In diesem Dokument wird die Installation des Benutzer-Synchronisationstools beschrieben, mit dem der Benutzerverwaltungsprozess automatisiert werden kann.

Das Benutzer-Synchronisationstool ist ein Befehlszeilenprogramm, das Benutzer- und Gruppeninformationen aus dem Unternehmensverzeichnissystem Ihrer Organisation (z. B. einem Active Directory- oder sonstigen LDAP-System) in das Verzeichnis Ihrer Organisation in der Adobe Admin Console verschiebt. Bei jeder Ausführung des Benutzer-Synchronisationstools wird nach Unterschieden zwischen den Benutzer- und Gruppeninformationen in den beiden Systemen gesucht und das Adobe-Verzeichnis wird so aktualisiert, dass es die Informationen in Ihrem Verzeichnis widerspiegelt.

Dieses Dokument enthält schrittweise Anweisungen zum Verbinden eines Active Directory-Systems mit der Adobe Admin Console. Dies ist eine der beliebtesten Kombinationen bei Kunden in den Segmenten Schule und KMU. Das Benutzer-Synchronisationstool ist flexibel und kann zum Herstellen von Verbindungen mit den meisten LDAP- und Verzeichnissystemen verwendet werden. Wenn Sie ein anderes Verzeichnissystem als Active Directory verwenden, können die Anweisungen in diesem Dokument nicht direkt angewendet werden. Nehmen Sie ggf. Anpassungen vor. Weitere Informationen finden Sie im Einrichtungs- und Nutzungshandbuch.

Vorbereitung

Active Directory-Informationen abrufen

Sie benötigen die folgenden Informationen zu Ihrem Active Directory-System (oder LDAP-System).  Sollten Sie über diese Informationen nicht verfügen, wenden Sie sich an Ihren IT-Administrator.

  • Host- und Portinformationen für den Server, auf dem das System ausgeführt wird.
  • Benutzername und Kennwort.
  • Basis-DN, d. h. der Punkt, ab dem der Server nach Benutzern sucht.
  • Zudem benötigen Sie u. U. eine LDAP-Abfrage, mit der die Benutzer ausgewählt werden, die mit Adobe synchronisiert werden sollen.
Active Directory

Digitales Zertifikat abrufen

Zum Signieren von API-Aufrufen benötigen Sie ein digitales Zertifikat. Wenn Sie kein solches Zertifikat besitzen, wenden Sie sich an Ihren IT-Administrator, um Anweisungen zu erhalten.

Empfehlungen zu Zertifikaten:

  • Das Zertifikat muss eine Zertifikatsdatei mit dem öffentlichen Schlüssel und eine Datei mit dem privaten Schlüssel einschließen. 
  • CRT-Format (X.509, Base64-kodiert)
  • Mit der Dateierweiterung „.crt“ (nicht .pem, .cer oder .cert).
  • SHA-2
  • Mehrzeiliges Format (einzeiliges Format führt zu einem Fehler)
  • Mindestlaufzeit von drei Jahren (verringert den Verwaltungsaufwand in diesem Zeitraum und beeinträchtigt die Sicherheit nicht)

Selbst signiertes Zertifikat erstellen

Zum Testen und Einrichten können Sie auch ein selbst signiertes Zertifikat verwenden. Sie können Zertifikate in Windows mit Cygwin erstellen, das „openssl“ einschließt. In Mac OS können Sie das integrierte Befehlszeilentool „openssl“ verwenden. Gehen Sie wie folgt vor, um ein Zertifikat zu erstellen:

  1. Wenn Sie mit Windows arbeiten, installieren und öffnen Sie Cygwin. Öffnen Sie unter macOS das Terminal.
  2. Führen Sie den folgenden Befehl aus:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitales Zertifikat
  3. Wenn die Generierung des privaten Schlüssels abgeschlossen wurde, werden Sie aufgefordert, weitere Informationen einzugeben, um einen definierten Namen für den öffentlichen Schlüssel zu erstellen. Sie können Standardwerte übernehmen oder einen relevanten Wert eingeben. Wenn Sie ein Feld leer lassen möchten, geben Sie „.“  (einen Punkt) ein.

    Digitales Zertifikat

Die Zertifikatsdatei mit dem öffentlichen Schlüssel und die Datei mit dem privaten Schlüssel werden standardmäßig unter den folgenden Pfaden gespeichert:

Windows: C:\cygwin64\home\<Ihr_Benutzername>

macOS: /Benutzer/<Ihr_Benutzername>

Server angeben

Wenn Sie das Benutzer-Synchronisationstool auf Ihrem Computer installieren möchten, muss dieser folgende Anforderungen erfüllen:

  • Internetzugriff sowie Zugriff auf Ihren Verzeichnisdienst wie LDAP oder AD.
  • Geschützt und sicher (die Administrator-Anmeldeinformationen sind auf dem Server gespeichert oder abrufbar).
  • Unterbrechungsfreie und zuverlässige Verfügbarkeit, sowie Fähigkeit zu Sicherung und Wiederherstellung.
  • Möglichkeit zum Senden von E-Mails, sodass das Benutzer-Synchronisationstool Berichte an Administratoren senden kann.
  • Wenn es sich um einen Windows-Computer handelt, muss er über einen 64-Bit-Prozessor verfügen.

Bestimmen Sie andernfalls in Zusammenarbeit mit Ihrer IT-Abteilung einen Server, der diese Anforderungen erfüllt, und richten Sie den Zugriff darauf für sich ein.

Adobe Admin Console konfigurieren

Stellen Sie sicher, dass Sie die Domäne für Ihre Organisation beansprucht haben und dass Produktprofile und Benutzergruppen in der Adobe Admin Console erstellt wurden.

Server einrichten

Integration mit Adobe I/O einrichten

Führen Sie zum Einrichten einer Adobe.io-Integration folgende Schritte aus:

  1. Melden Sie sich bei der Adobe I/O-Konsole an, wählen Sie Ihre Organisation in der Dropdown-Liste aus und klicken Sie auf New Integration (Neue Integration).

    New Integration (Neue Integration)
  2. Wählen Sie im Assistenten zum Erstellen einer neuen Integration Access an API (Auf API zugreifen) aus und klicken Sie auf Weiter.

    Screenshot_3
  3. Wählen Sie unter „Adobe Services“ (Adobe-Dienste) User Management API (Benutzerverwaltungs-API) aus und klicken Sie auf Weiter. Klicken Sie im nächsten Bildschirm erneut auf Weiter.

    Untitled-2
  4. Geben Sie einen Namen und eine Beschreibung für die Integration ein und laden Sie die Zertifikatsdatei mit dem öffentlichen Schlüssel hoch. Klicken Sie auf Create integration (Integration erstellen).

    Die Integration wird erstellt.

    Create integration (Integration erstellen).
  5. Klicken Sie zum Anzeigen der Integrationsdetails auf Continue to Integration Details (Weiter mit Integrationsdetails).

    Integrationsdetails

Diese Integrationsdetails werden benötigt, um später die Dateien der Benutzersynchronisation zu konfigurieren.

Benutzer-Synchronisationstool installieren

  1. Erstellen Sie einen Ordner mit dem Namen user_sync_tool unter folgendem Pfad auf dem Computer oder Server:

    Windows: C:\Benutzer\<Ihr_Benutzername>\

    macOS: /home/<Ihr_Benutzername>/

  2. Rufen Sie GitHub auf, wählen Sie Releases aus, und laden Sie die folgenden Dateien herunter:

    • example-configurations.tar.gz
    • Benutzersynchronisation für die von Ihnen verwendete Plattform und Python-Version.
  3. Extrahieren Sie die Datei „user-sync.pex“ aus dem Archiv und platzieren Sie sie im von Ihnen erstellten Ordner user_sync_tool.

  4. Navigieren Sie im Archiv example-configurations.tar.gz zu config files - basic, extrahieren Sie die ersten drei Dateien und platzieren Sie diese im Ordner user_sync_tool.

  5. Benennen Sie die drei Dateien um und entfernen Sie die Ziffern aus den Namen. Im Ordner user_sync_tool sind nun die folgenden Dateien vorhanden:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Pfad für Python festlegen (nur Windows)

  1. Installieren Sie Python Version 3.6.2 oder höher (64 Bit).

  2. Aktivieren Sie das Kontrollkästchen Add Python 3.6 to PATH (Python 3.6 zu PATH hinzufügen), notieren Sie sich den Installationspfad und klicken Sie auf Install Now (Jetzt installieren).

    Python installieren
  3. Öffnen Sie die Eingabeaufforderung und führen Sie den folgenden Befehl aus:

    python

    Der Befehl muss die installierte Version von Python zurückgeben.

Benutzersynchronisation konfigurieren

Zugriff auf das Verzeichnis konfigurieren

  1. Bearbeiten Sie die Datei connector-ldap.yml. Diese Datei enthält Informationen für den Zugriff auf das Verzeichnissystem.

  2. Geben Sie Werte für Benutzername, Kennwort, Host und Basis-DN ein.

    Konfigurationsdatei für den Verzeichniszugriff
  3. Legen Sie search_page_size auf 0 fest.

    Möglicherweise benötigen Sie eine vom Standard abweichende LDAP-Abfrage, um den gewünschten Satz von Benutzern auszuwählen. Sie ist in dieser Datei als Teil des Konfigurationsparameters „all_users_filter“ eingerichtet.

Anmeldeinformationen für die Adobe UMAPI konfigurieren

  1. Bearbeiten Sie die Datei connector-umapi.yml. Diese Datei enthält Informationen für den Zugriff auf Ihre Adobe-Organisation.

  2. Geben Sie die folgenden Informationen aus der Adobe.io-Integration ein, die Sie zuvor erstellt haben:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Platzieren Sie die Datei mit dem privaten Schlüssel im Ordner user_sync_tool. Das Konfigurationsdateielement „priv_key_path“ wird dann auf den Namen dieser Datei festgelegt.

    Anmeldeinformationen für die Adobe UMAPI

Standardländercode definieren

Wenn im Verzeichnis nicht für jeden Benutzer ein Land aufgelistet ist, können Sie ein Standardland festlegen.

  1. Bearbeiten Sie die Datei user-sync-config.yml.

  2. Entfernen Sie # aus der Zeile default country code und geben Sie den entsprechenden Ländercode ein. Beispiel:

    default_country_code: US

    Hinweis:

    Ein Ländercode ist für Federated IDs erforderlich und wird für Enterprise IDs empfohlen. Wenn er für Enterprise IDs nicht angegeben ist, werden Benutzer beim ersten Anmelden aufgefordert, ein Land auszuwählen.

Gruppenzuordnung

Sie können Benutzerkonten bereitstellen, indem Sie sie nicht mit der Adobe Admin Console, sondern mit LDAP/AD-Tools einer Unternehmensverzeichnisgruppe hinzufügen. Anschließend wird in der Konfigurationsdatei eine Zuordnung von Verzeichnisgruppen zu Adobe-Produktprofilen oder -Benutzergruppen definiert.

Ist ein Benutzer Mitglied einer Verzeichnisgruppe, fügt die Benutzersynchronisation den Benutzer der entsprechenden Benutzergruppe in der Adobe Admin Console hinzu. Ist ein Benutzer Mitglied einer Benutzergruppe, jedoch nicht in der Verzeichnisgruppe enthalten, entfernt die Benutzersynchronisation den Benutzer aus der Benutzergruppe.

  1. Bearbeiten Sie group mapping in der Datei user-sync-config.yml

  2. Fügen Sie für jede Verzeichnisgruppe, die einem Adobe-Produktprofil bzw. einer Adobe-Benutzergruppe zugeordnet sein muss, nach groups einen Eintrag hinzu. Beispiel:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Hinweis:

    Die Gruppenzuordnung kann anhand von Adobe-Benutzergruppen oder -Produktprofilen erfolgen, jedoch nicht mit Produktnamen. Zudem können Sie eine Verzeichnisgruppe mehreren Adobe-Benutzergruppen oder -Produktprofilen zuordnen.

Beschränkungen für nicht zugeordnete Benutzer

Um das versehentliche Löschen von Konten zu verhindern, wenn eine Fehlkonfiguration oder ein anderes Problem vorliegt, besteht eine Einschränkung hinsichtlich des Löschens von Konten.

  1. Bearbeiten Sie zum Ändern dieser Einschränkung limits in der Datei user-sync-config.yml.

  2. Wenn Sie davon ausgehen, dass sich die Anzahl der Verzeichnisbenutzer zwischen den Ausführungen des Benutzer-Synchronisationstools um mehr als 200 verringert, erhöhen Sie den Wert von max_adobe_only_users.

    Hinweis:

    Überschreitet die Anzahl der gelöschten Konten die in im Wert von „max_adobe_only_users“ definierte Anzahl, werden die Aktualisierungsvorgänge abgebrochen.

Löschungsschutz

Wenn Konten über das Benutzer-Synchronisationstool erstellt und entfernt werden sollen und Sie einige Konten manuell erstellen möchten, verwenden Sie diese Funktion, damit das Benutzer-Synchronisationstool die manuell erstellten Konten nicht löscht.

  1. Geben Sie Konfigurationselemente für Ausschlüsse in der Datei user-sync-config.yml ein.

    exclude_groups

    Sie definiert eine Liste von Adobe-Benutzergruppen und/oder Produktkonfigurationen. Adobe-Benutzer, die Mitglieder der aufgeführten Gruppen sind, werden nicht entfernt und nicht aktualisiert und ihre Gruppenmitgliedschaft wird nicht geändert.

    exclude_users

    Hier wird eine Liste von Mustern angegeben. Adobe-Benutzer mit Benutzernamen, die mit einem der angegebenen Muster übereinstimmen (standardmäßig nicht von Schreibweise abhängig, es sei denn, das Muster legt die Berücksichtigung der Schreibweise fest), werden nicht entfernt und nicht aktualisiert und ihre Gruppenmitgliedschaft wird nicht geändert.

    exclude_identity_types

    Hier wird eine Liste von Identitätstypen angegeben. Adobe-Benutzer mit einem dieser Identitätstypen werden nicht entfernt und nicht aktualisiert und ihre Gruppenmitgliedschaft wird nicht geändert.

  2. Wenn Benutzer in der Admin Console von Aktualisierungen ausgeschlossen werden sollen, erstellen Sie eine Benutzergruppe und fügen Sie dieser die ausgeschlossenen Benutzer hinzu. Geben Sie dann diese Gruppe als von der Verarbeitung durch das Benutzer-Synchronisationstool ausgeschlossene Gruppe an. Sie können auch bestimmte Benutzer auflisten oder ein Muster angeben, das mit bestimmten Benutzernamen übereinstimmt, um die betreffenden Benutzer auszuschließen. Sie können Benutzer auch basierend auf ihrem Identitätstyp ausschließen.

    Beispiel:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    Im Beispiel oben sind „administrators“ und „contractors“ sowie die Benutzernamen Beispielwerte. Verwenden Sie die Namen der Adobe-Benutzergruppen, -Produktprofile oder -Benutzer, die Sie erstellt haben.

Protokolle erstellen

Das Benutzer-Synchronisationstool erzeugt Protokolleinträge, die in die Standardausgabe sowie in eine Protokolldatei geschrieben werden. Der Protokollierungsabschnitt der Konfigurationseinstellungen steuert Ziel und Umfang der ausgegebenen Protokollinformationen.

  1. Bearbeiten Sie zum Aktivieren bzw. Deaktivieren der Dateiprotokollierung den Wert log_to_file in der Datei user-sync-config.yml.

    Meldungen können eine von fünf Ebenen der Wichtigkeit aufweisen. Sie können die niedrigste Ebene der Wichtigkeit auswählen, die in das Dateiprotokoll oder das Standardausgabeprotokoll der Konsole eingeschlossen wird. In der Standardeinstellung wird das Dateiprotokoll erzeugt und Meldungen der Ebene „info“ oder höher werden eingeschlossen. Dies ist die empfohlene Einstellung.

  2. Überprüfen Sie die Einstellungen für die Protokolle und nehmen Sie die gewünschten Änderungen vor. Die empfohlene Protokollebene lautet info (dies ist die Standardeinstellung).

Mit dem Konfigurationsassistenten für das Benutzer-Synchronisationstool konfigurieren (nur Windows)

Wenn Sie über einen Windows-Server verfügen, können Sie die Benutzersynchronisation auch mit dem Konfigurationsassistenten für das Benutzer-Synchronisationstool konfigurieren.

Der Konfigurationsassistent für das Benutzer-Synchronisationstool ist ein Benutzeroberflächentool, mit dem Sie das Benutzer-Synchronisationstool auf einfache Weise mit der User Management API (Adobe.io), dem Unternehmensverzeichnis (LDAP) und Synchronisationseinstellungen konfigurieren können. Es bietet kontextbasierte Hilfe sowie Links zur Dokumentation für das Benutzer-Synchronisationstool. Weitere Informationen finden Sie unter Konfigurationsassistent für das Adobe-Benutzer-Synchronisationstool.

Bereitstellen und automatisieren

Konfiguration prüfen

Das Benutzer-Synchronisationstool ist nun auf dem Server oder Computer eingerichtet und Sie können es auf ordnungsgemäße Funktion überprüfen.

  1. Öffnen Sie die Eingabeaufforderung.
  2. Navigieren Sie mit dem folgenden Befehl zum Ordner „user_sync_tool“.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Die Benutzersynchronisation wird mit den folgenden Befehlen gestartet:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Wenn Sie sich beispielsweise vergewissern möchten, dass die Konfiguration abgeschlossen wurde, führen Sie die folgenden Befehle aus:

    Für Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    Für UNIX:

    ./user-sync –v
    ./user-sync –h

    -v gibt die Version an, -h bietet Hilfe zu Befehlszeilenargumenten.

  4. Führen Sie im Testmodus eine Synchronisation aus, die auf eine zugeordnete Gruppe in Ihrem Verzeichnis beschränkt ist.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Mit dem Befehl oben werden nur die Benutzer in der zugeordneten Gruppe synchronisiert, die in „user-sync-config.yml“ angegeben ist. Sind die Benutzer in der Admin Console nicht vorhanden, wird versucht, die Benutzer zu erstellen und diese Gruppen hinzuzufügen, die über deren Verzeichnisgruppen zugeordnet sind.

    Beim Ausführen der Benutzersynchronisation im Testmodus (-t) wird lediglich versucht, den Benutzer zu erstellen, ohne dass er tatsächlich erstellt wird. Mit der Option --adobe-only-user-action exclude wird verhindert, dass bereits in der Adobe-Organisation vorhandene Benutzerkonten aktualisiert werden.

  5. Führen Sie Synchronisation ohne den Testmodus aus, sodass der Benutzer erstellt und den zugeordneten Gruppen hinzugefügt wird.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Sehen Sie in der Adobe Admin Console nach, ob der Benutzer angezeigt wird und die Gruppenmitgliedschaften hinzugefügt wurden.

  7. Führen Sie denselben Befehl noch einmal aus. Durch die Benutzersynchronisation darf nicht versucht werden, den Benutzer nochmals zu erstellen und ihn erneut Gruppen hinzuzufügen. Das Tool sollte erkennen, dass der Benutzer vorhanden und Mitglied der Benutzergruppe oder Produktkonfiguration ist, und keine Aktion ausführen.

Wenn alle diese Tests erwartungsgemäß ausgeführt werden, können Sie den Vorgang ohne Einschränkungen (ohne den Benutzerfilter) ausführen.

Hinweis:

Wenn mehr als einige Hundert Benutzer im Verzeichnis vorhanden sind, kann die Synchronisation der Benutzer mit der Adobe Admin Console einige Stunden dauern.

Überwachen und planen

Die Benutzersynchronisation kann manuell ausgeführt werden. Sie können jedoch auch eine Automatisierung einrichten, bei der die Benutzersynchronisation mehrmals täglich automatisch ausgeführt wird.

Hinweis:

Wenn Sie über ein Protokollanalyse- und Benachrichtigungssystem verfügen, richten Sie es so ein, dass das Protokoll aus dem Benutzer-Synchronisationstool an das Protokollanalysesystem gesendet wird. Richten Sie zudem Benachrichtigungen ein, wenn ein normaler oder schwerwiegender Fehler im Protokoll erscheint.

  1. Erstellen Sie zum Auslesen aller relevanten Protokolleinträge für eine Zusammenfassung eine Stapeldatei im Ordner user_sync_tool, in der das Benutzer-Synchronisationstool aufgerufen wird und die Ausgabe übergeben wird. Erstellen Sie beispielsweise eine Datei „run_sync.bat“ mit folgendem Inhalt:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Richten Sie optional ein Befehlszeilentool für E-Mails ein.

    Unter Windows gibt es kein Standard-Befehlszeilentool für E-Mails, es sind aber verschiedene Lösungen erhältlich, bei denen Sie Ihre spezifischen Befehlszeilenoptionen eingeben können.

  3. Richten Sie die Aufgabenplanung von Windows für die Ausführung des Benutzer-Synchronisationstools ein.

    Mir dem folgenden Code wird das Benutzer-Synchronisationstool beispielsweise täglich ab 16:00 Uhr ausgeführt:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Führen Sie einen Befehl im Testmodus aus, um sicherzustellen, dass die geplanten Aufgaben ausgeführt werden.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie