Dit document leidt u door de installatie van de tool Gebruikerssynchronisatie waarmee gebruikersbeheer wordt geautomatiseerd.

De tool Gebruikerssynchronisatie is een opdrachtregelprogramma dat gegevens over gebruikers en groepen uit het directorysysteem van uw organisatie (zoals Active Directory of een ander LDAP-systeem) verplaatst naar de directory van uw organisatie in de Adobe Admin Console. Telkens wanneer u de tool Gebruikerssynchronisatie uitvoert, wordt gezocht naar verschillen in de gegevens over gebruikers en groepen tussen de twee systemen en wordt de Adobe-directory bijgewerkt, zodat deze overeenkomt met de informatie in uw eigen directory.

Dit document biedt stapsgewijze instructies voor het koppelen van een Active Directory-systeem aan de Adobe Admin Console. Dit is een van de populairste combinaties die onze klanten in het primair en voortgezet onderwijs en in het MKB gebruiken. De tool Gebruikerssynchronisatie is flexibel en kan worden gebruikt om een koppeling te maken met de meeste LDAP- en directorysystemen. Als u een ander directorysysteem dan Active Directory gebruikt, zijn de instructies in dit document niet rechtstreeks van toepassing. Breng waar nodig wijzigingen aan. Raadpleeg de Setup and Success Guide voor meer informatie.

Voordat u begint

U hebt de volgende gegevens over uw LDAP-systeem nodig. Neem contact op met uw IT-beheerder als u deze gegevens niet hebt.

  • Naam van domeincontroller (of IP-adres als dit een vast adres is) en poort.
  • Gebruikersnaam en wachtwoord voor een serviceaccount dat de tool kan gebruiken om gebruikers uit uw LDAP op te halen (alleen-lezen toegang).
  • Basisdomeinnaam. Dit is het punt vanaf waar de server naar gebruikers zoekt. Deze moet breed genoeg zijn om alle gebruikers en groepen te kunnen detecteren die moeten worden gesynchroniseerd.
  • Groepsnamen die deel uitmaken van de synchronisatie.
  • Het meest geschikte LDAP-kenmerk voor e-mail/gebruikersnaam voor alle gebruikers die moeten worden gemaakt in de Admin Console.
  • (Optioneel) U hebt mogelijk ook een aangepaste LDAP-query nodig die de reeks gebruikers selecteert die moeten worden gesynchroniseerd met Adobe als de standaardfilters niet aan de vereisten voldoen.
Active Directory

Het sleutelpaar wordt gebruikt om een JWT te ondertekenen en de legitimiteit ervan bij het verkrijgen van het access_token-proces te verifiëren. Neem voor hulp hierbij zo nodig contact op met uw beveiligingsteam.

Tips voor certificaten:

  • Een openbaar certificaat kan worden ondertekend door uw eigen certificeringsinstantie (dien zo nodig een ondersteuningsverzoek in). Zelfondertekende certificaten worden ook geaccepteerd.
  • De persoonlijke sleutel moet RSA zijn: ten minste 2048 bits
  • Het openbare certificaat moet de extensie .crt hebben
  • Onderteken met SHA-256
  • Geldigheid van openbare sleutel: drie jaar wordt aanbevolen, maar dit wordt bepaald door uw interne beveiligingsbeleid

Een zelfondertekend certificaat maken

Om het systeem te testen en in te stellen kunt u ook een zelfondertekend certificaat met openssl gebruiken. Voor macOS/Linux is openssl mogelijk standaard aanwezig. Voeg voor Windows openssl-ondersteuning apart toe (bijvoorbeeld Cygwin).
Volg deze stappen om een zelfondertekend certificaat te maken:

  1. Voor macOS/Linux opent u Terminal.
    Voor Windows opent u het programma dat openssl-ondersteuning biedt (Cygwin, cmd of iets anders).

  2. Voer de volgende opdracht uit:

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitaal certificaat
  3. Nadat de persoonlijke sleutel is gegenereerd, wordt u gevraagd aanvullende informatie in te voeren om een ​​onderscheidende naam voor de openbare sleutel te maken. U kunt standaardwaarden accepteren of een relevante waarde invoeren. Als u het ​​veld leeg wilt laten, voert u '.' (een punt) in.

    Digitaal certificaat

De bestanden met het openbare certificaat en de persoonlijke sleutel worden standaard opgeslagen op de volgende locaties:

Windows: C:\cygwin64\home\<uw_gebruikersnaam>

macOS: /Gebruikers/<uw_gebruikersnaam>

Als u van plan bent gebruikerssynchronisatie op uw computer te installeren, moet u ervoor zorgen dat deze aan de volgende vereisten voldoet:

  • Heeft toegang tot internet en uw directoryservice, zoals LDAP of AD.
  • Is veilig en beveiligd (uw beheerdersreferenties worden daar opgeslagen of geopend).
  • Blijft aanstaan, is betrouwbaar en heeft back-up- en herstelvoorzieningen.
  • Kan e-mails verzenden, zodat Gebruikerssynchronisatie rapporten naar beheerders kan verzenden.
  • Als het een Windows-computer is, moet deze een 64-bits processor hebben.

Werk anders samen met uw IT-afdeling om een geschikte server te vinden en er toegang toe te krijgen.

Zorg dat u de directory's hebt gemaakt voor uw organisatie en dat de productprofielen en gebruikersgroepen zijn gemaakt in de Adobe Admin Console.

De server instellen

Ga als volgt te werk om een ​​adobe.io-integratie in te stellen:

  1. Meld u aan bij de Adobe I/O-console, selecteer uw organisatie in de vervolgkeuzelijst en klik op New Integration.

    Nieuwe integratie
  2. Selecteer in de wizard Create a new integration de optie Access an API en klik op Continue.

    Screenshot_3
  3. Selecteer User Management API onder Adobe Services en klik op Continue. Klik in het volgende scherm nogmaals op Continue.

    Untitled-2
  4. Voer een naam en een beschrijving in voor de integratie en upload het certificaatbestand met de openbare sleutel. Klik op Create integration.

    De integratie wordt gemaakt.

    Integratie maken
  5. Als u de details van de integratie wilt bekijken, klikt u op Continue to Integration Details.

    Details van integratie

Deze details zijn vereist om later de bestanden voor gebruikerssynchronisatie te kunnen configureren.

  1. Maak een map met de naam user_sync_tool op een locatie op een station waartoe gebruikers met de vereiste machtigingen toegang hebben.

  2. Ga naar GitHub en zoek de tag Latest release (Nieuwste versie).

    Zoek in deze versie naar Assets en vouw dit uit. Zoek en download vervolgens:

    • Het bestand examples.zip
    • Het .zip-bestand van de tool Gebruikerssynchronisatie in de lijst die overeenkomt met uw besturingssysteem en Python-versie

    Opmerking:

    De naam van het archief bevat het besturingssysteem waarmee dit werkt en de Python-versie waarmee dit is gemaakt. Zo is user-sync-vX.Y-win64-py368.zip een Windows-versie die is gemaakt met Python 3.6.8 (64 bits).
    Als u geen Python-versie op het systeem hebt geïnstalleerd, probeer dan de versie te installeren waarmee de tool is gemaakt.

  3. Pak exemples.zip uit, navigeer naar config files - basic en kopieer de volgende bestanden naar de map user_sync_tool: connector-ldap.yml, connector-umapi.yml en user-sync-config.yml.

  4. Pak uit het andere zip-bestand het bestand user-sync.pex uit en plaats het in dezelfde map user_sync_tool.

  5. Zoek het bestand private.key dat is meegeleverd bij het openbare certificaat en verplaats dit naar dezelfde map user_sync_tool. De volledige lijst met bestanden is nu:

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.pex
    • user-sync-config.yml

  1. We kiezen voor de installatie van Python 3.6.8 (download het installatieprogramma voor Windows x86-64 en voer het uit).

  2. Schakel het selectievakje Add Python 3.6 to PATH in en selecteer Customize Installation.

    Python installeren
  3. Klik in het scherm Optional Features op Next. Schakel in het scherm Advanced Options het vakje Install for all users in en klik op Install.

    Python installeren
  4. Als u nadat de installatie is voltooid, een optie ziet om de limiet voor de padlengte uit te schakelen, selecteert u deze optie voordat u het installatievenster sluit.

  5. Open de opdrachtprompt en voer de volgende opdracht uit:

    python --version

    Als Python aan PATH is toegevoegd, retourneert de bovenstaande opdrachtregel de versie. Anders wordt een fout geretourneerd.

Gebruikerssynchronisatie configureren

  1. Bewerk het bestand connector-ldap.yml met een speciale teksteditor.

  2. Voer waarden in voor de gebruikersnaam, het wachtwoord, de host en base_dn.

    Configuratiebestand voor directorytoegang
  3. Stel search_page_size in op 200.

  4. De standaardfilters zullen echter meestal volstaan. Als u een aangepaste LDAP-query nodig hebt om een reeks gebruikers te extraheren, wijzigt u de configuratieparameter all_users_filter.

  5. Controleer de rest van de instellingen zonder opmerkingen en kijk naar welke LDAP-kenmerken ze wijzen. Wijzig ze op basis van uw behoeften.

    Bij sommige distributies is aanmelden op basis van gebruikersnaam ingesteld (het veld Gebruikersnaam in de Admin Console voor een bepaalde gebruiker bevat geen e-mailadres). 

    In dat geval schakelt u ook de volgende regel in (verwijder het teken #):
    user_username_format: {sAMAccountName}

    Vervang sAMAccountName door het juiste kenmerk als dit niet het kenmerk is dat u moet gebruiken.

  1. Bewerk connector-umapi.yml. Dit bestand bevat toegangsgegevens voor uw Adobe-organisatie.

  2. Voer de volgende gegevens in van de adobe.io-integratie die u eerder hebt gemaakt:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Zorg ervoor dat priv_key_path de exacte naam bevat van de persoonlijke sleutel in de map user_sync_tool.
    Als de persoonlijke sleutel in dezelfde map staat als de rest van de UST-bestanden, kan priv_key_path alleen de naam van het bestand bevatten. Het werkt dan als relatief pad.

    Adobe UMAPI-referenties

Als uw directory geen land voor elke gebruiker vermeldt, kunt u een standaardland instellen.

  1. Bewerk het bestand user-sync-config.yml.

  2. Verwijder # uit de regel default country code en voer de juiste landcode in. Bijvoorbeeld:

    default_country_code: US

    Opmerking:

    Een landcode is vereist voor Federated ID's en wordt aanbevolen voor Enterprise ID's. Als er geen land is opgegeven voor Enterprise ID's, wordt de gebruiker gevraagd een ​​land te kiezen wanneer deze zich voor het eerst aanmeldt.

In dit gedeelte wordt aangegeven welke groepen uit LDAP een overeenkomstige gebruikersgroep of PLC moeten hebben in de Admin Console.

Het doel hiervan is de tool een bron voor groepen/gebruikers te geven, zodat deze kunnen worden afgestemd op dezelfde leden van groepen/PLC's in de Admin Console.

  1. Bewerk de groepstoewijzing in het bestand user-sync-config.yml.

  2. Voor elke directorygroep die moet worden toegewezen aan een Adobe-productprofiel of -gebruikersgroep, voegt u een ingang toe in de sectie groups. Bijvoorbeeld:

    groups:
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here

    Opmerking:

    Groepstoewijzing kan gebeuren via Adobe-gebruikersgroepen of -productprofielen, niet via productnamen. En u kunt één directorygroep toewijzen aan meer dan één Adobe-gebruikersgroep of -productprofiel.

Om te voorkomen dat accounts per ongeluk worden verwijderd door een verkeerde configuratie of een ander probleem, kunt u een limiet instellen voor het maximum aantal verwijderde accounts dat u zou verwachten bij een dagelijkse synchronisatie.

  1. Als u deze limiet wilt wijzigen, zoekt u max_adobe_only_users in het bestand user-sync-config.yml.

  2. Als u verwacht dat het aantal accounts dat wordt verwijderd wanneer u Gebruikerssynchronisatie uitvoert, groter is dan de ingestelde waarde voor max_adobe_only_users, verhoogt u de waarde, zodat het juiste aantal accounts wordt verwijderd.

    Opmerking:

    Als het aantal te verwijderen accounts groter is dan de waarde voor max_adobe_only_users, verwerkt de tool geen enkel verwijderd account. Er wordt een kritieke vermelding toegevoegd aan het logbestand dat aangeeft dat die limiet is bereikt.

    Deze limiet is niet van invloed op het maken van accounts.

Er zijn situaties waarin bepaalde accounts moeten worden uitgesloten van de synchronisatie. U kunt dit doen door het bestand user-sync-config.yml te bewerken.
De tool biedt drie uitsluitingsfuncties: op identiteitstype, op groepsnaam en op reguliere expressie.
Elk account dat wordt gevonden in de Admin Console en dat voldoet aan ten minste één van de genoemde criteria, wordt beschermd en niet verwijderd (uit de groep of uit de organisatie).

Het is een goede gewoonte om Adobe ID's te gebruiken voor systeembeheerders in de Admin Console en deze uit te sluiten via exclude_identity_types: adobeID.

Hier is een voorbeeld:

adobe_users:
  exclude_identity_types:
    - adobeID           # adobeID, enterpriseID of federatedID
  exclude_adobe_groups:
    - naam_adobe_groep  # leden worden niet verwijderd door Gebruikerssynchronisatie
    - naam_andere_groep  # u kunt meerdere groepen uitsluiten
  exclude_users:
    - ".*@voorbeeld.com"
    - belangrijke_gebruiker@domein.com

Gebruikerssynchronisatie creëert logboekvermeldingen die naar de standaarduitvoer worden verzonden en ook worden weggeschreven in een logbestand. De configuratie-instellingen bepalen waar en hoeveel logboekgegevens worden uitgevoerd.

  1. Als u het logbestand wilt in- of uitschakelen, bewerkt u de waarde log_to_file in het bestand user-sync-config.yml.

  2. Controleer de instellingen voor logbestanden en breng de gewenste wijzigingen aan. Het wordt aanbevolen om voor de eerste configuratie het volgende te gebruiken:
    log_to_file: True
    file_log_level: debug

Als u een Windows-server hebt, kunt u ook de configuratiewizard voor de tool Gebruikerssynchronisatie gebruiken om Gebruikerssynchronisatie te configureren.

De configuratiewizard voor de tool Gebruikerssynchronisatie is een hulpprogramma met een grafische interface waarmee u de tool Gebruikerssynchronisatie eenvoudig kunt configureren met behulp van de API voor gebruikersbeheer (Adobe.io), Enterprise Directory (LDAP) en synchronisatie-instellingen. De wizard biedt contextgebaseerde hulp en koppelingen naar documentatie over de tool Gebruikerssynchronisatie. Zie Configuratiewizard voor de Adobe-tool Gebruikerssynchronisatie voor meer informatie.

Distribueren en automatiseren

Nu de tool Gebruikerssynchronisatie is ingesteld op uw server of computer, kunt u controleren of deze naar verwachting werkt. Voor het oplossen van veelvoorkomende problemen bij het gebruik van de tool Gebruikerssynchronisatie raadpleegt u deze tips.

  1. Open de opdrachtprompt.
  2. Gebruik de volgende opdracht om naar de map user_sync_tool te navigeren.

    cd path/to/user_sync_tool
  3. Als u wilt controleren of uw configuratie is voltooid, voert u de volgende opdrachten uit:

    Voor Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    Voor UNIX:

    ./user-sync –v
    ./user-sync –h

    -v meldt de versie, -h toont hulp bij opdrachtregelargumenten.

  4. Voer in de testmodus een synchronisatie uit die is beperkt tot de toegewezen groepen die in het configuratiebestand worden genoemd, waarbij bestaande accounts aan de Adobe-zijde worden uitgesloten.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    De bovenstaande opdracht synchroniseert alleen de gebruikers in de toegewezen groep die is opgegeven in het bestand user-sync-config.yml. Als de gebruikers niet bestaan ​​in de Admin Console, wordt geprobeerd de gebruikers te maken en toe te voegen aan groepen die zijn toegewezen vanuit hun directorygroepen.

    Als u gebruikerssynchronisatie uitvoert in de testmodus (-t), wordt alleen geprobeerd of de gebruiker kan worden gemaakt en wordt deze niet daadwerkelijk gemaakt. De optie --adobe-only-user-action exclude voorkomt dat bestaande gebruikersaccounts ​​in de Adobe-organisatie worden verwijderd.

  5. Hoewel invocation_defaults de standaardargumenten instelt waarmee de tool wordt uitgevoerd, kunt u deze overschrijven door ze in de opdrachtregel te vermelden. Voer in de testmodus een synchronisatie uit die is beperkt tot de toegewezen groepen die in het configuratiebestand worden genoemd, waarbij de extra accounts die aan de Adobe-zijde worden gevonden en die niet zijn gevonden in de LDAP-extractie, worden verwijderd.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    een simulatie, geen echte synchronisatie, uitvoeren en kijken wat er zou gebeuren.

    --users-mapped

    gebruikers uit LDAP extraheren die het resultaat zijn van all_user_filter en tevens lid zijn van de opgegeven namen bij directory_group in het configuratiebestand.

    --process-groups

    gebruikers toevoegen aan/verwijderen uit gebruikersgroepen of PLC's aan de Adobe-zijde, op basis van het feit of het account lid is van de toegewezen LDAP-groepen.

    --adobe-only-user-action remove

    elk account dat aan de Adobe-zijde wordt gevonden, wordt verwijderd uit het menu Gebruikers en wordt alle rechten ontnomen als het niet wordt gevonden in de LDAP-extractie en niet wordt uitgesloten van de synchronisatie.

    Meer informatie over opdrachtparameters vindt u hier.

    Hier leest u meer over enkele andere gebruiksscenario's.

Als alle tests volgens verwachting verlopen, bent u klaar om een volledige run uit te voeren (zonder de vlag test-mode).

Opmerking:

  • De vermelde opdrachtregels zijn slechts voorbeelden en dekken mogelijk niet alle gebruiksscenario's.
  • De eerste synchronisatie kan enkele seconden tot enkele uren duren, afhankelijk van het aantal accounts dat moet worden gesynchroniseerd. Elke 1,5 tot 2 minuten worden ongeveer 250 gebruikers gemaakt (inclusief time-out).
  • Berichten met waarschuwingscode 429 over een UMAPI-time-out kunnen worden verwacht. De tool probeert het dan opnieuw.

Gebruikerssynchronisatie kan handmatig worden uitgevoerd, maar u kunt dit ook automatiseren, zodat het een of enkele malen per dag wordt uitgevoerd.

Opmerking:

Als u een logboeksysteem voor analyse en waarschuwingen gebruikt, moet u ervoor zorgen dat het logbestand van Gebruikerssynchronisatie naar het logboekanalysesysteem wordt verzonden. Stel ook waarschuwingen in voor fouten of kritieke berichten die in het logboek worden weergegeven.

  1. Als u relevante logboekvermeldingen voor een samenvatting wilt verzamelen, maakt u een batchbestand in de map user_sync_tool waarbij gebruikerssynchronisatie wordt aangeroepen en wordt doorgestuurd naar een scan. Maak bijvoorbeeld het bestand run_sync.bat met de volgende inhoud:

    cd path/to/user-sync-folder
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. U kunt ook een opdrachtregelprogramma voor e-mail instellen.

    Windows biedt geen standaard opdrachtregelprogramma voor e-mail, maar er zijn verschillende tools in de handel verkrijgbaar waarin u uw specifieke opdrachtregelopties kunt invoeren.

  3. Stel Windows-taakplanner in om de tool Gebruikerssynchronisatie uit te voeren.

    De onderstaande code voert de tool Gebruikerssynchronisatie bijvoorbeeld elke dag om 16:00 uur uit:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00