Några vanliga fel när du kör UST och tips för att lösa dem
FileNotFoundError: [Errno 2]
Exempel på felet konsolutgång:
FileNotFoundError: [Errno 2] Ingen sådan fil eller katalog: 'C:\\Users\\USER\\.pex\\install\\pycryptodome [...]'
Kan visas på Windows på grund av sökvägar > 256 tecken.
Tips: skapa en miljövariabel som heter PEX_ROOT med värde C:\pex (om skriptet körs från C:-enheten eller ändra bokstaven så att den matchar). Ibland krävs en omstart av systemet för att den ska träda i kraft.
kan inte öppna filen 'user-sync.pex': [Errno 2]
python: kan inte öppna filen 'user-sync.pex': [Errno 2] Ingen sådan fil eller katalog
Tips! Kontrollera att du kör kommandoraden för python inifrån mappen där user-sync.pex finns.
2018-01-01 11:49:42 28102 VARNING umapi - UMAPI-timeout...tjänsten är inte tillgänglig (kod 429 vid försök 1)
2018-01-01 11:49:42 28102 VARNING umapi - Nästa försök om 42 sekunder...
Tips: Om timeout-tiden är mindre än 30 minuter, tas dessa varningsmeddelanden emot när kvoten för API-anrop som kan göras inom en minut har nåtts. UST har en exponentiell back-off-mekanism mot försök att använda åtgärden igen, vilket ökar tiden mellan återförsöken. Skriptet stoppas efter tre misslyckade återförsök.
Rekommendationen här är att låta skriptet köras hela vägen till slutet.
Om timeout-tiden är längre än 1 000 sekunder skulle detta vara en begränsning relaterad till körfrekvensen för varje instans av User Sync-verktyget.Om en instans observeras köras oftare kommer den att begränsas någonstans mellan 30 och 75 minuter.Även om tidsgränsen bara sätter UST på paus under en viss tid (detta är inte ett fel av avgörande vikt som stoppar allt), kommer UST att veta hur den ska återhämta sig och fortsätta synkroniseringen direkt efteråt.
Eftersom skriptet känner igen när två instanser startas samtidigt kan ingen ny instans utlösas förrän den första har slutförts.I detta fall kan ett felmeddelande visas i UST-loggen som hänvisar till 'en process pågår redan'.
Här är några rekommendationer för bästa prestanda när det gäller körfrekvensen:
- se över den schemalagda uppgiftens frekvens och se till att den är inställd på att upprepas med minst 2 timmars mellanrum
- se över den schemalagda uppgiftens utlösartid så att den inte startar på :00 eller :30 minuter (undvik tider med hög trafik)
- om verktyget behöver köras oftare, överväg möjligheten att använda UST med push-strategi (delta av ändringar) istället för fullständig synkronisering
- anpassa körschemat för UST till organisationens arbetsdag när användare behöver tillhandahållas (t.ex. om organisationen inte behöver ändra användarprovisioning på natten, kör inte synkroniseringsjobb under denna tid)
error.user.belongs_to_another_org
2018-01-01 11:49:42 28102 FEL umapi.action - Fel i requestID: action_1 (Användare: {'user': 'myuser@domain2.com', 'requestID':'action_1'}, Kommando: {'createFederatedID': {'email': 'myuser@domain2.com', 'country': 'US', 'option': 'ignoreIfAlreadyExists', 'firstname': 'fname', 'lastname': 'lname'}}): kod: "error.user.belongs_to_another_org" meddelande: "Olagligt att bjuda in användare från en annan organisations ägda autentiseringskälla"
Tips: domänen som användes för att skapa kontot kanske inte har gjorts anspråk på/är betrodd i din organisation. En grön flagga eller prick ska visas för de aktiva domänerna i Administratörskonsol -> Inställningar. Om så inte är fallet kan lösningen vara att domänanspråksprocessen slutförs
2018-01-01 12:34:23 13383 FEL umapi.action - Fel i requestID: action_6 (Användare: {'user': 'user@domain.com', 'requestID': 'action_6'}, Kommando: {'createEnterpriseID': {'email': 'user@domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'test', 'lastname': 'user', 'country': 'US'}}): kod: "error.user.type_mismatch" meddelande: "Den begärda användartypen för inbjudan matchar inte den angivna domäntypen"
Tips: Ett försök görs att skapa ett konto av typen FederatedID, men katalogen skapas för Enterprise-användning eller omvänt. Sök efter attributet user_identity_type i filen user-sync-config.yml. Ändra värdet enligt den katalogtyp som visas i administratörskonsolen (Inställningar > Identitet > Domäner > Katalogtyp värde för den givna domänen).
Exempel på felet konsolutgång:
Misslyckades med att köra PEX-filen, saknar kompatibla beroenden för:
pyyaml
cryptography
cffi
umapi-client
pycryptodome
pyldap
psutil
user-sync
Tips:
a) Kontrollera om Python-versionen som du har installerat på datorn är 32-bitarsversionen. Avinstallera 32-bitarsversionen och installera 64-bitarsversionen för att lösa problemet.
b) Kontrollera om user-sync.pex-versionen som du har hämtat från GitHub är en matchning till din Python-version och OS-typ. Till exempel hämtas user-sync-v2.3-win64-py365.zip för Windows 64-bitars och Python 3.
Att använda den senaste versionen av Python är inte alltid en bra idé. Att försöka matcha Python-versionen, .pex byggdes i första hand, skulle vara bra. Följ suffixet för den hämtade .zip-filen för att identifiera vilken Python-version som skulle fungera. I exemplet ovan (user-sync-v2.3-win64-py365.zip) kan Python 3.6.5 identifieras.
Fel vid dekryptering av privat nyckel
2018-01-01 09:52:23 7920 FELSÖKNING umapi - umapi: läser privat nyckeldata från filen C:\path\to\private.key
2018-01-01 09:52:23 7920 AV AVGÖRANDE VIKT main - umapi konfiguration.storföretag: Fel vid dekryptering av privat nyckel, antingen är lösenordet fel eller: RSA-nyckelformatet stöds inte
Tips:
a) om problemet inte snabbt kan identifieras är det snabbare att utfärda nyckelparet på nytt
b) Använd inte attributet umapi_private_key_data om du kör skript i Windows. Kryptera istället nyckeln och spara det lösenordet i Autentiseringshanteraren.
c) Pröva en RSA256/2048-bitars privat nyckel om du använde ett annat format när nyckelparet utfärdades
d) Det är möjligt att du ställer in secure_priv_key_pass_key: umapi_private_key_passphrase inuti filen connector-umapi.yml. I det här fallet, se till att posten i Autentiseringsbutiken för detta och tillhörande värden matchar (se nedan).
Inget värde i säker lagring för användaren ...
2018-01-01 09:52:23 7920 AV AVGÖRANDE VIKT main - umapi AV AVGÖRANDE VIKT main - umapi konfiguration.storföretag: Inget värde i säker lagring för användaren "someUUIDvalue@AdobeOrg", nyckel "umapi_api_key"
Tips:
a) autentiseringsbutikens post för umapi_api_key kanske saknas. Skapa posten i autentiseringsbutiken. Hjälpdokumentation finns här.
b) Det kan vara så att värdet har lagts till i Autentiseringsbutiken under ett annat användarkonto. Men för användaren som för närvarande är ansluten saknas posten. Lägg till det, om det behövs, eller byt användarkonton.
error.internal.exceptionflys / error.unauthorized
umapi_client.error.RequestError: Begärandefel (401): {"lastPage":falskt,"result":"error.internal.exceptionflys","message":"Misslyckades med att byta token"}
ELLER
"umapi_client.error.RequestError: Begärandefel (401): {"lastPage":falskt,"result":"error.unauthorized","message":"Misslyckades med att autentisera tillhandahållen token"}"
Tips: Det kan vara så att det i Administratörskonsol -> Inställningar -> Autentiseringsinställningar finns ett annat val än Lättast för användare (Lösenordet löper aldrig ut). Om alternativet Säkrare eller Säkrast är aktiverat, kan det inaktivera lösenordet för det tekniska kontot som är kopplat till integrationen.
För att lösa problemet bör en ny integration skapas. Se till att metadata också förnyas i filen connector-umapi.yml.
En korrigering driftsattes för det, men den kan påverka integrationer som skapats före oktober 2018.
Det gick inte att upprätta en ny anslutning [Errno 10061]
Anslutningsfel: HTTPSConnectionPool(host='usermanagement.adobe.io', port=443): Maximalt antal försök överskreds med url: /v2/usermanagement/users/someUUID@AdobeOrg/0?directOnly=True (Orsakad av NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x00000000027B9630>: Misslyckades med att upprätta en ny anslutning: [Errno 10061] Ingen anslutning kunde upprättas eftersom målmaskinen aktivt vägrade den',))
Tips:
Det är relaterat till att UST inte kan ansluta till de offentliga API-slutpunkterna. Lokala inställningar kan förhindra åtkomst på grund av brandväggsregler, proxy-blockerande trafik, kontoinställningar för internetåtkomst med mera.
I vissa situationer kan det hjälpa att lägga till miljövariabeln https_proxy med ett värde som:
http://<proxyAddress>:<port> ELLER https://<proxyAddress>:<port>
I andra fall kan åtkomst till dessa slutpunkter hjälpa:
ims-na1.adobelogin.com:443
usermanagement.adobe.io:443
Det kan bara lösas lokalt genom att du rensar åtkomst till ovanstående slutpunkter för kontot som körs.
2017-07-07 09:01:37 4916 AV AVGÖRANDE VIKT main - Anslutning till org [...] vid slutpunkt https://usermanagement.adobe.io/v2/usermanagement misslyckades: Kan inte auktorisera mot https://ims-na1.adobelogin.com/ims/exchange/jwt: Svarskod: 400, Svarstext: {"error_description":"Metascoperna i JWT är inte en deluppsättning av metascoperna i bindningen.","error":"invalid_scope"}
Tips: Få åtkomst till integrationen du har skapat på https://console.adobe.io/projects och kontrollera den vänstra menyn där API:erna listas. Se till att API:n för User Management är tillagt som en tjänst (visas i listan).
Inga giltiga bindningar hittades för organisation och teknisk kontokombination
Exempel på loggpost (felsökningsläge):
2017-07-07 09:01:37 4916 AV AVGÖRANDE VIKT main - UMAPI-anslutning till org-id 'someUUIDvalue@AdobeOrg' misslyckades: Kan inte auktorisera mot https://ims-na1.adobelogin.com/ims/exchange/jwt:
Svarskod: 400, Svarstext: {"error_description":"Inga giltiga bindningar hittades för kombinationen av organisation och tekniskt konto","error":"invalid_token"}
Tips:
a) Det kan bero på att värdet tech_acct i filen connector-umapi.yml motsvarar ett annat värde än det tekniska konto-ID som ingår i integreringen på https://developer.adobe.com/console/projects. Verifiera det tekniska kontots ID-värde från den aktuella integrationen och kopiera det till denna fil.
b) Det kan också orsakas eftersom det offentliga certifikatet från integrationen har löpt ut. Förnya den privata och offentliga nyckeln. Ladda sedan upp den offentliga nyckeln och ersätt den gamla privata nyckeln med den nya nyckeln. Verifiera sökvägen inuti filen connector-umapi.yml för att hitta rätt fil.
c) Kontrollera om integrationen är gjord för korrekt organisation. Välj organisation i listrutan i det övre vänstra hörnet vid https://developer.adobe.com/console/projects.Kontrollera sedan det tekniska kontots ID-värde för den aktiva integrationen ihop med andra metadata (Organisations-ID, hemligt och klient-ID).
SSL: CERTIFICATE_VERIFY_FAILED
2017-07-07 09:01:37 4916 AV AVGÖRANDE VIKT main - UMAPI-anslutning till org-id 'someUUIDvalue@AdobeOrg' misslyckades: [SSL: CERTIFICATE_VERIFY_FAILED] certifikatverifiering misslyckades (_ssl.c:661)
Tips: Det orsakas av SSL-inspektion aktiverad på den lokala proxyservern
Lösning1: Skaffa proxyns CA-certifikat i PEM-format (anta att dess namn är thecert.crt). Om DER-format används ska du göra om det till PEM med hjälp av openssl-kommandot:
openssl x509 -inform DER -in thecert.crt -out thecert.pem -outform PEM
Obs: att se innehållet i certifikatet och se en base64-kodad sträng mellan
-----BEGIN CERTIFICATE----- och -----END CERTIFICATE----- raderna skulle betyda att du har PEM-formaterad fil.
Skapa sedan en miljövariabel som heter REQUESTS_CA_BUNDLE och ställ in dess värde som sökvägen till filen thecert.pem.
Lösning2: I vissa fall observerades det i Windows att om verktyget körs från en annan enhet än operativsystemet och Python är installerat, kan detta fel uppstå.Att flytta hela skriptet på enheten där OS finns kan vara en lösning.Om det inte är ett alternativ ska cacert.pem-filen som innehåller alla tillförlitliga rot-CA:er kopieras till den andra hårddisken och dess väg ska användas som inmatningsvärde för miljövariablen REQUESTS_CA_BUNDLE. Om en proxy inspekterar SSL-trafiken måste innehållet i rot-CA-certifikatet kopieras inuti cacert.pem-filen för att verifiera att proxy-certifikatet också är tillförlitligt.
Obs! Python installerar som standard paketet med certifikaten på C:\Python36\Lib\site-packages\certifi\cacert.pem.
Lösning3: inaktivera SSL-inspektionen på proxysidan för API-slutpunkterna ims-na1.adobelogin.com och usermanagement.adobe.io
Ingen grupp hittades [...]
2018-01-01 09:01:37 4916 VARNING ldap - Ingen grupp hittades för: Name_Of_The_Group
Tips:
a) Den här gruppen finns inte i LDAP med exakt det namnet. Åtgärda det genom att lägga till korrekt LDAP-namn för gruppen
b) Gruppen är inte upptäckbar under deklarerad base_dn (se filen connector-ldap.yml). Ändra värdet base_dn så att det innehåller nämnd grupp (det händer framförallt när base_dn pekar på en OU istället för att vara så brett som möjligt).
2018-01-01 11:25:45 1 FEL umapi.action - Fel i requestID: action_1 (Användare: {'user': 'myuser@domain.com', 'useAdobeID': sant, 'requestID': 'action_1'}, Kommando: {'add': {'product': ['group_name']}}): kod: "error.group.not_found" meddelande: "Gruppen my_group_name hittades inte"
Tips: Användargruppen group_name i outputen ovan finns inte på Adobes sida, så du får skapa den. Om avsikten var att ställa in namnet på en PLC istället för en användargrupp kan du kontrollera denna dokumentationssida för en mer visuell förklaring.
2018-09-05 10:58:08 96329 AV AVGÖRANDE VIKT main - Anslutning till org some_Org_UUID@AdobeOrg vid slutpunkt https://usermanagement.adobe.io/v2/usermanagement misslyckades: dlopen(/Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so, 2): Bibliotek inte laddat: /usr/local/opt/openssl/lib/libssl.1.0.0.dylib
Refererad från: /Users/user/.pex/install/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl.f77d5cc74b0deef9f1df7eacfe5f5ea57ed94a63/cryptography-2.3-cp37-cp37m-macosx_10_12_x86_64.whl/cryptography/hazmat/bindings/_openssl.abi3.so
Anledning: bild hittades inte
2018-09-05 10:58:08 96329 INFO main - ========== Slut på körning (User Sync version: 2.3) (Total tid: 0:00:00)
Tips: felet registrerades på en macOS High Sierra vid användning av UST v2.3 som använde Python 3.7.0.Att köra brew install openssl i Terminalen löste det för detta specifika scenario.
Det gick inte att skapa person för typ 2 eller 3 [...]
2019-07-28 07:17:51 2220 FEL umapi.action - Fel i requestID: action_1 (Användare: {'user': 'user@claimed-domain.com', 'requestID': 'action_1'}, Kommando: {'createFederatedID': {'email': 'user@claimed-domain.com', 'option': 'updateIfAlreadyExists', 'firstname': 'First', 'lastname': 'Last', 'country': 'US'}}): kod: "error.internal.create_failed" meddelande: "Kunde inte skapa person för typ 2 eller 3. Renga-resultatet är NOT_ALLOWED, Resursen hanteras externt och token saknar GROUP_SOURCE_UPDATE-syftet."
Ibland ägs @claimed-domain.com av en annan organisation som har konfigurerat en Azure- eller Google-anslutning för att hantera synkroniseringen av konton med Admin Console. Samma domän tilldelas sedan en annan organisation som använder verktyget för användarsynkronisering för att synkronisera konton med formatet @claimed-domain.com
Orsak: Det loggade meddelandet visas när synkroniseringsverktyget extraherar
user@claimed-domain.com-kontot från en LDAP-server för att skapa det i den sekundära organisationen. Kontot har emellertid ännu inte skapats/synkroniserats i huvudorganisationen via Azure- eller Google-kontakt.
Tips: försök skapa/synkronisera user@claimed-domain.com -kontot i organisationen med Azure- eller Google-kontakt och försök sedan synkronisera på nytt med UST i förvaltarorganisationen.
Oväntat LDAP-fel vid läsning av [...]
2018-09-05 10:58:08 96329 6348 AV AVGÖRANDE VIKT main - Oväntat LDAP-fel vid läsning av gruppinformation: {'desc': 'Referral', 'info': 'Referral:\nldap://domain.local/DC=sub,DC=domain,DC=local'}
Möjlig orsak: Gruppen av intresse finns i en underdomän, men värdvärdet är en av rotdomänerna.
Tips: Ändra värdet för host till en av underdomänerna där användargrupper kan hittas. Om användare eller grupper av intresse finns i både rotdomänen och dess underdomäner ska du använda den globala katalogporten på rotdomänen. Ändra grupperna i underdomänen till Universal istället för Global. Exempel på värdvärden när global katalog används: ldap://domain.local:3268 eller ldaps://domain.local:3269
I det sista scenariot, om global katalogport används, ska du se till att base_dn-värdet inte tar något värde:
base_dn: ""
error.organization.invalid_id
2020-08-20 12:00:00 1892 FEL main - Ohanterat undantag
raise RequestError(result)
umapi_client.error.RequestError: Begäran misslyckades (401): {"lastPage":falskt,"result":"error.organization.invalid_id",
"message":"UNAUTHORIZED"}
Detta fel sågs på äldre integrationer.
Lösningen: skapa en ny integration (eller projekt) på https://developer.adobe.com/console/projects, bredvid den befintliga som används för samma syfte.Den nya integrationen kommer att ge nya autentiseringsuppgifter, så se till att uppdatera dem i filen connector-umapi.yml.Det är mycket möjligt att keypair (privat/offentlig nyckel) måste utfärdas på nytt, därför måste den nya privata nyckeln ersätta den befintliga.
Kunde inte skapa person av typen createFederatedID
2021-01-01 18:00:00 14063 FEL umapi.action - Fel i requestID: action_19 (Användare: {'user': 'some_user', 'domain': some.domain', 'requestID': 'action_19'}, Kommando: {'createFederatedID': {'email': 'some_user@some.domain', 'option': 'ignoreIfAlreadyExists', 'firstname': 'FName', 'lastname': 'LName, 'country': 'GB'}}): kod: "error.internal.create_failed" meddelande: "Kunde inte skapa person av typen createFederatedID"
Detta är ett generiskt fel med flera orsaker, men det vanliga problemet är att domänen som används i skapandeåtgärden påverkas av en Azure- eller Google-synkroniseringsinställning.
Så kontrollerar du: logga in på Admin Console med systemadministratörskontot och klicka på menyn Inställningar. Klicka sedan i katalogen som innehåller domänen och klicka därefter på fliken Synkronisera i menyn
Finns det ett kort för synkroniseringskälla i synkroniseringsmenyn?
Om Ja, beror lösningen på hur synkroniseringen ska fortsätta vidare:
-> om Azure- eller Google-anslutningen ska vara den som utför synkroniseringen, fortsätt med inställningen av synkroniseringskällan och ta bort UST helt
-> om UST ska vara den som utför synkroniseringen, klicka på knappen "Gå till Inställningar" och klicka på knappen "Ta bort synkronisering" längst ner på sidan; UST bör därefter börja köra som vanligt
Om Nej kan det vara så att nuvarande UST körs mot en konsol där domänen i fråga är anförtrodd från en annan konsol (ägande org).Denna andra Org kan ha Azure- eller Google-synkronisering aktiverad och kan leda till det aktuella felet.Lösningen i detta fall är att först synkronisera kontot i den ägande Org/Konsolen, och sedan använda UST för att skapa/lägga till kontot i den aktuella konsolen.
Om ingen av situationerna ovan passar det aktuella scenariot är det bäst att kontakta Enterprise Support.
