Dette dokumentet inneholder en veiledning for installering av verktøyet for brukersynkronisering som automatiserer prosessen med å administrere brukere.

Verktøyet for brukersynkronisering er et kommandolinjeverktøy som flytter bruker- og gruppeinformasjon fra organisasjonens bedriftsmappesystem (for eksempel et Active Directory eller andre LDAP-systemer) til organisasjonens katalog i Adobe Admin Console. Hver gang du kjører verktøyet for brukersynkronisering, søker det etter forskjeller mellom bruker- og gruppedata i de to systemene og oppdaterer Adobe-katalogen, slik at den samsvarer med informasjonen i katalogen din.

Dette dokumentet inneholder trinnvise instruksjoner for hvordan du kobler et Active Directory-system til Adobe Admin Console. Dette er en av de mest populære kombinasjonene som brukes av kundene våre i K-12- og SMB-segmentene. Verktøyet for brukersynkronisering er fleksibelt og kan brukes for å koble til de fleste LDAP- og katalogsystemer. Hvis du bruker et annet katalogsystem enn Active Directory, gjelder ikke instruksjonene i dette dokumentet direkte. Gjør endringer etter behov. Hvis du vil ha mer informasjon, kan du se Veiledning for konfigurasjon og suksess.

Før du begynner

Få informasjon om Active Directory

Du trenger følgende informasjon om Active Directory-systemet (eller LDAP).  Hvis du ikke har denne informasjonen, kan du kontakte IT-administrator.

  • Verts- og portinformasjon om serveren der systemet kjører.
  • Brukernavn og passord.
  • Base DN, som er punktet der serveren søker etter brukere.
  • I tillegg trenger du kanskje også en LDAP-spørring som velger settet med brukere som skal synkroniseres med Adobe.
Active directory

Skaffe et digitalt sertifikat

For å signere API-kall trenger du et digitalt sertifikat. Hvis du ikke har sertifikatet, kan du kontakte IT-administrator for instruksjoner.

Sertifikattips:

  • Sertifikatet må inneholde en sertifikatfil for offentlig nøkkel og en fil for privat nøkkel.
  • CRT-format (base-64-kodet X.509)
  • Navngitt med filtypen .cer (ikke .pem, .cer eller .cert)
  • SHA-2
  • Flerlinjeformat (enkeltlinje kommer til å forårsake feil)
  • Må vare minst tre år (det krever mindre vedlikehold gjennom levetiden, og reduserer ikke sikkerheten)

Opprett et selvsignert sertifikat

For testing og oppsett kan du også bruke et selvsignert sertifikat. Du kan opprette sertifikater i Windows med Cygwin, som inkluderer openssl. I Mac OS kan du bruke det innebygde kommandolinjeverktøyet openssl. Hvis du vil opprette et sertifikat, gjør du følgende:

  1. Hvis du bruker Windows, installerer og åpner du Cygwin. I macOS åpner du terminal.
  2. Kjør følgende kommando:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitalt sertifikat
  3. Når generering av privat nøkkel er fullført, blir du bedt om å angi tilleggsinformasjon for å opprette et unikt navn for den offentlige nøkkelen. Du kan godta standardverdien eller angi et aktuelt. Hvis du vil la feltet være tomt, skriver du inn "." (et punktum).

    Digitalt sertifikat

Sertifikatfilen for offentlig nøkkel og filen for privat nøkkel lagres som standard på følgende plasseringer:

Windows: C:\cygwin64\home\<ditt_brukernavn>

macOS: /Users/<ditt_brukernavn>

Identifisere en server

Hvis du planlegger å installere brukersynkronisering på maskinen din, må du kontrollere at den oppfyller følgende krav:

  • Har tilgang til Internett og katalogtjenesten, for eksempel LDAP eller AD.
  • Er beskyttet og sikker (din administrative legitimasjons lagres eller åpnes der).
  • Kjører, er pålitelig og har mulighet for sikkerhetskopiering og gjenoppretting.
  • Kan sende e-post, slik at brukersynkronisering kan sende rapporter til administratorer.
  • Hvis det er en Windows-maskin, må den ha den en 64-biter prosessor.

Hvis ikke må du samarbeide med IT-avdelingen for å identifisere en slik server og få tilgang til den.

Konfigurere Adobe Admin Console

Sørg for at du har gjort krav på domenet for organisasjonen og at produktprofiler og brukergrupper er opprettet i Adobe Admin Console.

Konfigurere serveren

Opprette integrering med Adobe I/O

Hvis du vil konfigurere integrering med adobe.io, gjør du følgende:

  1. Logg på Adobe I/O Console, velg organisasjonen din fra rullegardinlisten og klikk på New Integration.

    Ny integrering
  2. I veiviseren for å opprette en ny integrering velger du Access an API og klikker på Continue.

    Screenshot_3
  3. Velg User Management API under Adobe Services, og klikk på Continue. I skjermbildet som vises, klikker du på Continue .

    Untitled-2
  4. Skriv inn et navn og en beskrivelse for integreringen, og last opp sertifikatfilen for offentlig nøkkel. Klikk på Create integration.

    Integreringen blir opprettet.

    Opprette integrering
  5. Hvis du vil vise detaljer om integreringen, klikker du på Continue to Integration Details.

    Integreringsdetaljer

Disse integreringsdetaljene er nødvendige for å konfigurere filer for brukersynkronisering senere.

Installere verktøyet for brukersynkronisering

  1. Opprett en mappe med navnet user_sync_tool på følgende plassering på maskinen eller serveren din:

    Windows: C:\Users\<ditt_brukernavn>\

    macOS: /home/<ditt_brukernavn>/

  2. Gå til GitHub, velg releases og last ned følgende filer:

    • example-configurations.tar.gz
    • Brukersynkronisering for plattformen og versjonen av python som du bruker.
  3. Pakk ut filen user-sync.pex fra arkivet, og plasser den i mappen user_sync_tool som du opprettet.

  4. I example-configurations.tar.gz går du til config files - basic, pakker ut de tre første filene og plasserer dem mappen user_sync_tool.

  5. Gi nytt navn til de tre filene, og fjern tallene fra navnene. Nå har du følgende filer i mappen user_sync_tool:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Angi banen for Python (bare Windows)

  1. Installer Python versjon 3.6.2 eller nyere (64-biters).

  2. Merk av for Add Python 3.6 to PATH, noter installasjonsbanen og klikk på Install Now.

    Installere Python
  3. Åpne ledeteksten, og kjør følgende kommando:

    python

    Kommandoen må returnere versjonen av Python som er installert.

Konfigurere brukersynkronisering

Konfigurere katalogtilgang

  1. Rediger filen connector-ldap.yml. Denne filen inneholder tilgangsinformasjon for katalogsystemet.

  2. Skriv inn verdier for brukernavn, passord, vert og base_dn.

    Konfigurasjonsfil for katalogtilgang
  3. Sett search_page_size til 0.

    Hvis du trenger en ikke-standard LDAP-spørring for å velge ønsket sett med brukere, er dette definert i filen som en del av konfigurasjonsparameteren all_users_filter.

Konfigurere Adobe UMAPI-legitimasjon

  1. Rediger connector-umapi.yml. Denne filen inneholder tilgangsinformasjon for Adobe-organisasjonen.

  2. Skriv inn følgende informasjon fra integreringen med adobe.io som du opprettet tidligere:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Plasser filen for privat nøkkel i mappen user_sync_tool. Konfigurasjonsfilelementet priv_key_path settes deretter til navnet på denne filen.

    Adobe UMAPI-legitimasjon

Definere en standard landskode

Hvis katalogen ikke viser et land for hver bruker, kan du angi et standardland.

  1. Rediger filen user-sync-config.yml.

  2. Fjern # fra linjen default country code, og angi aktuell landskode. Eksempel:

    default_country_code: US

    Merk:

    En landskode kreves for Federated ID-er og anbefales for Enterprise ID-er. Hvis det ikke er angitt land for Enterprise ID-er, blir brukerne bedt om å velge et land når de logger på.

Gruppetilordning

Du kan klargjøre brukerkontoer ved å legge dem til en bedriftskataloggruppe ved hjelp av LDAP/AD-verktøy i stedet for Adobe Admin Console. Deretter definerer konfigurasjonsfilen en tilordning fra kataloggrupper til Adobe-produktprofiler eller -brukergrupper.

Hvis en bruker er medlem av en kataloggruppe, legger brukersynkronisering brukeren til den tilsvarende brukergruppen i Adobe Admin Console. Hvis en bruker er medlem av en brukergruppe, men ikke er i kataloggruppen, fjerner brukersynkronisering brukeren fra brukergruppen.

  1. Rediger group mapping i filen user-sync-config.yml

  2. For hver kataloggruppe som må være tilordnet en Adobe-produktprofil eller -brukergruppe, legger du til en oppføring etter groups. Eksempel:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Merk:

    Gruppetilordning kan gjøres ved hjelp av Adobe-brukergrupper eller -produktprofiler, ikke til produktnavn. Du kan også tilordne én kataloggruppe til flere enn én Adobe-brukergruppe eller -produktprofil.

Ikke samsvarende brukergrenser

For å forhindre utilsiktet kontosletting hvis det er feil konfigurasjon eller andre problemer, er det angitt en grense for sletting av kontoer.

  1. Hvis du vil endre grensen, redigerer du limits i filen user-sync-config.yml.

  2. Hvis du forventer at antall katalogbrukere reduseres med mer enn 200 mellom kjøring av brukersynkronisering, øker du verdien max_adobe_only_users.

    Merk:

    Hvis antall kontoer som slettes er større enn antallet som er definert i verdien max_adobe_only_users, blir oppdateringene avbrutt.

Slettebeskyttelse

Hvis du vil kjøre opprettelse og fjerning av kontoer gjennom brukesynkronisering, og vil opprette noen få kontoer manuelt, bruker du denne funksjonen for å hindre at brukersynkronisering sletter de manuelt opprettede kontoene.

  1. Angi konfigurasjonselementer for utelukkelser i filen user-sync-config.yml.

    exclude_groups

    Den definerer en liste over Adobe-brukergrupper, produktprofiler eller begge deler. Adobe-brukere som er medlem av oppførte grupper, blir ikke fjernet eller oppdatert, og gruppemedlemskapet endres ikke.

    exclude_users

    Gir en liste over mønstre. Adobe-brukere med brukernavn som samsvarer (skiller ikke mellom store og små bokstaver som standard, med mindre mønsteret angir dette), blir noen av de angitte mønstrene ikke fjernet eller oppdatert, og gruppemedlemskapet endres ikke.

    exclude_identity_types

    Gir en liste over identitetstyper. Adobe-brukere som har en av disse identitetstypene blir ikke fjernet eller oppdatert, og gruppemedlemskapet endres ikke.

  2. Hvis du vil beskytte brukere i Admin Console mo oppdateringer, oppretter du en brukergruppe og legger de beskyttede brukerne inn i den gruppen. Deretter angir du at denne gruppen ikke skal tas med under behandling av brukersynkronisering. Du kan også angi bestemte brukere eller et mønster som samsvarer med bestemte brukernavn, for å beskytte disse brukerne. Du kan også beskytte brukere basert på deres identitetstype.

    Eksempel:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    I eksemplet ovenfor er administratorer, leverandører og brukernavnene eksempelverdier. Bruk navnene på Adobe-brukergrupper, produktprofiler eller brukere du har opprettet.

Opprette logger

Brukersynkronisering genererer loggoppføringer som skrives til standard utdata og en loggfil. Loggingen som er angitt av konfigureringsinnstillingene, kontrollerer detaljer om hvor logginformasjon skrives og hvor mye.

  1. Hvis du vil aktivere eller deaktivere fillogging, redigerer du verdien log_to_file i filen user-sync-config.yml.

    Meldinger kan ha viktighet basert på ett av fem nivåer, og du kan velge den laveste viktigheten som er inkludert, for filloggen eller standard utdatalogg til konsollen. Standard er å generere filloggen og inkludere meldinger på nivået "info" eller høyere, som er den anbefalte innstillingen.

  2. Gå gjennom innstillingene for logger og foreta eventuelle endringer. Anbefalt loggnivå er info (som er standard).

Konfigurere bruk av konfigurasjonsveiviseren for verktøyet for brukersynkronisering (bare Windows)

Hvis du har en Windows-server, kan du også bruke konfigurasjonsveiviseren for verktøyet for brukersynkronisering for å konfigurere brukersynkronisering.

Konfigurasjonsveiviseren for verktøyet for brukersynkronisering er et verktøy med grafisk brukergrensesnitt som hjelper deg med å konfigurere verktøyet for brukersynkronisering med brukeradministrasjons-API (Adobe.io), bedriftskatalog (LDAP) og synkroniseringsinnstillinger. Den gir kontekstbasert hjelp og koblinger til dokumentasjonen for verktøyet for brukersynkronisering. Hvis du vil ha mer informasjon, kan du se Adobes konfigurasjonsveiviser for verktøyet for brukersynkronisering.

Distribuere og automatisere

Kontrollere konfigurasjonen

Nå som verktøyet for brukersynkronisering er installert på serveren eller maskinen, kan du kontrollere om det fungerer som forventet.

  1. Åpne ledeteksten.
  2. Gå til mappen user_sync_tool ved hjelp av kommandoen nedenfor.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Her er kommandoene for å starte brukersynkronisering:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Hvis du for eksempel vil kontrollere at konfigurasjonen er fullført, kjører du følgende kommandoer:

    For Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    For UNIX:

    ./user-sync –v
    ./user-sync –h

    -v rapporterer versjonen, -h gir hjelp om kommandolinjeargumenter.

  4. Kjør en synkronisering begrenset til en tilordnet gruppe i katalogen din i testmodus.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Kommandoen ovenfor synkroniserer bare brukerne i den tilordnede gruppen som er angitt i user-sync-config.yml. Hvis brukerne ikke finnes i Admin Console, fører dette til et forsøk på å opprette brukerne og legge dem til i grupper som tilordnes fra deres kataloggrupper.

    Kjøring av brukersynkronisering i testmodus (-t) forsøker bare å opprette brukeren og uten å faktisk gjøre det. Alternativet --adobe-only-user-action exclude forhindrer oppdateringer av eventuelle brukerkontoer som allerede finnes i Adobe-organisasjonen.

  5. Kjør synkronisering uten testmodus, slik at den oppretter brukeren og legger den til de tilordnede gruppene.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Gå til Adobe Admin Console, og kontroller at brukeren vises og at gruppemedlemskapene er lagt til.

  7. Kjør den samme kommandoen på nytt. Brukersynkronisering må ikke forsøke å gjenopprette og legge til brukeren på nytt i grupper. Den må oppdage at brukeren eksisterer og er en medlem av brukergruppen eller produktprofilen, og ikke gjøre noe.

Hvis alle testene fungerer som forventet, er du klar til å gjennomføre en fullstendig kjøring (uten brukerfilter).

Merk:

Hvis du har mer enn noen få hundre brukere i katalogen din, kan det ta noen timer å synkronisere brukerne med Adobe Admin Console.

Overvåke og planlegge

Brukersynkronisering kan kjøres manuelt, eller du kan konfigurere automatisering der den kjører automatisk én eller flere ganger per dag.

Merk:

Hvis du har system for logganalyse og varsling tilgjengelig, må du sørge for at loggen fra brukersynkroniseringen sendes til systemet for logganalyse. Konfigurer også varsler for eventuelle feilmeldinger eller kritiske meldinger som vises i loggen.

  1. Hvis du vil trekke ut relevante loggoppføringer for et sammendrag, oppretter du en satsvis fil i mappen user_sync_tool, som sender en forgrening av dataene fra brukersynkronisering til en skanning. Opprett for eksempel en fil, run_sync.bat, med følgende innhold:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Du kan også konfigurere et kommandolinjeverktøy for e-post.

    Det finnes ingen standard kommandolinjeverktøy for e-post i Windows, men flere er kommersielt tilgjengelige, der du kan fylle ut dine spesifikke kommandolinjevalg.

  3. Konfigurer Windows Oppgaveplanlegging til å kjøre verktøyet for brukersynkronisering.

    Koden nedenfor kjører for eksempel verktøyet for brukersynkronisering hver dag kl. 16.00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Kjør en kommando i testmodus for å sikre at de planlagte oppgavene fungerer.

Dette produktet er lisensiert i henhold til Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Innlegg på Twitter™ og Facebook dekkes ikke av Creative Commons-vilkår.

Juridiske merknader   |   Regler for personvern på nettet