User Sync Tool - veelvoorkomende fouten

Van toepassing op ondernemingen.

Enkele veelvoorkomende fouten bij het uitvoeren van de UST en tips om deze op te lossen

FileNotFoundError: [Errno 2]

Voorbeeld van foutuitvoer console:

FileNotFoundError: [Errno 2] No such file or directory: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'

Wordt mogelijk op Windows weergegeven vanwege paden van meer dan 256 tekens.

Tip: maak een omgevingsvariabele met de naam PEX_ROOT met de waarde C:\pex (als het script wordt uitgevoerd vanaf de C:-schijf, of verander de letter zodat deze overeenkomt). Soms moet u het systeem opnieuw opstarten voordat het in werking treedt.

 

kan het bestand 'user-sync.pex' niet openen: [Errno 2]

Voorbeeld van foutuitvoer:

python: kan bestand 'user-sync.pex' niet openen: [Errno 2] Bestand of map bestaat niet

Tip: zorg dat u de Python-opdrachtregel uitvoert vanuit de map waarin user-sync.pex zich bevindt.

 

UMAPI-timeout

Voorbeeld van foutuitvoer logboek:

2018-01-01 11:49:42 28102 WAARSCHUWING umapi - UMAPI time-out...service niet beschikbaar (code 429 bij poging 1)
2018-01-01 11:49:42 28102 WAARSCHUWING umapi - Volgende poging over 42 seconden...

Tip: Als de time-out minder dan 30 minuten is, worden deze waarschuwingsberichten ontvangen wanneer het quotum van API-aanroepen binnen één minuut is bereikt. UST heeft een exponentieel back-offmechanisme waarmee u het gesprek opnieuw kunt proberen, waardoor de tijd tussen nieuwe pogingen wordt vergroot. Het script stopt na drie mislukte pogingen.

De aanbeveling hier is om het script helemaal tot het einde te laten lopen.

Als de time-out hoger is dan 1000 seconden, zou dit een beperking zijn die verband houdt met de uitvoeringsfrequentie van elke instantie van User Sync Tool.Als wordt waargenomen dat een instantie vaker wordt uitgevoerd, wordt deze tussen de 30 en 75 minuten beperkt.Hoewel de time-out de UST alleen maar voor een bepaalde tijd onderbreekt (dus geen kritieke stopfout), weet de UST dat hij moet herstellen en de synchronisatie meteen daarna moet voortzetten.

Aangezien het script herkent wanneer twee instanties tegelijkertijd worden gestart, kan er geen nieuwe instantie worden geactiveerd totdat de eerste klaar is met uitvoeren.In dat geval kan er in het UST-logboek een foutbericht verschijnen met de melding 'er is al een proces gaande'.

Hier zijn enkele aanbevelingen voor de beste prestaties met betrekking tot de uitvoeringsfrequentie:

  • Herzie de geplande taakfrequentie en zorg ervoor dat deze zo is ingesteld dat deze minimaal 2 uur uit elkaar wordt herhaald
  • Herzie de starttijd van de geplande taak zodat deze niet op :00 of :30 minuten begint (vermijd piekverkeersactiviteit)
  • Als het nodig is om de tool vaker uit te voeren, denk dan na over de mogelijkheid om UST te gebruiken met een push-strategie (delta van wijzigingen) in plaats van volledige synchronisatie
  • Pas het uitvoeringsschema van de UST aan op de werkdag van de organisatie voor gebruikersprovisioning (als uw organisatie bijvoorbeeld 's nachts geen behoefte heeft om de gebruikersprovisioning aan te passen, voer dan geen synchronisatietaken uit tijdens deze tijd)

 

 

error.user.belongs_to_another_org

Voorbeeld van een logboekvermelding:

2018-01-01 11:49:42 28102 FOUT umapi.action - Fout in aanvraag-ID: action_1 (Gebruiker: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Opdracht: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): code: "error.user.belongs_to_another_org" bericht: "Het is niet toegestaan om een gebruiker uit te nodigen van een auth src die eigendom is van een andere organisatie"

Tip: het domein dat u gebruikt om het account te maken, is mogelijk niet geclaimd/vertrouwd binnen uw organisaties. Er moet een groene vlag of stip verschijnen voor de actieve domeinen in Admin Console -> Instellingen. Als dat niet het geval is, kan het afronden van het domeinclaimproces dit oplossen.

 

 

error.user.type_mismatch

Voorbeeld van een logboekvermelding:

2018-01-01 12:34:23 13383 FOUT umapi.action - Fout in aanvraag-ID: action_6 (Gebruiker: {'user': 'user@domain.com', 'requestID': 'action_6'}, Opdracht: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': 'US'}}): code: "error.user.type_mismatch" bericht: "Het gebruikerstype dat voor de uitnodiging is aangevraagd, komt niet overeen met het geclaimde domeintype"

Ontbrekende afhankelijkheden

Voorbeeld van foutuitvoer console:

Uitvoering van PEX-bestand mislukt, ontbrekende compatibele afhankelijkheden voor:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync

Tips:

a) Controleer of de Python-versie die u op uw systeem hebt geïnstalleerd de 32 bits-versie is. Verwijder de 32 bits-versie en installeer de 64 bits-versie om het probleem op te lossen.

b) Controleer of de user-sync.pex-versie die u via GitHub heeft gedownload overeenkomt met uw Python-versie en besturingssysteem. U kunt bijvoorbeeld user-sync-v2.3-win64-py365.zip downloaden voor Windows 64-bits en Python 3.

De nieuwste versie van Python gebruiken is niet altijd een goed idee. Het is beter om de Python-versie waarin de .pex gebouwd is te zoeken. Volg het achtervoegsel van het gedownloade .zip-bestand om te bepalen welke Python-versie werkt. In het bovenstaande voorbeeld (user-sync-v2.3-win64-py365.zip) kan Python 3.6.5 worden geïdentificeerd.

 

 

Fout bij het ontsleutelen van de persoonlijke sleutel

Voorbeeld van logboekinvoer:

2018-01-01 09:52:23 7920 DEBUG umapi - umapi: persoonlijke sleutelgegevens lezen uit bestand C:\path\to\private.key
2018-01-01 09:52:23 7920 KRITISCH main - umapi configuration.enterprise: Fout bij het decoderen van de persoonlijke sleutel, het wachtwoord is onjuist of: RSA-sleutelindeling wordt niet ondersteund

Tips:

a) Als het probleem niet snel kan worden geïdentificeerd, is het sneller om het sleutelpaar opnieuw uit te geven

b) Gebruik het attribuut umapi_private_key_data niet als u het script in Windows uitvoert. In plaats daarvan versleutelt u de sleutel en slaat u het wachtwoord op in Referentiebeheer.

c) Probeer een RSA256 /2048 bits lange privésleutel, als u een ander formaat hebt gebruikt om het sleutelpaar uit te geven

d) Het is mogelijk dat u secure_priv_key_pass_key: umapi_private_key_passphrase in het bestand connector-umapi.yml hebt opgezet. Zorg er in dit geval voor dat de vermelding in Referentieopslagplaats voor deze en de bijbehorende waarden overeenkomen (zie hieronder).

Windows Referentiebeheer

 

Geen waarde in veilige opslag voor gebruiker...

Voorbeeld van een logboekvermelding:

2018-01-01 09:52:23 7920 KRITISCH main - umapi KRITIEK main - umapi configuratie.enterprise: Geen waarde in beveiligde opslag voor gebruiker "someUUIDvalue@AdobeOrg", sleutel "umapi_api_key"

Tips:

a) de vermelding voor de Referentieopslagplaats van umapi_api_key ontbreekt mogelijk. Maak de vermelding aan in Referentieopslagplaats. Help-documentatie vindt u hier.

b) Het kan zijn dat de waarde is toegevoegd aan Referentieopslagplaats onder een ander gebruikersaccount. Deze vermelding ontbreekt echter voor de huidige verbonden gebruiker. Voeg het indien nodig toe, of verander van gebruikersaccount.

 

 

error.internal.exceptionflys / error.unauthorized

Voorbeeld van foutuitvoer:

umapi_client.error.RequestError: Aanvraagfout (401): {"lastPage":false,"result":"error.internal.exceptionflys","message":"Kan token niet uitwisselen"}

OF

"umapi_client.error.RequestError: Aanvraagfout (401): {"lastPage":false,"result":"error.unauthorized","message":"Kan verstrekt token niet verifiëren"}"

Tip: Het kan zijn dat er in Admin Console -> Instellingen -> Authenticatie-instellingen een andere optie is gekozen dan Gemakkelijkst voor gebruikers (Wachtwoord verloopt nooit). Als de optie Veiliger of Veiligst is ingeschakeld, kan het wachtwoord van de aan de integratie gekoppelde Technische account vervallen.

Om het probleem op te lossen, moet een nieuwe integratie worden gemaakt. Zorg dat de metadata ook in het bestand connector-umapi.yml wordt vernieuwd.

Er is een oplossing voor geïmplementeerd, maar deze kan invloed hebben op integraties die voor oktober 2018 zijn aangemaakt.

 

 

Kan geen nieuwe verbinding tot stand brengen [Errno 10061]

Voorbeeld van foutuitvoer:

ConnectionError: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Max. aantal pogingen overschreden met url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Veroorzaakt door NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection-object op 0x00000000027B9630>: Er kon geen nieuwe verbinding tot stand worden gebracht: [Errno 10061] Er kon geen verbinding worden gemaakt omdat de doelcomputer deze actief heeft geweigerd',))

Tip:

Het heeft te maken met het feit dat UST geen verbinding kan maken met de openbare API-eindpunten. Lokale instellingen kunnen de toegang verhinderen  als gevolg van firewallregels, verkeer dat proxy's blokkeert, accountinstellingen voor internettoegang en meer.

In sommige situaties kan het helpen om de omgevingsvariabele https_proxy toe te voegen met een waarde zoals:

http://<proxyAdres>:<poort> OF https://<proxyAdres>:<poort>

In andere gevallen kan het toestaan van toegang tot deze eindpunten helpen:

ims-na1.adobelogin.com:443

usermanagement.adobe.io:443

Het kan alleen lokaal worden opgelost door toegang tot de bovenstaande eindpunten mogelijk te maken voor het lopende account.

 

 

De metascopen in de JWT zijn geen subset van de metascopen in de binding

Voorbeeld van een logboekvermelding:

2017-07-07 09:01:37 4916 KRITISCH main - Verbinding met org [...] op eindpunt https://usermanagement.adobe.io/v2/usermanagement mislukt: Kan geen autorisatie uitvoeren voor https://ims-na1.adobelogin.com/ims/exchange/jwt: Antwoordcode: 400, Antwoordtekst: {&quot;error_description&quot;:&quot;De metascopen in de JWT zijn geen subset van de metascopen in de binding.&quot;,&quot;error&quot;:&quot;invalid_scope&quot;}

Tip: Ga naar de integratie die u hebt gemaakt op https://developer.adobe.com/console/projects en controleer het linkermenu waar de API's worden vermeld. Zorg dat de User Management API wordt toegevoegd als een service (verschijnt in de lijst). 

 

Er zijn geen geldige bindingen gevonden voor de combinatie van de organisatie en het technische account

Voorbeeld van een logboekvermelding (foutopsporingsmodus):

2017-07-07 09:01:37 4916 KRITISCH main - UMAPI-verbinding met org-id 'someUUIDvalue@AdobeOrg' mislukt: Kan geen autorisatie uitvoeren voor https://ims-na1.adobelogin.com/ims/exchange/jwt:
Antwoordcode: 400, Antwoordtekst: {&quot;error_description&quot;:&quot;Er zijn geen geldige bindingen gevonden voor de combinatie van organisatie en technisch account&quot;,&quot;error&quot;:&quot;invalid_token&quot;}

Tips:

a) Dit kan worden veroorzaakt doordat de waarde tech_acct in het bestand connector-umapi.yml overeenkomt met een andere waarde dan de technische account-ID in de integratie op https://developer.adobe.com/console/projects. Controleer de technische account-ID-waarde van de huidige integratie en kopieer deze naar dit bestand.

b) Dit kan ook komen doordat het openbare certificaat van de integratie verlopen is. Vernieuw de persoonlijke en openbare sleutel. Upload vervolgens de openbare sleutel en vervang de oude persoonlijke privésleutel door de nieuwe. Controleer dat het pad in het bestand connector-umapi.yml naar het juiste bestand wijst.

c) Controleer of de integratie voor de juiste organisatie is gemaakt. Selecteer de organisatie in de vervolgkeuzelijst in de linkerbovenhoek op https://developer.adobe.com/console/projects. Controleer vervolgens de waarde van het technische account-ID voor de actieve integratie samen met de andere metagegevens (org-ID, geheim ID en client-ID).

 

 

SSL: CERTIFICATE_VERIFY_FAILED

Voorbeeld van een logboekvermelding:

2017-07-07 09:01:37 4916 KRITISCH main - UMAPI-verbinding met org-id 'someUUIDvalue@AdobeOrg' is mislukt: [SSL: CERTIFICATE_VERIFY_FAILED] certificaatverificatie mislukt (_ssl.c:661)

Tip: Dit wordt veroorzaakt door SSL-inspectie die is ingeschakeld op de lokale proxyserver

Oplossing 1: verkrijg het root-CA-certificaat van de proxy in PEM-formaat (ga ervan uit dat de naam thecert.crt is). Als de DER-indeling wordt gebruikt, verander het dan naar PEM met behulp van de openssl-opdracht:

openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM

Opmerking: als u de inhoud van het certificaat bekijkt en een base64-gecodeerde tekenreeks ziet tussen de regels
-----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----, betekent dit dat u het PEM-geformatteerde bestand hebt.

Maak vervolgens een omgevingsvariabele aan met de naam REQUESTS_CA_BUNDLE en stel de waarde ervan in als het pad naar het bestand cert.pem.

Oplossing2: In sommige gevallen werd in Windows geconstateerd dat als de tool wordt uitgevoerd vanaf een andere schijf dan waar het besturingssysteem en Python zijn geïnstalleerd, deze fout kan optreden.Het hele script verplaatsen op de schijf waar het besturingssysteem op staat kan een oplossing zijn. Als dit geen optie is, kan het bestand cacert.pem met alle vertrouwde root-CA's naar de andere schijf worden gekopieerd en kan het pad ervan worden gebruikt als invoerwaarde voor de omgevingsvariabele REQUESTS_CA_BUNDLE. Als een proxy ook het SSL-verkeer controleert, moet de inhoud van het root-CA-certificaat worden gekopieerd in het bestand cacert.pem om ervoor te zorgen dat het proxycertificaat ook wordt vertrouwd.

Let op: een standaard Python-installatie zou de bundel certificaten hebben op C:\Python36\Lib\site-packages\certifi\cacert.pem moeten hebben.

Oplossing3: schakel de SSL-controle aan de proxyzijde uit voor de API-eindpunten ims-na1.adobelogin.com en usermanagement.adobe.io

 

 

Geen groep gevonden [...]

Voorbeeld van een logboekvermelding:

2018-01-01 09:01:37 4916 WAARSCHUWING ldap - Geen groep gevonden voor: Name_Of_The_Group

Tips:

a) Deze groep bestaat niet in LDAP met die exacte naam. Los dit op door de juiste LDAP-naam van de groep toe te voegen

b) De groep is niet detecteerbaar onder de gedeclareerde base_dn (zie het bestand connector-ldap.yml). Wijzig de waarde base_dn zodat deze de genoemde groep bevat (dit gebeurt vooral wanneer base_dn naar een bepaalde OU verwijst, in plaats van zo breed mogelijk te zijn).

 

error.group.not_found

Voorbeeld van een logboekvermelding:

2018-01-01 11:25:45 1 ERROR umapi.action - Fout in requestID: action_1 (Gebruiker: {'user': 'myuser@domain.com', 'useAdobeID': True, 'requestID': 'action_1'}, Opdracht: {'add': {'product': ['group_name']}}): code: &quot;error.group.not_found&quot; bericht: &quot;Groep my_group_name is niet gevonden&quot;

Tip: de gebruikersgroep group_name in de bovenstaande uitvoer bestaat niet bij Adobe, dus u kunt deze gewoon maken.Als het de bedoeling was om de naam van een PLC in te stellen in plaats van een gebruikersgroep, kijk dan op deze documentatiepagina voor een meer visuele uitleg.

 

afbeelding niet gevonden

Voorbeeld van een logboekvermelding:

2018-09-05 10:58:08 96329 KRITISCH main - Verbinding met org some_Org_UUID@AdobeOrg op eindpunt https://usermanagement.adobe.io/v2/usermanagement is mislukt: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Bibliotheek niet geladen: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
 Gerefereerd van: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
 Reden: afbeelding niet gevonden
2018-09-05 10:58:08 96329 INFO main - ========== Einde uitvoering (Gebruikerssynchronisatieversie: 2.3) (Totale tijd: 0:00:00) 

Tip: deze fout werd geregistreerd op een macOS High Sierra, bij gebruik van UST v2.3 met Python 3.7.0. Het uitvoeren van brew install openssl in de Terminal loste het probleem in dit specifieke scenario op.

 

 

Kan geen persoon aanmaken voor type 2 of 3 [...]

Voorbeeld van een logboekvermelding:

2019-07-28 07:17:51 2220 FOUT umapi.action - Fout in requestID: action_1 (Gebruiker: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Opdracht: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): code: &quot;error.internal.create_failed&quot; bericht: &quot;Kon geen persoon maken voor type 2 of 3. Het Renga-resultaat is NOT_ALLOWED, de resource wordt extern beheerd en het token mist het GROUP_SOURCE_UPDATE-doel.

Soms is @claimed-domain.com eigendom van een andere organisatie die een Azure- of Google-connector heeft opgezet om de synchronisatie van accounts naar de Admin Console te beheren. Dit domein wordt dan toevertrouwd aan een andere organisatie die de User Sync Tool gebruikt om accounts met de indeling @claimed-domain.com te synchroniseren

Oorzaak: Het geregistreerde bericht verschijnt wanneer de synchronisatietool het account
gebruiker@claimed-domein.com van een LDAP-server extraheert om het in de secundaire organisatie te maken. Het account is echter nog niet aangemaakt/gesynchroniseerd in de hoofdorganisatie via de Azure- of Google-connector.

Tip: probeer het account user@claimed-domain.com  in de organisatie aan te maken/synchroniseren met de Azure- of Google-connector en probeer vervolgens opnieuw te synchroniseren met de UST in de vertrouwde organisatie.

 

 

Onverwachte LDAP-fout bij het lezen van [...]

Voorbeeld van een logboekvermelding:

2018-09-05 10:58:08 96329 6348 KRITISCH main - Onverwachte LDAP-fout bij het lezen van groepsinfo: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}

Mogelijke oorzaak: de groep(en) van belang bevinden zich in een subdomein, maar de waarde van de host is een van de hoofddomeinen.

Tip: wijzig de waarde host naar een van de subdomeinen waar gebruikersgroepen te vinden zijn. Als gebruikers of groepen van belang zich in zowel het hoofddomein als in de subdomeinen bevinden, gebruik dan de globale cataloguspoort op het hoofddomein. Wijzig de groepen in de subdomeinen naar Universeel in plaats van Globaal. Voorbeeld van hostwaarde met behulp van globale catalogus:  ldap://domain.local:3268 of ldaps://domain.local:3269

In dit laatste scenario zorgt u dat als de globale cataloguspoort wordt gebruikt, de base_dn-waarde geen waarde heeft:

base_dn: ""

 

error.organization.invalid_id

Voorbeeld van een logboekvermelding:

2020-08-20 12:00:00 1892 ERROR main - Onverwerkte uitzondering
 raise RequestError(result)
umapi_client.error.RequestError: Aanvraagfout (401): {&quot;lastPage&quot;:false,&quot;result&quot;:&quot;error.organization.invalid_id&quot;,
&quot;message&quot;:&quot;UNAUTHORIZED&quot;}

Deze fout werd gezien bij oudere integraties.

De oplossing: maak een nieuwe integratie (of project) aan op https://developer.adobe.com/console/projects, naast de bestaande die voor hetzelfde doel wordt gebruikt.De nieuwe integratie heeft nieuwe inloggegevens. Zorg er daarom voor dat u deze bijwerkt in het bestand connector-umapi.yml. Het is goed mogelijk dat het sleutelpaar (privé-/publieke sleutel) opnieuw moet worden uitgegeven. In dat geval moet de nieuwe privésleutel de bestaande sleutel vervangen.

 

 

Kan geen persoon maken van het type createFederatedID

Voorbeeld van een logboekvermelding:

2021-01-01 18:00:00 14063 ERROR umapi.action - Fout in requestID: action_19 (Gebruiker: {'user': 'some_user', 'domain': some.domain', 'requestID': 'action_19'}, Opdracht: {'createFederatedID': {'email': 'some_user@some.domain', 'option': 'ignoreIfAlreadyExists', 'firstname': 'FName', 'lastname': 'LName, 'country': 'GB'}}): code: &quot;error.internal.create_failed&quot; bericht: &quot;Kan geen persoon maken van het type createFederatedID&quot;

Dit is een algemene fout met meerdere oorzaken, maar het gebruikelijke probleem is dat het domein dat tijdens het maken wordt gebruikt, wordt beïnvloed door de Azure- of Google-synchronisatie-instellingen.

Hoe u dit kunt controleren: meld u aan bij de Admin Console met het account van de systeembeheerder, klik vervolgens op het menu Instellingen, klik vervolgens in de map waarin het domein zich bevindt en klik vervolgens op het tabblad Synchroniseren

Is er een Sync Source-kaart aanwezig in het Sync-menu?

Als Ja, hangt de oplossing ervan af hoe de synchronisatie verder moet gaan:

-> als Azure of Google Connector de synchronisatie moet uitvoeren, ga dan verder met de installatie van de synchronisatiebron en verwijder UST volledig

-> als UST degene moet zijn die de synchronisatie uitvoert, klik dan op de knop Ga naar instellingen en klik op de knop Synchronisatie verwijderen onderaan de pagina; UST moet daarna zoals gebruikelijk worden uitgevoerd

Als Nee, kan het zijn dat de huidige UST wordt uitgevoerd op een console waarin het betreffende domein is toevertrouwd vanuit een andere console (eigenaar van de organisatie). Deze andere organisatie heeft mogelijk Azure- of Google-synchronisatie ingeschakeld, wat tot de huidige fout kan leiden.In dit geval is de oplossing om eerst het account in de eigenaar-organisatie/console te synchroniseren en vervolgens UST te gebruiken om het account in de huidige console te maken/toe te voegen.

Als geen van de bovenstaande situaties past bij het huidige scenario, is het het beste om contact op te nemen met Enterprise Support.

 

Adobe, Inc.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?