Microsoft Active Directory ( AD ) -liitin

Kuinka integroida Microsoft Active Directory kanssa

+ More

Microsoft Active Directory -liitin

Microsoft Active Directory ( AD ) -liitin on osa Native Connectors -yhdistimiä, ja sitä käytetään datan lukemiseen ja kirjoittamiseen asiakkaan Active Directory . Sitä voidaan käyttää kaikissa Matrix42 Core , Pro and IGA -ratkaisuissa, jotka käyttävät Native Connectorsia.

Voit lukea ja kirjoittaa käyttäjä-, yhteystieto-, tulostin-, tietokone-, jaettu kansio-, ryhmä- ja/tai organisaatioyksikkötyyppisiä objekteja Active Directory

AD -liitin vaatii konfiguroinnin asiakkaan käyttötapauksen mukaan, ja periaatteessa konfiguroinnissa on kolme (3) vaihetta:

Yhdistimen määrittäminen - mahdollistaa yhdistimen yhteyden muodostamisen hakemistoon
Ajoitetun tehtävän määrittäminen - käytetään, kun tietoja luetaan hakemistosta
Tapahtuman konfigurointitehtävä - käytetään, kun tietoja kirjoitetaan hakemistoon
1. Myös työnkulun orkestrointisolmut on konfiguroitava.

Kohtuullisen käytön käytäntö

Liitintä saa käyttää rajoituksetta normaaleissa käyttöolosuhteissa. Jos käyttö kuitenkin lisää merkittävästi kuormitusta ja vaatii lisää pilviresursseja (esim. muistia tai prosessointikapasiteettia), siitä voidaan periä lisämaksuja.

Tämän liittimen käyttäminen käyttäjätilien tai ryhmäobjektien luomiseen, päivittämiseen tai poistamiseen edellyttää aktiivista IGA lisenssiä.

2024.2 ja uudemmat ohjeet

Yleiset toiminnot

Connectors - general functionalities

Connectors - general functionalities

In this article are described general functionalities for managing native connectors in solution. All Native Connectors are managed from the same connector management UI.

Notice that there are separate descriptions for each connector, where connector specific functionalities and configuration instructions are described in detailed level.

To be able to access connector management, user needs to have admin level permissions to customers Platform configuration. When accesses are granted correctly, connector tab will be visible and user can manage connectors.

Left menu

Connector management is divided into four tabs:

Overview - for creating and updating Native Connectors. The Admin User can see their status, type and how many scheduled or event tasks are associated with them.
Authentication - for creating and updating authentication tasks. Provisioning task for authentication is needed for Secure Access to be able to define which Customers end-users can access to Matrix42 Core, Pro and IGA login page.
Logs - for downloading Native Connector and Secure Access logs from UI.
Settings - general settings for Native Connectors and Secure Access, including environment type for logging and monitoring.

Connectors overview tab

From overview page, user can easily and quickly see status for all connectors.

Top bar:

Status for Native Connectors (EPE)
- Green text indicates that Native Connectors is online. All the needed services are up and running.
- Red text indicates that there is a problem with Native Connectors, all the services are not running.
Status for Secure Access (ESA)
- Green text indicates that Secure Access is online. All the needed services are up and running.
- Red text indicates that there is a problem with Secure Access, all the services are not running.
Native Connectors version number is displayed in top right corner

Top bar for list view:

New connector - opens new window for adding and configuring new connector
Remove connector(s) - workflow references are calculated and pop-up window appears to confirm removal (notice that calculating references can take several seconds)
Export - Admin can export one or more connectors (and tasks) from the environment. Usually used for exporting connectors and connectors (and tasks) from test to prod. Native connectors secret information is password protected.
Import - Admin can import one or more connectors (and tasks) to the environment. Usually used for importing connectors (and tasks) from test to prod.
- Admin cannot import from old EPE UI (Older than 2024.1) to the new one. Source and target environments must have same version.
- Import will fail if the configuration (templates, attributes) is not the same - for example when some attribute is missing
- If you are importing something with the same connector details, it will be merged under existing connector
Refresh - Admin can refresh connectors view by clicking the button.

List view for overview,

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated unique ID of the connector. Cannot be edited or changed.
Status - indicates scheduled task status
- Green check mark - Task is executed without any errors
- Red cross -Task is executed, but there have been error
- Grey clock - Task is not executed yet, waiting for scheduling
- Orange - one of the tasks has a problem
- No value - Scheduled based-task is missing
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Scheduled - informs how many scheduled tasks are configured
Event - informs how many event tasks are configured
Manage
- Pen icon - opens connector settings (double-clicking the connector row, also opens settings)
- Paper icon - copies the connector
- Stop - workflow references are calculated and pop-up window appears to confirm removal
Search - User can search connector by entering the search term in the corresponding field . Id, Status, Name, Type, Scheduled and Event fields can be searched.

Scheduled task information (click arrow front of the connector)

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for scheduled tasks

New task - opens configuration page for new task
Remove task(s) - removes the selected task(s) from the system and they cannot be recovered anymore.
Refresh - refresh scheduled-based tasks view
Search - user can search task by entering the search term in the corresponding field for Id, name, enabled, extract/load status.

List view for scheduled tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Enabled - Displays is the task scheduled or not
- Green check mark - Task is scheduled
- Red cross - Task is not scheduled
Extract status - Displays status of data extraction from the target directory/system
- Green check mark - data is extracted successfully
- Red cross - data is extracted with error(s) or extraction is failed
- Clock - Task is waiting execution
Load status - Displays status of data export from json-file to customers solution
- Green check mark - data is imported successfully to customers solution
- Red cross - data is imported with error(s) or import is failed
Manage
- Pen icon - opens task settings in own window (double-clicking the task row also opens task settings)
- Paper icon - copies the task
- Clock icon - opens task history view
- Stop - remove task, pop-up window opens to confirm the removal

Scheduled task history view

By clicking the clock icon in the scheduled task row, history for scheduling will be shown.

Top bar for view history

Refresh - refreshes scheduled task status. This doesn't affect task, this only updates UI to show latest information of task run.

List view for scheduled task history

Color of the row is indicating status
- Green - task executed successfully
- Red - error happened during execution
Execution ID - unique ID for the scheduled task row
Extract planned time - when next extract from the directory/application is scheduled to happen
Extract complete time - when extract was completed
Extract status - status for fetching data from the directory/application
Load start time - when next load to customers solution is scheduled to happen
Load complete time - when load was completed
Load status - status for loading information to customers solution

List view for scheduled task status

Actual start time - timestamp for actual start
Users file - JSON file containing user information read from the directory/application
Group file - JSON file containing group information read from the directory/application
Generic file - JSON file containing generic information read from the directory/application
Extract info - detailed information about reading information from the directory/application
Load info - detailed information about loading the information to customers Matrix42 Core, Pro and IGA solution

Edit window for scheduled task

Configuration for scheduled task can be opened by clicking pen icon or double-clicking the task row.

Left menu and attributes varies according to selected options and therefore more detailed instructions for editing tasks can be found from the connector description, but there are common functionalities for all scheduled tasks which are described below.

Saving the task

In case mandatory information is missing from the task, hoovering mouse on top of the save button will show which attributes are still empty.

Top bar for edit scheduled task

Run task manually - admin can run task manually out side of the defined scheduling
Stop task - admin can stop scheduled-based task which is currently running. Task will be stopped and status is changed to be stopped. It waits in this state until the next timing occurs.
Clear data cache - Data cache for the next provisioning of Users and Groups will be cleared. It means that next run is run as first time run.
- By default, we clear the cache everyday at 00:00 UTC
- If you want to clear the cache at different time, then it has to specify some different value in host file 'custom.properties'.
- EPE Cache is also cleared when EPE is restarted, whole environment is restarted, EPE mappings have been changed

Event task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for event tasks

New task - opens configuration page for new event task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes event tasks view
Show workflow references - calculates task related workflow relations and statuses. This is very useful if you don't know from which workflows event-based tasks are used.

List view for event tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Workflow relations
- Question mark shows pop-up window with detailed information about the reference
Workflow status
- Not used - No relations to workflow
- In use - Workflow(s) attached to task, task cannot be removed
Manage
- Pen icon - opens task settings in own window
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Edit window for event task

Configuration for event task can be opened by clicking pen icon or double-clicking the task row.

Edit event task window

Task usage, editable? - this appears when editing existing task and changing the task usage type will break workflows
Mappings type, editable? - this appears when editing existing task and changing the mappings type will break workflows

Saving the task

In case mandatory information is missing from the task, hovering mouse on top of the save button will show which attributes are still empty.

Authentication tab

Authentication for Matrix42 Core, Pro and IGA solutions are configured from authentication tab, notice that only some of the connectors (directory connectors) are supporting authentication, so its not possible to create authentication tasks to all available connectors.

Top bar for authentication

New connector - opens new window for configuring new connector (notice that not all connectors are supporting authentication)
Remove connector(s) - removes selected task(s), pop-up window appears to confirm the removal
Export - user can export one or more tasks from the environment. Usually used for exporting tasks from test to prod. EPE connectors are password protected.
- Note that Realm for authentication tasks is not exported, you need to set that manually after importing
Import - user can import one or more tasks to the environment. Usually used for importing task from test to prod.
Refresh - refreshes authentication tasks view

List view for authentication overview

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated Unique ID of the connector. Cannot be edited or changed.
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Count - informs how many authentication tasks are configured
Manage
- Pen icon - opens authentication task setting in own window
- Paper icon - copies the task
- Stop icon - removes selected task

Authentication task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for authentication overview

Create new task - opens configuration page for new authentication task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes authentication tasks view

List view for authentication overview,

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Manage
- Pen icon- opens task settings in own window (double-clicking the task row, also opens settings window)
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Logs tab

Logs tab is for downloading Native Connector and Secure Access logs from UI for detailed troubleshooting.

epe-master logs - contains warning, debug and error level messages about Native Connectors and info how long task actions has been taken.
epe-worker-ad logs - contains extract data status of Active Directory connector (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-azure logs - contains extract data status of Entra ID (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-ldap logs - contains extract data status of LDAP (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-launcher logs - contains information about EPE launches
datapump-itsm logs - Contains information about data export to customers Matrix42 Core, Pro and IGA solution.
esa logs - Contains information about Secure Access authentication.

Settings tab

Settings tabs is used for monitoring environments with connectors.

Environment type - is mandatory to be in selected and information is used for example defining alert critically.
- Test - select this when your environment is used as testing environment
- Prod - select this when your environment is used as production environment
- Demo - select this when your environment is used as demo or training environment
- Dev - select this when your environment is used as development environment

What we are monitoring?

Failures in scheduled based provisioning (extracting data, exporting data to ESM, outdated certificates, incorrect passwords, incorrect search base/filter, incorrect mappings, etc.)
Failures in event based provisioning (fail to write to AD/Azure, etc.)
Event-based provisioning - which connectors are used for writing data towards applications/directories.
ESA more than ten failed login attempts to one user in past 3 days
Environment type - is mandatory to be in selected and information is used for example defining alert critically.

Data migrations

Do not click “Migrate attribute mappings” or “Migrate workflows”, if not requested to do so by Matrix42.

Yleisiä uid ajoitetuille tehtäville

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
Note! If connector is not created, you have to choose first New connector and after that New task.

4. Continue with connector specific instructions: Native Connectors

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database), thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run.

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration:

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Examples for scheduling,

Total amount of users	Total amount of groups	Full load sequence	Incremental load sequence
< 500	< 1000	Every 30 minutes if partial load is not used Four (4) times a day if partial load is used	Every 10 minutes
< 2000	< 2000	Every 60 minutes, if partial load is not used Four (4) times a day if partial load is used	Every 15 minutes
< 5000	< 3000	Every four (4) hours, if partial load is not used Twice a day if partial load is used	Every 15 minutes
< 10 000	< 5000	Maximum imports twice a day, no matter if partial load is or is not used	Every 30 minutes
< 50 000	< 7000	Maximum import once a day, no matter if partial load is or is not used	Every 60 minutes
Over 50 000	Over 7000	There might be a need for another EPE-worker, please contact Product Owner	Separately evaluated

Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups).

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

Feature works only with full fetch scheduled tasks..
No support for generic templates yet, only identity and access
When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
EPE does not enable users back on its own.
If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.

Asiakkaan ohjeet

Asiakkaan ohjeet löytyvät täältä .

AD liittimen määrittäminen

Tässä luvussa kuvataan AD liittimen konfigurointiohjeet, jotta se voi muodostaa yhteyden asiakkaan Active Directory ( AD ).

Päästäkseen liittimien hallintaan käyttäjällä on oltava oikeudet Efecte Platformin konfigurointiin.

1. Avaa Efecten hallinta-alue (ratassymboli).
2. Avaa yhdistinnäkymä.
3. Valitse uusi liitin

4. Valitse tietolähteen tyypiksi Microsoft Active Directory

5. Asiakkaisiin AD liittyvien tietojen täyttäminen

Liittimen nimi – anna liittimellesi käyttäjäystävällinen nimi (nimeä voi muuttaa jälkikäteen)
AD isäntä - isäntäosoite, jota käytetään yhteyden muodostamiseen asiakkaiden AD
AD -portti - portin numero, jota käytetään yhteyden muodostamiseen asiakkaan AD
AD käyttäjätunnus - palvelutilin nimi, jota käytetään datan lukemiseen ja kirjoittamiseen asiakkaiden AD tililtä.
AD salasana - palvelutilin salasana

6. Täytä Web API -käyttäjätiedot

Web API -käyttäjä - valitse oikea Web API -käyttäjä, jota käytetään kirjoitettaessa tietoja asiakkaan AD asiakkaan Efecte-ratkaisuun
Web API -salasana - Web API -käyttäjän salasana

7. Tallenna liittimen tiedot

Vahvista, että portti- ja isäntätiedot on asetettu oikein, painamalla Testaa yhteys -painiketta.
Vahvista, että AD käyttäjän ja salasanan (palvelutilin) tiedot on asetettu oikein, painamalla testitodennusta.

8. Asiakkaat Efecten ratkaisu pystyy nyt muodostamaan yhteyden asiakkaiden AD

Seuraava vaihe on määrittää ajoitettu tehtävä tietojen lukemista varten tai tapahtumatehtävä tietojen kirjoittamista varten.

Ajoitetun tehtävän määrittäminen tietojen lukemista varten

AD -liitintä käytetään käyttäjä- ja ryhmätietojen lukemiseen asiakkaan AD stä, ja se konfiguroidaan Efecten alustalla luomalla ajoitettuja tehtäviä.

Uuden tehtävän luominen ajoitettua Pro varten

Ajoitettujen tehtävien määrittämiseen tarvitset pääsyn Efecte Platformin määrityskonsoliin.

Huom! Jos liitintä ei luoda, sinun on ensin luotava ”uusi liitin” ja sen jälkeen voit luoda uusia tehtäviä.

1. Avaa Efecten hallinta-alue (ratassymboli).
2. Avaa yhdistinnäkymä.
3. Valitse liitin, jolle aikataulutettu tehtävä on määritetty
4. Valitse uusi tehtävä oikean yhdistimen alta

4. Määritä tehtävän ajoitus (suoritetaanko ajoitettu tehtävä säännöllisesti ja miten). Valitse ajoitusjärjestys, joka riippuu siitä, kuinka paljon dataa luetaan asiakkaalle Efecte-ratkaisussa.

Suositeltu ajoitusjärjestys riippuu siitä, kuinka paljon dataa luetaan asiakkaan hakemistosta Efecte-ratkaisuun ja onko tuonti osittainen vai täysi lataus.

Esimerkki lukuryhmien ja käyttäjätilien ajoituksesta.

Käyttäjien kokonaismäärä	Ryhmien kokonaismäärä	Täysi kuorma -sekvenssi	Osittaisen kuormituksen sekvenssi
< 500	< 1000	30 minuutin välein, jos ei käytetä osatäyttöä Neljä (4) kertaa päivässä, jos käytetään osakuormaa	10 minuutin välein
< 2000	< 2000	60 minuutin välein, jos ei käytetä osatäyttöä Neljä (4) kertaa päivässä, jos käytetään osakuormaa	15 minuutin välein
< 5000	< 3000	Neljän (4) tunnin välein, jos ei käytetä osatäyttöä Kaksi kertaa päivässä, jos käytetään osakuormaa	15 minuutin välein
< 10 000	< 5000	Tuontia enintään kaksi kertaa päivässä riippumatta siitä, käytetäänkö osakuormaa vai ei	30 minuutin välein
< 50 000	< 7000	Maksimituonti kerran päivässä riippumatta siitä, käytetäänkö osakuormaa vai ei	60 minuutin välein
Yli 50 000	Yli 7000	Saatat tarvita toisen EPE-työntekijän, ota yhteyttä Pro .	Arvioidaan erikseen

5. Täytä tehtävän tiedot

Täytä ajoitettuun tehtävään yksilöivä nimi. Huomaa, että nimeä ei voi muuttaa jälkikäteen.
Tehtävän käyttö osoittaa, että kyseessä on tehtävä, jota käytetään datan lukemiseen, datan kirjoittamiseen tai todennukseen. Huomaa, että jos tapahtumatyyppiä muutetaan jälkikäteen, se voi rikkoa työnkulut.
Yhdistämistyyppi riippuu siitä, minkä tyyppistä tietoa hakemistosta luetaan.
- Identiteetti ja käyttöoikeudet - käytetään, kun käyttäjätilin ja ryhmän tiedot luetaan hakemistosta
- Yksittäinen (vain identiteetti) - käytetään, kun hakemistosta luetaan vain käyttäjätilin tiedot
- Yksittäinen (vain käyttöoikeus) - käytetään, kun hakemistosta luetaan vain ryhmätietoja
- Yleiset (yksi mallipohja) - käytetään, kun hakemistosta luetaan yleisiä tietoja, yleensä muita kuin käyttäjät/ryhmät

Täytä suodatustiedot,

Nouda tiedot
- Täysi - kaikki tiedot luetaan määritetyn suodatuksen mukaisesti
- Inkrementaalinen – vain muuttuneet tiedot toimitetaan Efecte-ratkaisuun
Nouda tiedot LDAP-puun juuresta - Valinnainen asetus. Mahdollistaa käyttäjien ja ryhmien noutamisen LDAP-puun juuresta provisioinnin nopeuden vaihdossa.

Suodatus OU:n perusteella

Suodattimen nimi: LDAP-käyttäjäkanta / LDAP-käyttäjäsuodatin

Tämä suodatin asetetaan yleensä OU-polulle, josta käyttäjät luetaan, ja se sisällyttää tuontiin myös kaikki ali-OU:t, mutta se mahdollistaa myös useita muita suodatusmahdollisuuksia,

Esimerkkejä muista yleisesti käytetyistä käyttäjäsuodattimista:

Seuraava esimerkki löytää käyttäjäobjekteja: (&(objectCategory=person)(objectClass=user))
Seuraava esimerkki löytää käyttäjä-, tietokone- ja yhteystieto-objektit: (objectClass=person)
Seuraava esimerkki löytää käyttäjä- ja yhteystieto-objektit: (objectCategory=person)
Seuraava esimerkki löytää kaikki käytössä olevat käyttäjäobjektit: (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Seuraava esimerkki löytää käyttäjä- ja yhteystieto-objektit, joilla on sähköpostiosoite ja SAMAccountName (&(objectCategory=person)(sAMAccountName=*)(mail=*))

OU:n suodatus, josta käyttäjät luetaan

Suodattimen nimi: AD ignoreOusForUsers

Tämän suodattimen avulla on mahdollista jättää pois joitakin ali-OU:ita tuonnista (kuten esimerkiksi OU=Sales,DC=adtest,DC=local). Käyttäjät ohitetaan, jos he ovat suoraan jossakin määritetyistä <OU>-yksiköistä ja/tai jos he ovat jonkin määritetyn OU:n alipuussa.

Suodatus yksittäisten käyttäjien perusteella

Suodattimen nimi: Poissuljetut käyttäjät

Tämän suodattimen avulla on mahdollista sulkea tiettyjä käyttäjiä pois tuonnista. LDAP:ssa käytä poissuljettavien ryhmien erotinnimiä (eroteltuna rivinvaihdoilla).

Ryhmien suodattaminen

Suodattimen nimi: AD -ryhmän pohja / AD -ryhmän suodatin

Tämä suodatin asetetaan yleensä OU-polulle, josta ryhmät luetaan. Kaikki ali-OU:t sisällytetään tuontiin (esimerkki: OU=Finance,DC=adtest,DC=local). Käyttäjät ohitetaan, jos he ovat suoraan jossakin määritetyistä <OU>-yksiköistä ja myös, jos he ovat jonkin jo määritellyn <OU>-yksikön alipuussa.

Esimerkkejä muista yleisesti käytetyistä ryhmäsuodattimista:

Seuraava esimerkki löytää ryhmäobjektit:
(objektiluokka=ryhmä)
Seuraava esimerkki löytää ryhmäobjekteja, joilla on arvo cn-muuttujassa:
(&(objektiluokka=ryhmä)(cn=*))
Seuraava esimerkki löytää ryhmäobjekteja, joiden kuvauksessa on arvo:
(&(objektiluokka=ryhmä)(kuvaus=*))
Seuraava esimerkki löytää kaikki suojausryhmän objektit:
(ryhmän tyyppi: 1.2.840.113556.1.4.803:=2147483648)

OU-yksiköiden suodattaminen, joista ryhmiä ei lueta

Suodattimen nimi: AD ingnoredOusForGroup

Yksittäisten ryhmien suodattaminen

Suodattimen nimi: Poissuljetut ryhmät

Tämän suodattimen avulla on mahdollista jättää tiettyjä ryhmiä pois tuonnista. LDAP:ssa käytä pois jätettävien ryhmien erottuvia nimiä (eroteltuna rivinvaihdoilla).

Käyttäjien suodattaminen ryhmäjäsenyyksien perusteella

Suodattimen nimi: Sulje pois käyttäjät, joilla on tiettyjä ryhmiä

Tämän suodattimen avulla on mahdollista sulkea tiettyjä käyttäjiä pois tuonnista ryhmäjäsenyyksien perusteella. LDAP:ssa käytä poissuljettavien ryhmien erottuvia nimiä (eroteltuna rivinvaihdoilla). Azure -pohjaisissa tehtävissä käytä poissuljettavien ryhmien objektitunnuksia (eroteltuna rivinvaihdoilla).

Täytä vikatiedot

Valinnaiset asetukset virheiden käsittelyyn. Jos ajoitettu tehtävä epäonnistuu, järjestelmä voi luoda datakortin, joka näyttää virheen. Jos virheasetukset on määritetty, järjestelmänvalvojan ei tarvitse tarkistaa ajoitettujen tehtävien tilaa manuaalisesti.

Virhemalli - Valitse datakortin malli, joka luodaan, jos valmistelun aikana ilmenee virheitä (yhteys tietolähteisiin, aikakatkaisut jne.).
Vikakansio - Valitse kansio, johon vikatietokortti on tallennettu.
Virheattribuutti – Valitse attribuutti, mihin virhemallissa virhetiedot tallennetaan. Valitse tekstityyppiattribuutti.

Esimerkki IGA -järjestelmänvalvojan tehtävästä, joka voi sisältää myös ohjeita ongelmien ratkaisemiseksi,

6. Täytä identiteettikartoitukset

Käyttäjät tuodaan IGA -tilimalliin, ja on pakollista asettaa kohdekansio, tietolähteen tunniste ja yksilölliset arvot, joita käytetään käyttäjien tunnistamiseen asiakkaan AD ja Efecte-ratkaisun välillä. Esimerkiksi.

Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
Valitse mallipohja määrittääksesi attribuuttimääritykset
Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
Ominaisuusmääritykset
1. Ulkoinen ominaisuus - mikä hakemiston/järjestelmän ominaisuus on yhdistetty
2. Paikallinen attribuutti - mihin malliattribuutin attribuuttiin se on yhdistetty

7. Voit asettaa lisäattribuutteja, jotka luetaan AD :n käyttäjätileiltä, valitsemalla Uusi attribuutti.

Poistaa

Huomautus

IGA - tilimalli on suunniteltu Efecte Provisioning Engine , ja sitä käyttämällä asiakkaan ympäristö konfiguroidaan oikein ja asiakas saa kaikki komponentin hyödyt.

Tärkeitä tietoja (nimi ja tunnistetiedot) käyttäjän AD -tililtä näytetään henkilömallissa, mutta pääasialliset tiedot ovat saatavilla IGA -tilimallissa.

Käyttäjätietojen lukemista suoraan henkilömallipohjaan ei suositella, ja lisämäärityksiä saatetaan tarvita tulevaisuudessa, kun asiakkaan ympäristö päivitetään uudempaan versioon tai asiakas haluaa laajentaa alustaansa uusilla Efecten ratkaisuilla.

Käyttäjätiedot kannattaa lukea suoraan Henkilö-malliin, jos asiakas käyttää todennukseen vain Efecte Identity Managementia (EIM).

8. Täytä käyttöoikeusmääritykset

Ryhmät luetaan IGA Entitlement -mallipohjaan, ja kohdekansion, datasourceid:n ja yksilöllisten arvojen asettaminen on pakollista. Näitä arvoja käytetään käyttäjien tunnistamiseen asiakkaan AD ja Efecte-ratkaisun välillä.

Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
Valitse mallipohja määrittääksesi attribuuttimääritykset
Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
Ominaisuusmääritykset
1. Ulkoinen ominaisuus - mikä hakemiston/järjestelmän ominaisuus on yhdistetty
2. Paikallinen attribuutti - mihin malliattribuutin attribuuttiin se on yhdistetty
Voit asettaa lisäattribuutteja, jotka luetaan hakemiston käyttäjätileiltä, valitsemalla Uusi attribuutti.

9. Yleisen mallin yhdistämismääritykset

Yleisiä tietoja luetaan mihin tahansa käyttäjän haluamaan mallipohjaan, ja on pakollista asettaa kohdekansio, tietolähteen tunniste ja yksilölliset arvot, joita käytetään tiedon tunnistamiseen asiakkaan AD ja Efecte-ratkaisun välillä.

Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
Valitse mallipohja määrittääksesi attribuuttimääritykset
Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
Ominaisuusmääritykset
1. Ulkoinen ominaisuus - mikä hakemiston/järjestelmän ominaisuus on yhdistetty
2. Paikallinen attribuutti - mihin malliattribuutin attribuuttiin se on yhdistetty
Voit asettaa lisäattribuutteja, jotka luetaan AD :n käyttäjätileiltä, valitsemalla Uusi attribuutti -painikkeen.

Poistaa

Huomautus

IGA käyttöoikeusmalli on suunniteltu Efecte Provisioning Engine , ja sitä käyttämällä asiakkaan ympäristö konfiguroidaan oikein ja asiakas saa kaikki komponentin hyödyt.

AD -ryhmämallia ei tarvita Efecte Provisioning Engine , mutta ennen sen poistamista varmista, että pakolliset auditointitiedot on tallennettu.

Ryhmätietojen lukemista suoraan AD -ryhmämalliin ei suositella, ja lisämäärityksiä saatetaan tarvita tulevaisuudessa, kun asiakkaan ympäristö päivitetään uudempaan versioon tai asiakas haluaa laajentaa alustaansa uusilla Efecten ratkaisuilla.

Ryhmät on suositeltavaa lukea suoraan AD -ryhmämallipohjaan, jos asiakas käyttää todennukseen vain Efecte Identity Managementia (EIM).

11. Tallenna valmistelutehtävä Tallenna-painikkeella. Jos jotkin pakolliset ominaisuudet puuttuvat, tallennuspainike näkyy harmaana ja se näyttää asetuksista puuttuvat tiedot.

12. Olet nyt määrittänyt ajoitettuun yhdistintehtävään AD tietojen lukemista varten.

Voit nyt odottaa, kunnes tehtävä aloitetaan aikataulun perusteella tai
Suorita tehtävä manuaalisesti – napsauttamalla ”Suorita tehtävä” -painiketta tehtävä käynnistyy välittömästi. Yleensä testiajoihin tai jos et halua muuttaa aikatauluasetuksia, mutta haluat suorittaa tehtävän nyt.

Kun käyttäjä napsauttaa "Suorita tehtävä", hän saa tiedon suorituksesta.

Jos tehtävä suoritetaan manuaalisesti ( suorita tehtävä ) tai se suoritetaan aikataulun mukaisesti, tehtävän tilan voi tarkastella kohdasta "Näytä historia":

Tapahtumatehtävän määrittäminen datan kirjoittamista varten

Tapahtumatehtävää käytetään kirjoitettaessa tietoja asiakkaan Active Directory . Nämä tileihin, ryhmiin ja käyttöoikeuksiin liittyvät Pro Engine -ominaisuudet ovat käytettävissä vain IGA ratkaisussa, ja niiden käyttöön vaaditaan IGA lisenssi.

Kaikki Pro Engineen ja tapahtumapohjaiseen provisioning-tehtävään liittyvät määritykset määritetään Matrix42 Core , Pro and IGA alustalla.

Avaa Efecte Platformin määritysnäkymä (ratassymboli).
Avaa yhdistinnäkymä
Valitse liitin, joka käyttää tapahtumatehtävää
Valitse oikean liittimen alta ”uusi tehtävä”.

4. Täytä tehtävän tiedot

Tehtävän nimi - Anna tehtävälle nimi, se näytetään yhdistinnäkymässä.
- On hyvä käytäntö nimetä tehtävä tavalla, joka kuvaa sen tarkoitusta, esimerkiksi [Mallipohjan nimi]:[Aktiviteetti] IGA -palvelupyyntö:Vahvista käyttäjä
Tehtävän käyttö osoittaa, että kyseessä on tehtävä, jota käytetään datan lukemiseen tai datan kirjoittamiseen. Muutosta voidaan tehdä jälkikäteen, mutta sitä ei suositella, jos tapahtumatehtävä on käytössä. Se rikkoo työnkulut.
Yhdistämismäärityksen tyyppi riippuu siitä, minkä tyyppisiä tietoja hakemistosta luetaan. Identiteettiyhdistämismäärityksen valinnat näytetään tämän asetuksen perusteella.
- Identiteetti ja käyttöoikeudet - käytetään, kun käyttäjätilin ja ryhmän tietoja luetaan hakemistosta (tai kirjoitetaan siihen)
- Yksittäinen (vain identiteetti) - käytetään, kun hakemistosta luetaan (tai siihen kirjoitetaan) vain käyttäjätilin tietoja
- Yksittäinen (vain käyttöoikeus) - käytetään, kun hakemistosta luetaan (tai siihen kirjoitetaan) vain ryhmätietoja
- Yleinen (yksi malli) - käytetään, kun hakemistosta luetaan (tai siihen kirjoitetaan) yleisiä tietoja. Yleensä joitakin muita tietoja kuin käyttäjä- tai ryhmätietoja.

Varoitus tehtävien käytön tai määritysten tyypin muuttamisesta, kun tapahtumatehtävä on käytössä. Yleensä näitä ei pitäisi muuttaa ensimmäisen tallennuksen jälkeen:

5. Täytä suojaustiedot

Tätä tietoa tarvitaan, jos käyttäjän luontiprosessi työnkulussa on liitetty tehtävään.

Ensimmäisen kirjautumisen salasana - Oletussalasana, joka on sama kaikille käyttäjille. Työnkulussa luodaan satunnainen salasana, ja se on yleensä yksilöllinen.
- Oletussalasana / kirjoita alla olevaan kenttään
  - Oletussalasana – Kirjoita oletussalasana, joka on sama kaikille käyttäjille ja vastaa salasanan hakemistovaatimuksia. Huomaa, että merkkien määrä ei vastaa salasanan todellista pituutta.
  - Ei suositella tuotantoympäristöissä saman salasanan käyttöä kaikille uusille tileille
- Satunnainen salasana / luonti työnkulussa
  - Luotu salasana

Suodatus

Kun tietoja kirjoitetaan asiakashakemistoon, suodatusta tarvitaan, jotta liitin tietää, mihin organisaatioyksikköön tiedot kirjoitetaan.

OU-yksiköiden suodattaminen, joihin käyttäjät on kirjoitettu

Suodattimen nimi: AD -käyttäjäBase / AD käyttäjäsuodatintilan valinta

Lue OU-polku datakortilta - liitin lukee
Kirjoita hakuperuste / hakusuodatin alla olevaan kenttään
- AD käyttäjäkanta / AD käyttäjäsuodatin - esimerkkejä tässä
- AD jätti OusForUserin huomiotta - esimerkkejä tässä

Suodattimen nimi: AD -ryhmän pohja / AD -ryhmän suodatintilan valinta

Lue OU-polku datakortilta - liitin lukee
Kirjoita hakuperuste / hakusuodatin alla olevaan kenttään
- AD ryhmäpohja / AD käyttäjäsuodatin - esimerkkejä tässä
- AD jätti OusForGroupin huomiotta - esimerkkejä tässä

Yleisten mallien yhdistämismääritysten tyyppitietojen suodattaminen

Suodattimen nimi: AD searchBase / AD searchFilter - esimerkki tässä

6. Määrittele identiteettikuvaukset

Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
Valitse mallipohja määrittääksesi attribuuttimääritykset
Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
Ominaisuusmääritykset
1. Ulkoinen ominaisuus - mikä hakemiston/järjestelmän ominaisuus yhdistetään
2. Paikallinen attribuutti - mihin malliattribuutin attribuuttiin se on yhdistetty
Lisää uusi ominaisuus – Voit asettaa lisäominaisuuksia, jotka luetaan AD :n käyttäjätileiltä, valitsemalla Uusi ominaisuus -painikkeen.

7. Määritä käyttöoikeusmääritykset

Kohdemalli – Valitse malli käyttöoikeusmääritysten määrittämiseksi
Valitse mallipohja määrittääksesi attribuuttimääritykset
Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
Ominaisuusmääritykset
1. Ulkoinen ominaisuus - mikä hakemiston/järjestelmän ominaisuus on yhdistetty
2. Paikallinen attribuutti - mihin malliattribuutin attribuuttiin se on yhdistetty
Lisää uusi ominaisuus - Voit asettaa lisää ominaisuuksia, jotka luetaan AD :n ryhmistä, valitsemalla Uusi ominaisuus -painikkeen.

8. Määrittele yleiset vastaavuusmääritykset

Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
Valitse mallipohja määrittääksesi attribuuttimääritykset
Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
Ominaisuusmääritykset
1. Ulkoinen ominaisuus - mikä hakemiston/järjestelmän ominaisuus yhdistetään
2. Paikallinen attribuutti - mihin malliattribuutin attribuuttiin se on yhdistetty
Lisää uusi ominaisuus - Voit asettaa lisää AD :stä luettavia ominaisuuksia valitsemalla Uusi ominaisuus -painikkeen.

8. Tallenna valmistelutehtävä “tallenna”-painikkeella

Jos pakollisia tietoja puuttuu, et voi tallentaa tehtävää ja tallennuspainike näyttää puuttuvat tiedot.

9. Seuraava vaihe on määrittää työnkulun orkestrointisolmu käyttämään tätä tapahtumapohjaista tehtävää. Työnkulkumoottorista on mahdollista suorittaa asiakashakemistopalveluihin liittyviä provisiointitoimintoja. Tämä tarkoittaa, että mitä tahansa käytettävissä olevien orkestrointisolmujen toimintoja voidaan suorittaa missä tahansa työnkulun vaiheessa.

Työnkulkuviitteet näkyvät liittimien yleiskatsaussivulla:

Määritä todennustehtävä

Todennustehtävää tarvitaan, kun asiakkaiden AD käytetään käyttäjien todentamiseen asiakkaiden Efecte-ratkaisuihin.

Uuden todennustehtävän luomiseen on kaksi vaihtoehtoa. Ensimmäinen vaihtoehto on kopioida olemassa oleva valmistelutehtävä todennustehtävään, jos todennusmenetelmä käyttää samoja asetuksia. Toinen vaihtoehto on luoda uusi todennustehtävä.

Vaihtoehto 1: Luo uusi todennustehtävä valmistelutehtävästä

1. Avaa hallinta-alue (ratassymboli)
2. Valitse Yhdistimet-välilehti ja kopioi haluttu tehtävä Kloonaa-painikkeesta.

3. Anna uudelle todennustehtävälle nimi ja muuta tehtävän käyttötavaksi todennus

4. Täytä pakolliset kentät ja tallenna tehtävä

Vaihtoehto 2: Luo uusi todennustehtävä

1. Avaa hallinta-alue (ratassymboli)
2. Valitse Liittimet-moduuli
3. Valitse Todennus-välilehti
4. Valitse liitin ja luo uusi tehtävä

5. Anna todennustehtävällesi nimi

6. Valitse tehtävien käyttö todennukseksi

7. Määritä käyttäjille suodattimet

Yleisimmin AD todennuksessa käytetään OU-polkuja määrittämään, kuka voi käyttää Efecte-ratkaisuja.

8. Määritä ryhmille suodattimet

Mistä tarvittavat ryhmät voidaan lukea Efecte-ratkaisuun asiakkaan AD

7. Valitse Todennusalue.

Alue, jolle todennusmääritykset luodaan ESA :ssa

8. Tallenna tehtävä ja suorita ESA Sync

Tietojen synkronointi täyttää automaattisesti Efecte Secure Access määritykset.

9. Seuraavaksi siirrytään Efecte Secure Access määritysohjeisiin vaaditun todennusmenetelmän mukaisesti.

2024.1 ja vanhempien versioiden ohjeet

Asiakkaan ohjeet

Asiakkaan ohjeet löytyvät täältä .

Ajoitetun tehtävän määrittäminen

Efecte Provisioning Engine käytetään käyttäjä- ja ryhmätietojen lukemiseen asiakkaan AD stä, ja se konfiguroidaan Efecte Service Management -alustalla luomalla ajoitettuja provisioning-tehtäviä.

Suositeltu ajoitusjärjestys riippuu siitä, kuinka paljon dataa luetaan Asiakashakemistosta Efecte-ratkaisuun ja onko tuonti osittainen vai täysi lataus.

Käyttäjien kokonaismäärä	Ryhmien kokonaismäärä	Täysi kuorma -sekvenssi	Osittaisen kuormituksen sekvenssi
< 500	< 1000	30 minuutin välein, jos ei käytetä osatäyttöä Neljä (4) kertaa päivässä, jos käytetään osakuormaa	10 minuutin välein
< 2000	< 2000	60 minuutin välein, jos ei käytetä osatäyttöä Neljä (4) kertaa päivässä, jos käytetään osakuormaa	15 minuutin välein
< 5000	< 3000	Neljän (4) tunnin välein, jos ei käytetä osatäyttöä Kaksi kertaa päivässä, jos käytetään osakuormaa	15 minuutin välein
< 10 000	< 5000	Tuontia enintään kaksi kertaa päivässä riippumatta siitä, käytetäänkö osakuormaa vai ei	30 minuutin välein
< 50 000	< 7000	Maksimituonti kerran päivässä riippumatta siitä, käytetäänkö osakuormaa vai ei	60 minuutin välein
Yli 50 000	Yli 7000	Saatat tarvita toisen EPE-työntekijän, ota yhteyttä Pro .	Arvioidaan erikseen

Uuden tehtävän luominen ajoitettua Pro varten

Ajoitetun provisiointitehtävän määrittämiseen tarvitset pääsyn Efecte Platformin määrityskonsoliin.

1. Avaa Efecte-hallinta-alue (ratassymboli).
2. Avaa IGA näkymä
3. Valitse Lisää uusi tehtävä aikataulun Pro valmisteluun.

4. Valitse Lisää uusi tehtävä -luettelosta Microsoft Active Directory
5. Täytä valmistelutehtävän yksilöllinen nimi
6. Valitse Web API -käyttäjä ja kirjoita salasana
7. Valitse datakortin virhemalli, joka luodaan, jos valmistelun aikana ilmenee virheitä (yhteys tietolähteisiin, aikakatkaisut jne.).

8. Valitse aikataulutusjärjestys, joka riippuu siitä, kuinka paljon dataa luetaan asiakkaan Efecte-ratkaisuun

9. Täytä Pro -osio, jossa määritellään yhteyden tiedot ja suodattimet käyttäjä- ja ryhmätietojen lukemiseksi AD stä.

Tarkista Efecte Provisioning Engine -komponentin kuvauksesta lisätietoja suodattimista ja niiden käytöstä.

10. Käyttäjät tuodaan IGA -tilimalliin, ja kohdekansion, tietolähteen tunnuksen ja yksilöllisten arvojen asettaminen on pakollista. Näitä arvoja käytetään käyttäjien tunnistamiseen asiakkaan AD ja Efecte-ratkaisun välillä.

11. Voit asettaa lisäattribuutteja, jotka luetaan AD :n käyttäjätileiltä, valitsemalla Lisää ominaisuus.

Perustasolla AD oletusarvo on

12. Ryhmät luetaan IGA käyttöoikeusmalliin, ja on pakollista asettaa kohdekansio, tietolähteen tunniste ja yksilölliset arvot, joita käytetään käyttäjien tunnistamiseen asiakkaan AD ja Efecte-ratkaisun välillä.

13. Voit asettaa lisäattribuutteja, jotka luetaan AD :n käyttäjätileiltä, valitsemalla Lisää ominaisuus.

14. Tallenna valmistelutehtävä yläpalkista

15. Olet nyt määrittänyt aikataulun mukaisen valmistelutehtävän ja voit

Testiyhteys
Testaa todennus
Suorita tehtävä manuaalisesti

16. Jos tehtävä suoritetaan manuaalisesti ( suorita tehtävä manuaalisesti ) tai se suoritetaan aikataulun mukaisesti, tehtävän tilaa voidaan tarkastella Pura/Lataa tila -välilehdellä.

Lisätietoja valvonnasta ja lokinnusta on saatavilla Efecte Provisioning Engine -komponentin kuvauksessa.

Tapahtumapohjaisen tehtävän määrittäminen

Tapahtumapohjaista Pro käytetään kirjoitettaessa tietoja Active Directory . Nämä Efecte Provisioning Engine ominaisuudet ovat käytettävissä vain Efecte IGA -ratkaisussa, ja niiden käyttöön vaaditaan IGA lisenssi.

Kaikki Efecte Provisioning Engine ja tapahtumapohjaiseen provisionointitehtävään liittyvät määritykset määritetään Efecte Service Management -alustalla.

1. Valitse Lisää uusi tehtävä -luettelosta Microsoft Active Directory
2. Valitse Pro Tapahtumapohjainen valmistelu
3. Valitse yhdistämismäärityksen tyyppi: Vain yksittäinen identiteetti, Yksittäinen (vain käyttöoikeudet) tai Identiteetti ja käyttöoikeudet.
"Vain identiteetti" - vain käyttäjien määritykset ovat saatavilla, "Vain käyttöoikeudet" - vain ryhmien määritykset ovat saatavilla.
4. Täytä provisiointitehtävän yksilöivä nimi (esim. [Mallin nimi]:[Aktiviteetti] IGA -palvelupyyntö:Vahvista käyttäjä )

5. Täytä Pro -osio, jossa määritetään yhteyden tiedot ja suodatetaan käyttäjä- ja ryhmätiedot AD stä.

Huomautus! Efecte Provisioning Engine ja hakemistopalveluiden välisen yhteyden suojaaminen on aina suositeltavaa.

Esimerkki yhteysasetuksista

Käyttäjien ja ryhmien suodattaminen

5.1 LDAP userBase / LDAP userFilter
Tässä suodattimessa asetetaan yleensä OU-polut, joihin käyttäjille kirjoitetaan.

Yleisesti käytettyjen käyttäjäsuodattimien esimerkkejä:

Seuraava esimerkki löytää käyttäjäobjektit
(&(objektiluokka=henkilö)(objektiluokka=käyttäjä))
Seuraava esimerkki löytää käyttäjä-, tietokone- ja yhteystieto-objektit
(objektiluokka=henkilö)
Seuraava esimerkki etsii käyttäjä- ja yhteystieto-objekteja
(objektiluokka=henkilö)
Seuraava esimerkki löytää kaikki käytössä olevat käyttäjäobjektit
(&(objektiluokka=henkilö)(objektiluokka=käyttäjä)(!(käyttäjätilihallinta:1.2.840.113556.1.4.803:=2)))

5.2 LDAP ignoredOusForUsers
Tätä suodatinta voidaan käyttää tapahtumapohjaisessa provisioinnissa vain verify Activities -ominaisuuden kanssa.

Esimerkki Myynti jätetään huomiotta

5.3 LDAP groupBase / LDAP groupFilter
Tässä suodattimessa asetetaan yleensä OU-polku, johon ryhmät kirjoitetaan.

Esimerkki Groupbase- ja suodatintoiminnoista

5.4 LDAP-integroitu ryhmiin
Tätä suodatinta voidaan käyttää tapahtumapohjaisessa provisioinnissa vain verifioitujen aktiviteettien kanssa (kuten esimerkiksi OU=Sales,DC=adtest,DC=local). Ryhmät ohitetaan, jos ne ovat suoraan jossakin määritetyistä <OU>-yksiköistä ja myös, jos ne ovat jonkin määritellyn alipuun sisällä.

Esimerkki suojaus-OU:sta ohitetaan

6. Määrittele ominaisuusmääritykset.

Voit asettaa lisäattribuutteja valitsemalla Lisää mukautettu ominaisuus.
Tapahtumapohjaisessa provisiointitehtävässä on mahdollista määrittää, mitkä IGA ratkaisun ominaisuustiedot kirjoitetaan hakemistoon.
Käyttöönottotehtäviä voi olla useita eri tarkoituksiin, kuten yksi käyttäjien luomiseen ja yksi käyttäjien poistamiseen hakemistosta.

Esimerkkimäärityksiä identiteettitallennukselle

7. Tallenna valmistelutehtävä yläpalkista

8. Olet nyt määrittänyt tapahtumapohjaisen valmistelutehtävän ja voit

Testiyhteys
Testaa todennus

9. Seuraava vaihe on määrittää työnkulku käyttämään tätä tapahtumapohjaista tehtävää. Efecte Service Management -alustan työnkulkumoottorista on mahdollista suorittaa asiakashakemistopalveluihin liittyviä provisiointitoimintoja. Tämä tarkoittaa, että mitä tahansa käytettävissä olevista toiminnoista voidaan suorittaa missä tahansa työnkulun vaiheessa.

Määritä todennustehtävä

Vaihtoehto 1: Luo uusi todennustehtävä valmistelutehtävästä

1. Avaa hallinta-alue (ratassymboli)
2. Valitse IGA välilehti ja kopioi haluttu tehtävä Kloonaa-painikkeesta.

3. Anna uudelle todennustehtävälle nimi

4. Tallentamisen jälkeen muuta provisioinnin tyyppi todennukseksi

5. Täytä pakolliset kentät ja tallenna tehtävä

Vaihtoehto 2: Luo uusi todennustehtävä

1. Avaa hallinta-alue (ratassymboli)
2. Valitse IGA välilehti
3. Valitse Lisää uusi tehtävä ja korjaa hakemisto
4. Aseta provisiointityypiksi Todennus

5. Täytä pakolliset tiedot
6. Määritä suodattimet käyttäjille ja ryhmille
7. Tallenna tehtävä ja suorita synkronointi ESA han

Huomio!

Jos synkronointi on poistettava käytöstä todennustehtävässä, se voidaan tehdä siirtymällä esa-container-kansioon ja avaamalla tiedosto /opt/esa/epe_synch.config. Muuta seuraavat arvot arvosta true arvoon false.

synchronize_user_federations=false
synchronize_identity_providers=false

Kun yllä oleva muutos tehdään tiedostoon "/opt/esa/epe_synch.config", synkronointi poistetaan aina käytöstä.

8. Siirry Efecte Secure Access määritysohjeisiin todennusprotokollan mukaisesti

Työnkulun aktiviteetit (orkestrointisolmut)

Efecte Provisioning Engine (EPE) tarjoaa mahdollisuudet ohjata seuraavat toiminnot Microsoft Active Directory .

Aktivoi / deaktivoi käyttäjä

Yllä olevassa kuvassa järjestelmänvalvojat ovat valinneet oikean Active Directory -kohteen ja voivat tarkastella valituille AD tehtäville määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne esitetään vain visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Saman solmun sisällä järjestelmänvalvojat voivat valita haluamansa toiminnon: ” Aktivoi ” tai ” Poista käytöstä”. Active Directory : ”Aktivoiminen/Deaktivointi”-toiminto viittaa tässä Active Directory -attribuutin ”useraccountcontrol”-arvoon ”512/514” (Ota käyttöön/Pois käytöstä).

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Lisää käyttäjä ryhmään

Yllä olevassa kuvassa Person-attribuutin konfiguraation tulisi osoittaa mallipohjaan, josta orkestrointisolmu löytää käyttäjän tiedot (yleensä IGA tili). Role-attribuutti on konfiguroitava määrittämään, mistä orkestrointisolmu löytää käytettävissä olevat roolit (hakemistoryhmät, joista käyttäjä tulisi poistaa). ”Rooli-attribuutissa” voi olla määritettynä yksi tai useita attribuuttiryhmiä. Käytettävissä olevien rekisteröityjen hakemistotehtävien luettelo noudetaan EPE-pääpalvelimelta.

Hakemiston tehtävävalinta on pakollinen, koska Efecte Provisioning Engine orkestrointisolmu käyttää identiteetti- ja käyttöoikeuskenttien yhdistämismäärityksiä selvittääkseen, minkä attribuuttikoodin alle käyttäjän ja hakemistoryhmän erottuvat nimet on tallennettu.

Poikkeusten käsittely:

Solmun tulos on "Valmis"-tilassa vain, jos kaikkien käyttäjien ryhmäjäsenyydet on päivitetty onnistuneesti. Jos esimerkiksi käyttäjä on poistettu onnistuneesti viidestä kuudesta ryhmästä, solmun tulos on "Poikkeus"-tilassa.
Tästä syystä sekä identiteetin että käyttöoikeuden JSON-kentän distinguishedName-määritykset ovat pakollisia. Jos määritystä ei löydy, orkestrointisolmu siirtää sen tilaan ”Poikkeus”.
Käyttäjän poistaminen ryhmästä, johon hän ei kuulu, epäonnistuu.
Käyttäjän lisääminen ryhmään, johon hän jo kuuluu, epäonnistuu.
Tiedot käyttäjän ryhmäjäsenyyden onnistuneesta/epäonnistuneesta päivityksestä löytyvät lokeista.
Pro ja ryhmäjäsenyyden poikkeukset ovat valinnaisia ominaisuuksia tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää nämä ominaisuudet käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana ilmenee poikkeuksia.

Luo mukautettu objekti

Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvoja on valinnut oikean hakemisto AD n "kohteeksi" ja voi tarkastella valituille hakemistotehtäville määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne esitetään visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Uuden mukautetun objektin orkestrointisolmun luonti lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . On tärkeää varmistaa, että identiteettikartoitusta käytetään mukautetun objektin luontisolmussa.

Luo käyttäjä

Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean kohdehakemiston ja voivat tarkastella valituille hakemistotehtäville määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne esitetään visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Uuden käyttäjän luontisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . On tärkeää varmistaa, että käyttäjän luontisolmussa käytettävä identiteettimääritys sisältää vähintään kaksi muuta Active Directory -määritystä: attribuuteille " cn " ja " sAMAccountName ". Jos nämä kaksi määritystä puuttuvat tietystä kokoonpanosta, sitä ei näytetä avattavassa valikossa.

Uusien käyttäjäaktiviteettimuistiinpanojen luominen:

Uuden käyttäjän salasanan luomiseen ensimmäistä kirjautumista varten on kaksi tapaa.
- Määritä oletussalasana Pro Task -määritysnäkymässä
  - Käyttäjät käyttävät tätä salasanaa vain, kun he kirjautuvat järjestelmään ensimmäistä kertaa.
- Satunnaisen salasanan luominen työnkulussa ja sen valitseminen, mihin identiteettikartoituksen datakortin attribuuttiin se kirjoitettiin
- Molemmissa tapauksissa ensimmäisellä kerralla salasanaksi ”pwdLastSet” asetetaan nolla (0), jotta käyttäjän on pakko vaihtaa salasanansa ensimmäisen kirjautumisen jälkeen.
- Mahdollisuus valita, onko salasana vaihdettava ensimmäisen kirjautumisen yhteydessä vai ei. Järjestelmänvalvojat voivat tehdä tämän valinnan suoraan työnkulun käyttäjäluonnin orkestrointisolmussa.
Loppukäyttäjälle voidaan antaa ensimmäisen kirjautumisen salasana eri tavoilla. Asiakkaan tarpeista riippuen on mahdollista käyttää työnkulun toimintoja salasanan lähettämiseen suoraan loppukäyttäjälle sähköpostitse tai tekstiviestitse. Toinen vaihtoehto on lähettää ensimmäisen kirjautumisen salasana esimiehelle, joka toimittaa sen loppukäyttäjälle. EPE:n orkestrointisolmu itsessään EI tarjoa tätä toimintoa, se on määriteltävä muualla.
”Kohteen” määritys tehdään valmistelutehtävien määritysnäkymässä. Uusia käyttäjiä luotaessa järjestelmänvalvojien on varmistettava, että LDAP-käyttäjätietoja/LDAP-käyttäjäsuodatinta on vain yksi, jotta vältetään ristiriidat työnkulussa.
Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Luo ryhmä

Yllä olevassa kuvassa käyttöoikeusattribuuttien yhdistämismääritykset on täytetty valmistelutehtävistä. Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella valituille AD -tehtäville määritettyjä käyttöoikeusmäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne esitetään Pro apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Uuden käyttäjän orkestrointisolmun luonti lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

On tärkeää varmistaa, että Create Group -orkestrointisolmussa käytettävä käyttöoikeusmääritys sisältää vähintään kaksi muuta Active Directory -määritystä: "cn"- ja "sAMAccountName"-attribuuteille.

Poista mukautettu objekti

Yllä olevassa kuvassa objektin nimiattribuutti määrittää, minkä objektin EPE poistaa. Tässä esimerkissä EPE poistaa DN-nimen.

Poista ryhmä

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory "kohteen". Poistoryhmän orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . Active Directory -pohjaisissa kokoonpanoissa 'Rooliryhmän attribuutin' tulee sisältää ryhmän distinguishedName-nimi.

Poista käyttäjä

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory "kohteen". Käyttäjän poisto-orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . Active Directory -pohjaisissa kokoonpanoissa 'Person Attribute' -kohdan tulee sisältää käyttäjän distinguishedName-nimi.

Hallinnoi Pro xyAddresseja

Vaihtoehtoja on kolme: Aseta, Päivitä ja Poista välityspalvelimen osoitteet.

Aseta : ylläpitäjä valitsee yhden attribuutin ESM:n työnkulun käyttöliittymässä (voi olla yksi- tai moniarvoinen attribuutti) - Sitten työnkulun solmu ottaa yhteyttä AD , etsii käyttäjätilin ja asettaa arvon proxyAddresses-arvoksi (tätä toimintoa käytetään proxyAddresses-arvon asettamiseen ensimmäisellä kerralla - edellinen arvo AD :ssä oli null).

Päivitys : ylläpitäjä valitsee ESM:n työnkulun käyttöliittymässä kaksi attribuuttia – toisen NYKYISELLE arvolle ja toisen UUDELLE arvolle. Sitten työnkulun solmu ottaa yhteyttä AD :hen, etsii käyttäjätilin ja päivittää olemassa olevat proxyAddresses-osoitteet, etsii luettelosta NYKYISEN arvon ja muuttaa sen etuliitteen SMTP::stä smtp::ksi ja lisää UUDEN arvon etuliitteellä SMTP: (muut arvot pysyvät proxyAddresses-osoitteissa).

Päivitystoiminnossa käytä sekä nykyiselle osoitteelle että päivitettävälle osoitteelle yksittäisiä arvomääritteitä, kuten tässä:

Poista : ylläpitäjä valitsee yhden attribuutin ESM:n työnkulun käyttöliittymästä (voi olla yksi- tai moniarvoinen attribuutti) - Tämän jälkeen työnkulun solmu ottaa yhteyttä AD hen, etsii käyttäjätilin ja poistaa arvon proxyAddresses-luettelosta (muut arvot jäävät proxyAddresses-luetteloon).

Lue käyttäjän tiedot

Yllä olevassa kuvassa identiteettiattribuuttien yhdistämismääritykset on täytetty valmistelutehtävistä. Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella valituille AD tehtäville määritettyjä yhdistämismäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa yhdistämismäärityksiä, vaan ne esitetään Pro apuna. Jos yhdistämismäärityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Poista käyttäjäattribuutti

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjäattribuutin poisto-orkestrointisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . Ominaisuudessa ”Poistettavat attribuutti(t)” järjestelmänvalvoja voi määrittää attribuutin, joka poistetaan Active Directory . NIMItä poistettava kohde. Merkkijono voi sisältää useita arvoja sisältäviä attribuutteja, kuten ”Kaupunki, Kustannuspaikka, Matkapuhelin”.

Poista käyttäjä ryhmästä

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjäattribuutin poisto-orkestrointisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . ”Poistettavat attribuutit” -ominaisuudessa järjestelmänvalvoja voi määrittää attribuutin, joka poistetaan Active Directory .

Palauta käyttäjän salasana

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjän salasanan nollaus -orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . Person- ja Password-määritteiden tulisi osoittaa mallipohjaan, josta orkestrointisolmu löytää käyttäjän tiedot.

Käyttäjän salasanan arvoksi ”pwdLastSet” asetetaan nolla (1), mikä tarkoittaa, että käyttäjän ei tarvitse vaihtaa salasanaansa ensimmäisellä kirjautumisella. EPE-versiosta 2022.3 eteenpäin olemme ottaneet käyttöön mahdollisuuden valita, onko salasana vaihdettava ensimmäisellä kirjautumisella vai ei. Järjestelmänvalvojat voivat tehdä tämän valinnan suoraan työnkulun Käyttäjän salasanan vaihtaminen -orkestrointisolmusta.

Suorita valmistelutehtävä

Tätä toimintoa käytetään, kun kaikki hakemiston tiedot tarvitaan välittömästi takaisin.

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean hakemiston ”Kohde”. Suorita valmistelutehtävä orkestrointisolmun lukumääritteet Active Directory IGA -tileille.

"Kohde"-EPE-tehtävän vaatimukset ovat:

Tehtävän on oltava tyyppiä "Ajoitettava tehtävä", ei tapahtumapohjainen
Työnkulun mallin on oltava sama kuin identiteettikartoituksen malli.
Tehtävä on ajoitettava johonkin aikaan - se merkitsee tehtävän "käytössä olevaksi" ja sitten
Yhdistämismääritysten on oltava erillisiä, tehtävässä ei saa olla päällekkäisiä yhdistämismäärityksiä

Tässä orkestrointinäkymässä et voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määritteiden määrityksiä on tarpeen muuttaa, kyseiset määritteet on määritettävä valmistelutehtävän määritysnäkymässä, jotta niitä voidaan muuttaa orkestrointisolmussa.

Avaa käyttäjä

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjäorkestrointisolmun lukituksen avaaminen lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Konfiguraatioissa on tärkeää ottaa huomioon, että 'Person Attribute' -kohdan tulee sisältää käyttäjän distinguishedName-nimi.

Päivitä mukautettu objekti

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Mukautettu objektiluokka määrittää, mitä objektia EPE päivittää. Tässä esimerkissä se on Yhteystiedot. Se lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Päivitä ryhmä

Yllä olevassa kuvassa käyttöoikeusattribuuttien yhdistämismääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella valituille AD tehtäville määritettyjä käyttöoikeusmäärityksiä.

Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Päivitysryhmän orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

”Kohteen” määritys tehdään valmistelutehtävien määritysnäkymässä. Ryhmien päivittämistä varten järjestelmänvalvojien on varmistettava, että LDAP-ryhmäpohja/LDAP-ryhmäsuodatin on olemassa vain yksi, jotta vältetään ristiriidat työnkulussa.

Päivitä käyttäjä

Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella valituille AD -tehtäville määritettyjä identiteettimäärityksiä. Päivityksen käyttäjän orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Huomaa, että käyttäjän salasanan päivitystä ei tueta tässä orkestrointitoiminnassa.

”Kohteen” määritys tehdään provisiointitehtävien määritysnäkymässä. Käyttäjien päivittämiseksi järjestelmänvalvojien on varmistettava, että LDAP-käyttäjätietoja/LDAP-käyttäjäsuodatinta on vain yksi, jotta vältetään ristiriidat työnkulussa.

Päivitä käyttäjän erottuvan nimen arvo

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Päivitä käyttäjän erottuvan nimen arvo -orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Kentässä ”Nykyinen erottuvan nimen arvo*” ylläpitäjän on valittava, mistä annetun mallin/tietokortin attribuutista AD -sijainnin 'vanha' nimi luetaan. Kenttä ”Uusi erottuvan nimen arvo*” valitsee annetun mallin/tietokortin attribuutin, jota käytetään uuden AD sijainnin nimenä.

Tämän aktiviteetin avulla ylläpitäjät voivat esimerkiksi rajoittaa päivitystoiminnon 'commonname'-attribuuttiin, mutta sen on annettava koko Distinguished-arvo, esimerkiksi:

Nykyinen erottuvan nimen arvo: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Uusi erottuvan nimen arvo: CN=DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

Vahvista ryhmä

Yllä olevassa kuvassa käyttöoikeusattribuuttien yhdistämismääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory "Kohde"-kohdasta ja voivat tarkastella valitulle AD tehtävälle määritettyjä käyttöoikeusmäärityksiä.

Käyttöoikeusmääritykset -ylläpitäjäpaneelissa ylläpitäjät voivat antaa "JOS"-lausekkeen, joka muodostaa LDAP-kyselyn ryhmän olemassaolon varmistamiseksi. Datakortilta voi valita niin monta attribuuttia kuin on tarpeen ryhmän yksilöllisyyden vahvistamiseksi. Kun toiminto suoritetaan, nämä attribuutit luetaan kyseiseltä datakortilta ja niitä verrataan asianmukaisiin AD attribuutteihin "Kohde*" Active Directory -kokoonpanon mukaisesti. Ylläpitäjät voivat myös valita "yhtä suuri kuin" tai "ei yhtä suuri kuin" vastaavalle AD attribuutille muuttamalla "JOS"-lauseketta. "Tallenna tulos*" -kenttää käytetään määrittämään, minne onnistuneet LDAP-kyselytulokset tallennetaan, "tosi", jos ryhmä löytyi, ja "epätosi" muussa tapauksessa.

Ylläpitäjillä on mahdollisuus tarkistaa tämän orkestrointisolmun Sisällytä OU-alipuu -ominaisuus varmistaakseen, onko ryhmää määritetyssä Organization Unit -alipuussa. Jos järjestelmänvalvoja ei valitse tätä vaihtoehtoa, orkestrointisolmu tarkistaa vain määrityksissä määritetyn OU:n.

Vahvista ryhmän jäsenyys

”Tallenna tulos*” -kenttää käytetään määrittämään, minne onnistuneet LDAP-kyselytulokset tallennetaan. Arvo on ”true”, jos käyttäjä löytyi, tai ”false”, jos ei.

Vahvista käyttäjä

Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory "Kohde"-kohdasta ja voivat tarkastella valitulle AD tehtävälle määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä et voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määritteiden määrityksiä on tarpeen muuttaa, kyseiset määritteet on määritettävä valmistelutehtävän määritysnäkymässä, jotta niitä voidaan muuttaa orkestrointisolmussa.

Identiteettimääritykset -ylläpitäjäpaneelissa ylläpitäjät voivat antaa "JOS"-lausekkeen, joka muodostaa LDAP-kyselyn käyttäjän olemassaolon varmistamiseksi. Henkilötietokortista voi valita niin monta attribuuttia kuin on tarpeen käyttäjän yksilöllisyyden vahvistamiseksi. Kun toiminto suoritetaan, nämä attribuutit luetaan kyseisestä tietokortista ja niitä verrataan asianmukaisiin AD attribuutteihin Active Directory -hakemiston "Kohde*"-määrityksen mukaisesti. Ylläpitäjät voivat myös valita vastaavan AD -attribuutin asetukseksi "yhtä suuri kuin" tai "ei yhtä suuri kuin" muuttamalla "JOS"-lauseketta. "Tallenna tulos*" -kenttää käytetään määrittämään, minne onnistuneet LDAP-kyselytulokset tallennetaan, "tosi", jos käyttäjä löytyi, ja "epätosi" muuten.

Tämän solmun mekaniikan ymmärtämisen kannalta olennaista on, että IF-lauseketta muodostettaessa ylläpitäjän on käytettävä Template-mallin attribuutteja, mutta itse asiassa niistä luetut arvot muunnetaan (mapataan) oikeiksi Active Directory -attribuuteiksi identiteettikartoituksen kokoonpanon mukaisesti ja välitetään Active Directory hakukyselynä.

Ylläpitäjillä on mahdollisuus tarkistaa tämän orkestrointisolmun Sisällytä OU-alipuu -ominaisuus varmistaakseen, onko käyttäjä olemassa määritetyssä Organisaatioyksikkö-alipuussa. Jos järjestelmänvalvoja ei valitse tätä vaihtoehtoa, orkestrointisolmu tarkistaa vain määrityksissä määritetyn OU:n.

Pro Vision -kuva

Pro -käyttäjän kuva hakemistoon

Native Connectors (EPE) pystyy päivittämään käyttäjän valokuvan hakemistoon. Tuettuja hakemistoja ovat Active Directory ja Microsoft Entra ID (aiemmin tunnettu nimellä Azure AD ).

Luo uusi tapahtumapohjainen valmistelu työnkulkuaktiviteetille. Määritemääritykset täytetään Pro .

Attribuuttimäärityksen on sisällettävä käyttäjän valokuva -attribuutti ( Fileupload- attribuutti ESM:ssä).
AD ja Azure AD -attribuutissa on thumbnailPhoto. ThumbnailPhoto-attribuuttiin tallennetun valokuvan koko ei saa olla yli 100 kB, ja suositeltu koko on 96 x 96 pikseliä.
Luo uusi työnkulun orkestrointisolmu aktiviteetilla Päivitä käyttäjä. Valitse juuri luotu tapahtumapohjainen epetask kohteeksi.

Ohjeet varmenteiden asentamiseen

On erittäin suositeltavaa, että asiakasta ohjeistetaan luomaan prosessi varmenteiden uusimiseksi ennen kuin ne vanhenevat ja yhteys katkeaa. Tämä tarkoittaa, että asiakkaan loppukäyttäjät eivät voi kirjautua Efecte Solutionsiin ja/tai AD :n tietoja ei voida lukea tai kirjoittaa.

Ohjeet

Vianmääritys

Tässä luvussa kuvataan vianmääritysvaihtoehtoja,

Jos käytetään vikamallia, tarkista oikea datakortti
Tarkista ajoitettujen tehtävien historia liitinten hallinnasta
Tarkista Efecte Provisioning Engine lokit

Contact Us

Microsoft Active Directory ( AD ) -liitin

Contact Us

Palvelunhallinta

Identiteetin hallinta ja ylläpito ( IGA )

Alusta

M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly

Muu materiaali

Palvelut

Microsoft Active Directory ( AD ) -liitin

Kuinka integroida Microsoft Active Directory kanssa

Microsoft Active Directory -liitin

Kohtuullisen käytön käytäntö

2024.2 ja uudemmat ohjeet

Yleiset toiminnot

Connectors - general functionalities

Yleisiä uid ajoitetuille tehtäville

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

Should I use Incremental, Full or Both?

Do not import permissions with AD and LDAP incremental task

Recommendations:

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Set removed accounts and entitlements status removed/disabled

For version 2025.3 and newer

For version 2025.2 and older

Configuration

Description

Notes

Asiakkaan ohjeet

AD liittimen määrittäminen

Ajoitetun tehtävän määrittäminen tietojen lukemista varten

Uuden tehtävän luominen ajoitettua Pro varten

Huomautus

Huomautus

Tapahtumatehtävän määrittäminen datan kirjoittamista varten

Määritä todennustehtävä

Vaihtoehto 1: Luo uusi todennustehtävä valmistelutehtävästä

2024.1 ja vanhempien versioiden ohjeet

Asiakkaan ohjeet

Ajoitetun tehtävän määrittäminen

Uuden tehtävän luominen ajoitettua Pro varten

Tapahtumapohjaisen tehtävän määrittäminen

Määritä todennustehtävä

Huomio!

Työnkulun aktiviteetit (orkestrointisolmut)

Aktivoi / deaktivoi käyttäjä

Lisää käyttäjä ryhmään

Luo mukautettu objekti

Luo käyttäjä

Uusien käyttäjäaktiviteettimuistiinpanojen luominen:

Luo ryhmä

Poista mukautettu objekti

Poista ryhmä

Poista käyttäjä

Hallinnoi Pro xyAddresseja

Lue käyttäjän tiedot

Poista käyttäjäattribuutti

Poista käyttäjä ryhmästä

Palauta käyttäjän salasana

Suorita valmistelutehtävä

Avaa käyttäjä

Päivitä mukautettu objekti

Päivitä ryhmä

Päivitä käyttäjä

Päivitä käyttäjän erottuvan nimen arvo

Vahvista ryhmä

Vahvista ryhmän jäsenyys

Vahvista käyttäjä

Pro Vision -kuva

Pro -käyttäjän kuva hakemistoon

Ohjeet varmenteiden asentamiseen

Vianmääritys

Related Articles