Documentação

Falha do Oak LDAP IdentityProvider ao sincronizar usuários e grupos no AEMaaCS

Last update: Mon Nov 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

O Oak LDAP IdentityProvider no Adobe Experience Manager as a Cloud Service (AEMaaCS) falha ao sincronizar usuários e grupos de um diretório externo do Lightweight Diretory Access Protocol (LDAP). Isso resulta na ausência de entradas de usuário e grupo, o que bloqueia a autorização e o provisionamento adequados. Para resolver o problema, atualize a configuração LDAP e acione a sincronização novamente.

Descrição description

Ambiente

Adobe Experience Manager as a Cloud Service (AEMaaCS)

Problema/Sintomas

  • O aplicativo não sincroniza grupos do diretório LDAP externo.
  • As entradas de grupo não são resolvidas, resultando em mapeamentos de autorização ausentes.
  • As pesquisas de usuário não retornam entradas correspondentes, bloqueando o provisionamento e o acesso.

Resolução resolution

Siga estas etapas para resolver o problema:

  1. Defina userConfig.baseDN com o caminho LDAP correto para entradas de usuário. Por exemplo: OU=EndUsers,OU=Corporate,OU=Accounts,DC=example,DC=com or DC=example,DC=com.

  2. Revise e ajuste a configuração userConfig.extraFilter :

    • Remova extraFilter se desnecessário.
    • Se necessário, use um filtro baseado na associação de grupo em vez de nomes de usuário codificados como (memberOfFilterTemplate = "(|(memberOf=CN=Group1,...)(memberOf=CN=Group2,...))").

  3. Defina groupConfig.baseDN com o caminho LDAP correto para entradas de grupo. Por exemplo: OU=Global,OU=Unmanaged,OU=Groups,DC=example,DC=com.

  4. Definir configurações de grupo:

    • Defina groupConfig.objectClasses = [ group].
    • Defina groupMemberAttribute = member.

  5. Defina user.membershipNestingDepth como 1 ou superior para habilitar a sincronização de associações de grupo aninhadas.

  6. Execute novamente a sincronização do usuário por meio do console JMX ou fazendo logon com uma conta de teste.

  7. Confirme se os grupos aparecem em /home/groups/<IDP name> e se os usuários possuem associações corretas.

Observações adicionais:

  • Em ambientes do Ative Diretory:

    • Verifique se atributos como sAMAccountName, objectClass e atributos de associação correspondem à estrutura de diretório.
    • Os grupos podem não persistir em /home/groups/ldap no AEM as a Cloud Service, mas ainda ser resolvidos corretamente para autorização.

  • O Adobe IMS é o provedor de identidade compatível com a autenticação de autor no AEM as a Cloud Service. Outros provedores podem não permanecer confiáveis após as atualizações.

Leitura relacionada

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f