[Adobeアカウント連携]その2 User Sync Tool for Linux

こんにちは、サイオステクノロジーの小川です。今回はUser Syncの検証を行いましたので設定方法について掲載します。

User Sync ツールは、ユーザーとグループの情報を組織のエンタープライズディレクトリシステムから Adobe Admin Console 内の組織のディレクトリに移すためのツールです。User Syncを利用することで、源泉のLDAPでアカウントの一元管理が可能になります。

構成

ツール バージョン 役割
User Sync Tool 2.6.0 Adobeアカウント連携機能

ここからUser Syncの実行アプリケーションファイル(user-sync-v<バージョン>-centos7.tar.gz)と構成ファイル(examples.tar.gz)を取得します。

※User SyncはCentoOS8でも動作していることを確認しています。

サーバーにUser Sync用のディレクトリを作成します。

作成したディレクトリにUser Syncの実行ファイル、構成ファイルを配置します。

  • certs                                //certsディレクトリを作成し、配下に証明書を配置
  • connector-ldap.yml           //LDAP接続、フィルター、属性設定ファイル
  • connector-umapi.yml        //User Management API接続設定ファイル
  • user-sync-config.yml        //User Sync構成ファイル
  • user-sync                        //User Sync実行アプリ

証明書の作成

access_token プロセスの取得にあたって JWT の正当性を証明するためのキーペアを作成します。

User Sync実行アプリケーションのディレクトリに移動し、以下コマンドを実行します。

カレントディレクトリに証明書と秘密鍵が作成されます。

certsディレクトリに証明書と秘密鍵を移動します。

Adobe APIの追加

Adobe開発者コンソールにシステム管理者アカウントでログインします。

連携する組織を選択し、プロジェクトを作成します。

Add to Projectを選択し、APIからUser Management APIを追加します。

作成した公開鍵をOption2のUpload your public keyにアップロードします。

クライアントID、クライアントシークレット、テクニカルアカウントID、組織IDの値を控えます。

User Sync設定

Adobe接続設定

User Management APIの接続情報をUser Syncのconnector-umapi.ymlファイルで設定します。

LDAP接続

connector-ldap.ymlでLDAP接続、属性についての設定を行います。

User Sync連携設定

LDAPとAdobeの接続の設定が完了したら、連携処理の詳細なオプションをuser-sync-config.ymlで設定します。

invocation_defaultsの主なオプションの設定値

  •  adobe_only_user_action:adobeのみのユーザーの連携処理の設定
    • exclude:連携対象としない
    • preserve:削除に関する処理は行わない
    • remove:論理削除(ユーザーからは削除されるが、ディレクトリユーザには残る)
    • delete:物理削除(ユーザーからもディレクトリユーザーからも削除される)
  • process_groups
    • Yes:グループメンバーシップ情報を更新する
    • No:グループメンバーシップ情報を更新しない
  • update_user_info
    • Yes:ユーザー情報の更新をする
    • No:ユーザー情報の更新をしない
  • users
    • all:連携対象のユーザーすべてを連携する
    • mapped:連携対象かつグループのメンバーユーザーを連携する

連携実行

Adobeへのアカウント連携を実行するにはUser Syncの実行アプリケーションのフォルダへ移動します。

以下コマンドを実行します。

Adobe管理コンソールでアカウントが作成されたことを確認します。

テスト実行を行うには-tオプションをつけて実行します。

User Sync for Linuxのメリット

User Syncにはメール通知機能、ログ世代管理機能がありません。

shellでアカウント連携実行時に結果をメール通知するスクリプトを作成し、cronで定期実行を行うことが可能です。

logrotateでログのローテーション、世代管理が容易にできます。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

コメント投稿

メールアドレスは表示されません。


*