In questo documento è illustrata la procedura di installazione dello strumento User Sync per automatizzare il processo di gestione degli utenti.

Lo strumento User Sync è un’utility della riga di comando che copia i dati di utenti e gruppi presenti nel sistema di directory aziendale dell’organizzazione (ad esempio Active Directory o altri sistemi LDAP) nella directory dell’organizzazione in Adobe Admin Console. Ad ogni esecuzione, lo strumento User Sync confronta i dati di utenti e gruppi nei due sistemi e aggiorna la directory Adobe in modo che corrisponda alla directory aziendale.

In questo documento sono fornite le istruzioni dettagliate per interfacciare un sistema Active Directory con Adobe Admin Console. Questa è una delle combinazioni più popolari utilizzate dai nostri clienti nei settori dell’istruzione primaria e secondaria e PMI. Lo strumento User Sync è flessibile e può essere utilizzato per interfacciarsi con la maggior parte dei sistemi di directory e LDAP. Se utilizzi un sistema di directory diverso da Active Directory, le istruzioni fornite in questo documento non sono direttamente pertinenti ma dovranno essere modificate secondo necessità. Per ulteriori informazioni, consulta la Setup and Success Guide.

Prima di iniziare

Sono necessarie le informazioni seguenti sul tuo sistema Active Directory (o LDAP). Se non hai accesso a queste informazioni, contatta l’amministratore IT.

  • Informazioni su host e porta del server nel quale il sistema è in esecuzione.
  • Nome utente e password.
  • Nome distinto di base, ossia il punto da cui il server cerca gli utenti.
  • In aggiunta, potrebbe essere necessaria anche una query LDAP per selezionare l’insieme di utenti da sincronizzare con Adobe.
Active Directory

Per firmare le chiamate API, è richiesto un certificato digitale. Se il certificato non è disponibile, richiedi all’amministratore IT di fornirti le istruzioni.

Suggerimenti per i certificati:

  • Il certificato deve includere un file del certificato con chiave pubblica e un file della chiave privata. 
  • Formato CRT (X.509 con codifica base-64)
  • Denominato con un’estensione di file .crt (non .pem, .cer o .cert)
  • SHA-2
  • Formato multiriga (il formato a riga singola genera errore)
  • Deve avere una durata minima di tre anni (riduce la manutenzione per la sua durata e non compromette la sicurezza)

Crea un certificato autofirmato

Ai fini del test e della configurazione, puoi anche utilizzare un certificato autofirmato. Per creare i certificati in Windows puoi utilizzare Cygwin, che include openssl. In Mac OS, puoi utilizzare lo strumento da riga di comando integrato openssl. Per creare un certificato, effettua le operazioni riportate di seguito:

  1. Se utilizzi Windows, installa e avvia Cygwin. Per macOS, avvia Terminal.
  2. Esegui il comando seguente:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certificato digitale
  3. Al termine della generazione della chiave privata, ti verrà richiesto di immettere informazioni aggiuntive per creare un nome distinto per la chiave pubblica. Puoi accettare i valori predefiniti o immetterne uno specifico. Per lasciare un campo vuoto, immetti “.” (il carattere punto).

    Certificato digitale

Per impostazione predefinita, il file del certificato con chiave pubblica e il file della chiave privata sono memorizzati nei percorsi seguenti:

Windows: C:\cygwin64\home\<il tuo nome utente>

macOS: /Users/<il tuo nome utente>

Se prevedi di installare lo strumento User Sync nel tuo computer, assicurati che soddisfi i requisiti riportati di seguito:

  • Abbia accesso a Internet e al servizio di directory, ad esempio LDAP o AD.
  • Sia protetto e sicuro (l’archiviazione e l’accesso alle credenziali amministrative avviene dal computer).
  • Sia sempre in esecuzione e offra funzionalità di backup e ripristino.
  • Possa inviare messaggi e-mail per consentire allo strumento User Sync di inviare rapporti agli amministratori.
  • Se è un computer Windows, il processore deve essere a 64 bit.

In caso contrario, richiedi al reparto IT di identificare un server con tali specifiche e di concederti l’accesso.

Assicurati di aver registrato il dominio per l’organizzazione e di aver creato i profili di prodotto e i gruppi di utenti in Adobe Admin Console.

Configura il server

Per configurare l’integrazione adobe.io, effettua le operazioni riportate di seguito:

  1. Accedi ad Adobe I/O Console, seleziona la tua organizzazione dall’elenco a discesa, quindi fai clic su New Integration.

    Nuova integrazione
  2. Nella procedura guidata Create a New Integration, seleziona Access an API e fai clic su Continue.

    Screenshot_3
  3. In Adobe Services, seleziona User Management API, quindi fai clic su Continue. Nella schermata successiva, fai nuovamente clic su Continue.

    Untitled-2
  4. Immetti il nome e la descrizione dell’integrazione e carica il file del certificato con chiave pubblica. Fai clic su Create integration.

    L’integrazione è stata creata.

    Crea integrazione
  5. Per visualizzare i dettagli dell’integrazione, fai clic su Continue to Integration Details.

    Dettagli dell’integrazione

Questi dettagli dell’integrazione sono necessari per configurare successivamente i file dello strumento User Sync.

  1. Crea una cartella denominata user_sync_tool nel percorso seguente del computer o del server:

    Windows: C:\Utenti\<il tuo nome utente>\

    macOS: /home/<il tuo nome utente>/

  2. Accedi a GitHub, seleziona releases e scarica i file seguenti:

    • example-configurations.tar.gz
    • Strumento User Sync per la piattaforma e la versione di python utilizzata.
  3. Estrai il file user-sync.pex dall’archivio e copialo nella cartella user_sync_tool creata.

  4. Nel file example-configurations.tar.gz, passa a config files - basic, estrai i primi tre file e copiali nella cartella user_sync_tool.

  5. Rinomina i tre file e rimuovi i numeri dai nomi. Nella cartella user_sync_tool sono ora disponibili i file seguenti:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

  1. Installa Python versione 3.6.2 o successiva (64 bit).

  2. Seleziona la casella di controllo Add Python 3.6 to PATH, annota il percorso di installazione e fai clic su Install Now.

    Installazione di Python
  3. Apri il Prompt dei comandi ed esegui il comando seguente:

    python

    Il comando deve restituire la versione di Python installata.

Configurazione dello strumento User Sync

  1. Modifica il file connector-ldap.yml. Questo file contiene le informazioni di accesso al sistema di directory.

  2. Immetti i valori per nome utente, password, host e base_dn.

    File di configurazione per l’accesso alla directory
  3. Imposta search_page_size su 0.

    Se per selezionare l’insieme di utenti è richiesta una query LDAP non predefinita, la puoi impostare in questo file nel parametro di configurazione all_users_filter.

  1. Modifica il file connector-umapi.yml. Questo file contiene le informazioni di accesso alla tua organizzazione Adobe.

  2. Immetti le informazioni seguenti dall’integrazione adobe.io creata in precedenza:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Copia il file della chiave privata nella cartella user_sync_tool. La voce del file di configurazione priv_key_path è impostata sul nome di questo file.

    Credenziali per Adobe UMAPI

Se nella tua directory non è specificato un paese per ogni utente, puoi impostarne uno predefinito.

  1. Modifica il file user-sync-config.yml.

  2. Rimuovi il carattere # dalla riga default country code e immetti il codice paese appropriato. Ad esempio:

    default_country_code: US

    Nota:

    Il codice paese è obbligatorio per i Federated ID e consigliato per gli Enterprise ID. Se utilizzi gli Enterprise ID e non specifichi il codice paese, questo verrà richiesto agli utenti al primo accesso.

Puoi eseguire il provisioning degli account utente aggiungendoli a un gruppo della directory aziendale utilizzando strumenti LDAP/AD anziché Adobe Admin Console. Nel file di configurazione è quindi definita la mappatura dai gruppi della directory con i profili di prodotto o gruppi di utenti Adobe.

Se un utente è un membro di un gruppo della directory, lo strumento User Sync lo aggiunge al gruppo di utenti corrispondente in Adobe Admin Console. Inoltre, se un utente è un membro di un gruppo di utenti, ma non è incluso nel gruppo della directory, lo strumento User Sync lo rimuove dal gruppo di utenti.

  1. Modifica la mappatura dei gruppi nel file user-sync-config.yml

  2. Per ogni gruppo della directory che deve essere associato a un profilo di prodotto o gruppo di utenti Adobe, aggiungi una voce dopo groups. Ad esempio:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Nota:

    La mappatura dei gruppi può essere eseguita utilizzando i gruppi di utenti o i profili di prodotto Adobe e non i nomi dei prodotti. Inoltre, puoi mappare un gruppo della directory a più gruppi di utenti o profili di prodotto Adobe.

Per evitare l’eliminazione casuale in caso di configurazione errata o di altri problemi, puoi impostare un limite al numero di account eliminati.

  1. Per cambiare il limite, modifica la voce limits nel file user-sync-config.yml.

  2. Se prevedi che il numero di utenti della directory diminuisca di oltre 200 unità tra le esecuzioni dello strumento User Sync, aumenta il valore della voce max_adobe_only_users.

    Nota:

    Se il numero di account eliminati è superiore al valore definito nella voce max_adobe_only_users, gli aggiornamenti sono interrotti.

Se vuoi gestire la creazione e la rimozione degli account tramite lo strumento User Sync, ma vuoi creare alcuni account manualmente, utilizza questa funzione per impedire allo strumento User Sync di eliminarli.

  1. Immetti le voci di configurazione per le esclusioni nel file user-sync-config.yml.

    exclude_groups

    Definisce un elenco di gruppi di utenti, di profili di prodotto Adobe o entrambi. Gli utenti Adobe che sono membri di gruppi elencati non sono rimossi o aggiornati e la loro appartenenza ai gruppi non è modificata.

    exclude_users

    Fornisce un elenco di modelli. Gli utenti Adobe i cui nomi utente corrispondono (per impostazione predefinita senza distinzione tra maiuscole e minuscole, a meno che il modello lo specifichi) a uno qualsiasi dei modelli specificati non viene rimosso o aggiornato e la loro appartenenza ai gruppi non è modificata.

    exclude_identity_types

    Fornisce un elenco tipi di identità. Gli utenti Adobe che hanno uno di questi tipi di identità non sono rimossi o aggiornati e la loro appartenenza ai gruppi non è modificata.

  2. Per proteggere gli utenti dagli aggiornamenti da Admin Console, crea un gruppo di utenti nel quale inserirai gli utenti protetti, quindi definisci questo gruppo come escluso dal processo di sincronizzazione degli utenti. Per proteggere questi utenti, puoi anche specificarne un elenco o un modello che corrisponda a determinati nomi di utenti. Puoi anche proteggere gli utenti in base al loro tipo di identità.

    Ad esempio:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    Nell’esempio precedente, administrators, contractors e i nomi utente sono valori di esempio. Utilizza i nomi dei gruppi di utenti, dei profili di prodotto o utenti Adobe che hai creato.

Lo strumento User Sync genera voci nel registro che sono stampate sull’output standard e scritte anche in un file di registro. L’insieme di impostazioni di configurazione per la registrazione controlla i dettagli relativi all’ubicazione e alla quantità di informazioni del registro generate.

  1. Per attivare o disattivare il file di registro, modifica la voce log_to_file nel file user-sync-config.yml.

    I messaggi possono avere uno di cinque livelli di importanza e puoi scegliere il livello minimo di importanza da includere nel file di registro o nel registro di output standard sulla console. I valori predefiniti, nonché l’impostazione consigliata, prevedono la creazione del file di registro e l’inclusione dei messaggi di livello “info” o superiore.

  2. Verifica le impostazioni per i registri e modificale secondo necessità. Il livello di registro consigliato è info (valore predefinito).

In alternativa, se utilizzi un server Windows, puoi utilizzare la procedura guidata User Sync Tool Configuration Wizard per configurare la sincronizzazione degli utenti.

La procedura guidata User Sync Tool Configuration Wizard è un’interfaccia utente che ti consente di configurare facilmente lo strumento User Sync con le API di gestione utente (Adobe.io), la directory aziendale (LDAP) e le impostazioni di sincronizzazione. Fornisce l’aiuto contestuale e collegamenti alla documentazione dello strumento User Sync. Per ulteriori informazioni, consulta Adobe User Sync Tool Configuration Wizard.

Distribuisci e automatizza

Ora che lo strumento User Sync è configurato nel server o nel computer, puoi verificare se funziona come previsto.

  1. Apri il prompt dei comandi.
  2. Utilizzando il seguente comando, accedi alla cartella user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Di seguito sono riportati i comandi per avviare User Sync:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Ad esempio, per verificare che la configurazione sia completa, esegui i comandi seguenti:

    Per Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    Per UNIX:

    ./user-sync –v
    ./user-sync –h

    -v visualizza la versione, -h fornisce aiuto sugli argomenti della riga di comando.

  4. In modalità di prova, esegui una sincronizzazione limitata a un gruppo mappato nella tua directory.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Il comando sopra riportato sincronizza solo gli utenti nel gruppo mappato specificato nel file user-sync-config.yml. Se gli utenti non esistono in Admin Console, il risultato è un tentativo di creare gli utenti e aggiungerli a qualsiasi gruppo mappato ai relativi gruppi della directory.

    L’esecuzione di user-sync in modalità di test (-t) comporta solo il tentativo di creazione dell’utente senza portare a termine la creazione. L’opzione --adobe-only-user-action esclude impedisce gli aggiornamenti a qualsiasi account utente già esistente nell’organizzazione Adobe.

  5. Esegui la sincronizzazione senza la modalità di test, in modo che crei l’utente e lo aggiunga ai gruppi mappati.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Verifica in Adobe Admin Console se l’utente è visualizzato e se sono state aggiunte le appartenenze ai gruppi.

  7. Riesegui lo stesso comando. La sincronizzazione dell’utente non deve tentare di ricreare e aggiungere nuovamente l’utente ai gruppi. Il comando deve rilevare che l’utente esiste ed è un membro del gruppo di utenti o del profilo di prodotto e non eseguire nessuna operazione.

Se tutti i test sono eseguiti correttamente, puoi eseguire la sincronizzazione completa (senza il filtro utente).

Nota:

Se la tua directory contiene più di poche centinaia di utenti, la sincronizzazione degli utenti con Adobe Admin Console può richiedere alcune ore.

Lo strumento User Sync può essere eseguito manualmente oppure puoi configurarlo in modo da eseguirlo automaticamente una o più volte al giorno.

Nota:

Se utilizzi un sistema di analisi dei registri e generazione di avvisi, configura l’invio del registro di User Sync al sistema di analisi dei registri. Configura inoltre gli avvisi per qualsiasi messaggio Error o Critical che potrebbe essere scritto nel registro.

  1. Per estrarre le voci del registro pertinenti per un riepilogo, crea un file batch nella cartella user_sync_tool invocando il comando user-sync ridirezionando l’output con pipe a una scansione. Ad esempio, creare un file run_sync.bat che contenga:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Facoltativamente, configura uno strumento della riga di comando per la posta elettronica.

    In Windows non è disponibile uno strumento della riga di comando standard, ma ve ne sono molti disponibili commercialmente, nei quali puoi compilare le opzioni specifiche della riga di comando.

  3. Configura l’Utilità di pianificazione di Windows per eseguire lo strumento User Sync.

    Ad esempio, il codice riportato di seguito esegue lo strumento User Sync ogni giorno a partire dalle 16:00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Per verificare che le attività pianificate funzionino, esegui un comando in modalità test.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online