Этот документ содержит инструкции по установке инструмента User Sync для автоматизации процесса управления пользователями.

Инструмент User Sync — это утилита командной строки, которая перемещает информацию о пользователях и группах из системы корпоративного каталога вашей организации (например, Active Directory или других систем LDAP) в каталог вашей организации в Adobe Admin Console. При каждом запуске инструмент User Sync выполняет поиск различий между сведениями о пользователях и группах в двух системах и обновляет каталог Adobe, чтобы привести в соответствие данные в вашем каталоге.

В этом документе представлены пошаговые инструкции по организации взаимодействия системы Active Directory и Adobe Admin Console. Это одна из самых популярных комбинаций, которую используют наши клиенты в сегментах K-12 и SMB. User Sync — это гибкий инструмент, который можно использовать для организации взаимодействия с большинством LDAP и систем каталогов. Если вы используете систему каталогов, отличную от Active Directory, инструкции из этого документа не применяются напрямую; внесите необходимые изменения. Подробнее см. раздел Руководство по успешной настройке.

Перед началом работы

Получение сведений об Active Directory

Вам потребуются следующие сведения о вашей системе Active Directory (или LDAP).При отсутствии сведений обратитесь к своему ИТ-администратору.

  • Информация о хосте и портах сервера, на котором работает система.
  • Имя пользователя и пароль.
  • Базовый DN, который является точкой, из которой сервер выполняет поиск пользователей.
  • Кроме того, вам может потребоваться запрос LDAP, который выбирает набор пользователей для синхронизации с Adobe.
Active Directory

Получение цифрового сертификата

Для подписи вызовов API необходим цифровой сертификат. Если сертификат отсутствует, обратитесь к своему ИТ-администратору за инструкциями.

Советы по работе с сертификатами

  • Сертификат должен содержать файл сертификата открытого ключа и файл закрытого ключа. 
  • Формат CRT (сертификат X.509 с кодировкой base-64)
  • Файл с расширением .crt (не .pem, .cer и .cert)
  • SHA-2
  • Многострочный формат (попытка применить файл в однострочном формате вызовет сбой)
  • Минимальный срок действия — три года (экономия на обслуживании в течение этого срока и сохранение высокого уровня безопасности)

Создание сертификата с собственной подписью

Сертификат с собственной подписью можно использовать для тестирования и настройки. Сертификаты можно создавать в Windows с помощью Cygwin с пакетом OpenSSL. В Mac OS можно использовать встроенный инструмент командной строки пакета OpenSSL. Выполните следующие действия, чтобы создать сертификат:

  1. При работе в Windows установите и откройте Cygwin. В macOS откройте терминал.
  2. Выполните следующую команду:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Цифровой сертификат
  3. По окончании формирования закрытого ключа появится предложение ввести дополнительные сведения, чтобы создать отличительное имя для открытого ключа.Вы можете принять значения по умолчанию или ввести соответствующие данные. Чтобы оставить поле пустым, введите «.» (знак точки).

    Цифровой сертификат

Файл сертификата открытого ключа и файл закрытого ключа по умолчанию сохраняются в следующих папках:

Windows: C:\cygwin64\home\<your_user_name>

macOS: /Users/<your_user_name>

Идентификация сервера

Если планируется установка User Sync на компьютере, убедитесь в его соответствии следующим требованиям:

  • наличие доступа к сети Интернет и вашей службе каталогов (LDAP или AD);
  • защищенность и безопасность (ваши административные учетные данные хранятся или доступны там);
  • компьютер постоянно активен и обладает возможностью резервного копирования и восстановления;
  • имеется возможность отправлять электронную почту, так что User Sync может отправлять отчеты администраторам;
  • если это компьютер Windows, он оснащен 64-битным процессором.

В ином случае обратитесь в ИТ-отдел, чтобы идентифицировать такой сервер и получить доступ к нему.

Настройка Adobe Admin Console

Убедитесь, что организация запросила домен и в Adobe Admin Console создаются профили продуктов и группы пользователей.

Настройка сервера

Интеграция с Adobe I/O

Для настройки интеграции adobe.io выполните следующие действия:

  1. Войдите в консоль Adobe I/O Console, выберите организацию в раскрывающемся списке и нажмите Новая интеграция.

    Новая интеграция
  2. В мастере создания новой интеграции выберите Доступ к API и нажмите Продолжить.

    Screenshot_3
  3. Выберите User Management API в разделе «Службы Adobe» и нажмите Продолжить. На экране, который отобразится следующим, нажмите Продолжить.

    Untitled-2
  4. Введите имя и описание для интеграции и загрузите файл сертификата открытого ключа. Нажмите Создать интеграцию.

    Интеграция создана.

    Создание интеграции
  5. Чтобы просмотреть сведения об интеграции, нажмите Перейти к сведениям об интеграции.

    Сведения об интеграции

Эти сведения об интеграции необходимы для последующей настройки файлов User Sync.

Установка инструмента User Sync

  1. Создайте папку с именем user_sync_tool в следующей папке на вашем компьютере или сервере:

    Windows: C:\Users\<your_user _name>\

    macOS: /home/<your_user _name>/

  2. Войдите в GitHub, выберите версии и загрузите следующие файлы:

    • example-configurations.tar.gz
    • User Sync для используемых платформы и версии Python.
  3. Извлеките из архива файл user-sync.pex и поместите его в созданную папку user_sync_tool.

  4. В example-configurations.tar.gz перейдите к config files - basic, извлеките первые три файла и поместите их в папку user_sync_tool.

  5. Переименуйте три файла и удалите числа из имен. Итак, теперь в папке user_sync_tool содержатся следующие файлы:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Определение пути для Python (только для Windows)

  1. Установите Python версии 3.6.2 или более поздней (64-разрядная).

  2. Установите флажок для параметра Добавить Python 3.6 в ПУТЬ, зафиксируйте путь установки и нажмите Установить сейчас.

    Установка Python
  3. Откройте командную строку и выполните следующую команду:

    python

    Команда должна вернуть установленную версию Python.

Настройка User Sync

Настройка доступа к каталогу

  1. Измените файл connector-ldap.yml. Этот файл содержит сведения о доступе к системе каталогов.

  2. Введите имя пользователя, пароль, хост и значения base_dn.

    Файл конфигурации доступа к каталогу
  3. Задайте 0 для search_page_size.

    Если для выбора требуемого набора пользователей вам необходим нестандартный запрос LDAP, он определяется в данном файле как часть параметра конфигурации all_users_filter.

Настройка учетных данных Adobe UMAPI

  1. Измените файл connector-umapi.yml.Этот файл содержит сведения о доступе к вашей организации Adobe.

  2. Введите следующие данные из ранее созданной интеграции adobe.io:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Поместите файл закрытого ключа в папку user_sync_tool. Затем элемент файла конфигурации priv_key_path определяется как имя этого файла.

    Учетные данные Adobe UMAPI

Определение кода страны по умолчанию

Если в вашем каталоге не указывается страна для каждого пользователя, вы можете определить страну по умолчанию.

  1. Измените файл user-sync-config.yml.

  2. Удалите # из строки кода страны по умолчанию и введите соответствующий код страны. Пример.

    default_country_code: US

    Примечание.

    Код страны необходим для идентификаторов Federated ID и рекомендуется для Enterprise ID. Если этот код не указан для идентификаторов Enterprise ID, пользователям будет предложено выбрать страну при первом входе в систему.

Отображение групп

Вы можете предоставить учетные записи пользователей, добавив их в группу каталогов организации с помощью инструментов LDAP/AD, а не Adobe Admin Console. Затем файл конфигурации определяет отображение из групп каталогов в профили продуктов Adobe или группы пользователей.

Если пользователь входит в группу каталогов, инструмент синхронизации пользователей добавляет пользователя в соответствующую группу пользователей в Adobe Admin Console. Кроме того, если пользователь входит в группу пользователей, но не включен в группу каталогов, инструмент синхронизации пользователей удаляет его из группы пользователей.

  1. Измените отображение групп в файле user-sync-config.yml

  2. Для каждой группы каталогов, которая должна отображаться в профиль продуктов Adobe или группу пользователей, добавьте запись после параметра groups. Пример.

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Примечание.

    Отображение групп может быть выполнено с помощью групп пользователей или профилей продуктов Adobe, но не имен продуктов. Кроме того, вы можете отобразить одну группу каталогов в несколько групп пользователей или профилей продуктов Adobe.

Несовпадающие лимиты для пользователей

Чтобы предотвратить случайное удаление учетной записи из-за некорректной конфигурации или другой проблемы, установлен лимит на удаление учетных записей.

  1. Чтобы изменить лимит, измените лимиты в файле user-sync-config.yml.

  2. Если предполагается, что число пользователей каталогов снизится более чем на 200 между запусками User Sync, увеличьте значение max_adobe_only_users.

    Примечание.

    Если количество удаляемых учетных записей превышает число, заданное как значение max_adobe_only_users, выполнение обновлений прерывается.

Защита от удаления

Если требуется запустить создание и удаление учетных записей посредством User Sync и вы хотите вручную создать несколько учетных записей, используйте эту функцию, чтобы не допустить удаления таких учетных записей инструментом User Sync.

  1. Введите элементы конфигурации для исключений в файл user-sync-config.yml.

    exclude_groups

    Он определяет список групп пользователей Adobe, профилей продуктов или того и другого. Пользователи Adobe, которые входят в перечисленные группы, не удаляются и не обновляются, также не изменяется их членство в группе.

    exclude_users

    Предоставляет список шаблонов. Пользователи Adobe с именами пользователей, которые соответствуют (по умолчанию нечувствительны к регистру, если шаблон не задает такую чувствительность) любому из указанных шаблонов, не удаляются и не изменяются, также не изменяется их членство в группе.

    exclude_identity_types

    Предоставляет список типов удостоверений. Пользователи Adobe, для которых установлен один из указанных типов удостоверений, не удаляются и не обновляются, также не изменяется их членство в группе.

  2. Чтобы защитить пользователей Admin Console от обновлений, создайте группу пользователей и поместите защищенных пользователей в эту группу, затем определите эту группу как не подлежащую обработке инструментом User Sync. Можно также указать конкретных пользователей или шаблон, который соответствует определенным именам пользователей, для их защиты. Кроме того, можно защитить пользователей на основе типа их идентификации.

    Пример.

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    В приведенном выше примере администраторы, подрядчики и имена пользователей указаны только для примера. Используйте имена групп пользователей, профилей продуктов или созданных пользователей Adobe.

Создание журналов

Инструмент User Sync создает записи журнала, которые выводятся на печать, а также записываются в файл журнала. Набор записей в журнале настроек конфигурации управляет сведениями о месте и способе вывода данных журнала.

  1. Чтобы включить или отключить журнал файлов, измените значение log_to_file в файле user-sync-config.yml.

    Сообщения могут иметь один из пяти уровней важности, и вы можете выбрать наиболее низкий уровень важности, включаемый для журнала файлов или стандартного журнала вывода на консоль. По умолчанию необходимо создать журнал файлов и включить для сообщений уровень «информация» или выше (рекомендованный параметр).

  2. Просмотрите настройки журналов и внесите необходимые изменения. Рекомендуемый уровень для журнала — информация (по умолчанию).

Настройка с помощью мастера настройки инструмента User Sync (только Windows)

Для настройки User Sync, если используется сервер Windows, можно применять также Мастер настройки инструмента User Sync.

Мастер настройки инструмента User Sync — это инструмент графического интерфейса пользователя, позволяющий с легкостью выполнить конфигурирование User Sync с настройками User Management API (Adobe.io), Enterprise Directory (LDAP) и синхронизации. Он предоставляет контекстную справку и ссылки на документацию для инструмента User Sync. Подробнее см. раздел Мастер настройки инструмента User Sync в Adobe.

Развертывание и автоматизация

Проверка конфигурации

Теперь, когда инструмент User Sync настроен на вашем сервере или компьютере, можно проверить корректность его функционирования.

  1. Откройте командную строку.
  2. Используя следующую команду, перейдите в папку user_sync_tool.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Ниже приведены команды для запуска User Sync.

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Например, чтобы убедиться в полноте конфигурации, выполните следующие команды:

    Для Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    Для UNIX:

    ./user-sync –v
    ./user-sync –h

    -v указывает версию, -h предоставляет справку по элементам командной строки.

  4. В тестовом режиме запустите синхронизацию, ограниченную отображаемой группой в вашем каталоге.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    В результате приведенной выше команды синхронизируются только пользователи в отображаемой группе, указанной в файле user-sync-config.yml. Если в Admin Console не содержатся пользователи, это приводит к попытке создать пользователей и добавить их в любые группы, которые отображаются из их групп каталогов.

    При выполнении user-sync в тестовом режиме (-t) происходит только попытка создать пользователя, а не фактическое действие. Параметр --adobe-only-user-action exclude предотвращает обновления любых учетных записей пользователей, уже существующих в организации Adobe.

  5. Запустите синхронизацию без тестового режима, и пользователь будет создан и добавлен в отображаемые группы.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Проверьте, отображается ли пользователь в Adobe Admin Console и добавлено ли членство в группах.

  7. Повторите ту же команду. Инструмент User Sync не должен пытаться повторно создавать и добавлять пользователя в группы. Он должен обнаружить существование пользователя и его членство в группе пользователей или профиле продукта и не выполнять никаких действий.

Если все тесты выполняются корректно, вы готовы выполнить полный запуск (без фильтра для пользователей).

Примечание.

Если в вашем каталоге более нескольких сотен пользователей, синхронизация пользователей с Adobe Admin Console может занять несколько часов.

Мониторинг и планирование

Инструмент User Sync можно запускать вручную либо можно настроить автоматический режим для его запуска один или несколько раз в день.

Примечание.

Если вам доступна система анализа журналов и оповещений, организуйте отправку журнала из User Sync в систему анализа журналов. Кроме того, настройте оповещения об ошибках или критических ситуациях, отображаемых в журнале.

  1. Чтобы вывести соответствующие записи журнала для сводки, создайте пакетный файл в папке user_sync_tool с вызовом user-sync, подключенным к сканированию. Например, создайте файл run_sync.bat с содержимым подобного типа:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. При желании настройте инструмент командной строки электронной почты.

    В Windows нет стандартного инструмента командной строки электронной почты, но некоторые из них можно приобрести и указать в конкретных параметрах командной строки.

  3. Настройте планировщик задач Windows для запуска инструмента User Sync.

    Например, приведенный ниже код запускает инструмент User Sync ежедневно в 16:00.

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Чтобы убедиться в выполнении запланированных задач, запустите команду в тестовом режиме.

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет