Benutzersynchronisierung

Letzte Aktualisierung: 30. April 2024
  • Gilt für:
  • Experience Manager 6.5
  • Themen:

Erstellt für:

  • Admin

Einführung

Wenn es sich bei der Bereitstellung um eine Veröffentlichungs-Farm handelt, müssen Mitglieder sich anmelden und ihre Daten in allen Veröffentlichungsknoten einsehen können.

In der Veröffentlichungsumgebung erstellte Benutzer und Benutzergruppen (Benutzerdaten) werden in der Autorenumgebung nicht benötigt.

Die meisten in der Autorenumgebung erstellten Benutzerdaten sollen in der Autorenumgebung verbleiben und nicht in die Veröffentlichungsinstanzen kopiert werden.

Registrierungs- und Änderungsvorgänge in einer Veröffentlichungsinstanz müssen mit anderen Veröffentlichungsinstanzen synchronisiert werden, damit sie Zugriff auf dieselben Benutzerdaten haben.

Ab AEM 6.1 werden Benutzerdaten bei aktivierter Benutzersynchronisierung automatisch über alle Veröffentlichungsinstanzen in der Farm hinweg synchronisiert und nicht in Autoreninstanzen erstellt.

Sling Distribution

Die Benutzerdaten werden zusammen mit den zugehörigen Zugriffssteuerungslisten (Access Control Lists, ACLs) im Oak-Core, der Ebene unter Oak JCR, gespeichert und über die Oak-API aufgerufen. Im Falle unregelmäßiger Aktualisierungen ist es sinnvoll, Benutzerdaten mit anderen Veröffentlichungsinstanzen per Sling Content Distribution (Sling-Distribution) zu synchronisieren.

Eine Benutzersynchronisierung mit Sling Distribution weist im Vergleich zur herkömmlichen Replikation folgende Vorteile auf:

  • In Veröffentlichungsinstanzen erstellte Benutzende, Benutzerprofile und Benutzergruppen werden nicht in Autoreninstanzen erstellt.

  • Sling Distribution legt Eigenschaften in jcr-Ereignissen fest, sodass innerhalb veröffentlichungsseitiger Ereignis-Listener agiert werden kann, ohne unendliche Replikationsschleifen berücksichtigen zu müssen.

  • Per Sling-Distribution werden Benutzerdaten ausschließlich an nicht ursprüngliche Veröffentlichungsinstanzen gesendet, wodurch unnötiger Traffic vermieden wird.

  • Im Benutzerknoten festgelegte ACLs werden bei der Synchronisierung eingeschlossen.

NOTE
Wenn Sitzungen erforderlich sind, wird empfohlen, entweder eine SSO-Lösung oder eine „Sticky Session“ (auch als Sitzungspersistenz bezeichnet) zu verwenden und dafür zu sorgen, dass sich Kundinnen und Kunden beim Wechsel zu einer anderen Veröffentlichungsinstanz anmelden müssen.
CAUTION
Die Synchronisierung der Administratorgruppe wird nicht unterstützt, auch nicht bei aktivierter Benutzersynchronisierung. Stattdessen wird ein Fehler beim „Diff-Import“ in das Fehlerprotokoll geschrieben.
Wenn es sich bei der Bereitstellung um eine Veröffentlichungs-Farm handelt, muss daher beim Hinzufügen oder Entfernen von Benutzenden aus der Administratorgruppe die Änderung manuell für jede Veröffentlichungsinstanz durchgeführt werden.

Aktivieren der Benutzersynchronisierung

NOTE
Standardmäßig ist für die Benutzersynchronisierung disabled festgelegt.
Die Aktivierung der Benutzersynchronisierung beinhaltet die Änderung vorhandener OSGi-Konfigurationen.
Aufgrund der Aktivierung der Benutzersynchronisierung sollten keine neuen Konfigurationen hinzugefügt werden.

Die Benutzersynchronisierung ist davon abhängig, dass die Autorenumgebung die Verteilung der Benutzerdaten verwaltet, auch wenn die Benutzerdaten nicht in der Autoreninstanz erstellt werden. Ein wesentlicher Teil, aber nicht die vollständige Konfiguration findet in der Autorenumgebung statt. Dabei ist für jeden Schritt klar festgelegt, ob er in der Autoren- oder Veröffentlichungsinstanz durchgeführt werden muss.

Im Folgenden finden Sie eine Beschreibung der Schritte, die zum Aktivieren der Benutzersynchronisierung erforderlich sind, gefolgt von einem Abschnitt zur Fehlerbehebung:

Voraussetzungen

  1. Wenn Benutzende und Benutzergruppen bereits in einer Veröffentlichungsinstanz erstellt wurden, wird empfohlen, die Benutzerdaten für alle Veröffentlichungsinstanzen manuell zu synchronisieren, bevor Sie die Benutzersynchronisierung konfigurieren und aktivieren.

Sobald die Benutzersynchronisierung aktiviert wurde, werden nur neu erstellte Benutzende und Gruppen synchronisiert.

  1. Stellen Sie sicher, dass der neueste Code installiert ist:

1. Apache Sling Distribution Agent – Sync Agents Factory

Aktivieren der Benutzersynchronisierung

  • in der Autoreninstanz

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

    • Suchen Sie Apache Sling Distribution Agent - Sync Agents Factory.

      • Wählen Sie die vorhandene Konfiguration aus, damit Sie sie zur Bearbeitung öffnen können (Bleistiftsymbol).
        Vergewissern Sie sich, dass unter name der Eintrag socialpubsync angegeben ist.

      • Aktivieren Sie das Kontrollkästchen Enabled.

      • Wählen Sie Save aus.

Apache Sling Distribution Agent

2. Erstellen autorisierter Benutzer

Konfigurieren von Berechtigungen

Die autorisierte Benutzerin bzw. der autorisierte Benutzer wird in Schritt 3 zum Konfigurieren der Sling-Distribution in der Autoreninstanz verwendet.

CAUTION
Es muss ein neuer Benutzer erstellt werden.
  • Als Standardbenutzer wird admin zugewiesen.
  • Verwenden Sie communities-user-admin user. nicht.

Hinzufügen von ACL

  • Rufen Sie CRXDE Lite auf

  • Wählen Sie den Knoten /home aus.

  • Wählen Sie im rechten Bereich die Registerkarte Access Control aus.

  • Wählen Sie die Schaltfläche + aus, um einen ACL-Eintrag hinzuzufügen.

    • Prinzipal: nach dem für die Benutzersynchronisierung erstellten Benutzer suchen
    • Typ: Allow
    • Berechtigungen: jcr:all
    • Einschränkungen rep:glob: */activities/*
    • Wählen Sie OK aus

  • Wählen Sie Alle speichern

ACL-Fenster hinzufügen

Siehe auch

3. Adobe Granite Distribution – Encrypted Password Transport Secret Provider

Konfigurieren von Berechtigungen

Wenn eine autorisierte Benutzerin oder ein autorisierter Benutzer – ein Mitglied der Benutzergruppe administrators – in allen Veröffentlichungsinstanzen erstellt wird, muss diese autorisierte Benutzerin oder dieser autorisierte Benutzer in der Autoreninstanz als eine Person identifiziert werden, die zum Synchronisieren von Benutzerdaten zwischen Autoren- und Veröffentlichungsinstanzen berechtigt ist.

  • In der Autoreninstanz:

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

    • Suchen Sie com.adobe.granite.distribution.core.impl.CryptoDistributionTransportSecretProvider.name.

    • Wählen Sie die vorhandene Konfiguration aus, um sie zur Bearbeitung zu öffnen (Bleistiftsymbol).
      Vergewissern Sie sich, dass unter property name der Eintrag socialpubsync-publishUser angegeben ist.

    • Legen Sie den Benutzernamen und das Kennwort für die autorisierte Benutzerin bzw. den autorisierten Benutzer fest, die bzw. der in der Veröffentlichungsinstanz in Schritt 2 erstellt wurde.

      • Beispiel: usersync-admin

Encrypted Password Transport Secret Provider

4. Apache Sling Distribution Agent – Queue Agents Factory

Aktivieren der Benutzersynchronisierung

  • In jeder Veröffentlichungsinstanz:

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

    • Suchen Sie Apache Sling Distribution Agent - Queue Agents Factory.

      • Wählen Sie die vorhandene Konfiguration aus, um sie zur Bearbeitung zu öffnen (Bleistiftsymbol).
        Vergewissern Sie sich, dass unter Name der Eintrag socialpubsync-reverse angegeben ist.

      • Aktivieren Sie das Kontrollkästchen Enabled.

      • Wählen Sie Save aus.

    • Wiederholen Sie den Vorgang für jede Veröffentlichungsinstanz.

Queue Agents Factory

5. Adobe Social Sync – Diff Observer Factory

Aktivieren der Gruppensynchronisierung

  • In jeder Veröffentlichungsinstanz:

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

    • Suchen Sie Adobe Social Sync - Diff Observer Factory.

      • Wählen Sie die vorhandene Konfiguration aus, um sie zur Bearbeitung zu öffnen (Bleistiftsymbol).

        Überprüfen Sie agent name: socialpubsync-reverse

      • Aktivieren Sie das Kontrollkästchen Enabled.

      • Wählen Sie Save aus.

Diff Observer Factory

6. Apache Sling Distribution Trigger – Scheduled Triggers Factory

(Optional) Bearbeiten des Abrufintervalls

Standardmäßig werden Änderungen autorenseitig alle 30 Sekunden abgerufen. So ändern Sie dieses Intervall:

  • In der Autoreninstanz:

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

    • Suchen Sie Apache Sling Distribution Trigger - Scheduled Triggers Factory.

      • Wählen Sie die vorhandene Konfiguration aus, um sie zur Bearbeitung zu öffnen (Bleistiftsymbol).

        • Überprüfen Sie Name: socialpubsync-scheduled-trigger

      • Stellen Sie Interval in Seconds auf das gewünschte Intervall ein.

      • Wählen Sie Save aus.

Scheduled Triggers Factory

Konfigurieren für mehrere Publishing-Instanzen

Die Standardkonfiguration gilt für eine einzelne Veröffentlichungsinstanz. Da durch die Benutzersynchronisierung mehrere Veröffentlichungsinstanzen, etwa für eine Veröffentlichungs-Farm, synchronisiert werden sollen, müssen die zusätzlichen Veröffentlichungsinstanzen der Sync Agents Factory hinzugefügt werden.

7. Apache Sling Distribution Agent – Sync Agents Factory

Hinzufügen von Veröffentlichungsinstanzen:

  • In der Autoreninstanz:

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

    • Suchen Sie Apache Sling Distribution Agent - Sync Agents Factory.

      • Wählen Sie die vorhandene Konfiguration aus, um sie zur Bearbeitung zu öffnen (Bleistiftsymbol).
        Vergewissern Sie sich, dass unter Name der Eintrag socialpubsync angegeben ist.

Sync Agents Factory

  • Exporter-Endpunkte
    Es sollte für jede Veröffentlichungsinstanz einen Exporter-Endpunkt geben. Beispielsweise sollten bei zwei Veröffentlichungsinstanzen, „localhost:4503“ und „localhost:4504“, zwei Einträge vorhanden sein:

    • https://localhost:4503/libs/sling/distribution/services/exporters/socialpubsync-reverse
    • https://localhost:4504/libs/sling/distribution/services/exporters/socialpubsync-reverse

  • Importer-Endpunkte
    Es sollte für jede Veröffentlichungsinstanz einen Importer-Endpunkt geben. Beispielsweise sollten bei zwei Veröffentlichungsinstanzen, „localhost:4503“ und „localhost:4504“, zwei Einträge vorhanden sein:

    • https://localhost:4503/libs/sling/distribution/services/importers/socialpubsync
    • https://localhost:4504/libs/sling/distribution/services/importers/socialpubsync

  • Wählen Sie Save aus.

8. AEM Communities User Sync Listener

(Optional) Synchronisieren zusätzlicher JCR-Knoten

Wenn benutzerdefinierte Daten vorliegen, die über mehrere Veröffentlichungsinstanzen hinweg synchronisiert werden sollen, gehen Sie wie folgt vor:

  • In jeder Veröffentlichungsinstanz:

    • Melden Sie sich mit Administratorrechten an.

    • Rufen Sie die Web-Konsole auf

      • Beispiel: https://localhost:4503/system/console/configMgr

    • Suchen Sie AEM Communities User Sync Listener.

    • Wählen Sie die vorhandene Konfiguration aus, um sie zur Bearbeitung zu öffnen (Bleistiftsymbol).
      Vergewissern Sie sich, dass unter Name der Eintrag socialpubsync-scheduled-trigger angegeben ist.

AEM Communities User Sync Listener

  • Node Types (Knotentypen)
    Hierbei handelt es sich um die Liste der Knotentypen, die synchronisiert werden. Mit Ausnahme von „sling:Folder“ müssen hier alle Knotentypen aufgeführt werden („sling:Folder“ wird separat abgewickelt).
    Standardliste zu synchronisierender Knotentypen:

    • rep:User
    • nt:unstructured
    • nt:resource

  • Ignorable Properties (Ignorierbare Eigenschaften)
    Hierbei handelt es sich um die Liste der Eigenschaften, die beim Erkennen von Änderungen ignoriert werden. Änderungen an diesen Eigenschaften werden möglicherweise im Zuge anderer Änderungen synchronisiert (da die Synchronisierung immer auf Knotenebene erfolgt), aber Änderungen an diesen Eigenschaften lösen nicht von selbst eine Synchronisierung aus.
    Zu ignorierende Standardeigenschaft:

    • cq:lastModified

  • Ignorable Nodes (Ignorierbare Knoten)
    Hierbei handelt es sich um Unterpfade, die während der Synchronisierung ignoriert werden. Elemente in diesen Unterpfaden werden nie synchronisiert.
    Zu ignorierende Standardknoten:

    • .tokens
    • system

  • Distributed Folders
    Die meisten Sling:Folders werden ignoriert, weil eine Synchronisierung nicht erforderlich ist. Die wenigen Ausnahmen finden Sie hier aufgeführt.
    Zu synchronisierende Standardordner

    • segments/scoring
    • social/relationships
    • activities

9. Eindeutige Sling-ID

CAUTION
Wenn die Sling-ID zwischen zwei oder mehr Veröffentlichungsinstanzen übereinstimmt, schlägt die Benutzergruppensynchronisierung fehl.

Wenn die Sling-ID für mehrere Veröffentlichungsinstanzen in einer Veröffentlichungs-Farm identisch ist, werden Benutzergruppen nicht synchronisiert.

Um zu überprüfen, ob alle Sling-ID-Werte unterschiedlich sind, gehen Sie in jeder Veröffentlichungsinstanz wie folgt vor:

  1. Navigieren Sie zu http://<host>:<port>/system/console/status-slingsettings.
  2. Überprüfen Sie den Wert unter Sling ID.

Prüfen des Wertes der Sling-ID

Wenn die Sling-ID einer Veröffentlichungsinstanz der Sling-ID einer anderen Veröffentlichungsinstanz entspricht, gehen Sie wie folgt vor:

  1. Beenden Sie eine der Veröffentlichungsinstanzen mit übereinstimmender Sling-ID.

  2. Gehen Sie wie folgt im Verzeichnis „crx-quickstart/launchpad/felix“ vor:

    • Suchen und löschen Sie die Datei sling.id.file

      • Beispiel für ein Linux®-System:
        rm -i $(find . -type f -name sling.id.file)

      • Beispiel für ein Windows-System:
        use windows explorer and search for *sling.id.file*

  3. Starten Sie die Veröffentlichungsinstanz.

    • Beim Start wird der Instanz eine neue Sling-ID zugewiesen.

  4. Vergewissern Sie sich, dass die Sling-ID nun eindeutig ist.

Wiederholen Sie diese Schritte, bis alle Veröffentlichungsinstanzen über eine eindeutige Sling-ID verfügen.

Vault Package Builder Factory

Damit Aktualisierungen ordnungsgemäß synchronisiert werden, muss der Vault Package Builder zur Benutzersynchronisierung geändert werden:

  • In jeder AEM-Veröffentlichungsinstanz:

  • Rufen Sie die Web-Konsole auf

  • Suchen Sie Apache Sling Distribution Packaging - Vault Package Builder Factory.

    • Builder name: socialpubsync-vlt

  • Wählen Sie das Bearbeitungssymbol aus.

  • Fügen Sie zwei Package Node Filters hinzu:

    • /home/users|-.*/.tokens
    • /home/users|-.*/rep:cache

  • Richtlinienhandhabung:

    • Zum Überschreiben der vorhandenen Knoten „rep:policy“ mit neuen fügen Sie einen dritten Paketfilter hinzu:

      • /home/users|+.*/rep:policy

    • Um eine Richtlinienverteilung zu verhindern, stellen Sie Folgendes ein:

      • Acl Handling: IGNORE

Vault Package Builder Factory

Verfahren bei …

Selbstregistrierung oder Profilbearbeitung von Benutzenden in der Publishing-Umgebung

Per Design werden in der Veröffentlichungsumgebung erstellte Benutzer und Profile (Selbstregistrierung) nicht in der Autorenumgebung angezeigt.

Wenn es sich bei der Topologie um eine Veröffentlichungsfarm handelt und die Benutzersynchronisierung korrekt konfiguriert wurde, werden Benutzende und Benutzerprofil über die Veröffentlichungsfarm hinweg mittels Sling Distribution synchronisiert.

Erstellung von Benutzenden oder Benutzergruppen über die Sicherheitskonsole

Per Design werden die in der Veröffentlichungsumgebung erstellten Benutzerdaten nicht in der Autorenumgebung angezeigt (und umgekehrt).

Wenn in der Veröffentlichungsmgebung neue Benutzende über die Konsole Benutzerverwaltung und Sicherheit hinzugefügt werden, werden die neuen Benutzenden und ihre Gruppenmitgliedschaft im Rahmen der Benutzersynchronisierung ggf. mit anderen Veröffentlichungsinstanzen synchronisiert. Bei der Benutzersynchronisierung werden auch die über die Sicherheitskonsole erstellten Benutzergruppen synchronisiert.

Fehlerbehebung

So schalten Sie die Benutzersynchronisierung offline

Um die Benutzersynchronisierung zwecks Entfernung einer Veröffentlichungsinstanz oder manueller Datensynchronisierung offline zu schalten, muss die Verteilungswarteschlange leer und störungsfrei sein.

So prüfen Sie den Status der Verteilungswarteschlange:

  • In der Autoreninstanz:

    • Rufen Sie CRXDE Lite auf.

      • Suchen Sie nach Einträgen in den Ordnerknoten /var/sling/distribution/packages,

        • die nach dem Muster distrpackage_* benannt sind.

    • Rufen Sie Package Manager auf

      • Suchen Sie nach ausstehenden (noch nicht installierten) Paketen,

        • die nach dem Muster socialpubsync-vlt* benannt sind,
        • die von communities-user-admin erstellt wurden.

Wenn die Verteilungswarteschlange leer ist, deaktivieren Sie die Benutzersynchronisierung:

Um die Benutzersynchronisierung nach Durchführung der Aufgaben erneut zu aktivieren, gehen Sie wie folgt vor:

Diagnose für Benutzersynchronisierung

Die Diagnose für Benutzersynchronisierung ist ein Tool zur Überprüfung von Konfigurationen und zur Identifizierung etwaiger Probleme.

Navigieren Sie in der Autoreninstanz von der Hauptkonsole zu Tools > Vorgänge > Diagnose > Diagnose für Benutzersynchronisierung.

Die Ergebnisse werden einfach durch Aufrufen der Konsole „Diagnose für Benutzersynchronisierung“ angezeigt.

Folgendes wird angezeigt, wenn die Benutzersynchronisierung nicht aktiviert wurde:

Warnung, dass die Diagnose der Benutzersynchronisierung nicht aktiviert ist

Ausführen der Diagnose für Veröffentlichungsinstanzen

Wenn die Diagnose in der Autorenumgebung ausgeführt wird, umfassen die als bestanden oder fehlgeschlagen gekennzeichneten Ergebnisse einen [INFO]-Abschnitt mit einer Liste der konfigurierten Veröffentlichungsinstanzen zur Bestätigung.

In der Liste enthalten ist eine URL für jede Veröffentlichungsinstanz, die die Diagnose für diese Instanz ausführt. Der URL-Parameter syncUser ist an die Diagnose-URL angehängt. Der Wert lautet dabei auf den autorisierten Sychronisierungsbenutzer, der in Schritt 2 erstellt wurde.

Hinweis: Bevor Sie die URL aufrufen, muss die autorisierte Synchronisierungsbenutzerin oder der autorisierte Synchronisierungsbenutzer bereits bei dieser Veröffentlichungsinstanz angemeldet sein.

Diagnose für Publishing-Instanzen

Fehlerhaft hinzugefügte Konfiguration

Wenn die Benutzersynchronisierung nicht funktioniert, besteht das häufigste Problem darin, dass zusätzliche Konfigurationen hinzugefügt wurden. Stattdessen sollte die vorhandene Standardkonfiguration bearbeitet werden.

Im Folgenden sehen Sie, wie die bearbeiteten Standardkonfigurationen in der Web-Konsole angezeigt werden sollten. Bei mehr als der einen Instanz sollte die hinzugefügte Konfiguration entfernt werden.