US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

French
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Gouvernance et administration des identités ( IGA )
  • Bibliothèque de solutions IGA
  • Instructions et lignes uid
  • Configurer les connecteurs

Connecteur Red Hat 389-LDAP

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Gestion des services
    Solution Matrix42 Professional Solution Matrix42 Core Gestion des services d'entreprise Matrix42 Intelligence
  • Gouvernance et administration des identités ( IGA )
    Aperçu IGA Bibliothèque de solutions IGA
  • Plate-forme
    ESM ESS2 ESS Effet Chat pour la gestion des services Efecte Integrations Modules complémentaires
  • Notes de version pour M42 Core & Pro , IGA , IA conversationnelle
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Informations et politiques de publication
  • Autre matériel
    Conditions uid et directives de documentation Déclarations d'accessibilité
  • Services
+ More

    • Gestion des services

    • Gouvernance et administration des identités ( IGA )

    • Plate-forme

    • Notes de version pour M42 Core & Pro , IGA , IA conversationnelle

    • Autre matériel

    • Services

Connecteur Red Hat 389-LDAP

Le connecteur Red Hat 389-LDAP permet de lire et d'écrire les informations utilisateur et groupe dans l'annuaire 389-LDAP du client. Il est important de noter que le connecteur 389-LDAP est disponible uniquement pour la solution Efecte IGA et nécessite un accord séparé pour son utilisation avec d'autres solutions Efecte.

Le connecteur 389-LDAP nécessite une configuration en fonction du cas d'utilisation du client et, en principe, la configuration comporte trois (3) étapes :

  1. Configurer le connecteur - permet au connecteur d'établir une connexion au répertoire
  2. Configurer la tâche planifiée - est utilisé lorsque les données sont lues à partir du répertoire
  3. Configurer la tâche d'événement - est utilisé lorsque des données sont écrites dans le répertoire
    1. Les nœuds d'orchestration de flux de travail doivent également être configurés

Instructions pour les versions 2024.2 et ultérieures

Fonctionnalités générales

Connecteurs - fonctionnalités générales

Connecteurs - fonctionnalités générales

Cet article décrit les fonctionnalités générales de gestion des connecteurs natifs dans la solution. Tous les connecteurs natifs sont gérés depuis la même interface de gestion.

Notez qu'il existe des descriptions distinctes pour chaque connecteur, où les fonctionnalités spécifiques au connecteur et les instructions de configuration sont décrites à un niveau détaillé.

Pour accéder à la gestion des connecteurs, l'utilisateur doit disposer des autorisations d'administrateur pour la configuration de la plateforme client. Une fois les accès accordés, l'onglet Connecteurs s'affiche et l'utilisateur peut gérer les connecteurs.

Menu de gauche

La gestion des connecteurs est divisée en quatre onglets :

  • Présentation : pour créer et mettre à jour des connecteurs natifs. L'administrateur peut consulter leur statut, leur type et le nombre de tâches planifiées ou d'événements qui leur sont associés.
  • Authentification : pour créer et mettre à jour les tâches d'authentification. La tâche de Pro pour l'authentification est nécessaire pour que Secure Access puisse définir quels utilisateurs finaux peuvent accéder à la page de connexion Matrix42 Core , Pro and IGA .
  • Journaux - pour télécharger les journaux du connecteur natif et Secure Access à partir de l'interface utilisateur.
  • Paramètres - paramètres généraux pour les connecteurs natifs et Secure Access , y compris le type d'environnement pour la journalisation et la surveillance.

Onglet Présentation des connecteurs

Depuis la page d'aperçu, l'utilisateur peut facilement et rapidement voir l'état de tous les connecteurs.

Barre supérieure :

  • Statut des connecteurs natifs (EPE)
    • Le texte vert indique que les connecteurs natifs sont en ligne. Tous les services nécessaires sont opérationnels.
    • Le texte rouge indique qu'il y a un problème avec les connecteurs natifs, tous les services ne fonctionnent pas.
  • Statut d' Secure Access ( ESA )
    • Le texte vert indique que Secure Access est en ligne. Tous les services nécessaires sont opérationnels.
    • Le texte rouge indique qu'il y a un problème avec Secure Access , tous les services ne fonctionnent pas.
  • Le numéro de version des connecteurs natifs est affiché dans le coin supérieur droit

Barre supérieure pour la vue en liste :

  • Nouveau connecteur - ouvre une nouvelle fenêtre pour ajouter et configurer un nouveau connecteur
  • Supprimer le(s) connecteur(s) - les références de workflow sont calculées et une fenêtre contextuelle apparaît pour confirmer la suppression (notez que le calcul des références peut prendre plusieurs secondes)
  • Exporter : l'administrateur peut exporter un ou plusieurs connecteurs (et tâches) depuis l'environnement. Cette fonction est généralement utilisée pour exporter des connecteurs et des tâches du test vers la production. Les informations confidentielles des connecteurs natifs sont protégées par mot de passe.
  • Importation : l'administrateur peut importer un ou plusieurs connecteurs (et tâches) dans l'environnement. Cette fonction est généralement utilisée pour importer des connecteurs (et tâches) du test vers la production.
    • L'administrateur ne peut pas importer de données depuis l'ancienne interface EPE (antérieure à 2024.1) vers la nouvelle. Les environnements source et cible doivent avoir la même version.
    • L'importation échouera si la configuration (modèles, attributs) n'est pas la même - par exemple lorsqu'un attribut est manquant
    • Si vous importez quelque chose avec les mêmes détails de connecteur, il sera fusionné sous le connecteur existant
  • Actualiser - L'administrateur peut actualiser la vue des connecteurs en cliquant sur le bouton .
Votre navigateur ne prend pas en charge la vidéo HTML5.

Vue de liste pour un aperçu,

  • Sélectionner le(s) connecteur(s) - Sélectionnez un connecteur en cliquant sur la case à cocher devant la ligne de connecteur ou en cliquant sur la case à cocher dans la ligne d'en-tête pour sélectionner tous les connecteurs
  • ID - ID unique du connecteur généré automatiquement. Non modifiable.
  • Statut - indique l'état de la tâche planifiée
    • Coche verte - La tâche est exécutée sans aucune erreur
    • Croix- Rouge - La tâche est exécutée, mais il y a eu une erreur
    • Horloge grise - La tâche n'est pas encore exécutée, en attente de planification
    • Orange - l'une des tâches présente un problème
    • Aucune valeur - La tâche planifiée est manquante
  • Nom - Nom du connecteur ajouté aux paramètres. Nom unique du connecteur contenant la configuration d'une source de données.
  • Type - indique le système cible/source
  • Planifié - informe du nombre de tâches planifiées configurées
  • Événement - informe du nombre de tâches d'événement configurées
  • Gérer
    • Icône de stylo - ouvre les paramètres du connecteur (double-cliquez sur la ligne du connecteur pour ouvrir également les paramètres)
    • Icône papier - copie le connecteur
    • Arrêter - les références de flux de travail sont calculées et une fenêtre contextuelle apparaît pour confirmer la suppression
  • Recherche : l'utilisateur peut rechercher un connecteur en saisissant le terme recherché dans le champ correspondant. Les champs ID, Statut, Nom, Type, Planifié et Événement peuvent être consultés.
Votre navigateur ne prend pas en charge la vidéo HTML5.

Informations sur les tâches planifiées (cliquez sur la flèche devant le connecteur)

Lorsque vous cliquez sur la flèche au début de la ligne du connecteur, toutes les tâches planifiées et événementielles associées sont affichées

Barre supérieure pour les tâches planifiées

  • Nouvelle tâche - ouvre la page de configuration pour la nouvelle tâche
  • Supprimer la ou les tâches - supprime la ou les tâches sélectionnées du système et elles ne peuvent plus être récupérées.
  • Actualiser - actualiser la vue des tâches planifiées
  • Recherche - l'utilisateur peut rechercher une tâche en saisissant le terme de recherche dans le champ correspondant pour l'ID, le nom, l'activation, l'état d'extraction/chargement.

Vue de liste pour les tâches planifiées

  • Sélectionner la ou les tâches - Sélectionnez la tâche à supprimer dans la vue liste en cochant la case.
  • ID : identifiant unique de la tâche. Généré automatiquement et non modifiable.
  • Nom - Nom de la tâche ajouté aux paramètres de la tâche, nom unique de la tâche.
  • Activé - Affiche si la tâche est planifiée ou non
    • Coche verte - La tâche est planifiée
    • Croix -Rouge - La tâche n'est pas planifiée
  • État d'extraction - Affiche l'état de l'extraction des données du répertoire/système cible
    • Coche verte : les données ont été extraites avec succès
    • Croix- Rouge - les données sont extraites avec des erreurs ou l'extraction a échoué
    • Horloge - La tâche est en attente d'exécution
  • État de chargement - Affiche l'état de l'exportation des données du fichier json vers la solution du client
    • Coche verte : les données ont été importées avec succès vers la solution client
    • Croix- Rouge - les données sont importées avec des erreurs ou l'importation a échoué
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche dans sa propre fenêtre (un double-clic sur la ligne de la tâche ouvre également les paramètres de la tâche)
    • Icône papier - copie la tâche
    • Icône d'horloge - ouvre la vue de l'historique des tâches
    • Arrêter - supprimer la tâche, une fenêtre contextuelle s'ouvre pour confirmer la suppression

Affichage de l'historique des tâches planifiées

En cliquant sur l'icône de l'horloge dans la ligne des tâches planifiées, l'historique de la planification sera affiché.

Barre supérieure pour afficher l'historique

  • Actualiser : actualise l'état de la tâche planifiée. Cela n'affecte pas la tâche ; l'interface utilisateur est simplement mise à jour pour afficher les dernières informations sur son exécution.

Vue de liste pour l'historique des tâches planifiées

  • La couleur de la ligne indique le statut
    • Vert - tâche exécutée avec succès
    • Rouge - une erreur s'est produite lors de l'exécution
  • ID d'exécution - ID unique pour la ligne de tâche planifiée
  • Heure prévue d'extraction - quand la prochaine extraction du répertoire/de l'application est prévue
  • Heure d'achèvement de l'extraction - quand l'extraction a été terminée
  • Extraire l'état - état de récupération des données du répertoire/de l'application
  • Heure de début du chargement - heure à laquelle le prochain chargement de la solution client est prévu
  • Heure de fin de chargement - quand le chargement a été terminé
  • Statut de chargement - statut de chargement des informations vers la solution client

Vue de liste pour l'état des tâches planifiées

  • Heure de début réelle - horodatage du début réel
  • Fichier utilisateurs - Fichier JSON contenant les informations utilisateur lues à partir du répertoire/de l'application
  • Fichier de groupe - Fichier JSON contenant des informations de groupe lues à partir du répertoire/de l'application
  • Fichier générique - Fichier JSON contenant des informations génériques lues à partir du répertoire/de l'application
  • Extraire des informations - informations détaillées sur la lecture des informations du répertoire/de l'application
  • Informations sur le chargement - informations détaillées sur le chargement des informations vers les solutions clients Matrix42 Core , Pro and IGA

Fenêtre d'édition pour la tâche planifiée

La configuration de la tâche planifiée peut être ouverte en cliquant sur l'icône du stylo ou en double-cliquant sur la ligne de la tâche.

Le menu de gauche et les attributs varient en fonction des options sélectionnées et, par conséquent, des instructions plus détaillées pour l'édition des tâches peuvent être trouvées dans la description du connecteur, mais il existe des fonctionnalités communes à toutes les tâches planifiées qui sont décrites ci-dessous.

Sauvegarder la tâche

Si des informations obligatoires manquent dans la tâche, passer la souris sur le bouton d'enregistrement affichera les attributs encore vides.

Barre supérieure pour modifier la tâche planifiée

  • Exécuter la tâche manuellement - l'administrateur peut exécuter la tâche manuellement en dehors de la planification définie
  • Arrêter la tâche : l'administrateur peut arrêter une tâche planifiée en cours d'exécution. La tâche sera alors arrêtée et son statut passera à « Arrêté ». Elle restera dans cet état jusqu'à la prochaine exécution.
  • Vider le cache de données : le cache de données pour le prochain provisionnement des utilisateurs et des groupes sera vidé. Cela signifie que la prochaine exécution sera exécutée comme la première fois.
    • Par défaut, nous vidons le cache tous les jours à 00h00 UTC
    • Si vous souhaitez vider le cache à un moment différent, vous devez spécifier une valeur différente dans le fichier hôte « custom.properties ».
    • Le cache EPE est également vidé lorsque EPE est redémarré, l'environnement entier est redémarré, les mappages EPE ont été modifiés

Informations sur les tâches d'événement

Lorsque vous cliquez sur la flèche au début de la ligne du connecteur, toutes les tâches planifiées et événementielles associées sont affichées

Barre supérieure pour les tâches d'événement

  • Nouvelle tâche - ouvre la page de configuration pour une nouvelle tâche d'événement
  • Supprimer la ou les tâches - supprime la ou les tâches sélectionnées, une fenêtre contextuelle apparaît pour confirmer la suppression
  • Actualiser - actualise la vue des tâches d'événement
  • Afficher les références de workflow : calcule les relations et les statuts des workflows liés aux tâches. Ceci est très utile si vous ignorez de quels workflows proviennent les tâches basées sur les événements.

Vue de liste pour les tâches d'événement

  • Sélectionner la ou les tâches - Sélectionnez la tâche à supprimer dans la vue liste en cochant la case.
  • ID : identifiant unique de la tâche. Généré automatiquement et non modifiable.
  • Nom - Nom de la tâche ajouté aux paramètres de la tâche, nom unique de la tâche.
  • Relations de flux de travail
    • Le point d'interrogation affiche une fenêtre contextuelle contenant des informations détaillées sur la référence
  • Statut du flux de travail
    • Non utilisé - Aucune relation avec le flux de travail
    • En cours d'utilisation - Workflow(s) attaché(s) à la tâche, la tâche ne peut pas être supprimée
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche dans sa propre fenêtre
    • Icône papier - copie la tâche
    • Icône d'arrêt - supprime la tâche, une fenêtre contextuelle apparaît pour confirmer la suppression

Fenêtre d'édition pour la tâche d'événement

La configuration de la tâche d'événement peut être ouverte en cliquant sur l'icône du stylo ou en double-cliquant sur la ligne de la tâche.

Le menu de gauche et les attributs varient en fonction des options sélectionnées et, par conséquent, des instructions plus détaillées pour l'édition des tâches peuvent être trouvées dans la description du connecteur, mais il existe des fonctionnalités communes à toutes les tâches d'événement qui sont décrites ci-dessous.

Modifier la fenêtre des tâches d'événement

  • Utilisation de la tâche, modifiable ? - cela apparaît lors de la modification d'une tâche existante et la modification du type d'utilisation de la tâche interrompt les flux de travail
  • Type de mappage, modifiable ? - cela apparaît lors de la modification d'une tâche existante et la modification du type de mappage interrompt les flux de travail.

Sauvegarder la tâche

Si des informations obligatoires manquent dans la tâche, passez la souris sur le bouton Enregistrer pour afficher les attributs encore vides.

Onglet Authentification

L'authentification pour les solutions Matrix42 Core , Pro and IGA est configurée à partir de l'onglet Authentification. Notez que seuls certains connecteurs (connecteurs d'annuaire) prennent en charge l'authentification. Il n'est donc pas possible de créer des tâches d'authentification sur tous les connecteurs disponibles.

Barre supérieure pour l'authentification

  • Nouveau connecteur - ouvre une nouvelle fenêtre pour configurer un nouveau connecteur (notez que tous les connecteurs ne prennent pas en charge l'authentification)
  • Supprimer le(s) connecteur(s) - supprime la ou les tâches sélectionnées, une fenêtre contextuelle apparaît pour confirmer la suppression
  • Exporter : l'utilisateur peut exporter une ou plusieurs tâches de l'environnement. Cette option est généralement utilisée pour exporter des tâches du test vers la production. Les connecteurs EPE sont protégés par mot de passe.
    • Notez que le domaine pour les tâches d'authentification n'est pas exporté, vous devez le définir manuellement après l'importation
  • Importer : l'utilisateur peut importer une ou plusieurs tâches dans l'environnement. Ce paramètre est généralement utilisé pour importer des tâches de test vers la production.
  • Actualiser - actualise la vue des tâches d'authentification

Vue de liste pour l'aperçu de l'authentification

  • Sélectionner le(s) connecteur(s) - Sélectionnez un connecteur en cliquant sur la case à cocher devant la ligne de connecteur ou en cliquant sur la case à cocher dans la ligne d'en-tête pour sélectionner tous les connecteurs
  • ID - Identifiant unique du connecteur généré automatiquement. Non modifiable.
  • Nom - Nom du connecteur ajouté aux paramètres. Nom unique du connecteur contenant la configuration d'une source de données.
  • Type - indique le système cible/source
  • Count - informe du nombre de tâches d'authentification configurées
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche d'authentification dans sa propre fenêtre
    • Icône papier - copie la tâche
    • Icône d'arrêt - supprime la tâche sélectionnée

Informations sur la tâche d'authentification

Lorsque vous cliquez sur la flèche au début de la ligne du connecteur, toutes les tâches planifiées et événementielles associées sont affichées

Barre supérieure pour l'aperçu de l'authentification

  • Créer une nouvelle tâche - ouvre la page de configuration pour une nouvelle tâche d'authentification
  • Supprimer la ou les tâches - supprime la ou les tâches sélectionnées, une fenêtre contextuelle apparaît pour confirmer la suppression
  • Actualiser - actualise la vue des tâches d'authentification

Vue de liste pour l'aperçu de l'authentification,

  • Sélectionner la ou les tâches - Sélectionnez la tâche à supprimer dans la vue liste en cochant la case.
  • ID : identifiant unique de la tâche. Généré automatiquement et non modifiable.
  • Nom - Nom de la tâche ajouté aux paramètres de la tâche, nom unique de la tâche.
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche dans sa propre fenêtre (double-cliquez sur la ligne de la tâche pour ouvrir également la fenêtre des paramètres)
    • Icône papier - copie la tâche
    • Icône d'arrêt - supprime la tâche, une fenêtre contextuelle apparaît pour confirmer la suppression

Onglet Journaux

L'onglet Journaux permet de télécharger les journaux du connecteur natif et Secure Access à partir de l'interface utilisateur pour un dépannage détaillé.

  • Journaux epe-master - contiennent des messages d'avertissement, de débogage et d'erreur sur les connecteurs natifs et des informations sur la durée pendant laquelle les actions de tâche ont été effectuées.
  • Journaux epe-worker-ad : contient les données d'état extraites du connecteur Active Directory (ce que le connecteur natif charge pour les clients Matrix42 Core , Pro and IGA ). Si la sélection est vide, cela signifie que le répertoire n'est pas utilisé dans cet environnement.
  • Journaux epe-worker-azure : contient l'état des données extraites de Entra ID (ce que Native Connector charge pour les clients Matrix42 Core , Pro and IGA ). Si la sélection est vide, cela signifie que le répertoire n'est pas utilisé dans cet environnement.
  • Journaux epe-worker-ldap : contient l'état des données extraites LDAP (ce que Native Connector charge pour les clients Matrix42 Core , Pro and IGA ). Si la sélection est vide, cela signifie que l'annuaire n'est pas utilisé dans cet environnement.
  • Journaux du lanceur epe - contient des informations sur les lancements EPE
  • datapump-itsm l ogs - Contient des informations sur l'exportation de données vers les clients Matrix42 Core , Pro and IGA .
  • Journaux esa - Contient des informations sur l'authentification Secure Access .

Onglet Paramètres

Les onglets Paramètres sont utilisés pour surveiller les environnements avec des connecteurs.

  • Type d'environnement - doit obligatoirement être sélectionné et les informations sont utilisées par exemple pour définir une alerte de manière critique.
    • Test - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de test
    • Pro d - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de production
    • Démo - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de démonstration ou de formation
    • Dev - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de développement

Que surveillons-nous ?

  • Échecs dans le provisionnement planifié (extraction de données, exportation de données vers ESM, certificats obsolètes, mots de passe incorrects, base de recherche/filtre incorrect, mappages incorrects, etc.)
  • Échecs dans le provisionnement basé sur les événements (échec d'écriture dans AD / Azure , etc.)
  • Provisionnement basé sur les événements : quels connecteurs sont utilisés pour écrire des données vers des applications/répertoires.
  • ESA a enregistré plus de dix tentatives de connexion infructueuses pour un même utilisateur au cours des trois derniers jours.
  • Type d'environnement - doit obligatoirement être sélectionné et les informations sont utilisées par exemple pour définir une alerte de manière critique.

Migrations de données

Ne cliquez pas sur « Migrer les mappages d’attributs » ou « Migrer les workflows », si Matrix42 ne vous le demande pas.

Configurer le connecteur 389-LDAP

Dans ce chapitre sont décrites les instructions de configuration du connecteur 389-LDAP pour pouvoir se connecter aux clients 389-LDAP.

Pour accéder à la gestion des connecteurs, l'utilisateur doit disposer des autorisations nécessaires à la configuration de la plateforme Efecte.

1. Ouvrez la zone d’administration d’Efecte (un symbole d’engrenage).
2. Ouvrez la vue des connecteurs.
3. Choisissez un nouveau connecteur

4. Sélectionnez le type de source de données 389-LDAP Red Hat

5. Remplir les informations relatives aux clients 389-LDAP

  • Nom du connecteur - donnez à votre connecteur un nom convivial (le nom peut être modifié par la suite)
  • 389-LDAP host - adresse de l'hôte qui sera utilisée pour se connecter aux clients 389-LDAP
  • Port 389-LDAP - numéro de port qui sera utilisé pour la connexion au client 389-LDAP
  • 389-LDAP nom d'utilisateur - nom du compte de service utilisé pour lire et écrire des données vers/depuis les clients 389-LDAP
  • 389-Mot de passe LDAP - mot de passe pour le compte de service

6. Remplissez les informations utilisateur API Web

  • Utilisateur API Web - sélectionnez l'utilisateur API Web correct qui est utilisé lors de l'écriture des données des clients 389-LDAP aux clients Solution d'effet
  • Mot de passe de API Web - mot de passe de l'utilisateur de l' API Web

7. Enregistrer les informations du connecteur

  • Appuyez sur « Test de connexion » pour valider que les informations sur le port et l'hôte sont correctement définies.
  • Appuyez sur le test d'authentification pour valider que les informations d'utilisateur et de mot de passe 389-LDAP (compte de service) sont correctement définies

8. La solution Clients Efecte est désormais capable de se connecter aux clients 389-LDAP.

  • L’étape suivante consiste à configurer une tâche planifiée pour la lecture des données ou une tâche événementielle pour l’écriture des données.

uid générales pour les tâches planifiées

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Configurer une tâche planifiée pour la lecture des données

Le connecteur 389-LDAP est utilisé pour lire les informations utilisateur et groupe des clients 389-LDAP et il est configuré à partir de la plate-forme Efecte en créant une tâche planifiée.

Comment créer une nouvelle tâche pour Pro planifiée

Pour configurer une tâche planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

Remarque ! Si aucun connecteur n'est créé, vous devez d'abord créer un « nouveau connecteur » avant de pouvoir créer de nouvelles tâches.

1. Ouvrez la zone d’administration d’Efecte (un symbole d’engrenage).
2. Ouvrez la vue des connecteurs.
3. Choisissez le connecteur pour lequel la tâche planifiée est configurée
4. Sélectionnez une nouvelle tâche sous le connecteur approprié


5. Définissez la planification de la tâche (si et comment la tâche planifiée doit être exécutée périodiquement). Choisissez la séquence de planification, qui dépend de la quantité de données lues par la solution Efecte du client.

Séquence de planification recommandée, dépend de la quantité de données lues depuis le répertoire des clients vers la solution Efecte et est une importation partielle ou complète.

Exemple de planification pour les groupes de lecture et les comptes utilisateurs.

Nombre total d'utilisateurs Nombre total de groupes Séquence de charge complète Séquence de charge partielle
< 500 < 1000 Toutes les 30 minutes si la charge partielle n'est pas utilisée
Quatre (4) fois par jour si une charge partielle est utilisée 		Toutes les 10 minutes
< 2000 < 2000 Toutes les 60 minutes, si la charge partielle n'est pas utilisée
Quatre (4) fois par jour si une charge partielle est utilisée 		Toutes les 15 minutes
< 5000 < 3000 Toutes les quatre (4) heures, si la charge partielle n'est pas utilisée
Deux fois par jour si une charge partielle est utilisée 		Toutes les 15 minutes
< 10 000 < 5000 Importations maximales deux fois par jour, peu importe si une charge partielle est utilisée ou non Toutes les 30 minutes
< 50 000 < 7000 Importation maximale une fois par jour, peu importe si une charge partielle est utilisée ou non Toutes les 60 minutes
Plus de 50 000 Plus de 7000 Il pourrait être nécessaire de faire appel à un autre travailleur EPE, veuillez contacter le propriétaire Pro produit. Évalué séparément

5. Remplissez les détails de la tâche

  • Saisissez un nom de tâche unique pour la tâche planifiée. Notez que le nom ne peut pas être modifié par la suite.
  • L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données, ou pour l'authentification. Notez que toute modification ultérieure du type d'événement peut interrompre les flux de travail.
  • Le type de mappage dépend du type d'informations lues dans le répertoire
    • Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues à partir de l'annuaire
    • Unique (identité uniquement) - sont utilisés lorsque seules les informations du compte utilisateur sont lues à partir du répertoire
    • Unique (droit d'accès uniquement) - sont utilisés lorsque seules les informations de groupe sont lues à partir du répertoire
    • Générique (un modèle) - sont utilisés lorsqu'une information générique est lue à partir du répertoire, généralement autre que les utilisateurs/groupes

6. Remplissez les détails de filtrage,

  • Récupérer des données
    • Complet - toutes les informations sont lues selon un filtrage défini
    • Incrémentiel - seules les informations modifiées sont transmises à la solution Efecte

Remplissez 389-LDAP userBase / 389-LDAP userFilter * Ce filtre est généralement défini avec le chemin d'accès de l'UO, à partir duquel les utilisateurs sont lus et il inclut également toutes les sous-UO dans l'importation, mais il permet également plusieurs autres possibilités de filtrage,

Exemples d’autres filtres utilisateur couramment utilisés :

  • L'exemple suivant recherche les objets utilisateur : (&(objectCategory=person)(objectClass=user))
  • L'exemple suivant recherche les objets utilisateur, ordinateur et contact : (objectClass=person)
  • L'exemple suivant recherche les objets utilisateur et contact : (objectCategory=person)
  • L'exemple suivant recherche tous les objets utilisateur activés : (&(objectCategory=person)

Renseignez 389-LDAP groupBase / 389-LDAP groupFilter * Ce filtre est généralement défini sur le chemin de l'unité d'organisation (UO) d'où proviennent les groupes. Toutes les sous-UO seront incluses dans l'importation (exemple : OU=Finance,DC=adtest,DC=local). Les utilisateurs seront ignorés s'ils existent directement dans l'une des <UO> définies et dans la sous-arborescence d'une <UO> déjà définie.

Exemples d’autres filtres de groupe couramment utilisés :

  • L'exemple suivant recherche des objets de groupe :
    (objectCategory=groupe)
  • L'exemple suivant recherche des objets de groupe qui ont une valeur dans cn :
    (&(objectCategory=groupe)(cn=*))
  • L'exemple suivant recherche des objets de groupe qui ont une valeur dans leur description :
    (&(objectCategory=groupe)(description=*))

7. Remplissez les informations d'échec

Paramètres facultatifs pour la gestion des échecs : en cas d'échec d'une tâche planifiée, une carte de données peut être créée pour Efecte ESM, affichant l'erreur. Si des paramètres d'échec sont définis, l'administrateur n'a pas besoin de vérifier manuellement l'état des tâches planifiées.

  • Modèle d'échec - Sélectionnez un modèle de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)
  • Dossier d'échec - Sélectionnez le dossier dans lequel la carte de données d'échec est stockée.
  • Attribut d'échec - Sélectionnez un attribut dans lequel les informations d'erreur doivent être stockées dans le modèle d'échec.

8. Remplissez les mappages d'identité

Les utilisateurs sont importés dans le modèle de compte IGA et il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients 389-LDAP et la solution Efecte. Par exemple.

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut de modèle d'effet - vers quel attribut dans le répertoire d'effet l'attribut est mappé.
    2. Attribut de répertoire - quel attribut du répertoire est mappé à Efecte
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans 389-LDAP, en choisissant Nouvel attribut

9. Renseignez les mappages de droits d'accès

Les groupes sont lus selon le modèle d'autorisation IGA et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les utilisateurs entre les clients 389-LDAP et la solution Efecte.

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut de modèle d'effet - vers quel attribut dans le répertoire d'effet l'attribut est mappé.
    2. Attribut de répertoire - quel attribut du répertoire est mappé à Efecte
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans le répertoire, en choisissant Nouvel attribut

11. Enregistrez la tâche de provisionnement via le bouton Enregistrer. Si certains attributs requis sont manquants, le bouton Enregistrer s'affiche en gris et indique les paramètres manquants.

12. Vous avez maintenant configuré une tâche de connecteur planifiée pour la lecture des données 389-LDAP.

  • Vous pouvez désormais attendre que la tâche soit démarrée en fonction de la planification ou
  • Exécuter la tâche manuellement : en cliquant sur ce bouton, la tâche est configurée pour être planifiée et démarrer immédiatement. Ceci est généralement utilisé pour des tests ou si vous ne souhaitez pas modifier les paramètres de planification, mais souhaitez exécuter la tâche immédiatement.

Configurer une tâche basée sur des événements pour l'écriture de données

La tâche événementielle est utilisée lors de l'écriture de données vers les clients 389-LDAP. Ces fonctionnalités Efecte Provisioning Engine sont disponibles uniquement pour la solution Efecte IGA ; une licence IGA est requise pour leur utilisation.

Toutes les configurations liées à Efecte Provisioning Engine et à la tâche de provisionnement basée sur les événements sont configurées dans la plate-forme Efecte Service Management.

  1. Ouvrez la vue de configuration de la plateforme Efecte (un symbole d'engrenage).
  2. Ouvrir la vue des connecteurs
  3. Choisissez le connecteur qui utilisera la tâche événementielle
  4. Sélectionnez « Nouvelle tâche » sous le connecteur approprié


  5. Remplissez les détails de la tâche
  • Nom de la tâche - Donnez un nom à la tâche, il sera affiché dans la vue des connecteurs.
    • Il est recommandé de nommer une tâche d’une manière qui décrit son objectif, par exemple
  • L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données. Elle peut être modifiée ultérieurement, mais elle est déconseillée si une tâche événementielle est utilisée. Cela perturberait les flux de travail.
  • Le type de mappage dépend du type d'informations lues dans le répertoire. Les sélections de mappages d'identité sont affichées en fonction de ce paramètre.
    • Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues à partir de l'annuaire
    • Unique (identité uniquement) - est utilisé lorsque seules les informations du compte utilisateur sont lues à partir du répertoire
    • Unique (droit d'accès uniquement) - est utilisé lorsque seules les informations de groupe sont lues dans le répertoire
    • Générique (un modèle) : utilisé lorsque des informations génériques sont lues depuis l'annuaire. Il s'agit généralement de données autres que des informations sur l'utilisateur ou le groupe.

6. Remplissez les informations de sécurité

Ces informations sont nécessaires si le processus de création d'utilisateur dans le workflow est associé à la tâche.

  • Mot de passe pour la première connexion - Mot de passe par défaut qui est le même pour tous les utilisateurs, un mot de passe aléatoire est généré dans le flux de travail et il est généralement unique.
    • Mot de passe par défaut / saisissez-le dans la case ci-dessous
      • Mot de passe par défaut : saisissez un mot de passe par défaut identique pour tous les utilisateurs et conforme aux exigences de l'annuaire. Notez que le nombre de caractères ne représente pas la longueur réelle du mot de passe.
    • Mot de passe aléatoire / générer dans le workflow
      • Mot de passe généré

7. Remplissez les informations de filtrage

Lorsque des données sont écrites dans le répertoire client, un filtrage est nécessaire pour que le connecteur sache dans quelle unité organisationnelle les informations sont écrites.

Remplissez 389-LDAP userBase / 389-LDAP userFilter * Ce filtre est généralement défini avec le chemin d'accès de l'UO, à partir duquel les utilisateurs sont lus.

Remplissez 389-LDAP groupBase / 389-LDAP groupFilter * Ce filtre est généralement défini sur le chemin d'accès de l'UO, à partir duquel les groupes sont lus.

6. Définir les mappages d'identité

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut de modèle d'effet - vers quel attribut dans le répertoire d'effet l'attribut est mappé.
    2. Attribut de répertoire - quel attribut du répertoire est mappé à Efecte
  • Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes d'utilisateurs dans 389-LDAP, en choisissant le bouton Nouvel attribut.

7. Définir les mappages de droits d'accès

  • Modèle cible - Sélectionnez un modèle pour définir les mappages de droits d'accès
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut de modèle d'effet - vers quel attribut dans le répertoire d'effet l'attribut est mappé.
    2. Attribut de répertoire - quel attribut du répertoire est mappé à Efecte
  • Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus à partir de groupes dans 389-LDAP, en choisissant le bouton Nouvel attribut.

8. Enregistrez la tâche de provisionnement à partir du bouton « Enregistrer »

Si des informations obligatoires sont manquantes, vous ne pourrez pas enregistrer la tâche et le bouton Enregistrer affichera les informations manquantes.

9. L'étape suivante consiste à configurer le workflow pour utiliser cette tâche événementielle. Depuis le moteur de workflow d'Efecte Platform, il est possible d'exécuter des activités de provisionnement vers les services d'annuaire client. Cela signifie que n'importe quelle activité des nœuds d'orchestration disponibles peut être exécutée à tout moment du workflow.

Les références de workflow sont affichées dans la page de présentation du connecteur,

Instructions pour les versions 2024.1 et antérieures

Configurer une tâche planifiée

Pour configurer une tâche de provisionnement planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

1. Ouvrez la zone Administration des effets (symbole d'engrenage).
2. Ouvrir la vue IGA
3. Choisissez Ajouter une nouvelle tâche pour la planification basée sur Pro planification

4. Choisissez 389-LDAP Red Hat dans la liste Ajouter une nouvelle tâche
5. Saisissez un nom unique pour la tâche de provisionnement
6. Choisissez l'utilisateur API Web et saisissez le mot de passe
7. Sélectionnez un modèle d'échec de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)

8. Choisissez la séquence de planification, qui dépend de la quantité de données lues par les clients. Solution Efecte

9. Remplissez la section Pro , où les informations de connexion sont définies et les filtres pour la lecture des informations utilisateur et groupe des clients 389-LDAP

10. Les utilisateurs sont importés dans le modèle de compte IGA . Il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients 389-LDAP et la solution Efecte. Il est possible de définir des attributs supplémentaires, lus depuis les comptes utilisateurs dans 389-LDAP, en sélectionnant « Ajouter une propriété ».

12. Les groupes sont lus dans le modèle d'autorisation IGA . Il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients 389-LDAP et la solution Efecte. Il est possible de définir des attributs supplémentaires, lus depuis les comptes utilisateurs dans 389-LDAP, en sélectionnant « Ajouter une propriété ».

14. Enregistrez la tâche de provisionnement à partir de la barre supérieure

15. Vous avez maintenant configuré la tâche de provisionnement planifiée et vous pouvez

  • Tester la connexion
  • Tester l'authentification
  • Exécuter la tâche manuellement

16. Si la tâche est exécutée manuellement (exécuter la tâche manuellement) ou si elle est exécutée selon la planification, l'état de la tâche peut être consulté sous l'onglet Extraire/Charger l'état.

Configurer une tâche basée sur les événements

La tâche Pro basée sur les événements est utilisée lors de l'écriture de données vers 389-LDAP. Ces fonctionnalités Efecte Provisioning Engine sont disponibles uniquement pour la solution Efecte IGA ; une licence IGA est requise pour leur utilisation.

Toutes les configurations liées à Efecte Provisioning Engine et à la tâche de provisionnement basée sur les événements sont configurées dans la plate-forme Efecte Service Management.

1. Choisissez 389-LDAP Red Hat dans la liste Ajouter une nouvelle tâche
2. Sélectionnez le type de provisionnement Pro basé sur les événements 
3. Sélectionnez le type de mappage : Identité unique uniquement, Unique (droits d'accès uniquement) ou Identité et droits d'accès.
« Identité uniquement » - seuls les mappages des utilisateurs sont disponibles, « Droits d'accès uniquement » - seuls les mappages des groupes sont disponibles.
4. Saisissez un nom unique pour la tâche de provisionnement

5. Remplissez la section Pro , où les informations de connexion sont définies et les filtres pour les informations utilisateur et groupe des clients 389-LDAP.

Remarque ! Il est toujours recommandé de sécuriser la connexion entre Efecte Provisioning Engine et les services d'annuaire.

 

6. Définissez les mappages d’attributs.

  • Il est possible de définir des attributs supplémentaires en choisissant Ajouter une propriété personnalisée.
  • Dans la tâche de provisionnement basée sur les événements, il est possible de définir quelles informations d'attribut dans la solution IGA sont écrites dans le répertoire.
  • Il peut y avoir plusieurs tâches de provisionnement à des fins différentes, comme une pour créer des utilisateurs et une pour supprimer des utilisateurs de l'annuaire.

7. Enregistrez la tâche de provisionnement à partir de la barre supérieure

8. Vous avez maintenant configuré la tâche de provisionnement basée sur les événements et vous pouvez

  • Tester la connexion
  • Tester l'authentification

9. L'étape suivante consiste à configurer le workflow pour utiliser cette tâche événementielle. Depuis le moteur de workflow de la plateforme Efecte Service Management, il est possible d'exécuter des activités de provisionnement vers les services d'annuaire client. Cela signifie que n'importe quelle activité disponible peut être exécutée à tout moment du workflow.

Activités de flux de travail

Ajouter un utilisateur au groupe

Dans l'illustration ci-dessus, la configuration de l'attribut Personne doit pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur (généralement le compte IGA ). L'attribut Rôle doit être configuré pour définir où le nœud d'orchestration trouve les rôles disponibles (groupes d'annuaires dont l'utilisateur doit être supprimé). Un ou plusieurs groupes d'attributs peuvent être configurés dans un attribut Rôle. La liste des tâches d'annuaire enregistrées disponibles est extraite du maître EPE.

Gestion des exceptions :

  • Le résultat d'un nœud sera à l'état « Terminé » uniquement si toutes les appartenances aux groupes de l'utilisateur ont été mises à jour avec succès. Si, par exemple, l'utilisateur est supprimé de 5 groupes sur 6, le résultat d'un nœud sera à l'état « Exception ».
  • Par conséquent, le mappage du champ JSON distinguishedName, pour l'identité et les droits d'accès, est requis. Si le mappage est introuvable, le nœud d'orchestration affichera un état « Exception ».
  • La tentative de supprimer un utilisateur d'un groupe auquel il n'appartient pas se terminera par un échec.
  • La tentative d'ajouter un utilisateur à un groupe auquel il appartient déjà se terminera par un échec.
  • Les détails sur l'appartenance au groupe d'un utilisateur mis à jour avec succès ou non peuvent être trouvés dans les journaux.
  • Les exceptions de Pro et d'appartenance aux groupes sont des propriétés facultatives pour ce nœud de workflow. Les administrateurs peuvent configurer ces propriétés pour qu'elles puissent être utilisées et créer des exceptions si des exceptions surviennent lors des actions de provisionnement.

Créer un utilisateur


Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent l'annuaire cible approprié et peuvent consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'un nouvel utilisateur lit les attributs des cartes de données en question et exécute la commande LDAP dans l'annuaire 389-LDAP.

Création de nouvelles notes d’activité utilisateur :

  • Il existe deux manières de créer le mot de passe d'un nouvel utilisateur pour sa première connexion.
    • Définir le mot de passe « Par défaut » dans la vue de configuration de la tâche de Pro
      • Ce mot de passe ne sera utilisé par les utilisateurs que lorsqu'ils se connecteront au système pour la première fois.
    • Générer un mot de passe aléatoire dans le flux de travail et sélectionner dans quel attribut de la carte de données de mappage d'identité il a été écrit
    • Possibilité de choisir si le mot de passe doit être modifié à la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Création d'utilisateur » du workflow.
  • Il existe différentes manières de fournir un mot de passe pour la première connexion de l'utilisateur final. Selon les besoins du client, il est possible d'utiliser les fonctionnalités du workflow pour envoyer le mot de passe directement à l'utilisateur final par e-mail ou SMS. Une autre option consiste à envoyer le mot de passe de première connexion au responsable, qui le fournira à l'utilisateur final. Le nœud d'orchestration d'EPE ne fournit pas cette fonctionnalité ; elle doit être définie ailleurs.
  • L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Créer un groupe


Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible 389-LDAP appropriée et peuvent consulter les mappages de droits d'accès configurés pour les tâches 389-LDAP sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'utilisateur lit les attributs des cartes de données en question et exécute la commande LDAP sur 389-LDAP.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer le groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible 389-LDAP appropriée. Le nœud d'orchestration de suppression de groupe lit les attributs des cartes de données concernées et exécute la commande LDAP vers 389-LDAP.

L' attribut « Groupe de rôles » doit contenir le nom distinguishedName du groupe.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur


Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible 389-LDAP appropriée. Le nœud d'orchestration de suppression d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers 389-LDAP.

« L' attribut Person » doit contenir le nom distinguishedName de l'utilisateur.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur du groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible 389-LDAP appropriée. Le nœud d'orchestration des attributs utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers 389-LDAP.

L'attribut Person* doit contenir le nom distinguishedName de l'utilisateur.

L'attribut de rôle* doit contenir le nom distinguishedName du groupe.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier le groupe


Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent le 389-LDAP approprié dans « Cible » et peuvent visualiser les mappages de droits d'accès configurés pour la tâche 389-LDAP sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages de droits d'accès, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence du groupe. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données pour confirmer l'unicité d'un groupe. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données concernée et comparés aux attributs 389-LDAP appropriés, conformément à la configuration de l'annuaire « Cible* ». Les administrateurs peuvent également choisir d'utiliser « égal » ou « différent » pour l'attribut 389-LDAP correspondant en modifiant l'expression « IF ». Le champ « Enregistrer le résultat* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « vrai » si le groupe a été trouvé, « faux » dans le cas contraire.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'UO » sur ce nœud d'orchestration pour vérifier si le groupe existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'UO spécifique définie dans la configuration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent le 389-LDAP approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche 389-LDAP sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.


Dans le panneau d'administration des mappages d'identité, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence de l'utilisateur. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données personnelles pour confirmer l'unicité d'un utilisateur. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données en question et comparés aux attributs 389-LDAP appropriés, conformément à la configuration 389-LDAP « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut AD correspondant en modifiant l'expression « IF ». Le champ « Save result* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « true » si l'utilisateur a été trouvé, « false » dans le cas contraire.

Le point clé pour comprendre la mécanique de ce nœud est le suivant : lors de la formation de l'expression IF, l'administrateur doit utiliser les attributs du modèle, mais en fait, les valeurs lues à partir d'eux seront traduites (mappées) vers les attributs 389-LDAP appropriés, conformément à la configuration du mappage d'identité et seront transmises à 389-LDAP en tant que requête de recherche.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'unité organisationnelle » sur ce nœud d'orchestration pour vérifier si l'utilisateur existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'unité organisationnelle spécifique définie dans la configuration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Lire les données de l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent le 389-LDAP approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche 389-LDAP sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Exécuter la tâche de provisionnement

Les administrateurs sélectionnent le 389-LDAP approprié dans « Cible ». Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Dépannage

En cas d'erreur, veuillez consulter les journaux EPE et la FAQ

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Configurer : EPE pour la lecture des données de SCIM avec Entra
  • Configurer : EPE Créer une carte de données pour cibler ESM

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand