[Adobeアカウント連携]その1 User Sync Tool for Windows

こんにちは、サイオステクノロジーの小川です。今回はUser Syncの検証を行いましたので設定方法について掲載します。

User Sync ツールは、ユーザーとグループの情報を組織のエンタープライズディレクトリシステムから Adobe Admin Console 内の組織のディレクトリに移すためのツールです。User Syncを利用することで、源泉のLDAPでアカウントの一元管理が可能になります。

構成

ツール バージョン 役割
User Sync Tool 2.6.0 Adobeアカウント連携機能
UST Configuration Wizard 1.0.3 User Sync設定ツール

設定

ここからUser Syncの実行アプリケーションファイル(user-sync-v<バージョン>-win64.zip)と構成ファイル(examples.zip)を取得します。

User Sync構成ウィザードを取得します。

User Sync用のフォルダを作成し、以下のアプリケーション、ファイルを配置します。

  • connector-ldap.yml           //LDAP接続、フィルター、属性設定ファイル
  • connector-umapi.yml        //User Management API接続設定ファイル
  • user-sync-config.yml        //User Sync構成ファイル
  • private.key                      //User Syncサーバー秘密鍵 (以下で作成)
  • user-sync.exe                  //User Sync実行アプリ
  • UST.Configuration.App      //User Sync構成ツール

証明書の作成

コマンドプロンプトを開きます。User Sync実行アプリケーションがあるフォルダに移動し「user-sync certgen」を実行します。

カレントフォルダに証明書と秘密鍵が作成されます。

Adobe APIの追加

Adobe開発者コンソールにシステム管理者アカウントでログインします。

連携する組織を選択し、プロジェクトを作成します。

Add to Projectを選択し、APIからUser Management APIを追加します。

作成した公開鍵をOption2のUpload your public keyにアップロードします。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDを控えます。

User Syncの設定

Adobe.UST.Configuration.Appを実行します。

構成ウィザードが開くので、user-sync-config.ymlファイルを設定します。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDを入力し、秘密鍵を設定します。

LDAPとの接続情報の設定をします。

  • User Identifier:一意となるユーザ名の属性を設定します。
  • All Users Filter:連携対象とするアカウントの抽出条件を設定します。
  • Group Filter:連携対象とするグループの抽出条件を設定します。
  • Group Member Filter:グループのメンバーの抽出条件を設定します。

User Syncの連携の詳細を設定します。

  • User Identity Type:Adobeへ連携するアカウントのID形式を選択します。
  • Users Group:アカウントをLDAPのグループからAdobeのユーザ-グループまたは製品プロファイルに紐づけます。(下記の図の例ではLDAPのLDAPGroupのメンバーユーザーがAdobeユーザーグループであるAdobeGroup配下に連携される設定になります。)
  • Limit:Adobeのみにいるアカウントが連携時に一括削除できる最大値(設定値は有限な数値にする必要があります)
  • Log Level:出力するログレベル
  • Exclude Adobe-side identity type:Adobeのみに存在するアカウントの連携対象から除外するID形式
  • Exclude Adobe-side Users Groups:Adobeのみに存在するアカウントの連携対象から除外するユーザーグループ

以上で、基本的な設定は完了です。

※上記のGUIの設定項目名とuser-sync-config.ymlの設定項目名が異なる部分があるので注意してください。

連携の詳細設定

構成ウィザードの設定では連携のオプションについての設定はできないので、user-sync-config.ymlの設定を変更します。

Adobeのみのユーザーを連携対象から除外する設定はexclude_usersに対象のアカウントを設定します。

invocation_defaultsで連携時のオプションを設定します。

  • adobe_only_user_action:adobeのみのユーザーの連携処理の設定
    • exclude:連携対象としない
    • preserve:削除に関する処理は行わない
    • remove:論理削除(ユーザーからは削除されるが、ディレクトリユーザには残る)
    • delete:物理削除(ユーザーからもディレクトリユーザーからも削除される)
  • process_groups
    • Yes:グループメンバーシップ情報を更新する
    • No:グループメンバーシップ情報を更新しない
  • update_user_info
    • Yes:ユーザー情報の更新をする
    • No:ユーザー情報の更新をしない
  • users
    • all:連携対象のユーザーすべてを連携する
    • mapped:連携対象かつグループのメンバーユーザーを連携する

連携実行

Adobeへのアカウント連携を実行するにはコマンドプロンプトを開き、User Syncの実行アプリケーションのフォルダへ移動します。

以下コマンドを実行します。

Adobe管理コンソールでアカウントが作成されていることが確認できます。

テスト実行を行うには-tオプションをつけて実行します。

User Sync for Windowsのメリット

Windows Serverで設定するUser Syncのメリットとして挙げられるのはGUIで設定ができるので、分かりやすいという点です。

User Syncにはメールでの結果通知機能がありません。vbs等でメール通知のスクリプトを作成し、アカウント連携とメール通知スクリプトをbatで実行することで実現することが可能です。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

コメント投稿

メールアドレスは表示されません。


*