本ドキュメントでは、ユーザー同期ツールを実装してユーザー管理プロセスを自動化する方法について説明します。

ユーザー同期ツールは、ユーザーとグループの情報を組織のエンタープライズディレクトリシステム(Active Directory やその他の LDAP システムなど)から Adobe Admin Console 内の組織のディレクトリに移すための、コマンドラインユーティリティです。ユーザー同期ツールを実行すると、ツールでは、2 つのシステム間のユーザーおよびグループ情報の差異を探し、お使いのディレクトリの情報に Adobe のディレクトリを一致させるよう更新します。

このドキュメントでは、Active Directory システムを Adobe Admin Console を使用してインターフェイス接続するステップバイステップの手順を提供します。これは、小中高校教育機関および中小企業のセグメントで当社のお客様に最もよく利用されている組み合わせの 1 つです。ユーザー同期ツールは柔軟性があり、大抵の LDAP およびディレクトリシステムとのインターフェイス接続に利用可能です。Active Directory 以外のディレクトリシステムをお使いの場合は、本ドキュメントにある手順はそのままでは適用されないため、必要に応じて変更を加えてください。詳しくは、セットアップと成功のガイドを参照してください。

はじめに

Active Directry の情報を取得する

お使いの Active Directory(または LDAP)システムに関する以下の情報が必要です。これらの情報が分からない場合は、IT 管理者にお問い合わせください。

  • システムを実行しているサーバーのホストとポートの情報
  • ユーザー名とパスワード
  • サーバーがユーザーを検索する基点となるベース DN
  • さらに、Adobe と同期させる一連のユーザーを選択する LDAP クエリが必要となる場合もあります。
Active Directory

電子証明書を取得する

API の呼び出しに署名するには、電子証明書が必要です。証明書がない場合は、取得方法について IT 管理者にお問い合わせください。

証明書に関する注意点:

  • 証明書には、公開鍵証明書ファイルと秘密鍵ファイルが含まれている必要があります。
  • CRT(base-64 エンコード X.509)形式
  • ファイル名拡張子は .crt(.pem、.cer、.cert は不可)
  • SHA-2
  • 複数行形式(単一行は失敗する)
  • 少なくとも 3 年の継続が必要(有効期間中のメンテナンスの手間を省き、セキュリティが確保される)

自己署名証明書を作成する

テストと設定については、自己署名証明書を使用することもできます。証明書は、OpenSSL を含む Sygwin を利用して Windows で作成できます。Mac OS の場合は、組み込みのコマンドラインツール OpenSSL を使用できます。証明書を作成するには、以下の操作を行います。

  1. Windows をご使用の場合は、Cygwin をインストールして開きます。macOS の場合は、ターミナルを開きます。
  2. 以下のコマンドを実行します。

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    電子証明書
  3. 秘密鍵の生成が完了すると、公開鍵の識別名を作成するための追加情報の入力を求めるメッセージが表示されます。デフォルト値をそのまま使用するか、別の適切な識別名を入力します。フィールドを空白のままにする場合は、"."(ドット)を入力します。

    電子証明書

公開鍵証明書ファイルと秘密鍵ファイルは、初期設定で以下の場所に保存されています。

Windows: C:¥cygwin64¥home¥<your_user_name>

macOS: /Users/<your_user_name>

サーバーを特定する

お使いのマシンへのユーザー同期のインストールをお考えの場合は、次の必要システム構成を満たしていることを確認してください。

  • インターネットアクセスと LDAP または AD などのディレクトリサービスがある。
  • 保護されセキュアな環境にある(管理者情報はここに保存されアクセスされます)。
  • いつでも使用可能で安定性があり、バックアップと復旧機能を装備。
  • ユーザー同期から管理者へレポートを送信するための電子メールの送信が可能。
  • Windows マシンの場合は、64-bit プロセッサー対応。

上記を満たさない場合は、IT 部門に相談して、サーバーを特定してアクセスできるようにしてください。

Adobe Admin Console を設定する

組織用にドメインがクレームされており、製品プロファイルとユーザーグループが Adobe Admin Console に作成されていることを確認します。

サーバーをセットアップする

Adobe I/O との連携を作成する

adobe.io の連携を設定するには、以下の操作を行います。

  1. Adobe I/O Console にログインし、ドロップダウンリストから組織を選択して、「New Integration」をクリックします。

    新しい連携
  2. 新規連携を作成ウィザードで、「Access an API」を選択して、「続行」をクリックします。

    Screenshot_3
  3. Adobe サービスで、「User Management AP」を選択して「続行」をクリックします。続いて表示される画面で、再度「続行」をクリックします。

    Untitled-2
  4. 連携の名前と内容を入力して、公開鍵証明書ファイルをアップロードします。「Create integration」をクリックします。

    連携が作成されました。

    連携を作成
  5. 連携の内容を表示するには、「Continue to Integration Details」をクリックします。

    連携の内容

連携の内容は、後でユーザー同期ファイルを設定するときに必要です。

ユーザー同期ツールをインストールする

  1. マシンまたはサーバー上の次の場所に、"user_sync_tool" の名前を付けてフォルダーを作成します。

    Windows: C:¥Users¥<your_user _name>¥

    macOS: /home/<your_user _name>/

  2. GitHub にアクセスして、「リリース」を選択し、次のファイルをダウンロードします。

    • example-configurations.tar.gz
    • プラットフォーム用のユーザー同期および使用している Python のバージョン。
  3. アーカイブから user-sync.pex ファイルを抽出して、先ほど作成した user_sync_tool フォルダーに配置します。

  4. example-configurations.tar.gz で、config files - basic を開き、最初の 3 つのファイルを抽出して、user_sync_tool フォルダーに配置します。

  5. 3 つのファイルの名前から番号を削除して、ファイル名を変更します。次のファイルが user_sync_tool フォルダーに保存されている状態になりました。

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Python 用のパスを設定する(Windows のみ)

  1. Python(64 ビット版)バージョン 3.6.2 以降をインストールします。

  2. Add Python 3.6 to PATH」チェックボックスを有効にし、インストールパスをメモして、「Install Now」をクリックします。

    Python をインストール
  3. コマンドプロンプトを開き、以下のコマンドを実行します。

    python

    コマンドは、インストールした Python のバージョンを返す必要があります。

ユーザー同期を設定する

ディレクトリアクセスを設定する

  1. connector-ldap.yml ファイルを編集します。このファイルには、ディレクトリシステムへのアクセス情報が含まれています。

  2. ユーザー名、パスワード、base_dn 値を入力します。

    ディレクトリアクセス設定ファイル
  3. search_page_size を "0" に設定します。

    一連のユーザーを選択するのに初期設定でない LDAP クエリが必要な場合は、all_users_filter 設定パラメーターの一部としてこのファイルに設定されています。

Adobe UMAP 証明書を設定

  1. connector-umapi.yml ファイルを編集します。このファイルには、Adobe 組織へのアクセス情報が含まれています。

  2. 前のステップで作成した adobe.io の連携から以下の情報を入力します。

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. user_sync_tool フォルダーに秘密鍵ファイルを配置します。priv_key_path 設定ファイルアイテムがこのファイルの名前に設定されます。

    Adobe UMAP 証明書

初期設定の国コードを定義します

ディレクトリで各ユーザーの国が表示されない場合、初期設定の国を設定することができます。

  1. user-sync-config.ym ファイルを編集します。

  2. 初期設定の国コード行から # を削除し、適切な国コードを入力します。例:

    default_country_code: US

    注意:

    国コードは Federated ID には必須ですが、Enterprise ID では推奨されています。Enterprise ID で国コードが入力されなかった場合、ユーザーは初回ログイン時に国を選択するメッセージが表示されます。

グループマッピング

ユーザーアカウントのプロビジョニングは、Adobe Admin Console ではなく LDAP/AD ツールを使用して、エンタープライズディレクトリグループにアカウントを追加することで行えます。次に、設定ファイルによって、ディレクトリグループからアドビ製品またはユーザーグループへのマッピングが定義されます。

ユーザーがディレクトリグループのメンバーである場合は、ユーザー同期で Adobe Admin Console の該当するユーザーグループにそのユーザーが追加されます。また、ユーザーがユーザーグループのメンバーであるがディレクトリグループには属していない場合は、ユーザー同期で Adobe Admin Console の該当するユーザーグループにそのユーザーが追加されます。

  1. user-sync-config.yml ファイルで、グループマッピングを編集します。

  2. アドビ製品プロファイルまたはユーザーグループへのマッピングが必要な各ディレクトリグループについては、グループの後に項目を追加します。例:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    注意:

    Adobe ユーザーグループまたは製品プロファイルを使用して、グループマッピングできます。製品名へはマッピングしません。また、1 つのディレクトリグループを複数の Adobe ユーザーグループまたは製品プロファイルにマッピングすることができます。

不適合のユーザー数制限

設定ミスやその他の問題などで意図しないアカウント削除を防ぐため、アカウント削除数に制限が設定されています。

  1. 制限数を変更するには、user-sync-config.yml ファイルで、limits を編集します。

  2. ユーザー同期の実行間で、200 以上のディレクトリユーザー数の減少が予期される場合は、max_adobe_only_users の値を上げてください。

    注意:

    削除されたアカウント数が max_adobe_only_users value で指定された数値よりも大きい場合は、更新が中止されます。

保護を削除

ユーザー同期を使用してアカウントの作成と削除を行い、いくつかのアカウントを手動で作成する場合は、この機能を使用して、手動で作成したアカウントをユーザー同期で削除しないようにします。

  1.  user-sync-config.yml ファイルで、除外する設定項目を入力します。

    exclude_groups

    Adobe ユーザーグループ、製品プロファイル、またはその両方のリストが定義されます。一覧にあるグループのメンバーである Adobe ユーザーは、削除も更新もされず、グループメンバーシップも変更されません。

    exclude_users

    これは、パターンをリストにしたものです。指定されたパターンのいずれかに一致するユーザー名(パターンで大文字と小文字を区別を指定していない限り、デフォルトでは大文字と小文字を区別しない)を持つ Adobe ユーザーは、削除も更新されず、そのグループメンバシップも変更されません。

    exclude_identity_types

    これは、アイデンティティタイプをリストにしたものです。これらのアイデンティティタイプのいずれかを持つ Adobe ユーザーは、削除も更新もされず、グループメンバーシップも変更されません。

  2. Admin Console のユーザーを更新から保護するには、ユーザーグループを作成し、保護されたユーザーをそのグループに入れ、そのグループをユーザー同期の処理から除外としてリストにします。特定のユーザー名、または特定のユーザー名に一致するパターンをリスト化して、それらのユーザーを保護することもできます。またアイデンティティタイプに基づいてユーザーを保護することもできます。

    例:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    上記の例では、管理者、契約者、およびユーザー名は例示的な値です。Adobe ユーザーグループ、製品プロファイル、または作成したユーザーの名前を使用します。

ログを作成

ユーザー同期では、ログの記録を標準出力に表示し、ログファイルにも書き出します。構成設定のログ出力セットでは、ログ情報を出力する場所と量の詳細を管理します。

  1. ファイルのログのオンとオフを切り替えるには、user-sync-config.yml ファイルで log_to_file の値を編集します。

    メッセージは 5 つの重要度レベルのいずれかに設定されますが、ファイルログまたはコンソールへの標準出力ログのいずれかに含まれる最低重要度を選択することができます。推奨設定とされている初期設定では、ファイルログを生成し、レベルが "info" 以上のメッセージを含めるように設定されています。

  2. ログの設定を確認し、必要な変更を加えます。推奨されるログのレベルは info(初期設定)です。

ユーザー同期ツール設定ウィザードを使用した設定(Window のみ)

別の方法として、Windows サーバーがある場合は、ユーザー同期ツール設定ウィザードを使用してユーザー同期を設定することもできます。

ユーザー同期ツール設定ウィザードは、User Management API(Adobe.io)、エンタープライズディレクトリ(LDAP)、および同期設定を使用してユーザー同期ツールを簡単に設定するのに役立つ GUI ツールです。コンテキストベースのヘルプとユーザー同期ツールのドキュメントへのリンクを提供しています。詳しくは、 Adobe ユーザー同期ツール設定ウィザードを参照してください。

デプロイと自動化

設定をチェック

ユーザー同期ツールがサーバーまたはマシンにセットアップされたので、求めている通りに機能するかどうかを確認できます。

  1. コマンドプロンプトを開きます。
  2. 以下のコマンドを使用して、user_sync_tool フォルダーに移動します。

    cd C:\Users\<your_user _name>\user_sync_tool
  3. 以下のコマンドを使用して、ユーザー同期を開始します。

    Windows python user-sync.pex ....

    UNIX:./user-sync ....

    例えば、設定が完了していることを確認するには、以下のコマンドを実行します。

    Windows の場合

    python user-sync.pex -v
    python user-sync.pex -h

    UNIX の場合

    ./user-sync –v
    ./user-sync –h

    -v はバージョンを表示、-h はコマンドライン args のヘルプを表示します。

  4. テストモードでは、ディレクトリ内のマップされたグループに限定して同期を実行します。

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    上記のコマンドは、user-sync-config.yml で指定されたマップされたグループ内のユーザーのみを同期させます。ユーザーが Admin Console に存在しない場合は、ユーザーを作成し、そのユーザーをディレクトリグループからマップされたいずれかのグループに追加しようと試みます。

    テストモード(-t)で user-sync を実行すると、ユーザーの作成を試みるだけで、実際には実行しません。--adobe-only-user-action exclude オプションを使用すると、Adobe 組織内に既に存在するユーザーアカウントを更新できなくなります。

  5. ユーザーを作成し、マップされたグループに追加するには、テストモードなしで同期を実行してください。

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. ユーザーが表示され、グループメンバーシップが追加されているかどうか、Adobe Admin Console で確認します。

  7. 同じコマンドを再度実行します。ユーザー同期で、再度ユーザーの作成およびグループへの追加を試行することはできません。ユーザーは存在し、またユーザーグループまたは製品プロファイルのメンバーであることが検出され、他には何も実行されないことを確認します。

すべてのテストが予期したとおりの結果となれば、本番(ユーザーフィルターなし)で実行する準備ができました。

注意:

ディレクトリに数百人以上のユーザーがいる場合、Adobe Admin Console でユーザーを同期させるのに数時間かかることがあります。

監視とスケジュール

ユーザー同期は手動で実行することも、1 日に 1 回〜数回自動的に実行する自動化を設定することもできます。

注意:

使用可能なログ分析とアラートシステムがある場合は、ユーザー同期からのログをログ分析システムに送信するように準備してください。また、ログに表示されるすべてのエラーや重要なメッセージのアラートを設定します。

  1. 要約に関連するログエントリを表示するには、user_sync_tool フォルダーに、ユーザー同期の起動でスキャンに送信されるバッチファイルを作成します。例えば、次のようなコンテンツで run_sync.bat ファイルを作成します。

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. 電子メールコマンドラインツールを設定することもできます。

    Windows には標準の電子メールコマンドラインツールはありませんが、いくつか市販されているものがあります。これらは、特定のコマンドラインオプションを入力することができます。

  3. Windows タスクスケジューラーを設定して、ユーザー同期ツールを実行します。

    例えば、以下のコードでは、毎日午後 4:00 にユーザー同期ツールの実行が開始されます。

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. スケジュールされたタスクが機能することを確実にするために、テストモードでコマンドを実行します。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー