В macOS/Linux откройте терминал.
В Windows откройте программу, которая предлагает поддержку openssl (Cygwin или cmd). Также начиная с версии 2.6.0 для генерации открытого сертификата и закрытого ключа можно использовать инструмент синхронизации пользователей User Sync Tool. Необходимо загрузить инструмент на локальное устройство и с помощью командной строки найти каталог с файлом user-sync.exe:
- Организации и группы клиентов Adobe: руководство администратора
- Планирование развертывания
- Основные понятия
- Руководства по развертыванию
- Развертывание Creative Cloud для образовательных учреждений
- Домашняя страница развертывания
- Мастер по адаптации для среднего общего образования
- Простая настройка
- Синхронизация пользователей
- Roster Sync, среднее общее образование (США)
- Ключевые концепции лицензирования
- Варианты развертывания
- Краткие советы
- Одобрение приложений Adobe в Google Admin Console
- Открытие в Google Classroom доступа к Adobe Express
- Интеграция с Canvas LMS
- Интеграция с Blackboard Learn
- Настройка единого входа SSO для окружных порталов и LMS
- Добавление пользователей через Roster Sync
- Часто задаваемые вопросы о Kivuto
- Принципы определения соответствия учреждений начального и среднего образования требованиям к участию
- Настройка организации
- Типы удостоверений | Обзор
- Настройка удостоверений | Обзор
- Настройка организации с Enterprise ID
- Настройка федерации и синхронизации Azure AD
- Настройка Google Federation и синхронизация
- Настройка организации с помощью Microsoft ADFS
- Настройка организации для окружных порталов и LMS
- Настройка организации с другими поставщиками удостоверений
- SSO: часто задаваемые вопросы и устранение неполадок
- Управление настройками организации
- Управление существующими доменами и каталогами
- Включение автоматического создания учетной записи
- Настройка организации через доверительные отношения для каталогов
- Переход к новому поставщику аутентификации
- Настройки ресурсов
- Параметры проверки подлинности
- Контакты отделов безопасности и конфиденциальности
- Настройки консоли
- Управление шифрованием
- Управление существующими доменами и каталогами
- Управление пользователями
- Обзор
- Административные роли
- Стратегии управления пользователями
- Назначение лицензий пользователю рабочей группы
- Добавление пользователей с совпадающими доменами электронной почты
- Изменение типов удостоверений пользователей
- Управление группами пользователей
- Управление пользователями каталога
- Управление разработчиками
- Перенос существующих пользователей в Adobe Admin Console
- Переход на управление пользователями через Adobe Admin Console
- Обзор
- Управление продуктами и разрешениями
- Управление продуктами и профилями продуктов
- Управление продуктами
- Покупка продуктов и лицензий
- Управление профилями продуктов для корпоративных пользователей
- Управление правилами автоматического назначения
- Предоставление пользователям возможности обучать настраиваемые модели Firefly
- Обзор запросов на предоставление доступа к продуктам
- Управление политиками самообслуживания
- Управление интеграцией приложений
- Управление разрешениями для продукта в Admin Console
- Включение и отключение сервисов для профиля продукта
- Одно приложение | Creative Cloud для организаций
- Дополнительные сервисы
- Управление лицензиями на общие устройства
- Управление продуктами и профилями продуктов
- Начало работы с Global Admin Console
- Внедрение глобального администрирования
- Выбор своей организации
- Управление иерархией организации
- Управление профилями продуктов
- Управление администраторами
- Управление группами пользователей
- Обновление политик организации
- Управление шаблонами политик
- Выделение продуктов дочерним организациям
- Выполнение отложенных заданий
- Аналитические данные
- Экспорт и импорт организационной структуры
- Управление хранилищем и ресурсами
- Хранилище
- Перенос ресурсов
- Восстановление ресурсов пользователя
- Перенос ученических ресурсов | только EDU
- Управление сервисами
- Adobe Stock
- Пользовательские шрифты
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud для организаций — бесплатная подписка
- Развертывание приложений и обновлений
- Обзор
- Создание пакетов
- Настройка пакетов
- Развертывание пакетов
- Развертывание пакетов
- Развертывание пакетов Adobe с помощью Microsoft Intune
- Развертывание пакетов Adobe с помощью SCCM
- Развертывание пакетов Adobe с помощью ARD
- Установка продуктов в папку исключений
- Удаление продуктов Creative Cloud
- Использование Adobe Provisioning Toolkit для организаций
- Идентификаторы лицензий Adobe Creative Cloud
- Развертывание пакетов
- Управление обновлениями
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Устранение проблем
- Управление учетной записью для рабочих групп
- Продление
- Управление договорами
- Отчеты и журналы
- Справка
Этот документ содержит инструкции по установке инструмента User Sync для автоматизации процесса управления пользователями.
Инструмент User Sync — это утилита командной строки, которая перемещает информацию о пользователях и группах из системы корпоративного каталога вашей организации (например, Active Directory или других систем LDAP) в каталог вашей организации в Adobe Admin Console. При каждом запуске инструмент User Sync выполняет поиск различий между сведениями о пользователях и группах в двух системах и обновляет каталог Adobe, чтобы привести в соответствие данные в вашем каталоге.
В этом документе представлены пошаговые инструкции по организации взаимодействия системы Active Directory и Adobe Admin Console. Это одна из самых популярных комбинаций, которую используют наши клиенты из сегмента SMB и представители учреждений для дошкольного, начального и среднего образования. User Sync — это гибкий инструмент, который можно использовать для организации взаимодействия с большинством LDAP и систем каталогов. Если вы используете систему каталогов, отличную от Active Directory, инструкции из этого документа не применяются напрямую; внесите необходимые изменения. Подробнее см. раздел Руководство по успешной настройке.
Перед началом работы
Вам нужна следующая информация о вашей системе LDAP. При отсутствии сведений обратитесь к своему ИТ-администратору.
- Имя контроллера домена (или его IP, если исправлено) и порт.
- Имя пользователя и пароль для служебной учетной записи, которую инструмент может использовать для извлечения пользователей из LDAP (доступ только для чтения).
- Base DN — точка, с которой сервер ищет пользователей; она должна быть достаточно широкой, чтобы можно было обнаружить всех пользователей и группы, требующие синхронизации.
- Названия групп, которые являются частью синхронизации.
- Наиболее подходящий атрибут LDAP для электронной почты/имен всех пользователей, которые должны быть созданы в Admin Console.
- (Необязательно) Вам также может потребоваться пользовательский запрос LDAP, который выбирает набор пользователей для синхронизации с Adobe, если фильтры по умолчанию не соответствуют требованиям.
Пара ключей используется для подписания JWT и проверки легитимности при получении процесса access_token. При необходимости обратитесь за помощью в группу по безопасности.
Советы по работе с сертификатами
- Публичный сертификат может быть подписан вашим собственным центром сертификации (при необходимости перейдите на более высокий уровень CSR); самозаверяющие тоже принимаются.
- Закрытый ключ должен быть RSA: 2048 бит в минуту.
- Публичный сертификат должен иметь расширение .crt.
- Вход с использованием SHA-256.
- Срок действия открытого ключа: рекомендуется три года, но решающее значение имеет ваша внутренняя политика безопасности.
Создание сертификата с собственной подписью
Для использования самоподписанных сертификатов со случайными значениями и общедоступного сертификата со сроком действия один год портал adobe.io предлагает возможность их генерирования на этапе создания проекта или в меню Service Account (JWT) существующего проекта. Дополнительные сведения см. в разделе Интеграция с Adobe I/O.
Для использования самоподписанных сертификатов с самостоятельным вводом данных и срока действия выполните следующие шаги.
-
user-sync.exe certgen
-
Выполните следующую команду:
openssl req -x509 -sha256 -nodes -days 1095 -newkey rsa:2048 -keyout private.key -out certificate_pub.crt
-
По окончании формирования закрытого ключа появится предложение ввести дополнительные сведения, чтобы создать отличительное имя для открытого ключа. Вы можете принять значения по умолчанию или ввести соответствующие данные. Чтобы оставить поле пустым, введите «.» (знак точки).
Файлы публичного сертификата и закрытого ключа по умолчанию сохраняются в следующих папках:
Windows: C:\cygwin64\home\<your_user_name>
(при использовании файла user-sync.exe файл должен находиться в одной папке со сценарием)
macOS: /Users/<your_user_name>
Если планируется установка User Sync на компьютере, убедитесь в его соответствии следующим требованиям:
- наличие доступа к сети Интернет и вашей службе каталогов (LDAP или AD);
- защищенность и безопасность (ваши административные учетные данные хранятся или доступны там);
- компьютер постоянно активен и обладает возможностью резервного копирования и восстановления;
- имеется возможность отправлять электронную почту, так что User Sync может отправлять отчеты администраторам;
- если это компьютер Windows, он оснащен 64-битным процессором.
В ином случае обратитесь в ИТ-отдел, чтобы идентифицировать такой сервер и получить доступ к нему.
Убедитесь, что вы создали каталоги для своей организации, и в Adobe Admin Console создаются профили продуктов и группы пользователей.
Настройка сервера
Для настройки интеграции adobe.io выполните следующие действия:
-
Войдите в консоль Adobe I/O Console с правами системного администратора и в раскрывающемся списке в правом верхнем углу выберите свою организацию. Нажмите Создать проект.
-
Выберите Редактировать проект в правом верхнем углу для добавления названия и описания проекта. Нажмите кнопку Сохранить.
-
Нажмите Добавить API.
-
В окне добавления APi установите фильтр Службы Adobe и выберите User Management API. Нажмите кнопку Далее.
-
- Создание пары ключей:
Если вы хотите использовать самоподписанный сертификат со случайными значениями, сгенерированными adobe.io и со сроком действия 1 год, выберите Создать пару ключей. Затем нажмите Создать пару ключей.
Файл config.zip загружается на ваш локальный компьютер, на котором находится файл certificate_pub.crt и private.key. Публичный сертификат автоматически добавляется в вашу интеграцию, а файл private.key будет использован позже в процессе настройки.
- Загрузка публичного ключа:
Если у вас есть собственный публичный сертификат или вы сгенерировали его, выполнив процедуру, описанную в разделе Получение открытого и закрытого ключа, выберите Загрузка публичного ключа. Прокрутите вниз и загрузите файл сертификата открытого ключа. Нажмите кнопку Далее.
-
Нажмите Сохранить настроенный API.
-
Для просмотра учетных данных выберите Service Account (JWT).
Информация на этой странице будет использована позже в одном из файлов инструмента User Sync Tool.
-
Создайте папку с именем user_sync_tool в месте на диске, где пользователи с необходимыми разрешениями могут получить доступ к его содержимому.
-
Получите доступ к GitHub и найдите тег Последняя версия.
В этом выпуске найдите и разверните ресурсы. Затем найдите и загрузите:
- файл examples.zip
- ZIP-файл инструмента User Sync Tool в списке, который соответствует типу вашей ОС
-
Разархивируйте examples.zip, перейдите к config files - basic и скопируйте эти файлы в папку user_sync_tool: connector-ldap.yml, connector-umapi.yml и user-sync-config.yml.
-
Извлеките из другого файла zip файл user-sync.exe и поместите его в ту же папку user_sync_tool.
-
Найдите файл private.key, который предоставляется вместе с публичным сертификатом, и переместите его в ту же папку user_sync_tool. Теперь папка содержит:
- connector-ldap.yml
- connector-umapi.yml
- private.key
- user-sync.exe
- user-sync-config.yml
Настройка User Sync
-
Редактируйте файл connector-ldap.yml со специализированным текстовым редактором.
-
Введите имя пользователя, пароль, хост и значения base_dn.
-
Задайте 200 для search_page_size.
-
Хотя в большинстве случаев фильтры по умолчанию подойдут. Если вам нужен пользовательский запрос LDAP для извлечения группы пользователей, измените параметр конфигурации all_users_filter.
-
Подтвердите остальные параметры без комментариев и атрибуты LDAP, на которые они указывают. Измените их в соответствии с вашими потребностями.
В некоторых развертываниях настроен вход в систему на основе имени пользователя (поле «Имя пользователя» в Admin Console для данного пользователя не относится к типу электронной почты со значением).
В данном случае включите также следующую строку (удалите символ #):
user_username_format: {sAMAccountName}Замените sAMAccountName на правильный атрибут, если тот не подходит для использования.
-
Измените файл connector-umapi.yml. Этот файл содержит сведения о доступе к вашей организации Adobe.
-
Введите следующие данные из ранее созданной интеграции adobe.io:
- org_id
- api_key
- client_secret
- tech_acct
-
Убедитесь, что priv_key_path содержит точное название закрытого ключа в папке user_sync_tool.
Если закрытый ключ находится в той же папке, что и остальная часть файлов UST, priv_key_path может содержать только название файла; файл действует как относительный путь.
Если в вашем каталоге не указывается страна для каждого пользователя, вы можете определить страну по умолчанию.
-
Измените файл user-sync-config.yml.
-
Удалите # из строки кода страны по умолчанию и введите соответствующий код страны. Пример.
default_country_code: US
Примечание.Код страны необходим для идентификаторов Federated ID и рекомендуется для Enterprise ID. Если этот код не указан для идентификаторов Enterprise ID, пользователям будет предложено выбрать страну при первом входе в систему.
Отображение групп определяет, какие группы LDAP должны иметь соответствующую группу пользователей или PLC в Admin Console.
Цель здесь заключается в том, чтобы дать инструменту источник групп/пользователей для его соответствия тем же участникам в сторонних группах/PLC в Admin Console.
-
Измените отображение групп в файле user-sync-config.yml.
-
Для каждой группы каталогов, которая должна отображаться в профиле продуктов Adobe или группе пользователей, добавьте запись в раздел группы. Пример.
groups: - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here - directory_group: LDAP_group_name_goes_here adobe_groups: - Adobe_group_name_goes_here
Примечание.Отображение групп может быть выполнено с помощью групп пользователей или профилей продуктов Adobe, но не названий продуктов. Кроме того, вы можете отобразить одну группу каталогов в несколько групп пользователей или профилей продуктов Adobe.
Чтобы предотвратить случайное удаление учетной записи в случае неверной конфигурации или другой проблемы, вы можете установить ограничение максимального количества удалений учетной записи, которое вы ожидаете в ежедневной синхронизации.
-
Чтобы изменить лимит, найдите max_adobe_only_users в файле user-sync-config.yml.
-
Если вы ожидаете, что количество удалений учетных записей превысит заданное значение max_adobe_only_users между запусками User Sync, увеличьте значение, чтобы покрыть все удаления учетных записей.
Примечание.Если количество удаляемых учетных записей превышает значение max_adobe_only_users, инструмент не будет выполнять удаление учетной записи. В журнале появляется критическая запись, сообщающая о достижении этого предела.
Это ограничение не влияет на действия по созданию.
Существуют ситуации, в которых некоторые учетные записи должны быть исключены из синхронизации. Это может быть достигнуто путем редактирования файла user-sync-config.yml.
Инструмент предлагает три функции исключения: по типу удостоверения, по имени группы и по регулярному выражению.
Любая найденная в Admin Console учетная запись, которая отвечает хотя бы одному из упомянутых критериев, защищена от действий по удалению (из группы, из организации).
Рекомендуется иметь AdobeID для системных администраторов в Admin Console и исключать их с помощью exclude_identity_types: adobeID
Пример:
adobe_users:
exclude_identity_types:
- Adobe ID # Adobe ID, Enterprise ID, Federated ID
exclude_adobe_groups:
- adobe_group_name # подписчики не должны удаляться в User Sync
- other_group_name # вы можете исключить несколько групп
exclude_users:
- ".*@example.com"
- important_user@domain.com
Инструмент User Sync создает записи журнала, которые выводятся на печать, а также записываются в файл журнала. Набор записей в журнале настроек конфигурации управляет сведениями о месте и способе вывода данных журнала.
-
Чтобы включить или отключить журнал файлов, измените значение log_to_file в файле user-sync-config.yml.
-
Просмотрите настройки журналов и внесите необходимые изменения. Для первоначальной настройки рекомендуется использовать
log_to_file: True
file_log_level: debug
Для настройки User Sync, если используется сервер Windows, можно применять также Мастер настройки инструмента User Sync.
Мастер настройки инструмента User Sync — это инструмент графического интерфейса пользователя, позволяющий с легкостью выполнить конфигурирование User Sync с настройками User Management API (Adobe.io), Enterprise Directory (LDAP) и синхронизации. Он предоставляет контекстную справку и ссылки на документацию для инструмента User Sync. Подробности см. в разделе Мастер настройки инструмента User Sync в Adobe.
Развертывание и автоматизация
Теперь, когда инструмент User Sync настроен на вашем сервере или компьютере, можно проверить корректность его функционирования. Информацию по поводу устранения распространенных проблем при запуске инструмента User Sync Tool см. в разделе Советы по устранению распространенных ошибок.
-
Откройте командную строку.
-
Используя следующую команду, перейдите в папку user_sync_tool.
cd path/to/user_sync_tool
-
Чтобы убедиться в полноте конфигурации, выполните следующие команды:
Для Windows:
user-sync.exe -v user-sync.exe -h
Для UNIX:
./user-sync –v ./user-sync –h
-v указывает версию, -h предоставляет справку по элементам командной строки.
-
В тестовом режиме запустите синхронизацию, ограниченную сопоставленными группами, которые указаны в файле конфигурации, за исключением существующих учетных записей со стороны Adobe.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action exclude
В результате приведенной выше команды синхронизируются только пользователи в отображаемой группе, указанной в файле user-sync-config.yml. Если в Admin Console не содержатся пользователи, это приводит к попытке создать пользователей и добавить их в любые группы, которые отображаются из их групп каталогов.
При выполнении user-sync в тестовом режиме (-t) происходит только попытка создать пользователя, а не фактическое действие. Параметр --adobe-only-user-action exclude предотвращает удаление любых существующих учетных записей пользователей в организации Adobe.
-
Хотя invocation_defaults по умолчанию устанавливает аргументы для работы с инструментом, вы можете переопределить их, упомянув в командной строке. В тестовом режиме запустите синхронизацию, ограниченную сопоставленными группами, которые указаны в файле конфигурации. Для этого удалите дополнительные учетные записи, найденные на стороне Adobe и не найденные при извлечении LDAP.
user-sync.exe -t --users mapped --process-groups --adobe-only-user-action remove
-t
Запустите моделирование, а не текущую синхронизацию, и посмотрите, что произойдет.
--users-mapped
Извлеките пользователей из LDAP, которые являются как результатами all_user_filter, так и подписчиками предоставленных имен directory_group в файле конфигурации.
--process-groups
Добавляйте/удаляйте пользователей в/из пользовательских групп или PLC на стороне Adobe в зависимости от того, является ли учетная запись подписчиком из сопоставленных групп LDAP.
--adobe-only-user-action remove
Любая учетная запись, найденная на стороне Adobe, удаляется из меню «Пользователи», а права удаляются, если они не обнаружены в извлечении LDAP и не исключаются из синхронизации.
Если все тесты выполняются корректно, вы готовы выполнить полный запуск (без флажка тестового режима).
- Представленные командные строки приведены лишь в качестве примера и могут не охватывать все случаи использования.
- Первоначальная синхронизация может занять от нескольких секунд до нескольких часов в зависимости от количества учетных записей для синхронизации. Примерно 250 пользователей создаются каждые 1,5–2 минуты (включая время ожидания).
- Ожидаются сообщения с кодом предупреждения о тайм-ауте UMAPI 429. Инструмент обрабатывает механизм повтора.
Инструмент User Sync можно запускать вручную либо можно настроить автоматический режим для его запуска один или несколько раз в день.
Если вам доступна система анализа журналов и оповещений, организуйте отправку журнала из User Sync в систему анализа журналов. Кроме того, настройте оповещения об ошибках или критических ситуациях, отображаемых в журнале.
-
Чтобы вывести соответствующие записи журнала для сводки, создайте пакетный файл в папке user_sync_tool с вызовом user-sync, подключенным к сканированию. Например, создайте файл run_sync.bat с содержимым подобного типа:
cd path/to/user-sync-folder user-sync.exe --users file example.users-file.csv --process-groups | findstr /I "==== ----- WARNING ERROR CRITICAL Number" > temp.file.txt rem email the contents of temp.file.txt to the user sync administration your-mail-tool –send file temp.file.txt
-
При желании настройте инструмент командной строки электронной почты.
В Windows нет стандартного инструмента командной строки электронной почты, но некоторые из них можно приобрести и указать в конкретных параметрах командной строки.
-
Настройте планировщик задач Windows для запуска инструмента User Sync.
Например, приведенный ниже код запускает инструмент User Sync ежедневно в 16:00.
C:\> schtasks /create /tn "Adobe User Sync" /tr path_to_bat_file/run_sync.bat /sc DAILY /st 16:00