[Adobeアカウント連携]その1 User Sync Tool for Windows

こんにちは、サイオステクノロジーの小川です。今回はUser Syncの検証を行いましたので設定方法について掲載します。

User Sync ツールは、ユーザーとグループの情報を組織のエンタープライズディレクトリシステムから Adobe Admin Console 内の組織のディレクトリに移すためのツールです。User Syncを利用することで、源泉のLDAPでアカウントの一元管理が可能になります。

構成

設定

ここからUser Syncの実行アプリケーションファイル(user-sync-v<バージョン>-win64.zip)と構成ファイル(examples.zip)を取得します。

User Sync構成ウィザードを取得します。

User Sync用のフォルダを作成し、以下のアプリケーション、ファイルを配置します。

• connector-ldap.yml           //LDAP接続、フィルター、属性設定ファイル
• connector-umapi.yml        //User Management API接続設定ファイル
• user-sync-config.yml        //User Sync構成ファイル
• private.key                      //User Syncサーバー秘密鍵 （以下で作成）
• user-sync.exe                  //User Sync実行アプリ
• UST.Configuration.App      //User Sync構成ツール

証明書の作成

コマンドプロンプトを開きます。User Sync実行アプリケーションがあるフォルダに移動し「user-sync certgen」を実行します。

カレントフォルダに証明書と秘密鍵が作成されます。

Adobe APIの追加

Adobe開発者コンソールにシステム管理者アカウントでログインします。

連携する組織を選択し、プロジェクトを作成します。

Add to Projectを選択し、APIからUser Management APIを追加します。

作成した公開鍵をOption2のUpload your public keyにアップロードします。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDを控えます。

User Syncの設定

Adobe.UST.Configuration.Appを実行します。

構成ウィザードが開くので、user-sync-config.ymlファイルを設定します。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDを入力し、秘密鍵を設定します。

LDAPとの接続情報の設定をします。

• User Identifier：一意となるユーザ名の属性を設定します。
• All Users Filter：連携対象とするアカウントの抽出条件を設定します。
• Group Filter：連携対象とするグループの抽出条件を設定します。
• Group Member Filter：グループのメンバーの抽出条件を設定します。

User Syncの連携の詳細を設定します。

• User Identity Type：Adobeへ連携するアカウントのID形式を選択します。
• Users Group：アカウントをLDAPのグループからAdobeのユーザ－グループまたは製品プロファイルに紐づけます。（下記の図の例ではLDAPのLDAPGroupのメンバーユーザーがAdobeユーザーグループであるAdobeGroup配下に連携される設定になります。）
• Limit：Adobeのみにいるアカウントが連携時に一括削除できる最大値（設定値は有限な数値にする必要があります）
• Log Level：出力するログレベル
• Exclude Adobe-side identity type：Adobeのみに存在するアカウントの連携対象から除外するID形式
• Exclude Adobe-side Users Groups：Adobeのみに存在するアカウントの連携対象から除外するユーザーグループ

以上で、基本的な設定は完了です。

※上記のGUIの設定項目名とuser-sync-config.ymlの設定項目名が異なる部分があるので注意してください。

連携の詳細設定

構成ウィザードの設定では連携のオプションについての設定はできないので、user-sync-config.ymlの設定を変更します。

Adobeのみのユーザーを連携対象から除外する設定はexclude_usersに対象のアカウントを設定します。

adobe_users:
  exclude_identity_types:
    - adobeID
  exclude_adobe_groups:
    #- "Sample Product Profile"
    #- "Sample User Group"
  exclude_users:
    #- ".*@special.com"
    #- "freelancer-[0-9]+.*"

invocation_defaultsで連携時のオプションを設定します。

• adobe_only_user_action：adobeのみのユーザーの連携処理の設定
  • exclude：連携対象としない
  • preserve：削除に関する処理は行わない
  • remove：論理削除（ユーザーからは削除されるが、ディレクトリユーザには残る）
  • delete：物理削除（ユーザーからもディレクトリユーザーからも削除される）
• process_groups
  • Yes：グループメンバーシップ情報を更新する
  • No：グループメンバーシップ情報を更新しない
• update_user_info
  • Yes：ユーザー情報の更新をする
  • No：ユーザー情報の更新をしない
• users
  • all：連携対象のユーザーすべてを連携する
  • mapped：連携対象かつグループのメンバーユーザーを連携する

invocation_defaults:
  adobe_only_user_action: preserve
  adobe_only_user_list: null
  adobe_users: all
  connector: ldap
  exclude_unmapped_users: No
  process_groups: Yes
  strategy: sync
  test_mode: No
  update_user_info: No
  user_filter: null
  users: mapped

連携実行

Adobeへのアカウント連携を実行するにはコマンドプロンプトを開き、User Syncの実行アプリケーションのフォルダへ移動します。

以下コマンドを実行します。

C:\user_sync> user-sync

Adobe管理コンソールでアカウントが作成されていることが確認できます。

テスト実行を行うには-tオプションをつけて実行します。

C:\user_sync> user-sync -t

User Sync for Windowsのメリット

Windows Serverで設定するUser Syncのメリットとして挙げられるのはGUIで設定ができるので、分かりやすいという点です。

User Syncにはメールでの結果通知機能がありません。vbs等でメール通知のスクリプトを作成し、アカウント連携とメール通知スクリプトをbatで実行することで実現することが可能です。