US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

Polish
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Zarządzanie tożsamością i administracja ( IGA )
  • Biblioteka rozwiązań IGA
  • Instrukcje i uid
  • Konfiguruj łączniki

Łącznik OpenLDAP

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Zarządzanie usługami
    Rozwiązanie Matrix42 Professional Rozwiązanie Matrix42 Core Zarządzanie usługami przedsiębiorstwa Inteligencja Matrix42
  • Zarządzanie tożsamością i administracja ( IGA )
    Przegląd IGA Biblioteka rozwiązań IGA
  • Platforma
    ESM ESS2 ES Efecte Chat do zarządzania usługami Efektywne integracje Dodatki
  • Informacje o wydaniu dla M42 Core & Pro , IGA , Conversational AI
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Informacje i zasady dotyczące wydania
  • Inny materiał
    Wytyczne uid terminów i dokumentacji Oświadczenia dotyczące dostępności
  • Usługi
+ More

    • Zarządzanie usługami

    • Zarządzanie tożsamością i administracja ( IGA )

    • Platforma

    • Informacje o wydaniu dla M42 Core & Pro , IGA , Conversational AI

    • Inny materiał

    • Usługi

Łącznik OpenLDAP

Łącznik OpenLDAP

Łącznik OpenLDAP jest częścią silnika Pro Visioning Engine, natywnych łączników i służy do odczytu i zapisu danych do/z katalogu OpenLDAP klienta. Może być używany we wszystkich rozwiązaniach Matrix42 Core , Pro and IGA korzystających z silnika Pro Visioning Engine.

Łącznik OpenLDAP wymaga konfiguracji zgodnie z przypadkiem użycia klienta. Zasadniczo konfiguracja składa się z trzech (3) kroków:

  1. Konfiguruj łącznik – umożliwia łącznikowi nawiązanie połączenia z katalogiem
  2. Konfiguruj zadanie zaplanowane – używane, gdy dane są odczytywane z katalogu
  3. Konfiguruj zadanie zdarzenia – używane, gdy dane są zapisywane do katalogu
    1. Wymagana jest również konfiguracja węzłów koordynacji przepływu pracy

Polityka uczciwego użytkowania

Złącze może być używane bez ograniczeń w normalnych warunkach pracy. Jeśli jednak jego użycie spowoduje znaczny wzrost obciążenia, wymagającego dodatkowych zasobów chmury (np. pamięci lub mocy obliczeniowej), mogą zostać naliczone dodatkowe opłaty.

Aby używać tego łącznika do tworzenia, aktualizowania lub usuwania kont użytkowników lub obiektów grupowych, wymagana jest aktywna licencja IGA .

Instrukcje dotyczące wersji 2024.2 i nowszych

Ogólne funkcjonalności

Łączniki – funkcjonalności ogólne

Łączniki – funkcjonalności ogólne

W tym artykule opisano ogólne funkcje zarządzania natywnymi konektorami w rozwiązaniu. Wszystkimi natywnymi konektorami zarządza się z poziomu tego samego interfejsu użytkownika.

Należy zwrócić uwagę, że dla każdego złącza istnieją osobne opisy, w których szczegółowo opisano konkretne funkcjonalności złącza i instrukcje konfiguracji.

Aby uzyskać dostęp do zarządzania konektorami, użytkownik musi posiadać uprawnienia administratora do konfiguracji platformy klienta. Po prawidłowym przyznaniu dostępu, karta konektora będzie widoczna i użytkownik będzie mógł zarządzać konektorami.

Menu lewe

Zarządzanie złączami jest podzielone na cztery zakładki:

  • Przegląd – do tworzenia i aktualizowania natywnych łączników. Użytkownik z uprawnieniami administratora może zobaczyć ich status, typ oraz liczbę zaplanowanych zadań lub zdarzeń z nimi powiązanych.
  • Uwierzytelnianie – do tworzenia i aktualizowania zadań uwierzytelniania. Pro uwierzytelniania jest niezbędne, aby Secure Access mógł zdefiniować, którzy użytkownicy końcowi Klienta mają dostęp do strony logowania Matrix42 Core , Pro and IGA .
  • Dzienniki - do pobierania dzienników Native Connector i Secure Access z interfejsu użytkownika.
  • Ustawienia – ogólne ustawienia dla łączników natywnych i Secure Access , obejmujące typ środowiska do rejestrowania i monitorowania.

Karta przeglądu złączy

Na stronie przeglądu użytkownik może łatwo i szybko sprawdzić status wszystkich złączy.

Górny pasek:

  • Status łączników natywnych (EPE)
    • Zielony tekst oznacza, że Native Connectors jest online. Wszystkie potrzebne usługi są aktywne i działają.
    • Czerwony tekst oznacza, że wystąpił problem z Native Connectors, wszystkie usługi nie są uruchomione.
  • Status Secure Access ( ESA )
    • Zielony tekst oznacza, że Secure Access jest online. Wszystkie potrzebne usługi są uruchomione i działają.
    • Czerwony tekst oznacza, że wystąpił problem z Secure Access , żadna usługa nie jest uruchomiona.
  • Numer wersji łączników natywnych wyświetlany jest w prawym górnym rogu

Górny pasek widoku listy:

  • Nowy łącznik – otwiera nowe okno umożliwiające dodanie i skonfigurowanie nowego łącznika
  • Usuń łącznik(i) — odniesienia do przepływu pracy zostaną obliczone i pojawi się okno dialogowe z prośbą o potwierdzenie usunięcia (należy pamiętać, że obliczanie odniesień może potrwać kilka sekund)
  • Eksport – Administrator może wyeksportować jeden lub więcej konektorów (i zadań) ze środowiska. Zwykle używane do eksportowania konektorów i konektorów (i zadań) z testów do produkcji. Poufne informacje o konektorach natywnych są chronione hasłem.
  • Import – Administrator może zaimportować jeden lub więcej konektorów (i zadań) do środowiska. Zazwyczaj używane do importowania konektorów (i zadań) z testów do produkcji.
    • Administrator nie może importować ze starego interfejsu użytkownika EPE (starszego niż 2024.1) do nowego. Środowiska źródłowe i docelowe muszą mieć tę samą wersję.
    • Import nie powiedzie się, jeśli konfiguracja (szablony, atrybuty) będzie inna – na przykład gdy brakuje jakiegoś atrybutu
    • Jeśli importujesz coś z tymi samymi szczegółami łącznika, zostanie to scalone w ramach istniejącego łącznika
  • Odśwież — administrator może odświeżyć widok łączników, klikając przycisk .
Twoja przeglądarka nie obsługuje wideo HTML5.

Widok listy w celu przeglądu,

  • Wybierz złącze(a) — wybierz jedno złącze, klikając pole wyboru przed rzędem złącza lub klikając pole wyboru w rzędzie nagłówka, co spowoduje wybranie wszystkich złączy
  • Identyfikator – automatycznie generowany, unikalny identyfikator łącznika. Nie można go edytować ani zmieniać.
  • Status – wskazuje status zaplanowanego zadania
    • Zielony znacznik wyboru – zadanie zostało wykonane bez żadnych błędów
    • Czerwony krzyżyk – zadanie zostało wykonane, ale wystąpiły błędy
    • Szary zegar – zadanie nie zostało jeszcze wykonane, oczekiwanie na zaplanowanie
    • Pomarańczowy - jedno z zadań ma problem
    • Brak wartości — brak zaplanowanego zadania
  • Nazwa – nazwa łącznika dodana do ustawień łącznika. Unikalna nazwa łącznika przechowującego konfigurację dla jednego źródła danych.
  • Typ – wskazuje system docelowy/źródłowy
  • Zaplanowane – informuje o liczbie skonfigurowanych zaplanowanych zadań
  • Wydarzenie – informuje o liczbie skonfigurowanych zadań zdarzeń
  • Zarządzać
    • Ikona pióra – otwiera ustawienia łącznika (dwukrotne kliknięcie rzędu łączników również otwiera ustawienia)
    • Ikona papieru - kopiuje złącze
    • Zatrzymaj – odniesienia do przepływu pracy są obliczane i pojawia się okno dialogowe z prośbą o potwierdzenie usunięcia
  • Wyszukiwanie – Użytkownik może wyszukiwać złącze, wpisując termin wyszukiwania w odpowiednim polu. Można wyszukiwać w polach Identyfikator, Status, Nazwa, Typ, Zaplanowane i Zdarzenie.
Twoja przeglądarka nie obsługuje wideo HTML5.

Informacje o zaplanowanym zadaniu (kliknij strzałkę z przodu łącznika)

Po kliknięciu strzałki na początku wiersza łącznika wyświetlane są wszystkie powiązane zadania zaplanowane i zdarzenia

Górny pasek zadań zaplanowanych

  • Nowe zadanie – otwiera stronę konfiguracji nowego zadania
  • Usuń zadanie(a) – usuwa wybrane zadanie(a) z systemu i nie będzie można ich już odzyskać.
  • Odśwież – odśwież widok zadań opartych na harmonogramie
  • Szukaj - użytkownik może wyszukiwać zadania, wpisując termin wyszukiwania w odpowiednim polu, aby określić identyfikator, nazwę, włączenie, status wyodrębnienia/załadowania.

Widok listy zaplanowanych zadań

  • Wybierz zadanie(a) - Wybierz zadanie, które chcesz usunąć, z widoku listy, zaznaczając je.
  • Id – unikalny identyfikator zadania. Generowany automatycznie i nie można go zmienić.
  • Nazwa - Nazwa zadania dodana do ustawień zadania, unikalna nazwa zadania.
  • Włączone – wyświetla, czy zadanie jest zaplanowane, czy nie
    • Zielony znacznik wyboru – zadanie jest zaplanowane
    • Czerwony krzyżyk – zadanie nie jest zaplanowane
  • Status ekstrakcji – wyświetla status ekstrakcji danych z docelowego katalogu/systemu
    • Zielony znacznik wyboru – dane zostały pomyślnie wyodrębnione
    • Czerwony krzyżyk – dane zostały wyodrębnione z błędem(ami) lub wyodrębnienie nie powiodło się
    • Zegar - Zadanie oczekuje na wykonanie
  • Status ładowania — wyświetla status eksportu danych z pliku JSON do rozwiązania klienta
    • Zielony znacznik wyboru – dane zostały pomyślnie zaimportowane do rozwiązania klienta
    • Czerwony krzyżyk – dane zostały zaimportowane z błędem(ami) lub import się nie powiódł
  • Zarządzać
    • Ikona pióra – otwiera ustawienia zadania w osobnym oknie (dwukrotne kliknięcie wiersza zadania również otwiera ustawienia zadania)
    • Ikona papieru – kopiuje zadanie
    • Ikona zegara – otwiera widok historii zadań
    • Zatrzymaj - usuń zadanie, otwiera się okno pop-up z potwierdzeniem usunięcia

Widok historii zaplanowanych zadań

Po kliknięciu ikony zegara w wierszu zaplanowanego zadania zostanie wyświetlona historia harmonogramu.

Górny pasek historii wyświetleń

  • Odśwież – odświeża status zaplanowanego zadania. Nie ma to wpływu na zadanie, aktualizuje jedynie interfejs użytkownika, aby wyświetlić najnowsze informacje o uruchomieniu zadania.

Widok listy dla historii zaplanowanych zadań

  • Kolor wiersza wskazuje status
    • Zielony – zadanie wykonane pomyślnie
    • Czerwony – wystąpił błąd podczas wykonywania
  • Identyfikator wykonania – unikalny identyfikator wiersza zaplanowanego zadania
  • Planowany czas wyodrębniania – kiedy planowane jest następne wyodrębnianie z katalogu/aplikacji
  • Czas zakończenia ekstrakcji – kiedy ekstrakcja została ukończona
  • Status ekstrakcji – status pobierania danych z katalogu/aplikacji
  • Czas rozpoczęcia ładowania – kiedy planowane jest kolejne ładowanie dla klientów
  • Czas ukończenia ładowania – kiedy ładowanie zostało ukończone
  • Status ładowania – status ładowania informacji do rozwiązania klienta

Widok listy dla statusu zaplanowanego zadania

  • Rzeczywisty czas rozpoczęcia – znacznik czasu rzeczywistego rozpoczęcia
  • Plik użytkownika – plik JSON zawierający informacje o użytkowniku odczytane z katalogu/aplikacji
  • Plik grupy – plik JSON zawierający informacje o grupie odczytane z katalogu/aplikacji
  • Plik ogólny — plik JSON zawierający ogólne informacje odczytane z katalogu/aplikacji
  • Wyodrębnij informacje – szczegółowe informacje o odczycie informacji z katalogu/aplikacji
  • Informacje o załadowaniu - szczegółowe informacje o załadowaniu informacji do klientów Matrix42 Core , Pro and IGA

Okno edycji zaplanowanego zadania

Konfigurację zadania zaplanowanego można otworzyć, klikając ikonę pióra lub klikając dwukrotnie wiersz zadania.

Menu po lewej stronie oraz atrybuty różnią się w zależności od wybranych opcji, dlatego bardziej szczegółowe instrukcje dotyczące edycji zadań można znaleźć w opisie łącznika. Istnieją jednak wspólne funkcjonalności dla wszystkich zaplanowanych zadań, które opisano poniżej.

Zapisywanie zadania

Jeśli w zadaniu brakuje obowiązkowych informacji, najechanie kursorem myszy na przycisk zapisywania pokaże, które atrybuty są nadal puste.

Górny pasek do edycji zaplanowanego zadania

  • Uruchom zadanie ręcznie — administrator może uruchomić zadanie ręcznie poza zdefiniowanym harmonogramem
  • Zatrzymaj zadanie – administrator może zatrzymać aktualnie uruchomione zadanie zaplanowane. Zadanie zostanie zatrzymane, a jego status zmieni się na zatrzymany. Zadanie będzie w tym stanie czekać do następnego momentu.
  • Wyczyść pamięć podręczną danych – pamięć podręczna danych dla następnego uruchomienia użytkowników i grup zostanie wyczyszczona. Oznacza to, że następne uruchomienie zostanie wykonane tak samo jak pierwsze.
    • Domyślnie pamięć podręczną czyścimy codziennie o godzinie 00:00 UTC
    • Jeśli chcesz wyczyścić pamięć podręczną w innym czasie, musisz określić inną wartość w pliku hosta „custom.properties”.
    • Pamięć podręczna EPE jest również czyszczona po ponownym uruchomieniu EPE, po ponownym uruchomieniu całego środowiska zmieniane są mapowania EPE

Informacje o zadaniu wydarzenia

Po kliknięciu strzałki na początku wiersza łącznika wyświetlane są wszystkie powiązane zadania zaplanowane i zdarzenia

Górny pasek zadań zdarzeń

  • Nowe zadanie – otwiera stronę konfiguracji dla nowego zadania zdarzenia
  • Usuń zadanie(a) – usuwa wybrane zadanie(a), pojawia się okno pop-up z prośbą o potwierdzenie usunięcia
  • Odśwież – odświeża widok zadań zdarzeń
  • Pokaż odwołania do przepływów pracy – oblicza relacje i statusy przepływów pracy związane z zadaniami. Jest to bardzo przydatne, jeśli nie wiesz, z których przepływów pracy pochodzą zadania oparte na zdarzeniach.

Widok listy zadań zdarzeń

  • Wybierz zadanie(a) - Wybierz zadanie, które chcesz usunąć, z widoku listy, zaznaczając je.
  • Id – unikalny identyfikator zadania. Generowany automatycznie i nie można go zmienić.
  • Nazwa - Nazwa zadania dodana do ustawień zadania, unikalna nazwa zadania.
  • Relacje przepływu pracy
    • Znak zapytania wyświetla okno podręczne ze szczegółowymi informacjami o odniesieniu
  • Status przepływu pracy
    • Nieużywane – brak powiązań z przepływem pracy
    • W użyciu — do zadania dołączono przepływ(y) pracy, zadania nie można usunąć
  • Zarządzać
    • Ikona pióra – otwiera ustawienia zadania w osobnym oknie
    • Ikona papieru – kopiuje zadanie
    • Ikona Stop – usuwa zadanie, pojawia się okno pop-up z prośbą o potwierdzenie usunięcia

Okno edycji zadania zdarzenia

Konfigurację zadania zdarzenia można otworzyć, klikając ikonę pióra lub klikając dwukrotnie wiersz zadania.

Menu po lewej stronie oraz atrybuty różnią się w zależności od wybranych opcji, dlatego bardziej szczegółowe instrukcje dotyczące edycji zadań można znaleźć w opisie łącznika. Istnieją jednak wspólne funkcjonalności dla wszystkich zadań zdarzeń, które opisano poniżej.

Edytuj okno zadania zdarzenia

  • Użycie zadania, edytowalne? — pojawia się, gdy edycja istniejącego zadania i zmiana typu użycia zadania spowoduje przerwanie przepływów pracy
  • Typ mapowania, edytowalny? - pojawia się, gdy edycja istniejącego zadania i zmiana typu mapowania spowoduje przerwanie przepływów pracy

Zapisywanie zadania

Jeśli w zadaniu brakuje obowiązkowych informacji, najechanie kursorem myszy na przycisk zapisywania pokaże, które atrybuty są nadal puste.

Karta uwierzytelniania

Uwierzytelnianie dla rozwiązań Matrix42 Core , Pro and IGA konfiguruje się na karcie uwierzytelniania. Należy pamiętać, że tylko niektóre łączniki (łączniki katalogowe) obsługują uwierzytelnianie, więc nie jest możliwe utworzenie zadań uwierzytelniania dla wszystkich dostępnych łączników.

Górny pasek do uwierzytelniania

  • Nowy łącznik – otwiera nowe okno umożliwiające skonfigurowanie nowego łącznika (należy pamiętać, że nie wszystkie łączniki obsługują uwierzytelnianie)
  • Usuń łącznik(i) – usuwa wybrane zadania, pojawia się okno pop-up z prośbą o potwierdzenie usunięcia
  • Eksport – użytkownik może wyeksportować jedno lub więcej zadań ze środowiska. Zazwyczaj używane do eksportowania zadań z testów do produkcji. Złącza EPE są chronione hasłem.
    • Należy pamiętać, że obszar zadań uwierzytelniania nie jest eksportowany, należy go ustawić ręcznie po zaimportowaniu
  • Import – użytkownik może zaimportować jedno lub więcej zadań do środowiska. Zazwyczaj używane do importowania zadań z testów do produkcji.
  • Odśwież – odświeża widok zadań uwierzytelniania

Widok listy do przeglądu uwierzytelniania

  • Wybierz złącze(a) — wybierz jedno złącze, klikając pole wyboru przed rzędem złącza lub klikając pole wyboru w rzędzie nagłówka, co spowoduje wybranie wszystkich złączy
  • Identyfikator – automatycznie generowany, unikalny identyfikator łącznika. Nie można go edytować ani zmieniać.
  • Nazwa – nazwa łącznika dodana do ustawień łącznika. Unikalna nazwa łącznika przechowującego konfigurację dla jednego źródła danych.
  • Typ – wskazuje system docelowy/źródłowy
  • Liczba – informuje, ile zadań uwierzytelniania jest skonfigurowanych
  • Zarządzać
    • Ikona pióra – otwiera ustawienia zadania uwierzytelniania w osobnym oknie
    • Ikona papieru – kopiuje zadanie
    • Ikona Stop – usuwa wybrane zadanie

Informacje o zadaniu uwierzytelniania

Po kliknięciu strzałki na początku wiersza łącznika wyświetlane są wszystkie powiązane zadania zaplanowane i zdarzenia

Górny pasek do przeglądu uwierzytelniania

  • Utwórz nowe zadanie – otwiera stronę konfiguracji dla nowego zadania uwierzytelniania
  • Usuń zadanie(a) – usuwa wybrane zadanie(a), pojawia się okno pop-up z prośbą o potwierdzenie usunięcia
  • Odśwież – odświeża widok zadań uwierzytelniania

Widok listy do przeglądu uwierzytelniania,

  • Wybierz zadanie(a) - Wybierz zadanie, które chcesz usunąć, z widoku listy, zaznaczając je.
  • Id – unikalny identyfikator zadania. Generowany automatycznie i nie można go zmienić.
  • Nazwa - Nazwa zadania dodana do ustawień zadania, unikalna nazwa zadania.
  • Zarządzać
    • Ikona pióra – otwiera ustawienia zadania w osobnym oknie (dwukrotne kliknięcie wiersza zadania otwiera również okno ustawień)
    • Ikona papieru – kopiuje zadanie
    • Ikona Stop – usuwa zadanie, pojawia się okno pop-up z prośbą o potwierdzenie usunięcia

Karta dzienników

Karta dzienników umożliwia pobranie dzienników Native Connector i Secure Access z interfejsu użytkownika w celu przeprowadzenia szczegółowego rozwiązywania problemów.

  • Dzienniki epe-master — zawierają ostrzeżenia, komunikaty debugowania i komunikaty o błędach dotyczące natywnych łączników, a także informacje o tym, jak długo trwały działania związane z zadaniami.
  • Dzienniki epe-worker-ad – zawierają wyciąg danych o stanie konektora Active Directory (co Native Connector ładuje do klientów korzystających z rozwiązań Matrix42 Core , Pro and IGA ). Jeśli zaznaczenie jest puste, oznacza to, że katalog nie jest używany w tym środowisku.
  • Dzienniki epe-worker-azure – zawierają status danych ekstraktu Entra ID (dane, które Native Connector ładuje do rozwiązań Matrix42 Core , Pro and IGA ). Jeśli zaznaczenie jest puste, oznacza to, że katalog nie jest używany w tym środowisku.
  • Dzienniki epe-worker-ldap – zawierają status ekstrakcji danych LDAP (dane, które Native Connector ładuje do klientów korzystających z rozwiązań Matrix42 Core , Pro and IGA ). Jeśli zaznaczenie jest puste, oznacza to, że katalog nie jest używany w tym środowisku.
  • Dzienniki epe-launcher – zawierają informacje o uruchomieniach EPE
  • datapump-itsm logi - Zawiera informacje o eksporcie danych do rozwiązań klientów Matrix42 Core , Pro and IGA .
  • esa logs - Zawiera informacje o uwierzytelnianiu Secure Access .

Karta Ustawienia

Karty ustawień służą do monitorowania środowisk z łącznikami.

  • Typ środowiska - musi być wybrany i informacja ta jest wykorzystywana na przykład do krytycznego definiowania alertu.
    • Test – wybierz tę opcję, jeśli Twoje środowisko jest używane jako środowisko testowe
    • Pro d – wybierz tę opcję, jeśli Twoje środowisko jest używane jako środowisko produkcyjne
    • Demo – wybierz tę opcję, jeśli Twoje środowisko jest używane jako demo lub środowisko szkoleniowe
    • Dev – wybierz tę opcję, jeśli Twoje środowisko jest używane jako środowisko programistyczne

Co monitorujemy?

  • Niepowodzenia w planowanym udostępnianiu (wyodrębnianie danych, eksportowanie danych do ESM, nieaktualne certyfikaty, nieprawidłowe hasła, nieprawidłowa baza wyszukiwania/filtr, nieprawidłowe mapowania itp.)
  • Niepowodzenia w obsłudze zdarzeń (brak zapisu do AD / Azure itp.)
  • Dostarczanie oparte na zdarzeniach – które łączniki są używane do zapisywania danych w aplikacjach/katalogach.
  • ESA ponad dziesięć nieudanych prób logowania do jednego użytkownika w ciągu ostatnich 3 dni
  • Typ środowiska - musi być wybrany i informacja ta jest wykorzystywana na przykład do krytycznego definiowania alertu.

Migracje danych

Nie klikaj opcji „Migruj mapowania atrybutów” ani „Migruj przepływy pracy”, jeśli nie zostaniesz o to poproszony przez Matrix42 .

Skonfiguruj łącznik OpenLDAP

Jak utworzyć nowy łącznik OpenLDAP

Aby skonfigurować provisioning, będziesz potrzebować dostępu do konsoli konfiguracji platformy.

1. Otwórz obszar Administracji (symbol koła zębatego).
2. Otwórz widok Złącza.
3. Wybierz Nowy łącznik

4. Wybierz typ źródła danych OpenLDAP

5. Podaj nazwę złącza i dodaj ustawienia połączenia

6. Wybierz użytkownika API sieci Web, wpisz hasło i zapisz zmiany

7. Naciśnij przycisk testu połączenia i testu uwierzytelniania, aby sprawdzić, czy połączenie i dane logowania działają.

Ogólne uid dotyczące zaplanowanych zadań

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Skonfiguruj zadanie zaplanowane do odczytu danych

Łącznik OpenLDAP służy do odczytywania informacji o użytkownikach i grupach z katalogu Klienci. Jest on konfigurowany z poziomu platformy przez utworzenie zadania provisionowania opartego na harmonogramie.

Jak utworzyć nowe zadanie do wizualizacji w programie Scheduled Pro

Aby skonfigurować zadanie provisioningu oparte na harmonogramie, potrzebny będzie dostęp do konsoli konfiguracji platformy. Uwaga! Jeśli łącznik nie zostanie utworzony, należy najpierw utworzyć „nowy łącznik”, a następnie można tworzyć nowe zadania.

1. Otwórz widok konfiguracji platformy (symbol koła zębatego).
2. Otwórz widok Złącza.
3. Wybierz opcję „Connector” dla zadania opartego na harmonogramie i wybierz nowe zadanie


4. Zdefiniuj harmonogram zadania (czy i jak zaplanowane zadanie powinno być uruchamiane okresowo). Wybierz kolejność harmonogramowania, która zależy od ilości danych odczytywanych do rozwiązania.

Zalecana kolejność harmonogramowania zależy od ilości danych odczytywanych z katalogu klienta do rozwiązania i od tego, czy import jest częściowy, czy pełny. Przykładowy harmonogram dla grup odczytu i kont użytkowników.

Całkowita liczba użytkowników Łączna liczba grup Sekwencja pełnego obciążenia Sekwencja częściowego obciążenia
< 500 < 1000 Co 30 minut, jeśli nie jest używane obciążenie częściowe
Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe 		Co 10 minut
< 2000 < 2000 Co 60 minut, jeśli nie jest używane obciążenie częściowe
Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe 		Co 15 minut
< 5000 < 3000 Co cztery (4) godziny, jeżeli nie jest wykorzystywane obciążenie częściowe
Dwa razy dziennie, jeśli stosowane jest obciążenie częściowe 		Co 15 minut
< 10 000 < 5000 Maksymalny import dwa razy dziennie, bez względu na to, czy ładunek częściowy jest wykorzystywany, czy nie Co 30 minut
< 50 000 < 7000 Maksymalny import raz dziennie, bez względu na to, czy obciążenie częściowe jest wykorzystywane, czy nie Co 60 minut
Ponad 50 000 Ponad 7000 Może być potrzebny inny pracownik EPE, prosimy o kontakt z właścicielem produktu Pro Ocenione oddzielnie

5. Wypełnij szczegóły zadania

  • Wpisz unikalną nazwę zadania dla zaplanowanego zadania. Pamiętaj, że nazwy tej nie można później zmienić.
  • Użycie zadania wskazuje, że jest to zadanie służące do odczytu danych, zapisu danych lub uwierzytelniania. Należy pamiętać, że późniejsza zmiana typu zdarzenia może spowodować przerwanie przepływów pracy.
  • Typ mapowania zależy od typu informacji odczytywanej z katalogu
    • Tożsamość i prawa dostępu – używane podczas odczytywania z katalogu informacji o koncie użytkownika i grupie
    • Pojedyncze (tylko tożsamość) – używane, gdy z katalogu odczytywane są tylko informacje o koncie użytkownika
    • Pojedyncze (tylko prawo dostępu) – używane, gdy z katalogu odczytywane są tylko informacje o grupie
    • Ogólne (jeden szablon) – używane, gdy z katalogu odczytywane są informacje ogólne, zwykle inne niż Użytkownicy/Grupy

Wypełnij szczegóły filtrowania,

  • Pobierz dane
    • Pełny - wszystkie informacje są odczytywane zgodnie z zdefiniowanym filtrowaniem
    • Przyrostowy – do rozwiązania dostarczane są tylko zmienione informacje
  • Pobierz dane z głównego katalogu drzewa LDAP – ustawienie opcjonalne. Umożliwia pobieranie użytkowników i grup z głównego katalogu drzewa LDAP, co zmniejsza szybkość udostępniania.

Filtrowanie na podstawie jednostki organizacyjnej

Nazwa filtra: baza użytkowników OpenLDAP / filtr użytkownika OpenLDAP

Ten filtr jest zwykle ustawiany ze ścieżką OU, z której odczytywani są użytkownicy, i obejmuje również wszystkie podjednostki organizacyjne w imporcie, ale umożliwia również kilka innych możliwości filtrowania,

Przykłady innych powszechnie stosowanych filtrów użytkownika:

  • Poniższy przykład wyszukuje obiekty użytkownika: (&(objectCategory=person)(objectClass=user))
  • Poniższy przykład wyszukuje obiekty użytkownika, komputera i kontaktu: (objectClass=person)
  • Poniższy przykład wyszukuje obiekty użytkownika i kontaktu: (objectCategory=person)


Filtrowanie jednostek organizacyjnych, z których odczytywani są użytkownicy

Nazwa filtru: OpenLDAP ignoreOusForUsers

Za pomocą tego filtra można wykluczyć niektóre podjednostki organizacyjne z importu (np. OU=Sales, DC=adtest, DC=local). Użytkownicy zostaną zignorowani, jeśli znajdują się bezpośrednio w jednej ze zdefiniowanych jednostek organizacyjnych <OU> i/lub jeśli znajdują się w poddrzewie jednej ze zdefiniowanych jednostek organizacyjnych.

Filtrowanie na podstawie pojedynczych użytkowników

Nazwa filtra: Wykluczeni użytkownicy

Za pomocą tego filtra można wykluczyć konkretnych użytkowników z importu. W przypadku protokołu LDAP należy użyć nazw wyróżniających grup (rozdzielonych znakami nowej linii), aby wykluczyć użytkowników.

Grupy filtrujące

Nazwa filtru: OpenLDAP groupBase / LDAP groupFilter

Ten filtr jest zazwyczaj ustawiony na ścieżkę OU, z której odczytywane są grupy. Wszystkie podjednostki organizacyjne (OU) zostaną uwzględnione w imporcie (na przykład: OU=Finance, DC=adtest, DC=local). Użytkownicy zostaną zignorowani, jeśli znajdują się bezpośrednio w jednej ze zdefiniowanych jednostek <OU> lub znajdują się w poddrzewie jednej ze zdefiniowanych już jednostek <OU>.

Przykłady innych powszechnie używanych filtrów grupowych:

  • Poniższy przykład wyszukuje obiekty grupowe:
    (objectCategory=grupa)
  • Poniższy przykład wyszukuje obiekty grupy, które mają wartość w cn:
    (&(objectCategory=grupa)(cn=*))
  • Poniższy przykład wyszukuje obiekty grupy, które mają wartość w swoim opisie:
    (&(objectCategory=grupa)(opis=*))

Filtrowanie jednostek organizacyjnych, z których nie są odczytywane grupy

Nazwa filtru: OpenLDAP zignorowałOusForGroups

Ten filtr jest zazwyczaj ustawiony na ścieżkę OU, z której odczytywane są grupy. Wszystkie podjednostki organizacyjne (OU) zostaną uwzględnione w imporcie (na przykład: OU=Finance, DC=adtest, DC=local). Użytkownicy zostaną zignorowani, jeśli znajdują się bezpośrednio w jednej ze zdefiniowanych jednostek <OU> lub znajdują się w poddrzewie jednej ze zdefiniowanych już jednostek <OU>.


Filtrowanie pojedynczych grup

Nazwa filtra: Grupy wykluczone

Za pomocą tego filtra można wykluczyć określone grupy z importu. W przypadku protokołu LDAP należy użyć nazw wyróżniających grupy (rozdzielonych znakami nowej linii), aby je wykluczyć.

Filtrowanie użytkowników na podstawie przynależności do grup

Nazwa filtra: Wyklucz użytkowników z określonych grup

Za pomocą tego filtra można wykluczyć konkretnych użytkowników z importu na podstawie przynależności do grup. W przypadku protokołu LDAP należy użyć nazw wyróżniających grup (rozdzielonych znakami nowej linii), aby wykluczyć użytkowników.

Wpisz informacje o awarii

Opcjonalne ustawienia obsługi błędów. Jeśli zaplanowane zadanie zakończy się niepowodzeniem, może utworzyć kartę danych wyświetlającą błąd. Jeśli zdefiniowano ustawienia błędów, administrator nie musi ręcznie sprawdzać statusu zaplanowanych zadań.

  • Szablon awarii — wybierz szablon karty danych, który zostanie utworzony w razie wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).
  • Folder awarii – wybierz folder, w którym będzie przechowywana karta danych awarii.
  • Atrybut awarii — wybierz atrybut, w którym w szablonie awarii mają być przechowywane informacje o błędzie. Wybierz atrybut typu tekstowego.

6. Wypełnij mapowania tożsamości

Użytkownicy są importowani do szablonu konta IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników między klientami OpenLDAP a tym rozwiązaniem. Na przykład.

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
    2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
  • Można ustawić dodatkowe atrybuty, które są odczytywane z kont użytkowników w katalogu, wybierając opcję Nowy atrybut

8. Wypełnij mapowania praw dostępu

Grupy są odczytywane do szablonu uprawnień IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników pomiędzy katalogiem klienta i tym rozwiązaniem.

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
    2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
  • Można ustawić dodatkowe atrybuty, które są odczytywane z kont użytkowników w katalogu, wybierając opcję Nowy atrybut

9. Mapowania dla szablonu ogólnego

Dane ogólne są odczytywane według potrzeb dowolnego szablonu, a obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji danych pomiędzy klientami AD a tym rozwiązaniem.

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
    2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
  • Można ustawić dodatkowe atrybuty, które są odczytywane z kont użytkowników w katalogu, wybierając opcję Nowy atrybut

10. Zapisz zadanie provisioningu za pomocą przycisku Zapisz. Jeśli brakuje niektórych wymaganych atrybutów, przycisk Zapisz jest wyświetlany na szaro i wyświetla brakujące elementy w ustawieniach.

11. Skonfigurowano teraz zadanie łącznika oparte na harmonogramie do odczytu danych OpenLDAP .

Akcje administracyjne z ustawień zadania

  • Uruchom zadanie ręcznie – klikając przycisk, zadanie jest konfigurowane do natychmiastowego uruchomienia. Zazwyczaj w przypadku uruchomień testowych lub gdy nie chcesz zmieniać ustawień harmonogramu, ale chcesz uruchomić zadanie od razu.
  • Zatrzymaj zadanie – Zaplanowane zadanie można zatrzymać, klikając przycisk. Status zadania został zmieniony na zatrzymany i będzie ono oczekiwało na kolejne ręczne lub zaplanowane uruchomienie.
  • Wyczyść pamięć podręczną – kliknięcie przycisku spowoduje wyczyszczenie pamięci podręcznej danych dla NASTĘPNEGO provisionowania użytkowników i grup. Zadanie zostanie uruchomione tak samo, jak przy pierwszym uruchomieniu.

Przykład komunikatu o uruchomieniu zadania ręcznego:

Jeśli zadanie jest wykonywane ręcznie (R un task ) lub uruchamiane zgodnie z harmonogramem, status zadania można sprawdzić w Historii widoku:

Przykład widoku historii zaplanowanych zadań:

Użytkownicy administratorzy mogą również uzyskać dostęp do dzienników łącznika ze strony dzienników łącznika,

Gdy informacja o awarii zostanie poprawnie wprowadzona, łącznik tworzy kartę danych, która może mieć własny proces.

Przykład zadania administratora IGA , które także uid administratora, jak rozwiązać problem,

Skonfiguruj zadanie oparte na zdarzeniach do zapisu danych

Zadanie zdarzenia jest używane podczas zapisywania danych w OpenLDAP klienta. Te funkcje Pro Engine dla kont, grup i uprawnień są dostępne tylko w rozwiązaniu Matrix42 IGA , a do ich użycia wymagana jest licencja IGA .

Wszelka konfiguracja związana z modułem Pro Engine i zadaniem provisioningu opartym na zdarzeniach jest konfigurowana w widoku łącznika platformy.

  1. Otwórz widok konfiguracji platformy (symbol koła zębatego).
  2. Otwórz widok złączy
  3. Wybierz łącznik, który będzie korzystał z zadania zdarzenia
  4. Wybierz „nowe zadanie” pod właściwym łącznikiem


  5. Wypełnij szczegóły zadania
    1. Nazwa zadania — podaj nazwę zadania, która będzie wyświetlana w widoku łączników.
      • Dobrą praktyką jest nadawanie zadaniu nazwy opisującej jego cel, na przykład [Nazwa szablonu]:[Aktywność] Żądanie usługi IGA : Zweryfikuj użytkownika
      • Użycie zadania wskazuje, że jest to zadanie używane do odczytu lub zapisu danych. Można to później zmienić, ale nie jest to zalecane, jeśli zadanie zdarzenia jest w użyciu. Spowoduje to przerwanie przepływów pracy.
      • Typ mapowania zależy od typu informacji odczytanych z katalogu. Wybory mapowania tożsamości są wyświetlane na podstawie tego ustawienia.
        • Tożsamość i prawa dostępu – używane, gdy informacje o koncie użytkownika i grupie są odczytywane z katalogu (lub zapisywane do niego)
        • Pojedynczy (tylko tożsamość) – używany, gdy z katalogu odczytywane są (lub zapisywane do niego) tylko informacje o koncie użytkownika
        • Pojedynczy (tylko prawo dostępu) – używany, gdy z katalogu (lub do niego) odczytywane są tylko informacje o grupie
        • Ogólne (jeden szablon) – używane, gdy informacje ogólne są odczytywane z katalogu (lub do niego zapisywane). Zwykle są to dane inne niż informacje o użytkowniku lub grupie.




6. Wypełnij informacje dotyczące bezpieczeństwa

Informacje te są potrzebne, jeśli proces tworzenia użytkownika w przepływie pracy jest dołączony do zadania.

  • Hasło do pierwszego logowania - domyślne hasło, które jest takie samo dla wszystkich użytkowników. W trakcie pracy generowane jest losowe hasło, które zwykle jest unikalne.
    • Domyślne hasło / wpisz w polu poniżej
      • Hasło domyślne – wpisz hasło domyślne, które jest takie samo dla wszystkich użytkowników i spełnia wymagania dotyczące hasła w katalogu. Pamiętaj, że liczba znaków nie odzwierciedla rzeczywistej długości hasła.
      • Nie zaleca się używania w środowisku produkcyjnym tego samego hasła dla wszystkich kont
    • Losowe hasło / generuj w przepływie pracy
      • Wygenerowane hasło

7. Zdefiniuj mapowania tożsamości

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
    2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
  • Dodaj nowy atrybut - Możliwe jest ustawienie dodatkowych atrybutów, które są odczytywane z kont użytkowników w AD , poprzez wybranie przycisku Nowy atrybut.

7. Zdefiniuj mapowania praw dostępu

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania uprawnień dostępu
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
    2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
  • Dodaj nowy atrybut - Możliwe jest ustawienie dodatkowych atrybutów, które są odczytywane z grup w AD , poprzez wybranie przycisku Nowy atrybut.

Opcjonalnie, jeśli używane są mapowania ogólne: Zdefiniuj mapowania ogólne

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
    2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
  • Dodaj nowy atrybut - Możliwe jest ustawienie dodatkowych atrybutów odczytywanych z AD poprzez wybranie przycisku Nowy atrybut.

8. Zapisz zadanie provisioningowe za pomocą przycisku „Zapisz”. Jeśli brakuje jakichkolwiek obowiązkowych informacji, nie można zapisać zadania, a przycisk „Zapisz” wyświetli brakujące informacje.

9. Następnym krokiem jest skonfigurowanie węzła orkiestracji przepływu pracy do korzystania z tego zadania opartego na zdarzeniach. Z poziomu silnika przepływu pracy w Platformie możliwe jest wykonywanie działań provisioningowych w odniesieniu do usług katalogowych klienta. Oznacza to, że dowolną z dostępnych aktywności węzłów orkiestracji można uruchomić w dowolnym momencie przepływu pracy.

Odniesienia do przepływów pracy są pokazane na stronie przeglądu łącznika:

Konfigurowanie zadania uwierzytelniania

Jak utworzyć nowe zadanie uwierzytelniania?

Istnieją dwie opcje utworzenia nowego zadania uwierzytelniania. Opcja pierwsza polega na skopiowaniu istniejącego zadania provisioningu do zadania uwierzytelniania, jeśli metoda uwierzytelniania korzysta z tych samych ustawień. Opcja druga polega na utworzeniu nowego zadania uwierzytelniania.

Uwaga: Synchronizacja zadań uwierzytelniania z Security Access nie działa w wersjach starszych niż 2025.2, dlatego zaleca się, aby nie tworzyć ich w starszych wersjach. Zamiast tego zaloguj się do konsoli administracyjnej Secure Access ( ESA ) i utwórz konto Identity Pro bezpośrednio tam .

Opcja 1: Utwórz nowe zadanie uwierzytelniania z zadania provisioningu

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz zakładkę Łączniki, skopiuj żądane zadanie z przycisku Klonuj

3. Podaj nazwę nowego zadania uwierzytelniania i zmień sposób użycia zadania na Uwierzytelnianie

4. Wypełnij wymagane pola i zapisz zadanie

Opcja 2: Utwórz nowe zadanie uwierzytelniania

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz moduł Złącza
3. Wybierz zakładkę Uwierzytelnianie
4. Wybierz łącznik i utwórz nowe zadanie

5. Uzupełnij obowiązkowe informacje
6. Zdefiniuj filtry dla użytkowników i grup

7. Wybierz dziedzinę uwierzytelniania. Dziedzina, dla której zostanie utworzona konfiguracja uwierzytelniania w ESA

8. Zapisz zadanie i uruchom ESA Sync

9. Przejdź do instrukcji konfiguracji Efecte Secure Access zgodnie z protokołem uwierzytelniania

Instrukcje dla wersji 2024.1 i starszych

Konfiguruj zadanie oparte na harmonogramie

Efecte Provisioning Engine służy do odczytywania informacji o użytkownikach i grupach z katalogu Customers OpenLDAP . Jest ono konfigurowane z poziomu platformy Efecte Service Management poprzez tworzenie zadań provisioningu opartych na harmonogramie.

Zalecana kolejność harmonogramowania zależy od ilości danych odczytanych z katalogu Klientów do rozwiązania Efecte oraz od tego, czy import odbywa się z częściowym, czy pełnym obciążeniem.

Całkowita liczba użytkowników Łączna liczba grup Sekwencja pełnego obciążenia Sekwencja częściowego obciążenia
< 500 < 1000 Co 30 minut, jeśli nie jest używane obciążenie częściowe
Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe 		Co 10 minut
< 2000 < 2000 Co 60 minut, jeśli nie jest używane obciążenie częściowe
Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe 		Co 15 minut
< 5000 < 3000 Co cztery (4) godziny, jeżeli nie jest wykorzystywane obciążenie częściowe
Dwa razy dziennie, jeśli stosowane jest obciążenie częściowe 		Co 15 minut
< 10 000 < 5000 Maksymalny import dwa razy dziennie, bez względu na to, czy ładunek częściowy jest wykorzystywany, czy nie Co 30 minut
< 50 000 < 7000 Maksymalny import raz dziennie, bez względu na to, czy obciążenie częściowe jest wykorzystywane, czy nie Co 60 minut
Ponad 50 000 Ponad 7000 Może być potrzebny inny pracownik EPE, prosimy o kontakt z właścicielem produktu Pro Ocenione oddzielnie

Jak utworzyć nowe zadanie do planowania wizualizacji w programie Pro

Aby skonfigurować zadanie provisioningu oparte na harmonogramie, potrzebny będzie dostęp do konsoli konfiguracji platformy Efecte.

1. Otwórz obszar administracji Efecte (symbol koła zębatego).
2. Otwórz widok IGA
3. Wybierz opcję Dodaj nowe zadanie w celu Pro opartej na harmonogramie

4. Wybierz OpenLDAP z listy Dodaj nowe zadanie
5. Wprowadź unikalną nazwę zadania provisioningowego
6. Wybierz użytkownika API sieci Web i wpisz hasło
7. Wybierz szablon awarii karty danych, który zostanie utworzony w przypadku wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).

8. Wybierz kolejność harmonogramowania, która zależy od ilości danych odczytywanych przez rozwiązanie Customers Efecte

9. Wypełnij sekcję Pro , w której definiujesz informacje o połączeniu oraz filtry służące do odczytu informacji o użytkownikach i grupach z klienta OpenLDAP .

10. Użytkownicy są importowani do szablonu konta IGA i konieczne jest ustawienie folderu docelowego, identyfikatora źródła danych oraz unikalnych wartości, które służą do identyfikacji użytkowników między klientami OpenLDAP a rozwiązaniem Efecte. Można ustawić dodatkowe atrybuty odczytywane z kont użytkowników w OpenLDAP , wybierając opcję „Dodaj właściwość”.

12. Grupy są odczytywane do szablonu uprawnień IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych oraz unikalnych wartości, które służą do identyfikacji użytkowników między klientami OpenLDAP a rozwiązaniem Efecte. Można ustawić dodatkowe atrybuty odczytywane z kont użytkowników w OpenLDAP , wybierając opcję Dodaj właściwość.

14. Zapisz zadanie provisioningu z górnego paska

15. Skonfigurowałeś już zadanie dostarczania oparte na harmonogramie i możesz

  • Połączenie testowe
  • Test uwierzytelniania
  • Uruchom zadanie ręcznie

16. Jeśli zadanie jest wykonywane ręcznie (uruchom zadanie ręcznie) lub zgodnie z harmonogramem, status zadania można sprawdzić na karcie Wyodrębnij/Załaduj status.

Konfiguruj zadanie oparte na zdarzeniach

Zadanie wizualizacji Pro oparte na zdarzeniach jest używane podczas zapisu danych do OpenLDAP . Te możliwości Efecte Provisioning Engine są dostępne tylko w rozwiązaniu Efecte IGA , a do ich użycia wymagana jest licencja IGA .

Wszelka konfiguracja związana z Efecte Provisioning Engine i zadaniami provisionowania opartymi na zdarzeniach jest konfigurowana na platformie Efecte Service Management.

1. Wybierz OpenLDAP z listy Dodaj nowe zadanie
2. Wybierz typ dostarczania Pro oparte na zdarzeniach 
3. Wybierz typ mapowania
4. Wpisz nazwę i unikalną nazwę zadania provisioningowego (np. [Nazwa szablonu]:[Aktywność] Żądanie usługi IGA :Zweryfikuj użytkownika ).

5. Wypełnij sekcję Pro , w której zdefiniowano informacje o połączeniu i filtry dla informacji o użytkownikach i grupach z OpenLDAP klientów. Uwaga! Zaleca się, aby połączenie między Efecte Provisioning Engine a usługami katalogowymi zawsze było zabezpieczone.


6. Zdefiniuj mapowania atrybutów.

  • Możliwe jest ustawienie dodatkowych atrybutów poprzez wybranie opcji Dodaj właściwość niestandardową.
  • W zadaniu provisionowania opartego na zdarzeniach możliwe jest zdefiniowanie, które informacje o atrybutach rozwiązania IGA mają być zapisywane w katalogu.
  • Może istnieć kilka zadań provisioningowych służących różnym celom, np. jedno do tworzenia użytkowników, a drugie do usuwania użytkowników z katalogu.

7. Zapisz zadanie provisioningu z górnego paska

8. Skonfigurowałeś już zadanie provisioningu oparte na zdarzeniach i możesz przetestować połączenie oraz uwierzytelnianie.

9. Następnym krokiem jest skonfigurowanie przepływu pracy w celu wykorzystania tego zadania opartego na zdarzeniach. Z poziomu silnika przepływu pracy na platformie Efecte Service Management możliwe jest wykonywanie działań provisioningowych w odniesieniu do usług katalogowych klientów. Oznacza to, że dowolną z dostępnych aktywności można uruchomić w dowolnym momencie przepływu pracy.

Konfigurowanie zadania uwierzytelniania

Istnieją dwie opcje utworzenia nowego zadania uwierzytelniania. Opcja pierwsza polega na skopiowaniu istniejącego zadania provisioningu do zadania uwierzytelniania, jeśli metoda uwierzytelniania korzysta z tych samych ustawień. Opcja druga polega na utworzeniu nowego zadania uwierzytelniania.

Opcja 1: Utwórz nowe zadanie uwierzytelniania z zadania provisioningu

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz zakładkę IGA , skopiuj żądane zadanie z przycisku Klonuj

3. Podaj nazwę nowego zadania uwierzytelniania

4. Po zapisaniu zmień typ provisioningu, który ma zostać uwierzytelniony

5. Wypełnij wymagane pola i zapisz zadanie

Opcja 2: Utwórz nowe zadanie uwierzytelniania

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz zakładkę IGA
3. Wybierz Dodaj nowe zadanie i popraw katalog
4. Ustaw typ provisioningu na Uwierzytelnianie

5. Uzupełnij obowiązkowe informacje
6. Zdefiniuj filtry dla użytkowników i grup
7. Zapisz zadanie i uruchom synchronizację z ESA

8. Przejdź do instrukcji konfiguracji Efecte Secure Access zgodnie z protokołem uwierzytelniania

Działania przepływu pracy

Silnik Pro Engine (EPE) zapewnia możliwość organizowania następujących działań w OpenLDAP .

Aktywuj/Dezaktywuj użytkownika

Na powyższej ilustracji administratorzy wybrali prawidłowy „cel” OpenLDAP i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań OpenLDAP . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizyjnych Pro .

W tym samym węźle administratorzy mogą wybrać, jaką akcję wolą zastosować: „ Aktywuj ” lub „ Dezaktywuj ”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

 

Dodaj użytkownika do grupy

Na powyższej ilustracji konfiguracja atrybutu „Person” powinna wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika (zazwyczaj konto IGA ). Atrybut „Rola” musi zostać skonfigurowany, aby określić, gdzie węzeł orkiestracji znajduje dostępne role (grupy katalogów, z których użytkownik powinien zostać usunięty). W atrybucie „Rola” może być skonfigurowana jedna lub wiele grup atrybutów. Lista dostępnych zarejestrowanych zadań katalogowych jest pobierana z bazy danych EPE-master.

Należy wybrać zadanie katalogu, ponieważ węzeł koordynacji Pro Engine będzie używał mapowania pól tożsamości i praw dostępu, aby dowiedzieć się, pod którym kodem atrybutu przechowywane są wyróżniające nazwy użytkownika i grupy katalogów.

Obsługa wyjątków:

  • Wynik węzła będzie w stanie „Zakończone” tylko wtedy, gdy wszystkie członkostwa użytkownika w grupach zostaną pomyślnie zaktualizowane. Na przykład, gdy użytkownik zostanie pomyślnie usunięty z 5 z 6 grup, wynik węzła będzie w stanie „Wyjątek”.
  • W związku z tym wymagane jest mapowanie pola JSON „distributedName” zarówno dla tożsamości, jak i uprawnień dostępu. Jeśli mapowanie nie zostanie znalezione, węzeł orkiestracji przejdzie w stan „Wyjątek”.
  • Próba usunięcia użytkownika z grupy, do której nie należy, zakończy się niepowodzeniem.
  • Próba dodania użytkownika do grupy, do której już należy, zakończy się niepowodzeniem.
  • Szczegóły dotyczące pomyślnej/nieudanej aktualizacji członkostwa użytkownika w grupie można znaleźć w dziennikach.
  • Wyjątki Pro aprowizacji i członkostwa w grupie to opcjonalne właściwości w tym węźle przepływu pracy. Administratorzy mogą skonfigurować te właściwości w taki sposób, aby możliwe było zapisanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog docelowy i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań katalogowych. W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł orkiestracji nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP . Należy upewnić się, że mapowanie tożsamości używane w węźle orkiestracji tworzenia użytkownika zawiera co najmniej dwa dodatkowe mapowania Active Directory : dla atrybutów „cn” i „sAMAccountName”. Jeśli te dwa mapowania nie będą dostępne w danej konfiguracji, nie będą one wyświetlane na liście rozwijanej.

Tworzenie nowych notatek dotyczących aktywności użytkownika:

  • Istnieją dwa sposoby utworzenia hasła dla nowego użytkownika na potrzeby jego pierwszego logowania.
    • Zdefiniuj hasło „domyślne” w widoku konfiguracji zadania Pro
      • To hasło będzie używane przez użytkowników tylko wtedy, gdy zalogują się do systemu po raz pierwszy.
    • Generowanie losowego hasła w przepływie pracy i wybór atrybutu, do którego na karcie danych mapowania tożsamości zostało ono zapisane
    • Możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu. Administratorzy mogą dokonać tego wyboru bezpośrednio z węzła koordynacji tworzenia użytkowników w przepływie pracy.
  • Istnieją różne sposoby podania hasła do pierwszego logowania użytkownika końcowego. W zależności od potrzeb klienta, możliwe jest wykorzystanie funkcji przepływu pracy do wysłania hasła bezpośrednio do użytkownika końcowego e-mailem lub SMS-em. Inną opcją jest wysłanie hasła do pierwszego logowania do menedżera, który je poda użytkownikowi końcowemu. Sam węzeł orkiestracji EPE NIE zapewnia tej funkcjonalności, należy ją zdefiniować w innym miejscu.
  • Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby utworzyć nowych użytkowników, administratorzy muszą upewnić się, że istnieje tylko jedna baza użytkowników LDAP/filtr użytkowników LDAP, aby uniknąć konfliktów w przepływie pracy.
  • Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz grupę


Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań konfiguracji usługi Pro . Administratorzy wybierają właściwy „cel” OpenLDAP i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań OpenLDAP . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań konfiguracji usługi Pro .

Węzeł koordynacji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

Ważne jest, aby mieć pewność, że mapowanie praw dostępu, używane w węźle koordynacji Create Group, zawiera co najmniej dwa dodatkowe mapowania OpenLDAP : dla atrybutów „cn” i „sAMAccountName”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń grupę

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” OpenLDAP . Węzeł orkiestracji grupy usuwania odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

W przypadku konfiguracji opartych na protokole LDAP „Atrybut grupy ról” powinien zawierać nazwę wyróżnioną grupy.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń użytkownika


Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” OpenLDAP . Węzeł orkiestracji usuwania użytkowników odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

W przypadku konfiguracji bazujących na Active Directory „Atrybut osoby” powinien zawierać nazwę użytkownika distinctionName.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń atrybut użytkownika


Na powyższej ilustracji administratorzy mogą wybrać właściwy element docelowy OpenLDAP . Węzeł orkiestracji usuwania atrybutów użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP . We właściwości „Atrybuty do usunięcia” administrator może zdefiniować atrybut, który zostanie usunięty z katalogu. Wprowadź NAZWĘ, którą chcesz usunąć. Ciąg znaków może zawierać atrybuty wielowartościowe, takie jak „Miasto”, „Centrum Kosztów”, „Komórka”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń użytkownika z grupy


Na powyższej ilustracji administratorzy mogą wybrać właściwy „Cel” OpenLDAP . Węzeł orkiestracji usuwania atrybutów użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w katalogu. We właściwości „Atrybuty do usunięcia” administrator może zdefiniować atrybut, który zostanie usunięty z katalogu.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zresetuj hasło użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy element docelowy OpenLDAP . Węzeł orkiestracji „Resetuj hasło użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w katalogu. Atrybuty „Osoba” i „Hasło” powinny wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika.

Administrator może wybrać, czy hasło ma zostać zmienione przy pierwszym logowaniu, czy nie. Administratorzy mogą dokonać tego wyboru bezpośrednio w węźle koordynacji przepływu pracy „Resetowanie hasła użytkownika”.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Odblokuj użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „docelowy” obiekt OpenLDAP . Węzeł orkiestracji użytkowników odblokowuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w katalogu.

Ważne jest, aby w konfiguracjach uwzględnić, że „Atrybut osoby” powinien zawierać nazwę użytkownika distinctionName.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj grupę


Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań konfiguracji Pro . Administratorzy wybierają właściwy „cel” OpenLDAP i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań OpenLDAP .

W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zajdzie potrzeba wprowadzenia jakichkolwiek zmian w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji grupy aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby zaktualizować grupy, administratorzy muszą upewnić się, że istnieje tylko jedna baza grup OpenLDAP /filtr grup LDAP, aby uniknąć konfliktów w przepływie pracy.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.



Aktualizuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” OpenLDAP i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań OpenLDAP . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji użytkowników aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

Należy pamiętać, że aktualizacja hasła użytkownika nie jest obsługiwana w ramach tej aktywności orkiestracji.

Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby zaktualizować użytkowników, administratorzy muszą upewnić się, że istnieje tylko jedna baza użytkowników OpenLDAP /filtr użytkowników LDAP, aby uniknąć konfliktów w przepływie pracy.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zaktualizuj wartość wyróżniającej nazwy użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” OpenLDAP . Węzeł orkiestracji „Aktualizacja wartości nazwy wyróżniającej użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

W polu „Bieżąca wartość nazwy wyróżniającej*” administrator musi wybrać, z którego atrybutu w danym szablonie/karcie danych zostanie odczytana „stara” nazwa lokalizacji OpenLDAP . Pole „Nowa wartość nazwy wyróżniającej*” wybiera atrybut z danego szablonu/karty danych, który będzie używany jako nazwa nowej lokalizacji OpenLDAP .

Dzięki tej aktywności administratorzy mogą na przykład ograniczyć akcję aktualizacji do atrybutu „commonname”, ale wymagane jest podanie całej wartości Distinguished, na przykład:

Aktualna wartość nazwy wyróżniającej: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Nowa wartość nazwy wyróżniającej: CN = DemoAccount, OU = OldDemoUsers, DC = testad, DC = local

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy OpenLDAP z sekcji „Docelowy” i mogą wyświetlić mapowania praw dostępu skonfigurowane dla wybranego zadania OpenLDAP . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratora Mapowania praw dostępu (Access Rights Mappings) administratorzy mogą podać wyrażenie „IF”, które utworzy zapytanie LDAP weryfikujące istnienie grupy. Można wybrać dowolną liczbę atrybutów z Karty danych, aby potwierdzić unikalność grupy. Po wykonaniu akcji, atrybuty te zostaną odczytane z danej Karty danych i porównane z odpowiednimi atrybutami OpenLDAP zgodnie z konfiguracją OpenLDAP „Target*”. Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu OpenLDAP , zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania pomyślnych wyników zapytania LDAP: „true”, jeśli grupa została znaleziona, lub „false”, jeśli nie.

Administratorzy mają możliwość „sprawdzenia” właściwości „Uwzględnij poddrzewo jednostek organizacyjnych” na tym węźle orkiestracji, aby zweryfikować, czy grupa istnieje w zdefiniowanym poddrzewie jednostek organizacyjnych. Jeśli administrator nie zaznaczy tej opcji, węzeł orkiestracji sprawdzi tylko konkretną jednostkę organizacyjną zdefiniowaną w konfiguracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj członkostwo w grupie

Na powyższej ilustracji administratorzy wybierają właściwy OpenLDAP z „Celu” i mogą zobaczyć, jakie mapowania tożsamości są skonfigurowane dla wybranego zadania.

Pole „Zapisz wynik*” służy do określenia miejsca, w którym zapisywane są pomyślne wyniki zapytania LDAP: „true”, jeśli użytkownik został znaleziony lub „false”, w przeciwnym wypadku.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań provisioningu Pro . Administratorzy wybierają właściwy OpenLDAP z sekcji „Docelowy” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania OpenLDAP . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratora usługi Identity Mappings administratorzy mogą podać wyrażenie „IF”, które utworzy zapytanie LDAP w celu weryfikacji istnienia użytkownika. Można wybrać dowolną liczbę atrybutów z karty danych, aby potwierdzić unikalność użytkownika. Po wykonaniu akcji, atrybuty te zostaną odczytane z danej karty danych i porównane z odpowiednimi atrybutami OpenLDAP zgodnie z konfiguracją OpenLDAP „Target*”. Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu OpenLDAP , zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania pomyślnych wyników zapytania LDAP: „true”, jeśli użytkownik został znaleziony, lub „false”, jeśli nie został znaleziony.

Kluczową kwestią w zrozumieniu mechaniki tego węzła jest to, że podczas tworzenia wyrażenia IF administrator musi użyć atrybutów szablonu, ale w rzeczywistości wartości odczytane z nich zostaną przetłumaczone (zamapowane) na odpowiednie atrybuty katalogu, zgodnie z konfiguracją mapowania tożsamości i przekazane do OpenLDAP jako zapytanie wyszukiwania.

Administratorzy mają możliwość „sprawdzenia” właściwości „Uwzględnij poddrzewo jednostek organizacyjnych” na tym węźle orkiestracji, aby zweryfikować, czy użytkownik istnieje w zdefiniowanym poddrzewie jednostek organizacyjnych. Jeśli administrator nie zaznaczy tej opcji, węzeł orkiestracji sprawdzi tylko konkretną jednostkę organizacyjną zdefiniowaną w konfiguracji.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.


Utwórz obiekt niestandardowy

Na powyższej ilustracji mapowania atrybutów tożsamości są generowane z zadań konfiguracji Pro . Administrator wybrał prawidłowy katalog OpenLDAP jako „Cel” i może przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań konfiguracji usługi Pro. W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli zajdzie potrzeba wprowadzenia jakichkolwiek zmian w mapowaniach, należy je wprowadzić w widoku konfiguracji zadania konfiguracji usługi Pro . Niestandardowa klasa obiektów definiuje obiekt tworzony przez EPE – w tym przykładzie jest to organizacja – odczytuje ona atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP .

Tworzenie nowego węzła orkiestracji obiektów niestandardowych odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w OpenLDAP . Należy upewnić się, że w węźle orkiestracji obiektów niestandardowych używane jest mapowanie tożsamości.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj obiekt niestandardowy

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” OpenLDAP , który odczyta atrybuty z odpowiednich kart danych i wykona polecenie LDAP w OpenLDAP .

W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń obiekt niestandardowy

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” OpenLDAP , który odczyta atrybuty z odpowiednich kart danych i wykona polecenie LDAP w OpenLDAP .

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Odczytaj dane użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” OpenLDAP i mogą przeglądać mapowania skonfigurowane dla wybranych zadań OpenLDAP . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

'Atrybut osoby' powinien zawierać nazwę użytkownika distinctionName lub inny unikalny atrybut.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Uruchom zadanie provisioningu

Na powyższej ilustracji administratorzy mogą wybrać właściwy katalog docelowy. Uruchom zadanie orkiestracji, aby odczytać atrybuty węzła z OpenLDAP do kont IGA .

Wymagania dla zadania EPE „Docelowy” są następujące:

  • Zadanie musi być typu „Zadanie harmonogramowalne”, a nie oparte na zdarzeniu
  • Szablon przepływu pracy musi być taki sam jak szablon mapowania tożsamości
  • Zadanie musi zostać zaplanowane w określonym czasie – oznacza to, że zadanie ma zostać „włączone”
  • Mapowania muszą być odrębne, w zadaniu nie może być duplikatów mapowań

W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Rozwiązywanie problemów

W przypadku wystąpienia błędów sprawdź logi EPE i FAQ

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Konfiguracja: EPE Utwórz kartę danych docelową ESM
  • Konfiguracja: EPE Usuń kartę danych z docelowego ESM
  • Konfiguruj: łącznik EPE Jira Cloud

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand