Dokument ten stanowi przewodnik instalowania narzędzia Synchronizacja użytkowników w celu automatyzacji procesu zarządzania użytkownikami.

Narzędzie wiersza poleceń Synchronizacja użytkowników umożliwia przenoszenie informacji o użytkownikach i ich grupach z usługi katalogowej używanej przez przedsiębiorstwo lub instytucję (na przykład z katalogu Active Directory lub innego systemu LDAP) do katalogu w serwisie Adobe Admin Console. Przy każdym uruchomieniu narzędzie Synchronizacja użytkowników wyszukuje różnice między informacjami o użytkownikach i grupach zapisane w obu tych systemach katalogowych i aktualizuje dane w katalogu Adobe zgodnie z informacjami z katalogu przedsiębiorstwa lub instytucji.

W tym dokumencie przestawiono szczegółowe instrukcje połączenia systemu Active Directory używanego przez podmiot z serwisem Adobe Admin Console. Jest to jedna z kombinacji najczęściej używanych przez klientów Adobe z segmentu szkół podstawowych i ponadpodstawowych oraz segmentu małych i średnich firm. Narzędzie Synchronizacja użytkowników jest elastyczne i można go wykorzystać w połączeniu z większością systemów katalogowych i usług LDAP. W przypadku przedsiębiorstw i instytucji, które używają systemu innego niż Active Directory, instrukcje podane w tym dokumencie nie mogą zostać wykorzystane bezpośrednio i wymagają wielu modyfikacji. Więcej informacji: Poradnik konfiguracji i skutecznego wdrożenia.

Zanim rozpoczniesz

Uzyskaj informacje dotyczące usługi Active Directory

Będą potrzebne następujące informacje o usłudze Active Directory (lub LDAP) wykorzystywanej przez Twoje przedsiębiorstwo lub instytucję. Jeśli nie znasz tych danych, skontaktuj się z administratorem działu informatycznego.

  • Dane serwera, na którym uruchomiono usługę katalogową: host i numer portu.
  • Nazwa konta i hasło.
  • Podstawowa nazwa wyróżniająca (DN), od której serwer rozpoczyna wyszukiwanie użytkowników.
  • Może być także potrzebne zapytanie LDAP wybierające zbiór użytkowników, który ma zostać zsynchronizowany z systemami Adobe.
Active Directory

Uzyskaj certyfikat cyfrowy

Do podpisywania wywołań API będzie potrzebny certyfikat cyfrowy. Jeśli go nie masz, poproś o instrukcje administratora działu informatycznego w swoim przedsiębiorstwie.

Wskazówki dotyczące certyfikatu:

  • musi zawierać plik certyfikatu klucza publicznego oraz plik klucza prywatnego, 
  • musi mieć format CRT (X.509, kodowanie base-64),
  • musi mieć nazwę pliku z rozszerzeniem .crt (nie .pem, .cer, ani .cert),
  • SHA-2,
  • musi być w formacie wielowierszowym (jednowierszowy powoduje błąd),
  • musi mieć co najmniej trzyletni okres ważności (powoduje to zmniejszenie kosztów konserwacji przez cały ten okres, nie obniżając bezpieczeństwa).

Utwórz samopodpisany certyfikat

Na potrzeby testowania i konfiguracji można także użyć certyfikatu samopodpisanego. W systemie Windows takie certyfikaty można tworzyć za pomocą środowiska Cygwin, które udostępnia funkcję openssl. W systemie Mac OS można skorzystać z wbudowanego narzędzia wiersza poleceń: openssl. Aby utworzyć certyfikat, wykonaj następujące czynności:

  1. Jeśli używasz systemu Windows, zainstaluj i otwórz środowisko Cygwin. W systemie macOS otwórz terminal.
  2. Uruchom następujące polecenie:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certyfikat cyfrowy
  3. Gdy zakończy się generowanie klucza prywatnego, narzędzie poprosi o podanie dodatkowych informacji w celu utworzenia nazwy wyróżniającej (DN) klucza publicznego. Na tym etapie można zaakceptować wartości domyślne lub wpisać własne. Aby pozostawić puste pole, wpisz znak „.” (kropka).

    Certyfikat cyfrowy

Plik certyfikatu klucza publicznego oraz plik klucza prywatnego są domyślnie przechowywane w następujących lokalizacjach:

Windows: C:\cygwin64\home\<nazwa_użytkownika>

macOS: /Users/<nazwa_użytkownika>

Zidentyfikuj serwer

Jeśli zamierzasz zainstalować narzędzie Synchronizacja użytkowników na własnym komputerze, sprawdź, czy spełnia on następujące wymagania:

  • ma dostęp do Internetu i usługi katalogowej używanej przez instytucję/przedsiębiorstwo, takiej jak LDAP lub AD;
  • jest chroniony i bezpieczny (przechowujesz na nim swoje dane uwierzytelniające Cię jako administratora lub używasz go w celu uzyskania dostępu do tych danych uwierzytelniających);
  • działa bez zakłóceń, jest stabilny oraz obsługuje tworzenie i odzyskiwanie kopii zapasowych;
  • można z niego wysyłać pocztę elektroniczną — dzięki temu narzędzie Synchronizacja użytkowników będzie mogło wysyłać raporty e-mail do administratorów;
  • jeśli jest to komputer z systemem Windows, musi mieć procesor 64-bitowy.

Jeśli Twój komputer nie spełnia tych wymagań, skontaktuj się z działem informatycznym, aby znaleźć odpowiedni serwer i uzyskać do niego dostęp.

Skonfiguruj organizację w serwisie Adobe Admin Console

Sprawdź, czy Twoja organizacja uzyskała przypisanie domeny i czy w serwisie Adobe Admin Console utworzono profile produktów i grupy użytkowników.

Konfigurowanie serwera

Przygotowywanie integracji z systemem wejścia-wyjścia Adobe

Aby skonfigurować integrację z systemem adobe.io, wykonaj następujące czynności:

  1. Zaloguj się w serwisie Adobe I/O Console, wybierz swoją organizację z rozwijanej listy i kliknij opcję Nowa integracja.

    Nowa integracja
  2. W kreatorze „Tworzenie nowej integracji” wybierz opcję Dostęp do interfejsu API i kliknij przycisk Kontynuuj.

    Screenshot_3
  3. W sekcji Usługi Adobe wybierz opcję User Management API i kliknij przycisk Kontynuuj. Na kolejnym wyświetlonym ekranie ponownie kliknij przycisk Kontynuuj.

    Untitled-2
  4. Wprowadź nazwę i opis integracji oraz prześlij plik certyfikatu klucza publicznego. Kliknij przycisk Utwórz integrację.

    Integracja zostanie utworzona.

    Tworzenie integracji
  5. Aby wyświetlić szczegółowe dane integracji, kliknij opcję Przejdź do szczegółów integracji.

    Szczegółowe dane integracji

Te dane będą później potrzebne w celu skonfigurowania plików narzędzia Synchronizacja użytkowników.

Instalowanie narzędzia Synchronizacja użytkowników

  1. Utwórz folder o nazwie user_sync_tool w następującym położeniu na swoim komputerze lokalnym lub serwerze:

    Windows: C:\Users\<nazwa_użytkownika>\

    macOS: /home/<nazwa użytkownika>/

  2. Przejdź do serwisu GitHub, wybierz opcję releases (wersje) i pobierz następujące pliki:

    • example-configurations.tar.gz
    • plik narzędzia Synchronizacja użytkowników odpowiedni do używanej platformy i wersji języka python.
  3. Wypakuj plik user-sync.pex z archiwum i umieść go w utworzonym wcześniej folderze user_sync_tool.

  4. W archiwum example-configurations.tar.gz odszukaj folder config files - basic, wypakuj pierwsze trzy pliki i umieść je w folderze user_sync_tool.

  5. Zmień nazwy tych trzech plików, usuwając z nich cyfry. W folderze user_sync_tool powinny się teraz znajdować następujące pliki:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Ustaw ścieżkę środowiska Python (tylko Windows)

  1. Zainstaluj środowisko Python w wersji 3.6.2 lub nowszej (64-bitowe).

  2. Zaznacz pole wyboru Add Python 3.6 to PATH (Dodaj Python 3.6 do zmiennej PATH), zapamiętaj ścieżkę instalacji i kliknij opcję Install Now (Zainstaluj teraz).

    Instalowanie środowiska Python
  3. Otwórz okno wiersza polecenia i uruchom następujące polecenie:

    python

    Polecenie musi zwrócić zainstalowaną wersję środowiska Python.

Konfigurowanie narzędzia Synchronizacja użytkowników

Konfigurowanie dostępu do katalogu

  1. Zmodyfikuj plik connector-ldap.yml, zawierający dane dostępu do systemu katalogowego.

  2. Podaj nazwę użytkownika (user name), hasło (password), nazwę hosta (host) oraz podstawową nazwę wyróżniającą (base_dn).

    Plik konfiguracyjny dostępu do katalogu
  3. Ustaw zmienną search_page_size na wartość 0.

    Jeśli w celu wybrania pożądanego zbioru użytkowników jest potrzebne inne zapytanie LDAP niż domyślne, należy je skonfigurować w tym pliku w ramach parametru all_users_filter config.

Konfigurowanie danych uwierzytelniających interfejsu Adobe UMAPI

  1. Zmodyfikuj plik connector-umapi.yml. Ten plik zawiera dane dostępu do organizacji zdefiniowanej dla Twojej firmy lub instytucji w systemach Adobe.

  2. Wprowadź następujące informacje, pochodzące ze zdefiniowanej wcześniej integracji adobe.io:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Umieść plik klucza prywatnego w folderze user_sync_tool. Pozycję priv_key_path w pliku konfiguracyjnym ustawia się następnie na wartość odpowiadającą temu plikowi klucza prywatnego.

    Dane uwierzytelniające interfejsu Adobe UMAPI

Określanie domyślnego kodu kraju

Jeśli katalog Twojej organizacji nie podaje kraju poszczególnych użytkowników, możesz ustawić kraj domyślny.

  1. Zmodyfikuj plik user-sync-config.yml.

  2. Usuń znak # z wiersza default country code (domyślny kod kraju), a następnie wprowadź odpowiedni kod. Na przykład:

    default_country_code: US

    Uwaga:

    Kod kraju jest parametrem wymaganym w przypadku identyfikatorów Federated ID oraz zalecanym w przypadku identyfikatorów Enterprise ID. Jeśli nie zostanie podany, użytkownicy mający identyfikatory Enterprise ID zostaną poproszeni o wybranie kraju podczas pierwszego logowania.

Odwzorowanie grup

Konta użytkowników można skonfigurować, dodając je do grupy katalogu korporacyjnego za pomocą narzędzi LDAP/AD, a nie w serwisie Adobe Admin Console. Następnie w pliku konfiguracyjnym definiuje się odwzorowanie grup katalogowych na profile produktów lub grupy użytkowników Adobe.

Jeśli użytkownik należy do grupy katalogowej, narzędzie Synchronizacja użytkowników doda go do odpowiedniej grupy w serwisie Adobe Admin Console. Jeśli zaś użytkownik należy do grupy w systemach Adobe, ale nie znajduje się w grupie w katalogu korporacyjnym, to narzędzie usunie go z grupy użytkowników Adobe.

  1. Zmodyfikuj parametr group mapping w pliku user-sync-config.yml

  2. Dodaj wpis za wartością groups dla każdej grupy katalogowej, która musi zostać odwzorowana na profil produktowy Adobe. Na przykład:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Uwaga:

    Grupy katalogowe można odwzorować na grupy użytkowników lub profile produktowe Adobe, ale nie na nazwy produktów. Można również odwzorować jedną grupę katalogową na wiele grup użytkowników lub profili produktów Adobe.

Limity niepasujących użytkowników

Aby uniknąć przypadkowego usunięcia kont w wyniku błędu konfiguracji lub innego problemu, w narzędziu ustawiony jest limit usuwanych kont.

  1. Aby go zmienić, należy zmodyfikować pozycję limits w pliku user-sync-config.yml.

  2. Jeśli przewiduje się spadek liczby użytkowników zdefiniowanych w katalogu o ponad 200 pomiędzy kolejnymi uruchomieniami narzędzia Synchronizacja użytkowników, należy zwiększyć wartość max_adobe_only_users.

    Uwaga:

    Jeśli liczba usuwanych kont przekroczy liczbę zdefiniowaną przez wartość parametru max_adobe_only_users value, proces aktualizacji zostanie przerwany.

Ochrona przed usunięciem

Jeśli używasz narzędzia Synchronizacja użytkowników do sterowania tworzeniem i usuwaniem kont, ale zamierzasz kilka kont utworzyć ręcznie, skorzystaj z funkcji ochrony, aby narzędzie nie usunęło tych ręcznie utworzonych kont.

  1. Wprowadź pozycje konfiguracyjne definiujące wykluczenia aktualizacji w pliku  user-sync-config.yml.

    exclude_groups

    Plik ten określa listę grup użytkowników Adobe, profili produktowych lub obu tych elementów. Użytkownicy Adobe należący do grup uwzględnionych na tej liście nie zostaną usunięci ani zaktualizowani. Nie zmieni się również ich przynależność do grup.

    exclude_users

    Lista wzorców. Użytkownicy Adobe o zgodnych nazwach kont (mechanizm dopasowania domyślnie nie rozpoznaje wielkości liter, chyba że we wzorcu zostanie określone inaczej) nie zostaną usunięci ani zaktualizowani. Nie zmieni się również ich przynależność do grup.

    exclude_identity_types

    Lista typów identyfikatorów. Użytkownicy Adobe, którzy mają jeden z typów identyfikatorów uwzględnionych na tej liście, nie zostaną usunięci ani zaktualizowani. Nie zmieni się również ich przynależność do grup.

  2. Aby wykluczyć użytkowników zdefiniowanych w serwisie Admin Console z aktualizacji, utwórz grupę użytkowników i dodaj do niej chronione konta, a następnie zdefiniuj tę grupę jako wyłączoną z przetwarzania przez narzędzie Synchronizacja użytkowników. Można również podać listę konkretnych kont lub wzorzec zgodny z określonymi nazwami kont, aby wykluczyć tych użytkowników z przetwarzania. Konta użytkowników można ponadto wykluczyć z przetwarzania na podstawie rodzaju używanego przez nie identyfikatora.

    Na przykład:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    Na powyższej ilustracji użyto przykładowych nazw grup (administrators, contractors) i kont użytkowników. We własnej konfiguracji należy użyć utworzonych przez siebie nazw grup użytkowników Adobe, profilów produktowych lub kont.

Tworzenie dzienników

Narzędzie Synchronizacja użytkowników generuje wpisy dziennika, które są przesyłane na standardowe wyjście oraz zapisywane w pliku dziennika. Zbiór parametrów konfiguracyjnych związanych z rejestracją dziennika steruje lokalizacją i ilością danych wyjściowych generowanych przez dziennik.

  1. Aby włączyć lub wyłączyć zapisywanie pliku dziennika, zmodyfikuj wartość log_to_file w pliku user-sync-config.yml.

    Komunikaty mogą mieć jeden z pięciu priorytetów. Można wybrać najniższy poziom priorytetu, jaki ma być uwzględniany w pliku dziennika lub wysyłany na standardowe wyjście dziennika w konsoli. Zgodnie z ustawieniami domyślnymi, plik dziennika jest tworzony, a dziennik uwzględnia komunikaty o priorytecie od „info” (informacyjny) wzwyż. Jest to ustawienie zalecane.

  2. Przejrzyj ustawienia dzienników i wprowadź pożądane zmiany. Zalecany poziom rejestracji to „info” (jest to ustawienie domyślne).

Konfigurowanie za pomocą kreatora konfiguracji narzędzia Synchronizacja użytkowników (tylko Windows)

Jeśli korzystasz z serwera z systemem Windows, możesz przeprowadzić konfigurację za pomocą kreatora konfiguracji narzędzia Synchronizacja użytkowników.

Kreator konfiguracji narzędzia Synchronizacja użytkowników to narzędzie z graficznym interfejsem użytkownika, które ułatwia konfigurowanie ustawień interfejsu User Management API (Adobe.io), katalogu korporacyjnego (LDAP) i opcji synchronizacji. W kreatorze jest dostępna pomoc kontekstowa oraz odsyłacze do dokumentacji narzędzia Synchronizacja użytkowników. Więcej informacji: Kreator konfiguracji narzędzia Synchronizacja użytkowników Adobe.

Wdrażanie i automatyzacja

Sprawdzanie konfiguracji

Po skonfigurowaniu narzędzia Synchronizacja użytkowników na swoim komputerze lub serwerze należy sprawdzić, czy działa ono w oczekiwany sposób.

  1. Otwórz wiersz polecenia.
  2. Użyj następującego polecenia, aby przejść do folderu user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Poniżej znajdują się polecenia, które umożliwiają uruchomienie narzędzia Synchronizacja użytkowników:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Na przykład: Aby sprawdzić, czy konfiguracja jest kompletna, uruchom następujące polecenia:

    Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    UNIX:

    ./user-sync –v
    ./user-sync –h

    -v zwraca wersję, -h podaje pomoc dotyczącą argumentów wiersza poleceń.

  4. Pracując w trybie testowym, uruchom synchronizację ograniczoną do odwzorowanej grupy w katalogu.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Powyższe polecenie synchronizuje tylko użytkowników należących do odwzorowanej grupy, podanej w pliku user-sync-config.yml. Jeśli w serwisie Admin Console nie istnieją konta tych użytkowników, narzędzie podejmie próbę ich utworzenia i dodania do grup odwzorowanych na podstawie grup katalogowych użytkownika.

    Ponieważ narzędzie user-sync jest uruchomione w trybie testowym (z parametrem -t), podejmie tylko próbę utworzenia konta użytkownika, ale faktycznie go nie utworzy. Opcja --adobe-only-user-action exclude zapobiega aktualizacji kont użytkowników już istniejących w organizacji zdefiniowanej w systemie Adobe.

  5. Uruchom synchronizację bez parametru trybu testowego, tak aby narzędzie utworzyło konto użytkownika i dodało je do odwzorowanych grup.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Sprawdź, czy konto użytkownika jest widoczne w serwisie Adobe Admin Console i czy zostało dodane do odpowiednich grup.

  7. Ponownie uruchom to samo polecenie. Narzędzie Synchronizacja użytkowników nie może w tym przypadku podjąć próby ponownego utworzenia konta i dodania go do grup. Musi natomiast wykryć, że konto tego użytkownika już istnieje i należy do danej grupy użytkowników lub profilu produktów, i w związku z tym nie wykonać żadnych działań.

Jeśli testy przebiegną pomyślnie, można przystąpić do pełnego przetwarzania (bez filtru użytkowników).

Uwaga:

Jeśli katalog korporacyjny zawiera kilkaset lub więcej kont, synchronizacja użytkowników z serwisem Adobe Admin Console może potrwać kilka godzin.

Monitorowanie i planowanie

Narzędzie Synchronizacja użytkowników można uruchamiać ręcznie lub skonfigurować automatyczne uruchamianie raz lub kilka razy dziennie.

Uwaga:

Jeśli w firmie lub instytucji jest dostępny system analizy dzienników i generowania alertów, skonfiguruj przesyłanie dziennika z narzędzia Synchronizacja użytkowników do tego systemu. Ustaw system tak, aby generował alerty w odniesieniu do wszystkich komunikatów o priorytecie „Error” (Błąd) lub „Critical” (Krytyczny), które pojawią się w dzienniku.

  1. Aby pobrać istotne wpisy dziennika i wygenerować podsumowanie, utwórz plik wsadowy w folderze user_sync_tool z parametrami definiującymi skanowanie i kierującymi potok wyjściowy do pliku. Oto przykład takiego pliku run_sync.bat:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Opcjonalnie: Skonfiguruj narzędzie wiersza poleceń wysyłające wiadomości e-mail.

    W systemie Windows nie ma standardowego narzędzia wiersza poleceń, które wysyła wiadomości e-mail. Jest jednak dostępnych kilka komercyjnych produktów, w których można podawać argumenty wiersza poleceń.

  3. Skonfiguruj funkcję planowania zadań systemu Windows do uruchamiania narzędzia Synchronizacja użytkowników.

    Na przykład poniższy kod uruchamia narzędzie Synchronizacja użytkowników codziennie o godzinie 16:00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Sprawdź, czy zaplanowane zadania działają zgodnie z oczekiwaniami, uruchamiając polecenie w trybie testowym.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online