[Adobeアカウント連携]その1 User Sync Tool for Windows

★★★ Live配信告知 ★★★

第4回のPS Live配信は、昨年のCloudNative Days Tokyo 2020で、OSSのAPIGatewayでおなじみKongが開発する、サービスメッシュのKumaについて発表を行った槌野が、再びKumaについて語ります!
【2021/6/25(金) 17:00〜17:30】Kumaでメッシュなマイクロサービス リターンズ

こんにちは、サイオステクノロジーの小川です。今回はUser Syncの検証を行いましたので設定方法について掲載します。

User Sync ツールは、ユーザーとグループの情報を組織のエンタープライズディレクトリシステムから Adobe Admin Console 内の組織のディレクトリに移すためのツールです。User Syncを利用することで、源泉のLDAPでアカウントの一元管理が可能になります。

構成

ツール バージョン 役割
User Sync Tool 2.6.0 Adobeアカウント連携機能
UST Configuration Wizard 1.0.3 User Sync設定ツール

設定

ここからUser Syncの実行アプリケーションファイル(user-sync-v<バージョン>-win64.zip)と構成ファイル(examples.zip)を取得します。

User Sync構成ウィザードを取得します。

User Sync用のフォルダを作成し、以下のアプリケーション、ファイルを配置します。

  • connector-ldap.yml           //LDAP接続、フィルター、属性設定ファイル
  • connector-umapi.yml        //User Management API接続設定ファイル
  • user-sync-config.yml        //User Sync構成ファイル
  • private.key                      //User Syncサーバー秘密鍵 (以下で作成)
  • user-sync.exe                  //User Sync実行アプリ
  • UST.Configuration.App      //User Sync構成ツール

証明書の作成

コマンドプロンプトを開きます。User Sync実行アプリケーションがあるフォルダに移動し「user-sync certgen」を実行します。

カレントフォルダに証明書と秘密鍵が作成されます。

Adobe APIの追加

Adobe開発者コンソールにシステム管理者アカウントでログインします。

連携する組織を選択し、プロジェクトを作成します。

Add to Projectを選択し、APIからUser Management APIを追加します。

作成した公開鍵をOption2のUpload your public keyにアップロードします。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDを控えます。

User Syncの設定

Adobe.UST.Configuration.Appを実行します。

構成ウィザードが開くので、user-sync-config.ymlファイルを設定します。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDを入力し、秘密鍵を設定します。

LDAPとの接続情報の設定をします。

  • User Identifier:一意となるユーザ名の属性を設定します。
  • All Users Filter:連携対象とするアカウントの抽出条件を設定します。
  • Group Filter:連携対象とするグループの抽出条件を設定します。
  • Group Member Filter:グループのメンバーの抽出条件を設定します。

User Syncの連携の詳細を設定します。

  • User Identity Type:Adobeへ連携するアカウントのID形式を選択します。
  • Users Group:アカウントをLDAPのグループからAdobeのユーザ-グループまたは製品プロファイルに紐づけます。(下記の図の例ではLDAPのLDAPGroupのメンバーユーザーがAdobeユーザーグループであるAdobeGroup配下に連携される設定になります。)
  • Limit:Adobeのみにいるアカウントが連携時に一括削除できる最大値(設定値は有限な数値にする必要があります)
  • Log Level:出力するログレベル
  • Exclude Adobe-side identity type:Adobeのみに存在するアカウントの連携対象から除外するID形式
  • Exclude Adobe-side Users Groups:Adobeのみに存在するアカウントの連携対象から除外するユーザーグループ

以上で、基本的な設定は完了です。

※上記のGUIの設定項目名とuser-sync-config.ymlの設定項目名が異なる部分があるので注意してください。

連携の詳細設定

構成ウィザードの設定では連携のオプションについての設定はできないので、user-sync-config.ymlの設定を変更します。

Adobeのみのユーザーを連携対象から除外する設定はexclude_usersに対象のアカウントを設定します。

invocation_defaultsで連携時のオプションを設定します。

  • adobe_only_user_action:adobeのみのユーザーの連携処理の設定
    • exclude:連携対象としない
    • preserve:削除に関する処理は行わない
    • remove:論理削除(ユーザーからは削除されるが、ディレクトリユーザには残る)
    • delete:物理削除(ユーザーからもディレクトリユーザーからも削除される)
  • process_groups
    • Yes:グループメンバーシップ情報を更新する
    • No:グループメンバーシップ情報を更新しない
  • update_user_info
    • Yes:ユーザー情報の更新をする
    • No:ユーザー情報の更新をしない
  • users
    • all:連携対象のユーザーすべてを連携する
    • mapped:連携対象かつグループのメンバーユーザーを連携する

連携実行

Adobeへのアカウント連携を実行するにはコマンドプロンプトを開き、User Syncの実行アプリケーションのフォルダへ移動します。

以下コマンドを実行します。

Adobe管理コンソールでアカウントが作成されていることが確認できます。

テスト実行を行うには-tオプションをつけて実行します。

User Sync for Windowsのメリット

Windows Serverで設定するUser Syncのメリットとして挙げられるのはGUIで設定ができるので、分かりやすいという点です。

User Syncにはメールでの結果通知機能がありません。vbs等でメール通知のスクリプトを作成し、アカウント連携とメール通知スクリプトをbatで実行することで実現することが可能です。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

Be the first to comment

Leave a Reply

Your email address will not be published.


*


ten − 4 =