tai muut LDAP-järjestelmät) organisaation hakemistoon Adobe Admin Consolessa. Joka kerta, kun suoritat käyttäjien synkronointityökalun, se etsii eroja kahdessa järjestelmässä olevien käyttäjän ja ryhmän tietojen väliltä ja päivittää Adobe-hakemiston vastaamaan hakemiston tietoja.

Tämä asiakirja sisältää vaiheittaiset ohjeet, joiden avulla Active Directory -järjestelmä voidaan yhdistää Adobe Admin Consolen kanssa. Tämä on yksi suosituimmista yhdistelmistä, joita asiakkaamme käyttävät ensimmäisen ja toisen asteen koulujen sekä SMB (hajautettu levyjärjestelmä) -segmenteissä. Käyttäjien synkronointityökalu on joustava, ja sitä voidaan käyttää useimpien LDAP- ja hakemistojärjestelmien kanssa. Jos käytät muuta kuin Active Directory -hakemistojärjestelmää, tämän asiakirjan ohjeita ei sovelleta suoraan. Tee muutoksia tarpeen mukaan. Lisätietoja on kohdassa Asennus- ja onnistumisopas.

Ennen aloittamista

Hanki Active Directory -tiedot

Tarvitset seuraavat Active Directory (tai LDAP) -järjestelmän tiedot. Jos sinulla ei ole näitä tietoja, ota yhteyttä järjestelmänvalvojaan.

  • Palvelimen ja portin tiedot palvelimesta, jossa järjestelmä on käynnissä.
  • Käyttäjätunnus ja salasana.
  • Base DN, joka on kohta, josta palvelin etsii käyttäjiä.
  • Lisäksi voit myös tarvita LDAP-kyselyä, joka valitsee Adoben kanssa synkronoitavat käyttäjät.
Aktiivinen hakemisto

Hanki digitaalinen varmenne

Jotta voit allekirjoittaa API -puheluja, tarvitset digitaalisen varmenteen. Jos sinulla ei ole varmennetta, ota yhteyttä IT-järjestelmänvalvojaan.

Varmenteisiin liittyviä vihjeitä:

  • Varmenteen on sisällettävä julkisen avaimen varmennetiedosto ja yksityinen avaustiedosto.
  • CRT (Base-64-koodattu X.509) -muodossa
  • nimetty .crt-tiedostotunnisteella (eikä .pem, .cer tai .cert)
  • SHA-2
  • monirivisessä muodossa (yksirivinen johtaa virheeseen)
  • oltava voimassa vähintään kolme vuotta (säästää ylläpitokustannuksia varmenteen käyttöiän aikana suojauksesta tinkimättä).

Luo itse allekirjoitettu varmenne

Testaukseen ja käyttöönottoon voit käyttää myös itse allekirjoittamaasi varmennetta. Voit luoda todistuksia Windowsissa Cygwinin avulla. Se sisältää työkalun openssl. Mac-käyttöjärjestelmässä voit käyttää sisäänrakennettua komentorivin työkalua openssl. Voit luoda varmenteen seuraavalla tavalla:

  1. Jos käytät Windowsia, asenna ja avaa Cygwin. Jos käyttöjärjestelmä on macOS, avaa pääte.
  2. Suorita seuraava komento:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitaalinen varmenne
  3. Kun yksityisen avaimen luominen on suoritettu, sinua pyydetään antamaan lisätietoja julkisen avaimen erottuvan nimen luomiseksi. Voit hyväksyä oletusarvot tai kirjoittaa haluamasi nimen. Jos haluat jättää kentän tyhjäksi, kirjoita "." (pisteen merkki).

    Digitaalinen varmenne

Julkisen avaimen varmenteen tiedosto ja yksityinen avaustiedosto tallennetaan oletusarvoisesti seuraaviin paikkoihin:

Windows: C:\cygwin64\home\<käyttäjätunnus>

macOS: /Käyttäjät/<käyttäjätunnus>

Palvelimen tunnistaminen

Jos haluat asentaa käyttäjien synkronointityökalun koneellesi, varmista, että se täyttää seuraavat vaatimukset:

  • Siinä on Internet-yhteys ja pääsy hakemistopalveluusi, kuten LDAP tai AD.
  • Se on suojattu ja turvallinen (hallintatietosi tallennetaan synkronointityökaluun tai niihin pääsee sitä kautta).
  • Se pysyy käynnissä, on luotettava ja siinä on varmuuskopiointi- ja palautustoiminnot.
  • Sillä voi lähettää sähköposteja, jotta synkronointityökalu voi lähettää raportteja hallinnoijille.
  • Jos kyseessä on Windows-kone, siinä on 64-bittinen prosessori.

Muussa tapauksessa toimi yhdessä IT-osaston kanssa tällaisen palvelimen tunnistamiseksi ja saadaksesi siihen käyttöoikeuden.

Adobe Admin Consolen määritys

Varmista, että olet varannut organisaatiosi verkkotunnuksen ja että tuoteprofiilit ja käyttäjäryhmät luodaan Adobe Admin Consolessa.

Palvelimen asetusten määrittäminen

Luo integraatio Adobe I/O:n avulla

Voit määrittää adobe.io-integroinnin seuraavasti:

  1. Kirjaudu sisään Adobe I/O Console, valitse pudotusvalikosta organisaatiosi ja napsauta Uusi integraatio.

    Uusi integraatio
  2. Valitse ohjatussa Luo uusi integraatio -määritystoiminnossa Access an API (API:n käyttö) ja napsauta Continue (Jatka).

    Screenshot_3
  3. Valitse kohdassa Adobe Services User Management API (Käyttäjien hallinta-API) ja napsauta Continue (Jatka). Valitse näyttöön seuraavaksi tulevista vaihtoehdoista Continue (Jatka) uudelleen.

    Untitled-2
  4. Anna integraation nimi ja kuvaus ja lataa julkisen avaimen varmennetiedosto. Valitse Create integration (Luo integrointi).

    Integrointi luodaan.

    Luo integrointi
  5. Voit tarkastella integrointitietoja napsauttamalla Continue to Integration Details (Jatka integrointitietoihin).

    Integraatiotiedot

Näitä integraatiotietoja tarvitaan käyttäjien synkronointitiedostojen myöhemmin tapahtuvaan määrittämiseen.

Synkronointityökalun asentaminen

  1. Luo kansio, jonka nimi on user_sync_tool seuraavaan sijaintiin koneellasi tai palvelimellasi:

    Windows: C:\Käyttäjät\<käyttäjätunnus>\

    macOS: /aloitus/<käyttäjätunnus>

  2. Mene GitHubiin , valitse tiedotteet ja lataa seuraavat tiedostot:

    • example-configurations.tar.gz
    • Käyttäjien synkronointi käyttämällesi alustalle ja python-versiolle.
  3. Pura arkiston user-sync.pex-tiedosto ja aseta se luomaasi user_sync_tool-kansioon.

  4. Siirry tiedostossa example-configurations.tar.gz kohtaan config files - basic, pura kolme ensimmäistä tiedostoa ja aseta ne user_sync_tool-kansioon.

  5. Nimeä nämä kolme tiedostoa uudelleen ja poista numerot niiden nimistä. Näin sinulla on nyt seuraavat tiedostot user_sync_tool-kansiossa:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Aseta Pythonin polku (vain Windows)

  1. Asenna Pythonin versio 3.6.2 tai uudempi (64-bittinen).

  2. Merkitse valintaruutu kohdassa Add Python 3.6 to PATH, huomioi asennuspolku ja napsauta Install Now (Asenna nyt).

    Asenna Python
  3. Avaa komentorivi ja suorita seuraava komento:

    python

    Komennon on palautettava Pythonin asennettu versio.

Määritä käyttäjien synkronointi

Määritä hakemiston käyttöoikeus

  1. Muokkaa tiedostoa connector-ldap.yml. Tässä tiedostossa on hakemistojärjestelmän käyttöoikeustiedot.

  2. Anna käyttäjätunnus, salasana, isäntä ja base_dn-arvot.

    Hakemiston käyttöoikeusasetustiedosto
  3. Aseta asetuksen search_page_size arvoksi 0.

    Jos tarvitset ei-oletusarvoista LDAP-kyselyä valitaksesi haluamasi käyttäjät, se määritetään tässä tiedostossa osana all_users_filter config-parametria.

Määritä Adoben UMAPI-tunnistetiedot

  1. Muokkaa tiedostoa connector-umapi.yml. Tällä tiedostolla on Adobe-organisaatiosi käyttöoikeustietoja.

  2. Syötä seuraavat tiedot aikaisemmin luomastasi adobe.io-integraatiosta:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Aseta yksityinen avaintiedosto user_sync_tool-kansioon. priv_key_path config-tiedosto on asetettu tämän tiedoston nimeen.

    Adoben UMAPI-tunnistetiedot

Määritä oletusmaakoodi

Jos hakemistossasi ei näy jokaisen käyttäjän maata, voit asettaa oletusmaan.

  1. Muokkaa user-sync-config.yml-tiedostoa.

  2. Poista # oletusmaakoodin rivistä ja kirjoita tarvittava maakoodi. Esimerkki:

    default_country_code: US

    Huomautus:

    Maatunnus vaaditaan Federated ID -tunnuksille, ja sitä suositellaan Enterprise ID -tunnuksille. Jos maakoodia ei lisätä Enterprise ID -tunnuksiin, käyttäjiä pyydetään valitsemaan maa, kun he kirjautuvat sisään.

Ryhmän määrittäminen

Voit tarjota käyttäjätilejä lisäämällä ne yrityshakemistoihin käyttämällä LDAP/AD-työkaluja Adobe Admin Consolen sijaan. Sitten konfigurointitiedosto suorittaa määrityksen hakemistoluokista Adoben tuoteprofiileihin tai käyttäjäryhmiin.

Jos käyttäjä on hakemistoryhmän jäsen, käyttäjä-synkronointi lisää käyttäjän Adobe Admin Console -ohjelmaan vastaavaan käyttäjäryhmään. Lisäksi jos käyttäjä on käyttäjäryhmän jäsen mutta ei kuulu hakemistoryhmään, käyttäjä-synkronointi poistaa käyttäjän käyttäjäryhmästä.

  1. Muokkaa ryhmän määritystä user-sync-config.yml-tiedostossa.

  2. Lisää merkintä jokaista Adoben tuoteprofiiliin tai käyttäjäryhmään määritettävää hakemistoryhmää kohden ryhmien jälkeen. Esimerkki:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Huomautus:

    Ryhmän määrittäminen voidaan tehdä käyttämällä Adobe-käyttäjäryhmiä tai tuoteprofiileja vaan ei tuotenimiin. Voit lisäksi määrittää yhden hakemistoryhmän useampaan kuin yhteen Adobe-käyttäjäryhmään tai tuoteprofiiliin.

Ylivertaiset käyttäjärajoitukset

Jotta vahingossa tapahtuva tilien poistaminen voidaan estää siltä varalta, että kyseessä on virheellinen määritys tai muu ongelma, tilien poistamiseen on asetettu raja.

  1. Voit muuttaa rajoituksia muokkaamalla user-sync-config.yml-tiedoston rajoja.

  2. Jos arvioit, että hakemistokäyttäjien määrä putoaa yli 200 käyttäjällä käyttäjien synkronointien välillä, nosta max_adobe_only_users-lukuarvoa.

    Huomautus:

    Jos poistettavien tilien määrä on suurempi kuin max_adobe_only_users-arvon määritys, päivitykset keskeytyvät.

Poista suoja

Jos haluat ohjata tilien luomista ja poistamista käyttäjien synkronoinnin kautta ja haluat luoda manuaalisesti muutaman tilin, käytä tätä ominaisuutta estämään käyttäjien synkronointia poistamasta manuaalisesti luotuja tilejä.

  1. Anna määritysten kohteet poissulkemista varten user-sync-config.yml-tiedostossa.

    exclude_groups

    Se määrittää luettelon Adobe-käyttäjäryhmistä, tuoteprofiileista tai molemmista. Adobe-käyttäjiä, jotka ovat jäseniä luetelluista ryhmistä, ei poisteta eikä päivitetä eikä heidän ryhmänsä jäsenyyttä muuteta.

    exclude_users

    Se antaa malliluettelon. Adobe-käyttäjät, joiden käyttäjätunnukset (oletusarvoisesti kirjaimen koko ei ole merkitsevä, ellei mallissa määritetä toisin) vastaavat jotakin määritetyistä malleista, ei poisteta eikä päivitetä eikä heidän ryhmäjäsenyyttänsä muuteta.

    exclude_identity_types

    Se antaa luettelon tunnistetyypeistä. Adobe-käyttäjiä, joilla on jokin näistä tunnistetietotyypeistä, ei poisteta eikä päivitetä eikä heidän ryhmänsä jäsenyyttä muuteta.

  2. Jos haluat suojata käyttäjä Admin Consolen päivityksiltä, luo käyttäjäryhmä ja aseta suojatut käyttäjät kyseiseen ryhmään ja määritä sitten kyseinen ryhmä käyttäjien synkronointikäsittelyyn kuulumattomaksi. Voit myös merkitä tiettyjä käyttäjiä tai mallin, jotka vastaavat tiettyjä käyttäjänimiä näiden käyttäjien suojaamiseksi. Voit suojata käyttäjiä myös tunnistetietotyypin perusteella.

    Esimerkki:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    Yllä olevassa esimerkissä hallinnoijat, alihankkijat ja käyttäjätunnukset ovat esimerkkiarvoja. Käytä Adoben käyttäjäryhmien, tuoteprofiilien tai luotujen käyttäjien nimiä.

Lokien luominen

Käyttäjien synkronointi tuottaa lokitietoja, jotka tulostetaan vakiotulosteeseen ja kirjataan myös lokitiedostoon. Kokoonpanoasetusten kirjautumisvalikoimalla määritetään tarkemmin, missä ja kuinka paljon lokitietoja lähetetään.

  1. Voit ottaa tiedostolokin käyttöön tai poistaa sen käytöstä muokkaamalla log_to_file-arvoa user-sync-config.yml-tiedostossa.

    Viestien tärkeystasoja on viisi, ja voit valita vähäisimmän tärkeyden, joka sisältyy joko tiedostolokiin tai konsoliin lähetettävään vakiotulostuslokiin. Oletusarvoisesti tiedostoloki tuotetaan ja mukaan sisällytetään suositeltavien asetusten mukaisesti info-tason tai sitä korkeamman tason viestejä.

  2. Tarkista lokien asetukset ja tee haluamasi muutokset. Suositeltava lokitaso on info (oletusarvon mukaisesti).

Tee määritykset käyttäjien synkronointityökalun ohjatun määrityksen sovelluksella (vain Windowsissa)

Vaihtoehtoisesti, jos käytössäsi on Windows-palvelin, voit käyttää käyttäjien synkronointityökalun ohjatun määrityksen sovellusta käyttäjän synkronoinnin määrittämiseksi.

Käyttäjien synkronointityökalun ohjatun määrityksen sovellus on graafisen käyttöliittymän työkalu, jonka avulla voit helposti määrittää käyttäjien synkronointityökalun User Management API:lla (Adobe.io), Enterprise Directorylla (LDAP) ja synkronointiasetuksilla. Se tarjoaa kontekstiperustaisia ​​ohjeita ja linkkejä käyttäjien synkronointityökalun dokumentaatioon. Lisätietoja on kohdassa Adoben käyttäjien synkronointityökalun ohjattu määritystoiminto .

Käyttöönotto ja automatisointi

Tarkista määritykset

Kun käyttäjien synkronointityökalu on asetettu palvelimellesi tai koneellesi, voit tarkistaa, toimiiko se odotetulla tavalla.

  1. Avaa komentorivi.
  2. Siirry seuraavan komennon avulla user_sync_tool-kansioon.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Seuraavassa ovat komennot, joilla käyttäjien synkronointi voidaan aloittaa:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Jos haluat esimerkiksi varmistaa, että määritykset ovat valmiit, suorita seuraavat komennot:

    Windowsissa:

    python user-sync.pex -v
    python user-sync.pex -h

    UNIXissa:

    ./user-sync –v
    ./user-sync –h

    -v raportoi version, ja -h antaa komentorivin argumenttien ohjeen.

  4. Testitilassa suorita hakemistosi määritettyyn ryhmään rajoitettu synkronointi.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Edellä oleva komento synkronoi vain käyttäjät, jotka on määritetty user-sync-config.yml-tiedostossa määritetyssä ryhmässä. Jos Admin Console -ohjelmassa ei ole käyttäjiä, se yrittää luoda käyttäjiä ja lisätä ne mihin tahansa ryhmään, jotka on määritetty niiden hakemistoryhmistä.

    Ohjelman user-sync suorittaminen testitilassa (-t) yrittää vain luoda käyttäjän eikä tehdä sitä oikeasti. Vaihtoehdon --adobe-only-user-action poistaminen käytöstä estää Adobe-organisaation jo olemassa olevien käyttäjätilien päivitykset.

  5. Suorita synkronointi ilman testitilaa, jotta se luo käyttäjän ja lisää käyttäjän määritettyihin ryhmiin.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Tarkista Adobe Admin Console, jos käyttäjä on näkyvissä ja ryhmän jäsenyydet lisätään.

  7. Suorita sama komento uudelleen. Käyttäjän synkronointi ei saa yrittää luoda ja lisätä käyttäjää uudelleen ryhmiin. Sen on havaittava, että käyttäjä on olemassa ja käyttäjäryhmän tai tuoteprofiilin jäsen, eikä tehdä mitään.

Jos kaikki testisuoritukset toimivat odotetulla tavalla, voit suorittaa ohjelman kokonaan (ilman käyttäjien suodatusta).

Huomautus:

Jos hakemistossasi on useampia kuin muutamia satoja käyttäjiä, näiden synkronointi Adobe Admin Consolessa voi kestää muutaman tunnin.

Seuranta ja aikataulu

Käyttäjien synkronointi voidaan suorittaa manuaalisesti tai voit määrittää automaattisen asennuksen, jolloin se suoritetaan automaattisesti kerran päivässä.

Huomautus:

Jos käytössäsi on lokianalyysi ja hälytysjärjestelmä, järjestä asetukset niin, että käyttäjien synkronoinnin loki lähetetään lokianalyysijärjestelmään. Määritä lisäksi hälytysten suorittaminen siltä varalta, että lokissa näkyy virheitä tai kriittisiä viestejä.

  1. Jos haluat, että tärkeistä lokitiedoista koostetaan yhteenveto, luo erätiedosto user_sync_tool-kansiossa, johon käyttäjän synkronointi kutsutaan tarkistettavaksi. Luo esimerkiksi tiedosto run_sync.bat seuraavanlaisella sisällöllä:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Vaihtoehtoisesti voit määrittää sähköpostin komentorivityökalun.

    Windowsissa ei ole sähköpostin vakiokomentorivityökalua , mutta monia sellaisia on saatavilla kaupallisina versioina, joissa voit täyttää haluamasi komentorivit.

  3. Aseta Windowsin tehtäväajastin suorittamaan käyttäjien synkronointityökalu.

    Esimerkiksi alla oleva koodi asettaa käyttäjän synkronointityökalun suorittamisen käynnistymään päivittäin klo 16.00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Jotta varmistetaan, että aikataulutetut tehtävät toimivat, suorita komento testitilassa.

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö