本文件旨在為您逐步解說用戶同步工具的安裝,以便進行用戶管理程序自動化。

用戶同步工具是一個命令列公用程式,這個公用程式會將用戶及群組資訊從組織的企業目錄系統 (例如 Active Directory 或其他 LDAP 系統) 移到組織在 Adobe Admin Console 中的目錄。每次執行用戶同步工具時,工具都會尋找兩個系統中用戶及群組資訊之間的差異,然後更新 Adobe 目錄以符合您目錄中的資訊。

本文件提供將 Active Directory 系統與 Adobe Admin Console 銜接的逐步指示。這是我們客戶最常在初等/中等學校和中小企業市場類別中使用的其中一個組合。用戶同步工具非常有彈性,可用來銜接大多數 LDAP 及目錄系統。如果您使用的是 Active Directory 以外的目錄系統,則本文件中的指示不能直接套用,請視需要進行修改。如需詳細資訊,請參閱「設定和成功指南」。

開始之前

取得 Active Directory 資訊

您需要下列有關 Active Directory (或 LDAP) 系統的資訊。如果您沒有這些資訊,請聯絡您的 IT 管理員。

  • 有關系統所在伺服器的主機及連接埠資訊。
  • 用戶名稱和密碼。
  • 基準 DN,這是伺服器搜尋用戶的起點。
  • 此外,您可能還需要 LDAP 查詢,用來選取一組與 Adobe 同步的用戶。
Active Directory

取得數位憑證

若要簽署 API 呼叫,就需要數位憑證。如果您沒有憑證,請聯絡 IT 管理員以取得相關指示。

憑證提示:

  • 憑證必須包含公開金鑰檔和私密金鑰檔。
  • CRT (base-64 編碼 X.509) 格式
  • 副檔名為 .crt (不是 .cer.cert)
  • SHA-2
  • 多行格式 (使用單行將會失敗)
  • 必須持續至少 3 年 (這免除了這段生命週期的維護工作,而且不會危害安全性)

建立自我簽章憑證

進行測試和設定時,您也可以使用自我簽章憑證。您可以使用包含 openssl 的 Cygwin,在 Windows 中建立憑證。在 Mac OS 中,則可以使用內建命令列工具 openssl。若要建立憑證,請執行下列動作:

  1. 如果您使用的是 Windows,請安裝並開啟 Cygwin。若為 macOS,請開啟終端機。
  2. 執行下面的命令︰

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    數位憑證
  3. 私密金鑰產生完成時,系統會提示您輸入其他資訊以建立公開公鑰的辨別名稱。您可以接受預設值,也可以輸入相關值。若要讓欄位空白,請輸入「.」(點字元)。

    數位憑證

公開金鑰檔和私密金鑰檔預設會儲存在下列位置:

Windows:C:\cygwin64\home\<您的用戶名稱>

macOS:/Users/<您的用戶名稱>

識別伺服器

如果打算在您的電腦上安裝用戶同步工具,請確定電腦符合下列需求:

  • 可以存取網際網路以及 LDAP 或 AD 等目錄服務。
  • 受保護且很安全 (在那裡儲存或存取您的管理認證)。
  • 持續運作、可靠,而且具有備份和復原功能。
  • 可以傳送電子郵件,這樣用戶同步才能傳送報告給管理員。
  • 如果是 Windows 電腦,就要有 64 位元處理器。

否則,請與 IT 部門合作找出這樣的伺服器,並取得其存取權。

設定 Adobe Admin Console

確定您已為組織申請網域,並且在 Adobe Admin Console 中建立產品描述檔和用戶群組

設定伺服器

建立與 Adobe I/O 的整合

若要設定 adobe.io 整合,請執行下列動作:

  1. 登入 Adobe I/O Console,從下拉式清單選取您的組織,然後按一下「新的整合」。

    新的整合
  2. 在「建立新的整合」精靈中,選取「存取 API」,並按一下「繼續」。

    Screenshot_3
  3. 選取「Adobe 服務」下的「用戶管理 API」,並按一下「繼續」。在接著出現的畫面上,再按一下「繼續」。

    Untitled-2
  4. 輸入整合的名稱和描述,然後上傳公開金鑰憑證檔。按一下「建立整合」。

    整合便會建立。

    建立整合
  5. 若要檢視整合詳細資訊,請按一下「繼續前往整合詳細資訊」。

    整合詳細資訊

整合詳細資訊是稍後設定用戶同步檔案時所需的資訊。

安裝用戶同步工具

  1. 在電腦或伺服器的下列位置,建立名為 user_sync_tool 的檔案夾:

    Windows:C:\Users\<您的用戶名稱>\

    macOS:/home/<您的用戶名稱>/

  2. 存取 GitHub、選取「Releases」,然後下載下列檔案:

    • example-configurations.tar.gz
    • 適用於您所用平台及 Python 版本的用戶同步。
  3. 從封存檔解壓縮出 user-sync.pex 檔案,再將其放置在您所建立的 user_sync_tool 檔案夾中。

  4. example-configurations.tar.gz 中,瀏覽至 config files - basic、解壓縮出前三個檔案,然後將這些檔案放置在 user_sync_tool 檔案夾中。

  5. 重新命名這三個檔案,將數字從名稱中移除。如此一來,user_sync_tool 檔案夾現在有下列檔案:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

設定 Python 的路徑 (僅限 Windows)

  1. 安裝 Python 3.6.2 版或更高版本 (64 位元)。

  2. 啟用「Add Python 3.6 to PATH」(將 Python 3.6 新增至路徑) 的核取方塊、記下安裝路徑,然後按一下「Install Now」(立即安裝)。

    安裝 Python
  3. 開啟命令提示字元,並執行下列命令:

    python

    命令一定會傳回安裝的 Python 版本。

設定用戶同步

設定目錄存取

  1. 編輯 connector-ldap.yml 檔案。此檔案含有目錄系統的存取資訊。

  2. 輸入 user name、password、host 及 base_dn 值。

    目錄存取設定檔案
  3. search_page_size 設定為 0。

    如果您需要非預設 LDAP 查詢來選取所需的一組用戶,可在此檔案中的 all_users_filter 設定參數中進行設定。

設定 Adobe UMAPI 認證

  1. 編輯 connector-umapi.yml。此檔案含有您的 Adobe 組織的存取資訊。

  2. 輸入您先前所建立 adobe.io 整合中的下列資訊:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. 將私密金鑰檔放置在 user_sync_tool 檔案夾。接著將 priv_key_path 設定檔案項目設定為此檔案的名稱。

    Adobe UMAPI 認證

定義預設國家/地區代碼

如果目錄未列出每個用戶的國家/地區,您可以設定預設國家/地區。

  1. 編輯 user-sync-config.yml 檔案。

  2. 移除「default country code」列中的 #,並輸入適當的國家/地區代碼。例如:

    default_country_code: US

    註解:

    國家/地區代碼對 Federated ID 為必要項目,對 Enterprise ID 則是建議使用。如果未提供給 Enterprise ID,則會在用戶首次登錄時提示他們選擇國家/地區。

群組對應

您可以使用 LDAP/AD 工具 (而非 Adobe Admin Console) 將用戶新增至企業目錄群組,藉此佈建用戶帳戶。設定檔案接著就會定義從目錄群組到 Adobe 產品描述檔或用戶端群組的對應。

如果用戶是目錄群組的成員,user-sync 就會將用戶新增至 Adobe Admin Console 中對應的用戶群組。此外,如果用戶是用戶群組的成員,但不屬於目錄群組時,user-sync 會將用戶從用戶群組中移除。

  1. 編輯 user-sync-config.yml 檔案中的「group mapping」。

  2. 針對每個必須對應至 Adobe 產品描述檔或用戶群組的目錄群組,在「groups」後面加入項目。例如:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    註解:

    群組對應可以使用 Adobe 用戶群組或產品描述檔來進行,而不對應至產品名稱。您可以將一個目錄群組對應至多個 Adobe 用戶群組或產品描述檔。

不相符的用戶限制

為了避免在發生設定錯誤或其他問題時意外刪除帳戶,對於刪除帳戶設有限制。

  1. 若要變更限制,請編輯 user-sync-config.yml 檔案中的「limits」。

  2. 如果您希望目錄用戶的數量會在用戶同步執行之間減少超過 200 名,請提高 max_adobe_only_users 值。

    註解:

    如果刪除的帳戶數量超過 max_adobe_only_users 值所定義的數量,則會中止更新。

刪除保護

如果您希望透過用戶同步加速帳戶建立及刪除作業,並且要手動建立一些帳戶時,請使用此功能來防止用戶同步刪除您手動建立的帳戶。

  1. user-sync-config.yml 檔案中輸入要排除的設定項目。

    exclude_groups

    這會定義 Adobe 用戶群組、產品描述檔或兩者的清單。屬於所列出群組成員的 Adobe 用戶不會遭到移除或更新,而且其成員資格也不會變更。

    exclude_users

    這會提供模式的清單。用戶名稱符合 (除非模式指定區分大小寫,否則預設為不區大小寫) 任何指定模式的 Adobe 用戶不會遭到移除或更新,而且其成員資格也不會變更。

    exclude_identity_types

    這會提供身分類型的清單。屬於這其中一個身分類型的 Adobe 用戶不會遭到移除或更新,而且其成員資格也不會變更。

  2. 為了保護 Admin Console 的用戶不受更新影響,請建立用戶群組,並將受保護的用戶放入該群組,然後將群組列為用戶同步的排除項目。您還可以列出特定的用戶或與特定用戶名稱相符的模式,來保護這些用戶。您也可以根據用戶的身分類型保護他們。

    例如:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    在上述範例中,管理員、約聘人員以及用戶名稱為範例值。請使用您所建立之 Adobe 用戶群組、產品描述檔或用戶的名稱。

建立記錄

用戶同步會產生記錄項目,這些項目不僅列印至標準輸出,同時也寫入記錄檔案。設定記錄集的設定可控制輸出記錄資訊的位置和數量。

  1. 若要開啟或關閉檔案記錄,請編輯 user-sync-config.yml 檔案中的 log_to_file 值。

    訊息的重要性有五個等級,您可以針對主控台的檔案記錄或標準輸出記錄,選擇所包含的最低重要性。預設值是要產生檔案記錄,以及包含「info」等級或更高等級的資訊,而這也是建議使用的設定。

  2. 檢閱記錄設定,並進行任何需要的變更。建議的記錄等級是 info (這是預設值)。

透過用戶同步工具設定精靈進行設定 (僅限 Windows)

或者,如果您有 Windows Server,也可以使用用戶同步工具設定精靈來設定用戶同步。

「用戶同步工具設定精靈」是 GUI 工具,可協助您使用用戶管理 API (Adobe.io)、企業目錄 (LDAP) 和同步設定,輕鬆地設定用戶同步工具。它會提供基於內容的說明以及用戶同步工具文件的連結。如需詳細資訊,請參閱「Adobe 用戶同步工具設定精靈」。

部署和自動化

檢查設定

現在伺服器或電腦上已設定用戶同步工具,您可以檢查該工具是否依預期正常運作。

  1. 開啟命令提示字元。
  2. 使用下列命令,瀏覽至 user_sync_tool 檔案夾。

    cd C:\Users\<your_user _name>\user_sync_tool
  3. 以下是啟動用戶同步的命令:

    Windowspython user-sync.pex ....

    UNIX:./user-sync ....

    例如,要確認設定是否完成,請執行下列命令:

    Windows

    python user-sync.pex -v
    python user-sync.pex -h

    UNIX

    ./user-sync –v
    ./user-sync –h

    -v 會報告版本,-h 則會提供有關命令列引數的說明。

  4. 在測試模式下,執行僅限於目錄中已對應群組的同步。

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    上述命令只會同步 user-sync-config.yml 所指定的已對應群組中的用戶。如果用戶不存在於 Admin Console,則會導致嘗試建立用戶,然後將這些用戶新增至任何已從其目錄群組對應的群組。

    在測試模式 (-t) 下執行 user-sync,只會嘗試建立用戶,而不會實際執行。--adobe-only-user-action exclude 選項會避免更新任何已存在於 Adobe 組織的用戶帳戶。

  5. 在不使用測試模式的情況下執行同步,如此會建立用戶並將其新增至已對應的群組。

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. 檢查 Adobe Admin Console,確認是否有出現用戶,以及是否已新增群組成員資格。

  7. 重新執行相同的命令。用戶同步不應嘗試重新建立用戶和再次新增用戶至群組。命令必須偵測到用戶已存在且屬於用戶群組或產品描述檔的成員,並且不執行任何動作。

如果所有的測試都依預期執行,您已準備好可以進行完整執行 (沒有用戶篩選)。

註解:

如果您目錄中的用戶在幾百個以上,可能需要數小時,才能將用戶同步到 Adobe Admin Console。

監控和排程

您可以手動執行用戶同步,也可以設定自動化,每天自動執行一次到數次。

註解:

如果您有記錄分析及警示系統可用,請安排讓用戶同步的記錄傳送至記錄分析系統,並且設定有關記錄中出現任何錯誤或嚴重訊息的警示。

  1. 若要擷取相關記錄項目以製作摘要,請叫用透過管道輸送至 scan 的 user-sync,以在 user_sync_tool 檔案夾中建立批次檔。例如,建立包含以下內容的 run_sync.bat 檔案:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. 您也可以選擇設定電子郵件命令列工具。

    Windows 中沒有標準電子郵件命令列工具,但還是有幾個市售工具可用,您可以在其中填入特定命令列選項。

  3. 設定 Windows 工作排程器以執行用戶同步工具。

    例如,下面的程式碼會每天從下午 4:00 開始執行用戶同步工具:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. 若要確定排定的工作可以正常運作,請在測試模式下執行命令。

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策