セットアップとインストール

このセクションの内容


前のセクション | 次のセクション


User Sync ツールを使用するには、ユーザーの企業が製品構成を Adobe Admin Console にセットアップしている必要があります。その方法について詳しくは、「サービスの構成」ヘルプページを参照してください。

Adobe I/O にユーザー管理 API の統合をセットアップする

User Sync ツールは、ユーザー管理 API のクライアントです。ツールをインストールする前に、Adobe I/O の「開発者ポータル」で「integration」を追加して、API のクライアントとして登録する必要があります。ツールがアドビのユーザー管理システムにアクセスするのに必要な資格情報を取得するために、エンタープライズキー統合を追加する必要があります。

統合を作成するための手順は、Adobe I/O Web サイトの Adobe I/O 認証の概要の節に記載されています。サービスアカウントの認証に関する節をご覧ください。このプロセスでは、統合専用の証明書(自己署名可能)を作成する必要があります。プロセスが完了すると、ツールが使用する API keyTechnical account IDOrganization ID、および client secret が割り当てられ、Admin Console と安全に通信するための証明書情報も付与されます。User Sync ツールをインストールする際、アドビ内のユーザー組織のユーザー情報ストアにアクセスするときにツールで必要となる構成値としてこれらを提供する必要があります。

その他の情報については、こちらまたはこちらで入手できる UMAPI ドキュメントを参照してください。

製品アクセス同期のセットアップ

User Sync ツールを使用してアドビ製品へのユーザーアクセスをアップデートする場合、Adobe Admin Console に定義したユーザーグループと製品プロファイルに対応するご自身のエンタープライズディレクトリにグループを作成する必要があります。製品プロファイルのメンバーシップがあると、特定のアドビ製品セットへのアクセス権が付与されます。ユーザーまたは定義されたユーザーグループのアクセスは、製品プロファイルから追加または取り除くことによって、付与または取り消すことができます。

User Sync ツールは、エンタープライズディレクトリメンバーシップに基づいてユーザーをユーザーグループおよび製品プロファイルに追加することにより、ユーザーに製品アクセスを付与することができます。ただし、グループ名が正しくマッピングされており、グループメンバーシップを処理するオプションでツールを実行する必要があります。

ツールをこのような方法で使用する場合は、メインの構成ファイルでエンタープライズディレクトリグループを対応するアドビグループにマッピングする必要があります。これをおこなうには、両方の側にグループが存在すること、また対応する正確な名前を把握していることが必要です。

製品と製品プロファイルの確認

User Sync を構成し始める前に、企業でどのアドビ製品を使用しているか、またアドビのユーザー管理システムでどの製品プロファイルとユーザーグループが定義されているかを把握する必要があります。詳しくは、「エンタープライズサービスの構成」のヘルプページを参照してください。

製品プロファイルがまだない場合は、コンソールを使用して作成できます。User Sync がユーザーエンタイトルメント情報をアップデートするには、何らかの製品構成が必要で、それに対応するグループがエンタープライズディレクトリに存在する必要があります。

製品プロファイルの名前は一般に、全アクセスや単体製品アクセスなど、ユーザーが必要な製品アクセスのタイプを示します。正確な名前を確認するには、、Adobe Admin Console の「製品」セクションに移動し、ユーザーの企業で有効化されている製品を表示します。その製品で定義されている製品プロファイルの詳細を表示するには、製品をクリックします。

エンタープライズディレクトリで対応するグループを作成します。

Adobe Admin Console でユーザーグループと製品プロファイルを定義した後、自分のエンタープライズディレクトリで対応するグループを作成して名前を付ける必要があります。例えば、「コンプリートプラン」製品プロファイルに対応するディレクトリグループは「all_apps」と呼ぶことができます。

これらのグループに付けた名前と、対応するアドビグループをメモしておきます。メインの User Sync 構成ファイルでマッピングをセットアップする際にこれを使用します。「グループマッピングの構成」で詳細を参照してください。

ベストプラクティスとして、製品プロファイルまたはユーザーグループの説明フィールドに、グループが User Sync によって管理されており、Admin Console では編集しないことを注記します。

Figure 2:グループマッピングの概要

User Sync ツールのインストール

必要システム構成

User Sync ツールは Python を使って実装し、Python バージョン 2.7.9 以降が必要です。スクリプトをインストール、構成、および実行する各環境について、次のステップに移る前に、Python がオペレーティングシステムにインストールされていることを確認する必要があります。詳しくは、Python の Web サイトを参照してください。

ツールは Python LDAP パッケージ pyldap を使用して構築されており、このパッケージ自体は OpenLDAP クライアントライブラリの上に構築されています。Windows Server、Apple OSX、および Linux の多くのバージョンは OpenLDAP クライアントが標準でインストールされています。ただし、OpenBSD や FreeBSD など一部の UNIX オペレーティングシステムでは、基本インストールに含まれていません。

スクリプトを実行する前に、ご使用の環境に OpenLDAP クライアントがインストールされていることを確認してください。ご使用のシステムに存在しない場合、User Sync ツールをインストールする前に、OpenLDAP クライアントをインストールする必要があります。

インストール

User Sync ツールは GitHub の User Sync リポジトリから入手できます。ツールをインストールするには、次の手順を実行します。

  1. User Sync ツールをインストールして構成ファイルを置くサーバーにフォルダーを作成します。

  2. Releases」リンクをクリックして最新のリリースを見つけます。このリリースには、リリースノート、サンプル構成ファイル、およびすべてのビルドバージョン(さらにソースアーカイブ)が含まれます。

  3. プラットフォーム用の圧縮パッケージを選択してダウンロードします(.tar.gz ファイル)。Windows、OSX、Centos、および Ubuntu のビルドを利用できます。(ソースから構築する場合、リリースに対応するソースコードパッケージをダウンロードするか、マスターブランチから最新のソースを使用できます)。User Sync の今後のリリースでは、Python 3 ビルドの利用も予定されています。

  4. Python 実行可能ファイル(Windows 用の user-sync または user-sync.pex)を見つけて、User Sync フォルダー内に置きます。

  5. サンプル構成ファイルの example-configurations.tar.gz アーカイブをダウンロードします。アーカイブ内に、「config files – basic」のフォルダーがあります。このフォルダーの最初の 3 つのファイルは必須です。パッケージ内の他のファイルは、特定の目的用のオプションのバージョンまたは別のバージョン、あるいはその両方です。それらをルートフォルダーにコピーし、名前を変更して編集し、独自の構成ファイルを作成できます。「User Sync ツールの構成」を参照してください。

  6. Windows のみ

    Windows で実行可能ファイル user-sync.pex を実行する前に、Windows 固有の Python の実行に関連した問題に対処する必要があるかもしれません。

    Windows オペレーティング システムでは、260 文字のファイルパスの長さの制限が適用されます。Python PEX ファイルを実行する際、パッケージのコンテンツを抽出するために一時的な場所を作成します。その場所へのパスが 260 文字を超える場合、スクリプトは正しく実行されません。

    デフォルトでは、一時的なキャッシュはホームフォルダーにありますが、パス名が制限を超える可能性があります。この問題を回避するには、Windows の環境変数である PEX_ROOT を作成し、パスを C:\pex に設定します。OS はキャッシュの場所用にこの変数を使用し、パスが 260 文字の制限を超えるのを防ぎます。

  7. User Sync ツールを実行するには、Python 実行可能ファイル、user-sync を実行します(または Windows で python user-sync.pex を実行します)。

セキュリティの考慮事項

User Sync アプリケーションは企業およびアドビの両方の側で機密情報にアクセスするため、User Sync の使用には機密情報を含む様々なファイルが関係します。不正なアクセスからこれらのファイルを保護するために慎重な扱いが求められます。

User Sync リリース 2.1 以降では、資格情報をファイルに格納してそのファイルを保護するのではなく、オペレーティングシステムの安全な資格情報ストアに格納するか、自分で定義する安全な方法で umapi および ldap 構成ファイルに格納できます。詳しくは、「セキュリティの推奨事項」セクションを参照してください。

構成ファイル

構成ファイルには、アドビのユーザー管理 API キー、証明書の秘密鍵へのパス、エンタープライズディレクトリの資格情報などの機密情報(所有している場合)を含める必要があります。すべての構成ファイルを保護し、承認済みのユーザーのみがそれらにアクセスできるようにするための必要な手順を取ることが求められます。特に、同期プロセスを実行するユーザーアカウントを除き、機密情報を含むどのファイルへの読み取りアクセスも許可しません。

オペレーティングシステムを使用して資格情報を格納する場合でも、同じ構成ファイルを作成しますが、実際の資格情報を格納するのではなく、実際の資格情報を表示するために使用する鍵 ID 格納します。詳しくは、「セキュリティの推奨事項」を参照してください。

User Sync がユーザーの企業のディレクトリにアクセスする場合、サービスアカウントを使用してディレクトリサーバーから読み取るよう構成する必要があります。このサービスアカウントには読み取りアクセス権のみが必要で、書き込みアクセス権は付与しないことが勧められています(資格情報の不正な開示によって受け取り手に書き込みアクセス権が許可されないようにするため)。

証明書ファイル

公開キーおよび秘密キーを含むファイル、特に秘密キーを含むファイルには、機密情報が含まれています。秘密キーは安全に保持する必要があります。秘密キーは復元または交換することはできません。紛失するか漏洩した場合、対応する証明書をアカウントから削除する必要があります。必要であれば、新しい証明書を作成してアップロードする必要があります。これらのファイルは、最低限でもアカウント名とパスワードを保護するのと同じように保護します。ベストプラクティスとしては、資格情報管理システム内の、オペレーティングシステムの安全なストレージに秘密キーファイルを格納するか、許可されたユーザーのみがアクセスできるようファイルシステム保護を使用します。

ログファイル

ログ記録はデフォルトで有効になっており、ユーザー管理 API に対するすべてのトランザクションをコンソールに出力します。ログファイルに書き込むようツールを構成することもできます。実行時に作成したファイルには日付スタンプが押され、構成ファイルで指定されたフォルダー内のファイルシステムに書き込まれます。

User Management API では、ユーザーの電子メールアドレスを固有の識別子として処理します。すべてのアクションは、ユーザーに関連付けられた電子メールアドレスとともに、ログに書き込まれます。データをファイルに記録するよう選択した場合、それらのファイルにはこの情報が含まれています。

User Sync では、ログ保持の制御または管理を提供していません。毎日新しいログファイルが開始されます。データをファイルに記録する場合は、それらのファイルの有効期間とアクセスを管理するよう必要な処置を講じてください。

企業のセキュリティポリシーにより、個人を特定できる情報をディスクに保持することが許可されない場合、ファイルへのログ記録を無効にするようツールを設定します。ツールは引き続きコンソールにログトランザクションを出力し、実行している間はデータが一時的にメモリに保管されます。

User Sync ツールのサポート

アドビエンタープライズ版のお客様は、通常のサポートチャンネルを使用して、User Sync のサポートを受けられます。

これはオープンソースプロジェクトであるため、GitHub で問題を開くこともできます。デバッグプロセスに役立つよう、サポートリクエストには、ご使用のプラットフォーム、コマンドラインのオプション、およびアプリケーションの実行時に生成されたログファイルを含めてください(機密情報が含まれない範囲で)。


前のセクション | 次のセクション