Errori comuni durante l’esecuzione del programma UST e suggerimenti per risolverli
FileNotFoundError: [Errno 2]
Output di errore di esempio della console:
FileNotFoundError: [Errno 2] File o directory inesistente: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'
Può essere visualizzato in Windows a causa di percorsi più lunghi di 256 caratteri.
Suggerimento: crea una variabile di ambiente denominata PEX_ROOT con valore C:\pex (se lo script viene eseguito da C: o modifica la lettera dell’unità come necessario). A volte è necessario riavviare il sistema per abilitare la soluzione.
Impossibile aprire il file ’user-sync.pex’: [Errno 2]
Output di errore di esempio:
python: impossibile aprire il file 'user-sync.pex': [Errno 2] File o directory inesistente
Suggerimento: assicurati di eseguire la riga di comando python dall’interno della cartella in cui si trova il file user-sync.pex.
Output di errore di registro di esempio:
2018-01-01 11:49:42 28102 AVVERTENZA umapi - Timeout UMAPI... servizio non disponibile (codice 429 al tentativo 1)
2018-01-01 11:49:42 28102 AVVERTENZA umapi - Prossimo tentativo tra 42 secondi...
Suggerimento: se il timeout è inferiore a 30 minuti, questi messaggi di avvertenza vengono ricevuti quando viene raggiunta la quota di chiamate API da effettuare entro un minuto. UST è provvisto di un meccanismo di back-off esponenziale per tentare la chiamata, aumentando il tempo tra i nuovi tentativi.Lo script si interrompe dopo tre tentativi non riusciti.
Si consiglia di lasciare che lo script venga eseguito fino alla fine.
Se il timeout è superiore a 1000 secondi, si tratterebbe di una limitazione relativa alla frequenza di esecuzione di ciascuna istanza dello strumento User Sync.Se si osserva che un'istanza viene eseguita più frequentemente, verrà limitata per un periodo compreso tra 30 e 75 minuti.Sebbene il timeout metta semplicemente in pausa l’UST per un certo periodo di tempo (quindi non si tratta di un errore critico che causa l’interruzione), questo saprà come ripristinarsi e continuare la sincronizzazione subito dopo.
Poiché lo script riconosce quando vengono avviate due istanze contemporaneamente, non è possibile attivare una nuova istanza finché quella iniziale non ha terminato l’esecuzione.In questo caso, potrebbe apparire un messaggio di errore nel registro UST che fa riferimento a 'un processo è già in corso'.
Ecco alcuni suggerimenti per ottenere le migliori prestazioni, per quanto riguarda la frequenza di esecuzione:
- rivedere la frequenza dell’attività pianificata e assicurarsi che sia impostata per ripetersi almeno a 2 ore di distanza
- rivedere l'orario di attivazione dell'attività pianificata in modo che non inizi al minuto :00 o :30 (evitare i picchi di traffico)
- se è necessario eseguire lo strumento più spesso, considerare la possibilità di utilizzare UST con strategia di notifica push (delta delle modifiche) invece della sincronizzazione completa
- adattare la pianificazione di esecuzione dell’UST alla giornata lavorativa dell’organizzazione quando gli utenti devono essere predisposti (ad esempio, se la tua organizzazione non ha bisogno di modificare il provisioning degli utenti di notte, non eseguire lavori di sincronizzazione durante questo periodo)
error.user.belongs_to_another_org
Voce di registro di esempio:
2018-01-01 11:49:42 28102 ERRORE umapi.action - Errore in requestID: action_1 (Utente: {“user”: “myuser@domain2.com”, “requestID”:“action_1”}, Comando: {“createFederatedID”: {“email”: “myuser@domain2.com”, “country”: “US”, “option”: “ignoreIfAlreadyExists”, “firstname”: “fname”, “lastname”: “lname”}}): codice: “error.user.belongs_to_another_org” messaggio: “Non è consentito invitare un utente dall’origine di authoring proprietaria di un’altra organizzazione”
Suggerimento: il dominio utilizzato per creare l’account potrebbe non essere considerato affidabile o registrato all’interno delle tue organizzazioni.Per i domini attivi viene visualizzato un contrassegno o un punto verde in Admin Console -> Impostazioni.In alternativa, il completamento del processo di attestazione del dominio può risolvere il problema.
Voce di registro di esempio:
2018-01-01 12:34:23 13383 ERROR umapi.action - Errore in requestID: action_6 (Utente: {'user': 'user@domain.com', 'requestID': 'action_6'}, Comando: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': 'US'}}): codice: "error.user.type_mismatch" messaggio: "Il tipo di utente richiesto per l'invito non corrisponde al tipo di dominio dichiarato"
Suggerimento: si effettua un tentativo di creare un tipo di account federatedID, ma la directory viene creata per l’uso Enterprise o viceversa.Cercare l’attributo user_identity_type nel file user-sync-config.yml. Modificare il valore in base al tipo di directory mostrato in Admin Console (Impostazioni > Identità > Domini > Tipo di directory per il dominio).
Output di errore di esempio della console:
Impossibile eseguire il file PEX, mancano dipendenze compatibili per:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync
Suggerimenti:
a) Verifica se la versione di Python installata sul sistema è la versione a 32 bit. Disinstalla la versione a 32 bit e installa la versione a 64 bit per risolvere il problema.
b) Verifica che la versione di user-sync.pex scaricata da GitHub corrisponda alla versione di Python e al tipo di sistema operativo in uso. Ad esempio user-sync-v2.3-win64-py365.zip deve essere scaricato per Windows a 64 bit e Python 3.
L’utilizzo dell’ultima versione di Python non è sempre una buona idea. Se cerchi la corrispondenza con la versione Python, il file .pex creato per primo può essere ottimale. Segui il suffisso del file .zip scaricato per identificare la versione di Python che potrebbe funzionare. Per l’esempio precedente (user-sync-v2.3-win64-py365.zip), puoi identificare Python 3.6.5.
Errore durante la decrittografia della chiave privata
Voce di registro di esempio:
2018-01-01 09:52:23 7920 DEBUG umapi - umapi: lettura dei dati Provate Key dal file C:\path\to\private.key
2018-01-01 09:52:23 7920 CRITICO main - umapi configuration.enterprise: Errore durante la decrittazione di Private Key, la password è errata oppure: il formato della chiave RSA non è supportato
Suggerimenti:
a) se il problema non può essere identificato rapidamente, è più veloce riemettere la coppia di chiavi
b) Non utilizzare l’attributo umapi_private_key_data se lo script è in esecuzione in Windows. Applica la crittografia alla chiave e memorizza la password in Gestione credenziali.
c) Se utilizzi un formato diverso per inviare la keypair, prova una Private Key RSA256 con 2048 bit di lunghezza
d) È possibile che tu abbia impostato secure_priv_key_pass_key: umapi_private_key_passphrase nel file connector-umapi.yml. In questo caso verifica che le voci nell’archivio credenziali per questo valore e i valori associati corrispondano (vedi di seguito).
Nessun valore nell’archiviazione sicura per l’utente...
Voce di registro di esempio:
2018-01-01 09:52:23 7920 CRITICO main - umapi CRTICO principale - umapi configuration.enterprise: nessun valore nell’archivio sicuro per l’utente “someUUIDvalue@AdobeOrg”, chiave “umapi_api_key”
Suggerimenti:
a) La voce dell’archivio credenziali per umapi_api_key potrebbe non essere disponibile. Crea la voce nell’archivio credenziali. La documentazione è disponibile qui.
b) È possibile che il valore sia stato aggiunto all’archivio credenziali con un account utente diverso. Tuttavia, questa voce manca per l’utente attualmente connesso. Aggiungila se necessario o cambia account utente.
error.internal.exceptionflys / error.unauthorized
Output di errore di esempio:
umapi_client.error.RequestError: Errore di richiesta (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Impossibile scambiare il token"}
OPPURE
"umapi_client.error.RequestError: Errore di richiesta (401): {"lastPage":false,"result":"error.unauthorized","message":"Impossibile autenticare il token fornito"}"
Suggerimento: è possibile che in Admin Console -> Impostazioni -> Impostazioni autenticazione sia selezionata un’opzione diversa da Più semplice per gli utenti (la password non scade mai).Se l’opzione More Secure (Più sicura) o Most Secure (La più sicura) può causare la scadenza dell’account tecnico collegato all’integrazione.
Per risolvere il problema, è necessario creare una nuova integrazione. Accertati che anche i metadati siano aggiornati nel file connector-umapi.yml.
È stata implementata una correzione che può influire sulle integrazioni create prima di ottobre 2018.
Impossibile stabilire una nuova connessione [Errore 10061]
Output di errore di esempio:
ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Numero massimo di tentativi superato con l'URL: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Causato da NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Impossibile stabilire una nuova connessione: [Errno 10061] Impossibile stabilire una connessione perché il computer di destinazione ha rifiutato attivamente la connessione',))
Suggerimento:
Riguarda il fatto che UST non può connettersi agli endpoint API pubblici. Le impostazioni locali possono impedire l’accesso a causa di regole del firewall, traffico bloccato da proxy, impostazioni dell’account per l’accesso a Internet e altro ancora.
In alcune situazioni potrebbe essere utile aggiungere la variabile d'ambiente https_proxy con un valore come:
http://<indirizzoProxy>:<porta> OPPURE https://<indirizzoProxy>:<porta>
In altri casi, potrebbe essere utile consentire l’accesso a questi endpoint:
ims-na1.adobelogin.com:443
usermanagement.adobe.io:443
Il problema può essere risolto solo localmente, cancellando l’accesso agli endpoint citati per l’account in esecuzione.
Voce di registro di esempio:
2017-07-07 09:01:37 4916 CRITICO main - La connessione all'organizzazione [...] all'endpoint https://usermanagement.adobe.io/v2/usermanagement è fallita: Impossibile autorizzare contro https://ims-na1.adobelogin.com/ims/exchange/jwt: Codice di risposta: 400, Testo di risposta: {"error_description":"I metascope nel JWT non sono un sottoinsieme dei metascope nel binding.","error":"invalid_scope"}
Suggerimento: accedi all’integrazione creata all’indirizzo https://developer.adobe.com/console/projects e controlla il menu a sinistra in cui sono elencate le API.Verifica che l’API User Management sia aggiunta come servizio (visualizzata nell’elenco).
Non sono state trovate associazioni valide per la combinazione di organizzazione e account tecnico
Voce di registro di esempio (modalità debug):
2017-07-07 09:01:37 4916 CRITICO principale - impossibile connettere UMAPI all’ID organizzazione “someUUIDvalue@AdobeOrg”: impossibile autorizzare rispetto a https://ims-na1.adobelogin.com/ims/exchange/jwt:
codice di risposta: 400, Testo di risposta: {“error_description”:“non sono stati trovati binding validi per la combinazione di organizzazione e account tecnico”,“errore”:“invalid_token”}
Suggerimenti:
a) Può essere causato dal fatto che il valore tech_acct all’interno del file connector-umapi.yml corrisponde a un valore diverso dall’ID account tecnico all’interno dell’integrazione all’indirizzo https://developer.adobe.com/console/projects. Verifica il valore dell’ID account tecnico dall’integrazione corrente e copialo in questo file.
b) Può anche essere causato dal fatto che il certificato pubblico dell’integrazione è scaduto. Rinnova la chiave privata e la chiave pubblica. Quindi carica la chiave pubblica e sostituisci la vecchia chiave privata con la nuova chiave. Verifica il percorso all’interno del file connector-umapi.yml per trovare al file corretto.
c) Verifica che l’integrazione sia eseguita per l’organizzazione corretta. Seleziona l’organizzazione nell’elenco a discesa situato nell’angolo superiore a sinistra all’indirizzo https://developer.adobe.com/console/projects.Quindi verifica il valore dell’ID account tecnico per l’integrazione attiva insieme agli altri metadati (ID organizzazione, segreto e ID client).
SSL: CERTIFICATE_VERIFY_FAILED
Voce di registro di esempio:
2017-07-07 09:01:37 4916 CRITICO principale - impossibile connettere UMAPI all’ID organizzazione “someUUIDvalue@AdobeOrg”: [SSL: CERTIFICATE_VERIFY_FAILED] errore di verifica del certificato (_ssl.c:661)
Suggerimento: è causato dall’ispezione SSL abilitata sul server proxy locale
Soluzione 1: ottieni il certificato CA della radice del proxy in formato PEM (si supponga che il nome sia thecert.crt). Se è utilizzato il formato DER, trasformalo in PEM mediante il comando openssl:
openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM
Nota: visualizzare il contenuto del certificato e vedere una stringa codificata in base64 tra le righe
-----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- significa che hai il file in formato PEM.
Quindi crea una variabile di ambiente denominata REQUESTS_CA_BUNDLE e impostane il valore come percorso del file thecert.pem.
Soluzione 2: in alcuni casi è stato osservato in Windows che se lo strumento viene eseguito da un’unità diversa da quella del sistema operativo e Python è installato, potrebbe verificarsi questo errore.Una soluzione può essere lo spostamento dell’intero script sull’unità in cui è presente il sistema operativo.Se questo non è possibile, il file cacert.pem contenente tutte le CA radice affidabili deve poter essere copiato nell’altra unità e il suo percorso utilizzato come valore di input per la variabile ambiente REQUESTS_CA_BUNDLE.Se un proxy analizza il traffico SSL, il contenuto del certificato CA radice deve essere copiato nel file cacert.pem per garantire che il cert proxy sia parimenti affidabile.
Nota: in un’installazione Python predefinita il pacchetto di certificati è disponibile all’indirizzoC:\Python36\Lib\site-packages\certifi\cacert.pem.
Soluzione 3: disattiva l’ispezione SSL sul lato proxy per gli endpoint API ims-na1.adobelogin.com e usermanagement.adobe.io
Nessun gruppo trovato [...]
Voce di registro di esempio:
2018-01-01 09:01:37 4916 AVVERTENZA ldap - Nessun gruppo trovato per: Name_Of_The_Group
Suggerimenti:
a) Questo gruppo non esiste in LDAP con lo stesso nome; correggilo aggiungendo il nome LDAP corretto del gruppo
b) Il gruppo non è individuabile sotto il valore base_dn (vedere il file connector-ldap.yml). Modifica il valore base_dn in modo che contenga il gruppo menzionato (questo si verifica principalmente quando base_dn punta a determinate unità operative invece che essere il più ampio possibile).
Voce di registro di esempio:
2018-01-01 11:25:45 1 ERRORE umapi.action - Errore in requestID: action_1 (Utente: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Comando: {'add': {'product': ['group_name']}}): codice: "error.group.not_found" messaggio: "Il gruppo my_group_name non è stato trovato"
Suggerimento: il gruppo utente group_name nell’output precedente non esiste presso Adobe, pertanto devi crearlo.Se l’intento era impostare il nome di un PLC anziché di un gruppo di utenti, vedi questa pagina della documentazione per una spiegazione più visiva.
Voce di registro di esempio:
2018-09-05 10:58:08 96329 CRITICO main - La connessione all'organizzazione some_Org_UUID@AdobeOrg all'endpoint https://usermanagement.adobe.io/v2/usermanagement è fallita: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Libreria non caricata: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
Riferimento da: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
Motivo: immagine non trovata
2018-09-05 10:58:08 96329 INFO main - ========== Fine esecuzione (Versione User Sync: 2.3) (Tempo totale: 0:00:00)
Suggerimento: questo errore è stato registrato su macOS High Sierra, con UST v2.3 e Python 3.7.0.L’esecuzione di brew install openssl nel terminale ha risolto il problema in questo particolare scenario.
Impossibile creare una persona per il tipo 2 o 3 [...]
Voce di registro di esempio:
2019-07-28 07:17:51 2220 ERRORE umapi.action - Errore in requestID: action_1 (Utente: {“user”: “user@claimed-domain.com”, “requestID”: “action_1”}, Comando: {“createFederatedID”: {“email”: “user@claimed-domain.com”, “option”: “updateIfAlreadyExists”, “firstname”: “First”, “lastname”: “Last”, “country”: “US”}}): codice: “error.internal.create_failed” messaggio: “Impossibile creare la persona per il tipo 2 o 3. Il risultato Renga è NOT_ALLOWED, la risorsa è gestita esternamente e il token non ha lo scopo GROUP_SOURCE_UPDATE.”
A volte, @claimed-domain.com appartiene a un’organizzazione diversa che ha configurato un connettore Azure o Google per gestire la sincronizzazione degli account con Admin Console. Lo stesso dominio viene quindi affidato a un’altra organizzazione che utilizza lo strumento di sincronizzazione degli utenti per sincronizzare gli account con formato @claimed-domain.com
Causa: il messaggio registrato viene visualizzato quando lo strumento Sincronizza estrae l’account
user@claimed-domain.com da un server LDAP per crearlo nell’organizzazione secondaria.Tuttavia l’account non è ancora stato creato/connesso all’organizzazione principale tramite il connettore Azure o Google.
Suggerimento: prova a creare/sincronizzare l’account user@claimed-domain.com nell’organizzazione utilizzando il connettore Azure o Google, quindi riprova a eseguire la sincronizzazione con l’account UST nell’organizzazione trustee.
Errore di lettura LDAP imprevisto [...]
Voce di registro di esempio:
2018-09-05 10:58:08 96329 6348 CRITICO principale - Errore LDAP imprevisto durante la lettura delle informazioni del gruppo: {“desc”: “Referral”, “info”: “Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local”}
Possibile causa: il gruppo o i gruppi di interesse si trovano in un sottodominio, ma il valore host è uno dei domini principali.
Suggerimento: modifica il valore host impostandolo su uno dei sottodomini in cui è possibile trovare i gruppi utente.Se gli utenti o i gruppi di interesse si trovano sia nel dominio radice che nei relativi sottodomini, utilizza la porta del catalogo globale nel dominio radice. Modifica i gruppi dei sottodomini in modo che siano Universal anziché Global. Esempio di valore host che utilizza il catalogo globale: ldap://domain.local:3268 o ldaps://domain.local:3269
In quest’ultimo scenario, se viene utilizzata la porta del catalogo globale, verifica che il valore base_dn non richieda alcun valore:
base_dn: ""
error.organization.invalid_id
Voce di registro di esempio:
2020-08-20 12:00:00 1892 ERRORE principale - Eccezione non gestita
raise RequestError(result)
umapi_client.error.RequestError: Errore di richiesta (401): {“lastPage”:false,“result”:“error.organization.invalid_id”,
“message”:“UNAUTHORIZED”}
Questo errore è stato riscontrato su integrazioni precedenti.
La correzione: creare una nuova integrazione (o progetto) su https://developer.adobe.com/console/projects, accanto a quella esistente, utilizzata per lo stesso scopo.La nuova integrazione fornirà nuove credenziali, quindi assicurati di aggiornarle nel file connector-umapi.yml. È molto probabile che la keypair (chiave privata/pubblica) debba essere riemessa, quindi la nuova chiave privata deve sostituire quella esistente.
Impossibile creare una persona di tipo createFederatedID
Voce di registro di esempio:
2021-01-01 18:00:00 14063 ERRORE umapi.action - Errore nell'ID richiesta: action_19 (Utente: {'user': 'some_user', 'domain': some.domain', 'requestID': 'action_19'}, Comando: {'createFederatedID': {'email': 'some_user@some.domain', 'option': 'ignoreIfAlreadyExists', 'firstname': 'FName', 'lastname': 'LName, 'country': 'GB'}}): codice: "error.internal.create_failed" messaggio: "Impossibile creare la persona di tipo createFederatedID"
Questo è un errore generico per molteplici cause, ma il problema più comune è che il dominio utilizzato nell'azione di creazione è sotto l'influenza di una configurazione di sincronizzazione Azure o Google.
Come verificare: accedi all’Admin Console con l’account di amministratore di sistema, quindi fai clic sul menu Impostazioni, poi fai clic all’interno della directory che contiene il dominio, infine fai clic sulla scheda del menu Sincronizzazione
È presente una scheda Origine sincronizzazione nel menu Sincronizzazione?
Se Sì, la soluzione dipende da come la sincronizzazione dovrebbe proseguire:
-> se il connettore Azure o Google dovrebbe essere quello che esegue la sincronizzazione, continua con la configurazione dell’Origine sincronizzazione e rimuovi completamente UST
-> se UST dovrebbe essere quello che esegue la sincronizzazione, fai clic sul pulsante “Passa a Impostazioni” e fai clic sul pulsante “Rimuovi sincronizzazione” in fondo alla pagina; UST dovrebbe riprendere a funzionare normalmente dopo
Se No, potrebbe essere che l’attuale UST funzioni con una Console in cui il dominio in questione è affidato a una Console diversa (Organizzazione proprietaria).Quest’altra organizzazione potrebbe avere attivata la sincronizzazione Azure o Google e ciò causerebbe l’errore corrente.La soluzione in questo caso è sincronizzare prima l’account nell’Organizzazione/Console proprietaria, quindi utilizzare UST per creare/aggiungere l’account nella Console corrente.
Se nessuna delle situazioni sopra descritte si adatta allo scenario attuale, è meglio contattare il supporto Enterprise.
