Det här dokumentet är avsett som en hjälp för dig när du ska installera verktyget för användarsynkronisering för att automatisera användarhanteringen.

Verktyget för användarsynkronisering är ett kommandoradsverktyg som flyttar användar- och gruppinformation från organisationens företagskatalog (som Active Directory eller annat LDAP-system) till organisationens katalog i Adobe Admin Console. Varje gång du kör verktyget för användarsynkronisering letar det efter avvikelser i användar- och gruppinformationen i de två systemen och Adobe-katalogen uppdateras så att den innehåller samma information som din katalog.

I det här dokumentet finns steg-för-steg-anvisningar för att samordna ett Active Directory-system med Adobe Admin Console. Det här är en av de mest populära kombinationerna som våra kunder inom utbildnings- och SMB-segmenten använder. Verktyget för användarsynkronisering är flexibelt och kan användas för att samordna de flesta LDAP- och katalogsystem. Om du använder ett annat katalogsystem än Active Directory stämmer inte riktigt anvisningarna i det här dokumentet. Du kan behöva göra en del ändringar. Mer information finns i konfigurationshandboken.

Innan du börjar

Skaffa information om Active Directory

Du behöver följande information om ditt Active Directory-system (eller LDAP-system).  Om du inte har den här informationen kontaktar du din IT-administratör.

  • Värd- och portinformation om servern där systemet körs.
  • Användarnamn och lösenord.
  • Grundläggande unikt namn, som är den plats där servern söker efter användare.
  • Du kan också behöva en LDAP-fråga som väljer den uppsättning användare som ska synkroniseras med Adobe.
Active Directory

Hämta ett digitalt certifikat

För att API-anrop ska kunna signeras måste du ha ett digitalt certifikat. Om du inte har certifikatet kontaktar du IT-administratören för att få anvisningar.

Tips om certifikat:

  • Certifikatet måste innehålla en certifikatfil för offentlig nyckel och en fil för privat nyckel. 
  • CRT-format (base-64-kodad X.509)
  • Med filnamnstillägget .crt (inte .pem, .cer eller .cert)
  • SHA-2
  • Flerradigt format (enkelradigt misslyckas)
  • Måste vara minst tre år (det kräver mindre underhåll under den livslängden och säkerheten äventyras inte)

Skapa ett självsignerat certifikat

För testning och konfiguration kan du också använda ett självsignerat certifikat. Du kan skapa certifikat i Windows med Cygwin, som innehåller openssl. I Mac OS kan du använda det inbyggda kommandoradsverktyget openssl. Gör så här om du vill skapa ett certifikat:

  1. Om du använder Windows installerar och öppnar du Cygwin. Om du använder macOS öppnar du Terminal.
  2. Kör följande kommando:

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
    Digitalt certifikat
  3. När den privata nyckeln har genererats uppmanas du att ange ytterligare information för att skapa ett unikt namn för den offentliga nyckeln. Du kan acceptera standardvärdena eller ange ett giltigt värde. Om du vill lämna ett fält tomt anger du ”.” (en punkt).

    Digitalt certifikat

Certifikatfilen för den offentliga nyckeln och filen för den privata nyckeln lagras som standard på följande platser:

Windows: C:\cygwin64\home\<your_user_name>

macOS: /Users/<your_user_name>

Identifiera en server

Om du tänker installera verktyget för användarsynkronisering på din dator måste du se till att den uppfyller följande krav:

  • Har internetåtkomst och åtkomst till din katalogtjänst, som LDAP eller AD.
  • Är skyddad och säker (dina uppgifter för administratörsautentisering lagras och nås här).
  • Är stabil och pålitlig och har funktioner för säkerhetskopiering och återställning.
  • Kan skicka e-post så att verktyget för användarsynkronisering kan skicka rapporter till administratörer.
  • Om Windows används på datorn måste den ha en 64-bitarsprocessor.

Annars tar du hjälp av IT-avdelningen och identifierar och får åtkomst till en sådan server.

Konfigurera Adobe Admin Console

Se till att du har gjort anspråk på domänen för organisationen och att produktprofilerna och användargrupperna har skapats i Adobe Admin Console.

Konfigurera servern

Skapa integrering med Adobe I/O

Gör så här för att skapa integrering med adobe.io:

  1. Logga in på Adobe I/O-konsolen, välj din organisation i listrutan och klicka på New Integration.

    New Integration
  2. I guiden för att skapa ny integrering väljer du Access an API och klickar på Continue.

    Screenshot_3
  3. Välj User Management API under Adobe Services och klicka på Continue. Klicka på Continue igen på nästa skärm som visas.

    Untitled-2
  4. Ange ett namn och en beskrivning för integreringen och ladda upp certifikatfilen för den offentliga nyckeln. Klicka på Create integration.

    Integreringen skapas.

    Create integration
  5. Om du vill se integreringsinformationen klickar du på Continue to Integration Details.

    Integration Details

Du behöver den här integreringsinformationen när filerna för verktyget för användarsynkronisering ska konfigureras senare.

Installera verktyget för användarsynkronisering

  1. Skapa en mapp som heter user_sync_tool på följande plats på datorn eller servern:

    Windows: C:\Users\<your_user _name>\

    macOS: /home/<your_user _name>/

  2. Öppna GitHub, välj releases och ladda ned följande filer:

    • example-configurations.tar.gz
    • Verktyget för användarsynkronisering för den plattform och python-version du använder.
  3. Extrahera filen user-sync.pex från arkivet och placera den i mappen user_sync_tool som du skapade.

  4. I example-configurations.tar.gz navigerar du till config files - basic, extraherar de tre första filerna och placerar dem i mappen user_sync_tool.

  5. Byt namn på de tre filerna och ta bort siffrorna från namnen. Nu har du följande filer i mappen user_sync_tool:

    • connector-ldap.yml
    • connector-umapi.yml
    • user-sync.pex
    • user-sync-config.yml

Ange sökvägen för Python (endast Windows)

  1. Installera Python version 3.6.2 eller senare (64 bitar).

  2. Markera kryssrutan för Add Python 3.6 to PATH, skriv upp installationssökvägen och klicka på Install Now.

    Installera Python
  3. Öppna kommandotolken och kör följande kommando:

    python

    Kommandot måste returnera den version av Python som är installerad.

Konfigurera verktyget för användarsynkronisering

Konfigurera katalogåtkomst

  1. Redigera filen connector-ldap.yml. I den här filen finns information för åtkomst till katalogsystemet.

  2. Ange användarnamn, lösenord, värd och värden för base_dn.

    Konfigurationsfil för katalogåtkomst
  3. Ange 0 för search_page_size.

    Om du behöver en LDAP-fråga som inte är standard för att välja önskad uppsättning användare, konfigureras den i den här filen som en del av konfigurationsparametern all_users_filter.

Konfigurera inloggningsuppgifter för Adobe UMAPI

  1. Redigera connector-umapi.yml. I den här filen finns åtkomstinformation till din Adobe-organisation.

  2. Ange följande information från adobe.io-integreringen du skapade tidigare:

    • org_id
    • api_key
    • client_secret
    • tech_acct
  3. Placera filen för den privata nyckeln i mappen user_sync_tool. Konfigurationsfilsobjektet priv_key_path anges sedan till namnet på filen.

    Inloggningsuppgifter för Adobe UMAPI

Ange en standardlandskod

Om det inte finns ett land för varje användare i katalogen kan du ange ett standardland.

  1. Redigera filen user-sync-config.yml.

  2. Ta bort # från raden för standardlandskod och ange lämplig landskod. Exempel:

    default_country_code: US

    Obs!

    En landskod krävs för Federated ID:n och rekommenderas för Enterprise ID:n. Om det inte finns någon landskod för Enterprise ID:n uppmanas användarna att välja ett land när de loggar in första gången.

Mappning av grupper

Du kan tillhandahålla användarkonton genom att lägga till dem i en Enterprise-kataloggrupp med hjälp av LDAP-/AD-verktyg i stället för att använda Adobe Admin Console. Sedan anger konfigurationsfilen en mappning från kataloggrupperna till produktprofiler eller användargrupper för Adobe.

Om en användare är medlem i en kataloggrupp lägger user-sync till användaren i motsvarande användargrupp i Adobe Admin Console. Och om en användare är medlem i en användargrupp men inte i kataloggruppen, tar user-sync bort användaren från användargruppen.

  1. Redigera group mapping i filen user-sync-config.yml

  2. För varje kataloggrupp som måste mappas till en Adobe-produktprofil eller -användargrupp lägger du till en post efter groups. Exempel:

    groups:
        - directory_group: C-Art101-18
          adobe_groups:
            - All Apps
        - directory_group: C-Film401-18
          adobe_groups:
            - Premiere Pro

    Obs!

    Gruppmappning kan göras med hjälp av Adobe-användargrupper eller -produktprofiler, inte till produktnamn. Du kan också mappa en kataloggrupp till fler än en Adobe-användargrupp eller -produktprofil.

Användargränser som inte matchas

För att förhindra att konton tas bort oavsiktligt om det finns en felaktig konfiguration eller något annat problem, finns det en gräns för borttagning av konton.

  1. Om du vill ändra gränsen redigerar du limits i filen user-sync-config.yml.

  2. Om du tror att antalet kataloganvändare kommer att minska med mer än 200 mellan gångerna som verktyget för användarsynkronisering körs, höjer du värdet för max_adobe_only_users.

    Obs!

    Om antalet konton som tagits bort är större än det antal som har angetts i max_adobe_only_users value, avbryts uppdateringarna.

Ta bort skydd

Om du vill att konton ska skapas och tas bort genom användarsynkronisering, och vill skapa några konton manuellt, använder du den här funktionen så att inte användarsynkronisering tar bort de konton du skapat manuellt.

  1. Ange de konfigurationsobjekt som är undantag i filen user-sync-config.yml.

    exclude_groups

    Den definierar en lista över Adobe-användargrupper, -produktprofiler eller båda. Adobe-användare som är medlemmar i grupperna i listan tas inte bort eller uppdateras, och deras gruppmedlemskap ändras inte.

    exclude_users

    Här finns en lista med mönster. Adobe-användare med användarnamn som matchar (standard är inte skiftlägeskänsligt, om inte mönstret anger skiftlägeskänsligt) något av de angivna mönstren tas inte bort eller uppdateras, och deras gruppmedlemskap ändras inte.

    exclude_identity_types

    Här finns en lista med identitetstyper. Adobe-användare som har någon av de här identitetstyperna tas inte bort eller uppdateras, och deras gruppmedlemskap ändras inte.

  2. Om du vill skydda användare i Admin Console från att uppdateras skapar du en användargrupp och placerar de skyddade användarna i den gruppen. Lista sedan den gruppen som undantag från användarsynkronisering. Du kan också lista särskilda användare eller ett mönster som matchar särskilda användarnamn för att skydda dessa användare. Du kan också skydda användare utifrån deras identitetstyp.

    Exempel:

    adobe_users:
      exclude_adobe_groups: 
        - administrators   # Names an Adobe user group or product configuration whose members are not to be altered or removed by User Sync
        - contractors      # You can have more than one group in a list
      exclude_users:
        - ".*@example.com"
        - important_user@gmail.com
      exclude_identity_types:
        - adobeID          # adobeID, enterpriseID, and/or federatedID

    I ovanstående exempel är administratörer, leverantörer och användarnamnen exempelvärden. Använd namnen på Adobe-användargrupper, -produktprofiler eller -användare som du har skapat.

Skapa loggar

Användarsynkroniseringen skapar loggposter som kan skrivas ut och som även skrivs till en loggfil. Konfigurationsinställningarna för loggningsuppsättningen styr uppgifterna om var och hur mycket logginformation som matas ut.

  1. Om du vill stänga av eller slå på filloggen redigerar du värdet log_to_file i filen user-sync-config.yml.

    Meddelanden kan ha fem olika prioritetsnivåer och du kan välja den lägsta prioriteten som finns för filloggen eller standardutdataloggen till konsolen. Standardinställningarna är att skapa filloggen och inkludera meddelanden på nivå ”info” eller högre, vilket är den rekommenderade inställningen.

  2. Granska inställningarna för loggar och gör önskade ändringar. Den rekommenderade loggnivån är info (vilket är standard).

Konfigurera med hjälp av konfigurationsguiden för verktyget för användarsynkronisering (endast Windows)

Om du har en Windows-server kan du också använda konfigurationsguiden för verktyget för användarsynkronisering för att konfigurera användarsynkronisering.

Konfigurationsguiden för verktyget för användarsynkronisering är ett gränssnittsverktyg som hjälper dig att konfigurera verktyget för användarsynkronisering med API för användarhantering (Adobe.io), Enterprise-katalog (LDAP) och synkroniseringsinställningar. Den tillhandahåller kontextbaserad hjälp och länkar till dokumentationen för verktyget för användarsynkronisering. Mer information finns i Adobes konfigurationsguide för verktyget för användarsynkronisering.

Distribuera och automatisera

Kontrollera konfigurationen

Nu när verktyget för användarsynkronisering är konfigurerat på servern eller datorn, kan du kontrollera att det fungerar som det ska.

  1. Öppna kommandotolken.
  2. Gå till mappen user_sync_tool med hjälp av följande kommando.

    cd C:\Users\<your_user _name>\user_sync_tool
  3. Med hjälp av följande kommandon startas användarsynkronisering:

    Windows: python user-sync.pex ....

    UNIX: ./user-sync ....

    Om du till exempel vill verifiera att konfigurationen är slutförd kör du följande kommandon:

    För Windows:

    python user-sync.pex -v
    python user-sync.pex -h

    För UNIX:

    ./user-sync –v
    ./user-sync –h

    -v anger versionen, -h visar hjälp om kommandoradsargument.

  4. Använd testläget och kör en synkronisering begränsad till en mappad grupp i katalogen.

    python user-sync.pex -t --users mapped --process-groups --adobe-only-user-action exclude

    Kommandot ovan synkroniserar bara användarna i den mappade gruppen som angetts i user-sync-config.yml. Om användarna inte finns i Admin Console görs ett försök att skapa användarna och lägga till dem i någon av grupperna som är mappade från deras kataloggrupper.

    När du kör användarsynkronisering i testläge (-t) görs bara ett försök att skapa användaren och den skapas inte på riktigt. Alternativet --adobe-only-user-action exclude förhindrar att användarkonton som redan finns i Adobe-organisationen uppdateras.

  5. Kör synkroniseringen utan testläge så att användaren skapas och läggs till i de mappade grupperna.

     python user-sync.pex --users mapped --process-groups --adobe-only-user-action exclude
  6. Kontrollera om användaren visas och gruppmedlemskapen läggs till i Adobe Admin Console.

  7. Kör om samma kommando. Användarsynkroniseringen får inte försöka att skapa om och lägga till användaren i grupper igen. Den måste identifiera att användaren finns och är medlem i användargruppen eller produktprofilen och inte göra någonting.

Om alla tester fungerar som de ska, är du redo att göra en fullständig körning (utan användarfilter).

Obs!

Om du har fler än ett par hundra användare i katalogen kan det ta några timmar att synkronisera användarna med Adobe Admin Console.

Övervaka och schemalägga

Användarsynkroniseringen kan köras manuellt. Du kan också ställa in automatisering så att den körs en eller några gånger per dag helt automatiskt.

Obs!

Om du har ett system för logganalyser och varningar kan du se till att loggen från användarsynkroniseringen skickas till logganalyssystemet. Och ställ in varningar för eventuella felmeddelanden eller viktiga meddelanden som visas i loggen.

  1. Om du vill ta fram relevanta loggposter för en sammanställning skapar du en kommandofil i mappen user_sync_tool med anropet user-sync kopplat till en skanning. Du kan till exempel skapa filen run_sync.bat med innehåll som:

    cd user-sync-directory
    python user-sync.pex --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt
    rem email the contents of temp.file.txt to the user sync administration
    your-mail-tool –send file temp.file.txt
  2. Du kan också konfigurera ett kommandoradsverktyg för e-post.

    Det finns inget kommandoradsverktyg för e-post i Windows som standard, men det finns flera som du kan skaffa och fylla i dina specifika kommandoradsalternativ.

  3. Konfigurera schemaläggaren i Windows för att köra verktyget för användarsynkronisering.

    Koden nedan kör till exempel verktyget för användarsynkronisering varje dag klockan 16:00:

    C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00
  4. Om du vill vara säker på att de schemalagda uppgifterna fungerar, kör du ett kommando i testläge.

Denna produkt är licensierad enligt en Creative Commons Erkännande-Ickekommersiell-Dela Lika 3.0 Unported-licens  Twitter™- och Facebook-inlägg omfattas inte av villkoren i Creative Commons-licensen.

Juridiska meddelanden   |   Onlinesekretesspolicy