Este documento tem como objetivo instruí-lo na instalação da ferramenta User Sync para automatizar o processo de gerenciamento de usuários.

A ferramenta User Sync é um utilitário de linha de comando que migra as informações de usuários e grupos do seus sistemas de diretório corporativo (como Active Directory ou outro sistema LDAP) para o diretório da sua organização no Adobe Admin Console. Sempre que você executa a ferramenta User Sync, ela procura as diferenças entre as informações de usuários e grupos nos dois sistemas e atualiza o diretório da Adobe para corresponder às informações do seu diretório.

Este documento fornece instruções passo a passo para integrar um sistema Active Directory com o Adobe Admin Console. Essa é uma das combinações mais populares que nossos clientes de instituições de ensino fundamental e médio e pequenas empresas usam. A ferramenta User Sync é flexível e pode ser usada para integrar a maioria dos sistemas LDAP e de diretórios. Se você estiver usando um sistema de diretórios diferente do Active Directory, as instruções neste documento não se aplicam diretamente; modifique conforme necessário. Para obter mais informações, consulte o Guia de configuração e sucesso.

Antes de começar

Você precisa das seguintes informações sobre o seu sistema LDAP. Caso não tenha essas informações, fale com seu administrador de TI.

  • Nome do controlador de domínio (ou seu IP, se fixo) e porta.
  • Nome de usuário e senha de uma conta de serviço que a ferramenta possa usar para extrair usuários do seu LDAP (acesso somente leitura).
  • Base DN, que é o ponto em que o servidor pesquisa usuários; deve ser amplo o suficiente para permitir a descoberta de todos os usuários e grupos que precisam ser sincronizados.
  • Nomes de grupos que fazem parte da sincronização.
  • O atributo LDAP mais adequado para email/nome de usuário para todos os usuários que precisam ser criados no Admin Console.
  • (Opcional) Você também pode precisar de uma consulta LDAP personalizada que selecione o conjunto de usuários a serem sincronizados com a Adobe se os filtros padrão não atenderem aos requisitos.
Active Directory

O par de chaves é usado para assinar um JWT e verificar sua legitimidade na obtenção do processo access_token. Para obter ajuda nesse processo, entre em contato com sua equipe de segurança, se necessário.

Dicas de certificado:

  • O certificado público pode ser assinado por sua própria CA (gere uma CSR, se necessário); os certificados autoassinados também são aceitos
  • A chave privada deve ser RSA: 2048 bits no mínimo
  • O certificado público deve ter uma extensão .crt
  • Assine usando SHA-256
  • Validade da chave pública: a recomendação é de três anos, mas sua política de segurança interna que determinará

Criar um certificado autoassinado

Para testar e configurar, você também pode usar um certificado autoassinado por meio de openssl. No Mac OS/Linux, o openssl pode estar incluído por padrão. No Windows, adicione o suporte a openssl separadamente (por exemplo, Cygwin
Para criar um certificado autoassinado, siga estas etapas:

  1. No macOS/Linux, abra o Terminal. 
    No Windows, abra o programa que oferece suporte a openssl (Cygwin, cmd, outro...).

  2. Execute o seguinte comando:

    openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Certificado digital
  3. Quando a geração da chave privada estiver concluída, você será solicitado a inserir informações adicionais para criar um Nome Distinto para a chave pública. Aceite os valores padrão ou insira outros mais relevantes. Para deixar um campo em branco, digite "." (um ponto final).

    Certificado digital

Os arquivos do certificado público e da chave privada são armazenados nos seguintes locais por padrão:

Windows: C:\cygwin64\home\<seu_nome_de_usuario>

macOS: /Users/<seu_nome_de_usuário>

Se planejar instalar o User Sync no seu computador, verifique se ele atende aos seguintes requisitos:

  • Tem acesso à Internet e ao seu serviço de diretório como LDAP ou AD.
  • Está protegido e seguro (suas credenciais administrativas são armazenadas ou acessadas lá).
  • Está ativo, é confiável e tem uma política de backup e recuperação implementada.
  • Envia emails, para que o User Sync possa enviar relatórios para os administradores.
  • Se for um computador Windows, deve ter um processador de 64 bits.

Caso contrário, trabalhe com seu departamento de TI para identificar qual é o servidor e como acessá-lo.

Verifique se você reivindicou o domínio para a sua organização e os Perfis de produto e os Grupos de usuários estão criados no Adobe Admin Console.

Configurar o servidor

Para configurar uma integração do adobe.io, faça o seguinte:

  1. Faça logon no Adobe I/O Console, selecione sua organização na lista suspensa e clique em Nova integração.

    Nova integração
  2. No assistente Criar uma nova integração, selecione Acessar uma API e clique em Continuar.

    Screenshot_3
  3. Selecione API de gerenciamento de usuários em Serviços da Adobe e clique em Continuar. Na tela exibida, clique em Continuar novamente.

    Untitled-2
  4. Digite um nome e uma descrição para a integração e faça upload do arquivo de certificado de chave pública. Clique em Criar integração.

    A integração é criada.

    Criar integração
  5. Para ver os detalhes da integração, clique em Continuar para os detalhes de integração.

    Detalhes da integração

Esses detalhes de integração são necessários para configurar os arquivos do User Sync posteriormente.

  1. Crie uma pasta chamada user_sync_tool em um local na unidade em que usuários com permissões necessárias possam acessar o conteúdo.

  2. Acesse o GitHub e localize a tag da versão mais recente.

    Nessa versão, encontre e expanda os Assets (Ativos). Em seguida, localize e baixe:

    • O arquivo examples.zip
    • O arquivo .zip da ferramenta User Sync na lista que corresponda ao seu tipo de SO e versão do Python

    Observação:

    O nome do arquivo contém o tipo de sistema operacional em que ele funciona e a versão do Python com que foi criado. Por exemplo, user-sync-vX.Y-win64-py368.zip é uma versão para Windows criada com o Python 3.6.8 (64 bits) 
    Se você não possui uma versão do Python instalada no sistema, tente corresponder/instalar a versão com a qual a ferramenta foi criada.

  3. Descompacte examples.zip, navegue para “config files - basic” e copie os seguintes arquivos para a pasta user_sync_tool: connector-ldap.yml, connector-umapi.yml e user-sync-config.yml.

  4. Do outro arquivo .zip, extraia o arquivo user-sync.pex e coloque-o dentro da mesma pasta user_sync_tool.

  5. Localize o arquivo private.key que acompanha o certificado público e mova-a para a mesma pasta user_sync_tool. A lista inteira de arquivos ficará assim:

    • connector-ldap.yml
    • connector-umapi.yml
    • private.key
    • user-sync.pex
    • user-sync-config.yml

  1. Agora, é hora de instalar o Python 3.6.8 (baixe o arquivo Windows x86-64 executable installer e execute-o).

  2. Marque a caixa de seleção Add Python 3.6 to PATH (Adicione o Python 3.6 ao PATH) e selecione Customize Installation (Instalação personalizada).

    Instalar Python
  3. Na tela Optional Features (Recursos opcionais), clique em Next (Avançar). Na tela Advanced Options (Opções avançadas), marque a caixa de seleção Install for all users (Instalar para todos os usuários) e clique em Install (Instalar).

    Instalar Python
  4. Após a conclusão da instalação, se você vir uma opção para desativar o limite de tamanho do caminho, selecione-a antes de fechar a janela de instalação.

  5. Abra o prompt de comando e execute o seguinte comando:

    python --version

    Se o Python for adicionado com êxito ao PATH, a linha de comando acima retornará a versão. Caso contrário, ela retornará um erro.

Configurar o User Sync

  1. Edite o arquivo connector-ldap.yml com um editor de texto especializado.

  2. Insira os valores de nome de usuário, senha, host e base_dn.

    Arquivo de configuração de acesso ao diretório
  3. Defina search_page_size como 200.

  4. Na maioria das vezes, os filtros padrão serão suficientes. Se você precisar de uma consulta LDAP personalizada para extrair um conjunto de usuários, modifique o parâmetro de configuração all_users_filter.

  5. Verifique as demais configurações não mencionadas e os atributos LDAP definidos para elas. Altere-as de acordo com suas necessidades.

    Algumas implantações têm uma configuração de logon baseada em nome de usuário (o campo Nome de usuário no Admin Console para um determinado usuário não é um tipo de valor de email). 

    Nesse caso, ative esta linha também (remova o caractere #):
    user_username_format: {sAMAccountName}

    Substitua o sAMAccountName pelo atributo correto, se não for o que você precisa usar.

  1. Edite o arquivo connector-umapi.yml. Esse arquivo contém as informações de acesso para sua organização da Adobe.

  2. Insira as seguintes informações da integração adobe.io criada anteriormente:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Verifique se o arquivo priv_key_path contém o nome exato da chave privada dentro da pasta user_sync_tool. 
    Se a chave privada estiver dentro da mesma pasta com o resto dos arquivos da ferramenta User Sync, priv_key_path poderá conter apenas o nome do arquivo. Isso funciona como um caminho relativo.

    Credenciais Adobe UMAPI

Se o seu diretório não lista o país de cada usuário, defina um país padrão.

  1. Edite o arquivo user-sync-config.yml.

  2. Remova # da linha default country code e insira o código do país apropriado. Por exemplo:

    default_country_code: US

    Observação:

    Um código de país é necessário para Federated IDs e recomendado para Enterprise IDs. Se não for fornecido para Enterprise IDs, os usuários serão solicitados a escolher um país assim que fizerem logon pela primeira vez.

Esta seção define quais grupos do LDAP devem ter um grupo de usuários ou PLC correspondente no Admin Console.

O objetivo é fornecer à ferramenta uma fonte de grupos/usuários para que ela possa corresponder aos mesmos membros nos grupos/PLCs do Admin Console.

  1. Edite o mapeamento de grupos no arquivo user-sync-config.yml

  2. Para cada grupo de diretórios que deve ser mapeado para um perfil de produto ou um grupo de usuários da Adobe, adicione uma entrada na seção grupos. Por exemplo:

    groups:
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here
        - directory_group: LDAP_group_name_goes_here
          adobe_groups:
            - Adobe_group_name_goes_here

    Observação:

    O mapeamento de grupos pode ser feito usando os grupos de usuários ou os perfis de produto da Adobe e não os nomes de produto. E você pode mapear um grupo de diretórios para mais de um grupo de usuários ou perfil de produto da Adobe.

Para evitar a remoção acidental de uma conta devido a uma configuração incorreta ou outro problema, você pode decidir um limite para o número máximo de remoções de conta que você esperaria na sincronização diária.

  1. Para alterar o limite, encontre max_adobe_only_users no arquivo user-sync-config.yml.

  2. Se você espera que o número de remoções de conta seja maior que o valor definido em max_adobe_only_users nas execuções do User Sync, aumente o valor para cobrir todas as remoções de conta.

    Observação:

    Se o número de contas a serem removidas for maior que o valor em max_adobe_only_users, a ferramenta não processará nenhuma remoção de conta. Uma entrada crítica é exibida no registro informando que o limite foi atingido.

    Esse limite não impacta as ações de criação.

Há situações em que algumas contas devem ser excluídas da sincronização. Isso pode ser feito editando o arquivo user-sync-config.yml.
A ferramenta oferece três opções de exclusão: por tipo de identidade, nome do grupo e expressão regular.
As contas no Admin Console que atendem a pelo menos um dos critérios mencionados são protegidas contra ações de remoção (do grupo, da organização).

É aconselhável ter Adobe IDs para administradores de sistema no Admin Console e excluí-los pelo comando exclude_identity_types: adobeID

Veja um exemplo:

adobe_users:
  exclude_identity_types:
    - adobeID           # Adobe ID, Enterprise ID ou Federated ID
  exclude_adobe_groups:
    - adobe_group_name  # os membros desse grupo não podem ser removidos pelo User Sync
    - other_group_name  # você pode excluir vários grupos
  exclude_users:
    - ".*@example.com"
    - important_user@domain.com

O User Sync produz entradas de log que são impressas no dispositivo de impressão padrão ou gravadas em um arquivo de log. O conjunto de registros das configurações controla os detalhes de quando e quantas informações de log são geradas.

  1. Para ativar ou desativar o arquivo de log, edite o valor log_to_file no arquivo user-sync-config.yml.

  2. Revise as configurações de registro e faça as alterações desejadas. Para a configuração inicial, é recomendável usar 
    log_to_file: True 
    file_log_level: debug

Como alternativa, se você tiver um servidor Windows, use o assistente de configuração da ferramenta User Sync para configurar o User Sync.

O assistente de configuração da ferramenta User Sync é uma ferramenta de GUI que ajuda a configurar com facilidade o User Sync com a API de gerenciamento de usuários (Adobe.io) e o diretório corporativo (LDAP) e sincronizar as configurações. Ele fornece ajuda de acordo com o contexto e é vinculado à documentação da ferramenta User Sync. Para obter mais informações, consulte Assistente de configuração da ferramenta Adobe User Sync.

Implantar e automatizar

Agora que a ferramenta User Sync está configurada no servidor ou computador, você poderá verificar seu funcionamento. Para solucionar problemas comuns ao executar a ferramenta User Sync, consulte dicas para resolver erros comuns.

  1. Abra o prompt de comando.
  2. Com o seguinte comando, vá até a pasta user_sync_tool.

    cd path/to/user_sync_tool
  3. Para verificar se a configuração está completa, execute os seguintes comandos:

    No Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    No UNIX:

    ./user-sync –v
    ./user-sync –h

    -v exibe a versão, -h exibe a ajuda sobre os argumentos da linha de comando.

  4. No modo de teste, execute uma sincronização limitada aos grupos mapeados nomeados no arquivo de configuração, ignorando as contas secundárias da Adobe existentes.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    O comando acima sincroniza apenas os usuários no grupo mapeado especificado no arquivo user-sync-config.yml. Se os usuários não existirem no Admin Console, ele tentará criar os usuários e adicioná-los aos grupos mapeados nos grupos de diretório.

    Executar a sincronização de usuários no modo de teste (-t) tenta apenas criar o usuário, mas não vai realmente fazê-lo. A opção --adobe-only-user-action exclude evita a remoção de contas de usuário existentes na organização da Adobe.

  5. Embora o invocation_defaults defina os argumentos padrão com os quais a ferramenta é executada, você pode substituí-los mencionando-os na linha de comando. No modo de teste, execute uma sincronização limitada aos grupos mapeados nomeados no arquivo de configuração, removendo as contas extras encontradas no lado da Adobe e não encontradas na extração LDAP.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action remove

    -t

    executa uma simulação em vez de uma sincronização real para ver o que aconteceria.

    --users-mapped

    extrai usuários do LDAP que são resultados dos dois all_user_filter e membros dos grupos de diretório definidos em directory_group no arquivo de configuração.

    --process-groups

    adiciona/remove usuários de/para os grupos de usuários ou PLCs do lado da Adobe com base na conta ser ou não membro dos grupos mapeados do LDAP.

    --adobe-only-user-action remove

    as contas encontradas no lado da Adobe são removidas do menu Usuários, e os direitos são retirados se não forem encontrados na extração LDAP ou excluídos da sincronização.

    Leia mais sobre os parâmetros de comando aqui.

    Leia sobre outros cenários de uso aqui.

Se todos os testes forem executados conforme o esperado, você estará pronto para a execução completa (sem a variável test-mode).

Observação:

  • As linhas de comando fornecidas são apenas exemplos e podem não cobrir a totalidade dos casos de uso.
  • A sincronização inicial pode levar de segundos a horas, dependendo do número de contas para sincronizar. Aproximadamente 250 usuários são criados a cada 1,5-2 minutos (incluindo o tempo limite).
  • As mensagens com o código 429 que informam sobre o tempo limite da UMAPI (API de gerenciamento de usuários) são normais. A ferramenta realiza uma nova tentativa automaticamente.

O User Sync pode ser executado manualmente ou você pode configurar a execução automática uma vez ou várias vezes por dia.

Observação:

Se você tiver um sistema de análise e alerta disponível, configure o envio do log do User Sync ao sistema de análise de logs. Além disso, configure alertas para qualquer mensagem crítica ou de erro que apareça no log.

  1. Para extrair entradas de log relevantes, crie um arquivo em lote na pasta user_sync_tool para chamar o user-sync vinculado a uma varredura. Por exemplo, crie o arquivo run_sync.bat contendo:

    cd path/to/user-sync-folder
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Opcionalmente, configure uma ferramenta de linha de comando de email.

    Não existe uma ferramenta de linha de comando de email padrão no Windows, mas há outras disponíveis comercialmente, nas quais você pode preencher suas opções de linha de comando específicas.

  3. Configure o agendador de tarefas do Windows para executar a ferramenta User Sync.

    Por exemplo, o código abaixo executa a ferramenta User Sync tool diariamente às 16h:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online