Brukersynkroniseringsverktøy – vanlige feil

Viser noen av de vanligste feilene når du kjører UST og tips for å løse dem

FileNotFoundError: [Errno 2]

Feilutgang kontrollkonsoll:

FileNotFoundError: [Errno 2] No such file or directory: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'

Kan vises på Windows på grunn av baner > 256 tegn.

Tips: Lag en miljøvariabel som heter PEX_ROOT med verdien C: C:\pex (hvis skriptet kjøres fra C:-stasjonen eller endre bokstaven slik at den samsvarer). Noen ganger kreves det en systemstart for at den skal tre i kraft.

 

kan ikke åpne filen 'user-sync.pex': [Errno 2]

Feilutgang kontrollkonsoll:

python: can't open file 'user-sync.pex': [Errno 2] No such file or directory

Tips: Pass på at du kjører python-kommandolinjen fra mappen der user-sync.pex ligger.

 

UMAPI-timeout

Feilutgang kontrollkonsoll:

2018-01-01 11:49:42 28102 WARNING umapi - UMAPI timeout...service unavailable (code 429 on try 1)
2018-01-01 11:49:42 28102 WARNING umapi - Next retry in 42 seconds...

Tips: Disse advarslene er normale. Når den er opptatt, svarer serveren med 429 HTTP-kode, slik at man kan løse problemet ved å prøve på nytt. UST har en eksponentiell back-off-mekanisme for å prøve å få i gang samtalen igjen, noe som øker tiden mellom forsøkene. Skriptet stopper etter tre nye mislykkede forsøk.

error.user.belongs_to_another_org

Loggoppføringskontroll (feilsøkingsmodus):

2018-01-01 11:49:42 28102 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Command: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): code: "error.user.belongs_to_another_org" message: "Illegal to invite user from another organization's owned auth src"

Tips: domenet som ble brukt til å opprette kontoen, er kanskje ikke et valgt/klarert i organisasjonene dine. Et grønt flagg eller prikk skal vises for de aktive domenene i Administrasjonskonsoll -> Innstillinger. Hvis det ikke er tilfelle, kan det å fullføre domenekravprosessen løse det.

error.user.type_mismatch

Loggoppføringskontroll (feilsøkingsmodus):

2018-01-01 12:34:23 13383 ERROR umapi.action - Error in requestID: action_6 (User: {'user': ‘user@domain.com’, 'requestID': 'action_6'}, Command: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': ‘US’}}): code: "error.user.type_mismatch" message: "The user type requested for the invite does not match the claimed domain type"

Tips: det blir gjort et forsøk på å opprette en federatedID-konto, men katalogen er opprettet for Enterprise-bruk eller omvendt. Søk i attributtet user_identity_type inne i bruker-sync-config.yml-filen. Endre verdien i henhold til katalogtypen som vises i administrasjonskonsollen (Innstillinger > Identitet > Domener > Katalogtype verdi for det gitte domenet).

Loggoppføringskontroll (feilsøkingsmodus):

Manglende avhengigheter

Feilutgang kontrollkonsoll:

Failed to execute PEX file, missing compatible dependencies for:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync

Tips:

a) Sjekk om Python-versjonen du har installert på systemet ditt er 32-biters-versjonen. Avinstaller 32-biters og installer 64-biters-versjonen, for å løse problemet.

b) Kontroller om user-sync.pex-versjonen du har lastet ned fra GitHub samsvarer med Python-versjonen og OS-typen. For eksempel, user-sync-v2.3-win64-py365.zip skal lastes ned for Windows 64-biter og Python 3.

Å bruke den siste versjonen av Python er ikke alltid en god idé. Å prøve å matche Python-versjonen, og .pex ble bygget i først, ville være flott. Følg suffikset til den nedlastede .zip-filen for å identifisere hvilken Python-versjon som vil fungere. For eksemplet over (user-sync-v2.3-win64-py365.zip), kan Python 3.6.5 identifiseres.

Feil ved dekryptering av privat tast

Loggoppføringskontroll (feilsøkingsmodus):

2018-01-01 09:52:23 7920 DEBUG umapi - umapi: reading private key data from file C:\path\to\private.key
2018-01-01 09:52:23 7920 CRITICAL main - umapi configuration.enterprise: Error decrypting private key, either the password is wrong or: RSA key format is not supported

Tips:

a) Noen ganger kan den private nøkkelen inneholde noen udaterte tegn eller tomme linjer som er lagt inn ved en feiltakelse. Forsøk å fjerne de tomme linjene eller regenerere den sammenkoblete private og felles nøkkelen.

b) Ikke bruk umapi_private_key_data-attributtet hvis du kjører skriptet i Windows. Krypter i stedet nøkkelen og lagre passordet i Credential Manager.

c) Prøv en privat nøkkel med RSA256/2048biters lengde, hvis du bruker et annet format.

d) Det er mulig du setter opp secure_priv_key_pass_key: umapi_private_key_passphrase inne i connector-umapi.yml filen. I dette tilfellet må du forsikre deg om at oppføringen i Credential Store for denne og tilhørende verdier samsvarer (se nedenfor).

Windows Legitimasjonsbehandling

Ingen verdi i sikker lagring for bruker ...

Loggoppføringskontroll (feilsøkingsmodus):

2018-01-01 09:52:23 7920 CRITICAL main - umapi CRITICAL main - umapi configuration.enterprise: No value in secure storage for user "someUUIDvalue@AdobeOrg", key "umapi_api_key"

Tips:

a) påloggingsinformasjonen for umapi_api_key kan mangle. Opprett oppføringen i Credentials Store. Nyttig dokumentasjon finner du her.

b) Det kan være at verdien er lagt til Credentials Store under en annen brukerkonto. For den tilkoblede brukeren mangler imidlertid denne oppføringen. Legg det til om nødvendig, eller bytt brukerkontoer.

error.internal.exceptionflys / error.unauthorized


		
	





Feilutgang kontrollkonsoll:

umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Failed to exchange token"}

OR

"umapi_client.error.RequestError: Request Error (401): {"lastPage":false,"result":"error.unauthorized","message":"Failed to authenticate provided token"}"

Tips: Det kan være det i Administrasjonskonsoll -> Innstillinger -> Autentiseringsinnstillinger er valgt et alternativt Enklest for brukere (passorder utløper aldri). Hvis Sikrere eller Sikrest-alternativet er aktivert, kan det gjøre at passordet til Teknisk konto knyttet til integrasjonen utløper.

For å løse problemet, bør det opprettes en ny integrasjon. Forsikre deg om at metadataene også blir fornyet i kontakt-umapi.yml-filen.

Det ble satt ut en løsning for det, men det kan påvirke integrasjoner opprettet før oktober 2018.

Kunne ikke opprette en ny forbindelse [Errno 10061]

Feilutgang kontrollkonsoll:

ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Max retries exceeded with url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Failed to establish a new connection: [Errno 10061] No connection could be made because the target machine actively refused it',))

Tips:

Det er relatert til at UST ikke kan koble seg til de offentlige API-endepunktene. Lokale innstillinger kan forhindre tilgang  på grunn av brannmurregler, proxy-blokkering av trafikk, kontoinnstillinger for Internett-tilgang og mer.

I noen situasjoner kan det hjelpe å legge til disse to miljøvariablene:

http_proxy og tilhørende formatformat http://<host proxy>:<port>

https_proxy og tilhørende verdi av formatet https://<host proxy>:<port>

I andre tilfeller kan det å ha tilgang til disse sluttpunktene hjelpe:

ims-na1.adobelogin.com:443

usermanagement.adobe.io:443

Det kan bare løses lokalt ved å fjerne tilgang til ovennevnte sluttpunkter for den gjeldende kontoen.

Metaskopene i JWT er ikke en undergruppe av metaskopene i bindingen

Loggoppføringskontroll (feilsøkingsmodus):

2017-07-07 09:01:37 4916 CRITICAL main -  Connection to org [...] at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: Unable to authorise against https://ims-na1.adobelogin.com/ims/exchange/jwt: Response Code: 400, Response Text: {"error_description":"The metascopes in the JWT are not a subset of the metascopes in the binding.","error":"invalid_scope"}

Tips: Få tilgang til integrasjonen du har opprettet på https://console.adobe.io/projects og sjekk den venstre menyen der API-ene er oppført. Forsikre deg om at User Management API er lagt til som en tjeneste (vises på listen). 

Ingen gyldige bindinger ble funnet for kombinasjon av organisasjon og teknisk kombinasjon

Loggoppføringskontroll (feilsøkingsmodus):

2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: Unable to authorize against https://ims-na1.adobelogin.com/ims/exchange/jwt:
Response Code: 400, Response Text: {"error_description":"No valid bindings were found for organization and technical account combination","error":"invalid_token"}

Tips:

a) Det kan være forårsaket fordi tech_acct-verdi i kontakt-umapi.yml-filen tilsvarer annen en verdi enn teknisk konto-ID i integrasjonen på https://console.adobe.io. Kontroller den tekniske konto-ID-verdien fra den nåværende integrasjonen, og kopier den til denne filen.

b) Det kan også være forårsaket av at det offentlige sertifikatet fra integrasjonen er utløpt. Forny den private og felles nøkkelen. Last deretter opp fellesnøkkelen og erstatt den eldre private nøkkelen med den nye nøkkelen. Bekreft banen inne connector-umapi.yml-filen for å peke på riktig fil.

c) Sjekk om integrasjonen er laget for riktig organisasjon. Velg organisasjonen i rullegardinlisten som ligger i øvre venstre hjørne på https://console.adobe.io/integrations. Deretter må du bekrefte den tekniske konto-ID-verdien for den aktive integrasjonen sammen med de andre metadataene (Org-ID, hemmelighet og klient-ID).

SSL: CERTIFICATE_VERIFY_FAILED

Loggoppføringskontroll (feilsøkingsmodus):

2017-07-07 09:01:37 4916 CRITICAL main - UMAPI connection to org id 'someUUIDvalue@AdobeOrg' failed: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)

Tips: Det er fordi det kan være noen SSL-inspeksjon aktivert på proxy-serveren (innstilling for nærmiljø)

Løsning1: Få brannmurens CA-sertifikat i PEM-format (anta at navnet er thecert.crt). Hvis DER-format brukes, transformer det til PEM ved å bruke openssl-kommandoen:

openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM

Merk: Hvis du er usikker på om .crt-filen allerede er i PEM-format eller ikke, kjør først disse kommandolinjene og se hvilken som mislykkes.

openssl x509 -text -inform DER -in thecert.crt
openssl x509 -text -inform PEM -in thecert.crt

Hvis DER mislykkes, har du allerede filen i PEM-format, så gi nytt navn til thecert.crt til thecert.pem, ellers transformer den til PEM ved å bruke den første openssl-kommandolinjen ovenfor.

Deretter oppretter du en miljøvariabel som heter REQUESTS_CA_BUNDLE og angir verdien som banen til thecert.pem-fil.

Løsning2: I Windows, i tilfeller der verktøyet kjøres fra en driver som er forskjellig fra den der OS og Python er installert. I dette tilfellet kan den ikke nå pakken med pålitelige root CA-sertifikater. Å flytte hele skriptet på stasjonen der OS eksisterer, kan være en løsning. Hvis det ikke er et alternativ, bør cacert-filen som inneholder alle pålitelige rot-CA-er, brukes som mål for REQUESTS_CA_BUNDLE env-variabelen. Hvis en proxy inspiserer SSL-trafikken, må innholdet i root CA-sertifikatet kopieres inne i cacert.pem-filen for å bekrefte sertifikatene.

Merk: En standard Python-installasjon vil ha pakken med sertifikater på C:\Python36\Lib\site-packages\certifi\cacert.pem.

Løsning3: deaktiver SSL-inspeksjonen på proxy-siden for API-endepunktene ims-na1.adobelogin.com og usermanagement.adobe.io

Ingen gruppe funnet [...]

Loggoppføringskontroll (feilsøkingsmodus):

2018-01-01 09:01:37 4916 WARNING ldap - No group found for: Name_Of_The_Group

Tips:

a) Denne gruppen eksisterer ikke i LDAP med det nøyaktige navnet; rett det opp ved å legge til riktig LDAP-navn på gruppen

b) Gruppen kan ikke oppdages under deklarerte base_dn(se connector-ldap.yml-filen). Endre base_dn-verdien til å inneholde den nevnte gruppen (den forekommer hovedsakelig når base_dn  peker på noen OU).

error.group.not_found

Loggoppføringskontroll (feilsøkingsmodus):

2018-01-01 11:25:45 1 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Command: {'add': {'product': ['group_name']}}): code: "error.group.not_found" message: "Group my_group_name was not found"

Tips: Brukergruppen group_name i utgangen over eksisterer ikke på Adobes side, så gå videre og opprett den. Hvis hensikten var å angi navnet på en PLS i stedet for et av en brukergruppe, så sjekk denne dokumentasjonssiden for en mer visuell forklaring.

finner ikke bildet

Loggoppføringskontroll (feilsøkingsmodus):

2018-09-05 10:58:08 96329 CRITICAL main - Connection to org some_Org_UUID@AdobeOrg at endpoint https://usermanagement.adobe.io/v2/usermanagement failed: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Library not loaded: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
  Referenced from: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
  Reason: image not found
2018-09-05 10:58:08 96329 INFO main - ========== End Run (User Sync version: 2.3) (Total time: 0:00:00) 

Tips: Denne feilen ble registrert på en macOS High Sierra, når du bruker UST v2.3,  Python 3.7.0. Kjører brew install openssl inne i terminalen rettet det opp for akkurat dette scenariet.

Kunne ikke opprette person for type 2 eller 3 [...]

Loggoppføringskontroll (feilsøkingsmodus):

2019-07-28 07:17:51 2220 ERROR umapi.action - Error in requestID: action_1 (User: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Command: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): code: "error.internal.create_failed" message: "Could not create person for type 2 or 3. Renga result is NOT_ALLOWED, Resource is externally managed and token is missing the GROUP_SOURCE_UPDATE purpose."

Noen ganger eies @ claimed-domain.comav en annen organisasjon som har satt opp en Azure- eller Google-kontakt for å administrere synkronisering av kontoer til Administrasjonskonsoll. Det samme domenet blir deretter overlatt til en annen organisasjon som bruker brukersynkroniseringsverktøyet for å synkronisere kontoer med formatet @claimed-domain.com

Årsak: Den loggførte meldingen vises når synkroniseringsverktøyet pakker ut
  user@claimed-domain.com-kontoen fra en LDAP-serveren for å opprette den i den sekundære organisasjonen. Kontoen er imidlertid ikke opprettet/synkronisert inn i hovedorganisasjonen ennå via Azure eller Google-kontakt.

Tips: Prøv å opprette/synkronisere user@claimed-domain.com-konto i organisasjonen ved å bruke Azure eller Google-kontakten, og prøv deretter å synkronisere med UST i trustee Org.

Uventet LDAP-feil ved lesing av [...]

Loggoppføringskontroll (feilsøkingsmodus):

2018-09-05 10:58:08 96329 6348 CRITICAL main - Unexpected LDAP failure reading group info: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}

Mulig årsak: Gruppe(e) av interesse er lokalisert i et underdomene, men vertsverdien er et av rotdomenene.

Tips: Endre verts-verdi til et av underdomenene der brukergrupper kan bli funnet. Hvis brukere eller grupper av interesse er lokalisert i både rotdomenet og dets underdomene(r), bruk den globale katalogporten på rotdomenet. Endre gruppene i underdomenet(e) som skal være Universell i stedet for Global. Eksempel på vertsverdi ved bruk av global katalog:  ldap://domain.local:3268 or ldaps://domain.local:3269

I dette siste scenariet, hvis global katalogport brukes, må du sørge for at base_dn-verdien ikke har noen verdi:

base_dn: ""

Adobe-logoen

Logg på kontoen din