Microsoft Active Directory ( AD ) Connector

So integrieren Sie Microsoft Active Directory

+ More

Microsoft Active Directory Connector

Microsoft Active Directory ( AD ) Connector ist Teil der Native Connectors und dient zum Lesen und Schreiben von Daten in/aus dem Active Directory des Kunden. Er kann für alle Matrix42 Core , Pro and IGA -Lösungen verwendet werden, die Native Connectors verwenden.

Sie können Objekte vom Typ „Benutzer“, „Kontakt“, „Drucker“, „Computer“, „Freigegebener Ordner“, „Gruppe“ und/oder „Organisationseinheit“ in/aus Active Directory lesen und schreiben.

AD Connector muss entsprechend dem Anwendungsfall des Kunden konfiguriert werden. Die Konfiguration umfasst im Prinzip drei (3) Schritte:

Connector konfigurieren – ermöglicht dem Connector, eine Verbindung zum Verzeichnis herzustellen
Geplante Aufgabe konfigurieren - wird verwendet, wenn Daten aus dem Verzeichnis gelesen werden
Ereignisaufgabe konfigurieren - wird verwendet, wenn Daten in das Verzeichnis geschrieben werden
1. Außerdem müssen Workflow-Orchestrierungsknoten konfiguriert werden

Fair-Use-Richtlinie

Der Connector ist unter normalen Betriebsbedingungen uneingeschränkt nutzbar. Sollte die Nutzung jedoch zu einer deutlich erhöhten Auslastung führen und zusätzliche Cloud-Ressourcen (z. B. Speicher oder Rechenleistung) benötigen, können hierfür zusätzliche Kosten anfallen.

Für die Verwendung dieses Connectors zum Erstellen, Aktualisieren oder Entfernen von Benutzerkonten oder Gruppenobjekten ist eine aktive IGA Lizenz erforderlich.

Anweisungen für die Version 2024.2 und neuer

Allgemeine Funktionalitäten

Connectors - general functionalities

Connectors - general functionalities

In this article are described general functionalities for managing native connectors in solution. All Native Connectors are managed from the same connector management UI.

Notice that there are separate descriptions for each connector, where connector specific functionalities and configuration instructions are described in detailed level.

To be able to access connector management, user needs to have admin level permissions to customers Platform configuration. When accesses are granted correctly, connector tab will be visible and user can manage connectors.

Left menu

Connector management is divided into four tabs:

Overview - for creating and updating Native Connectors. The Admin User can see their status, type and how many scheduled or event tasks are associated with them.
Authentication - for creating and updating authentication tasks. Provisioning task for authentication is needed for Secure Access to be able to define which Customers end-users can access to Matrix42 Core, Pro and IGA login page.
Logs - for downloading Native Connector and Secure Access logs from UI.
Settings - general settings for Native Connectors and Secure Access, including environment type for logging and monitoring.

Connectors overview tab

From overview page, user can easily and quickly see status for all connectors.

Top bar:

Status for Native Connectors (EPE)
- Green text indicates that Native Connectors is online. All the needed services are up and running.
- Red text indicates that there is a problem with Native Connectors, all the services are not running.
Status for Secure Access (ESA)
- Green text indicates that Secure Access is online. All the needed services are up and running.
- Red text indicates that there is a problem with Secure Access, all the services are not running.
Native Connectors version number is displayed in top right corner

Top bar for list view:

New connector - opens new window for adding and configuring new connector
Remove connector(s) - workflow references are calculated and pop-up window appears to confirm removal (notice that calculating references can take several seconds)
Export - Admin can export one or more connectors (and tasks) from the environment. Usually used for exporting connectors and connectors (and tasks) from test to prod. Native connectors secret information is password protected.
Import - Admin can import one or more connectors (and tasks) to the environment. Usually used for importing connectors (and tasks) from test to prod.
- Admin cannot import from old EPE UI (Older than 2024.1) to the new one. Source and target environments must have same version.
- Import will fail if the configuration (templates, attributes) is not the same - for example when some attribute is missing
- If you are importing something with the same connector details, it will be merged under existing connector
Refresh - Admin can refresh connectors view by clicking the button.

List view for overview,

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated unique ID of the connector. Cannot be edited or changed.
Status - indicates scheduled task status
- Green check mark - Task is executed without any errors
- Red cross -Task is executed, but there have been error
- Grey clock - Task is not executed yet, waiting for scheduling
- Orange - one of the tasks has a problem
- No value - Scheduled based-task is missing
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Scheduled - informs how many scheduled tasks are configured
Event - informs how many event tasks are configured
Manage
- Pen icon - opens connector settings (double-clicking the connector row, also opens settings)
- Paper icon - copies the connector
- Stop - workflow references are calculated and pop-up window appears to confirm removal
Search - User can search connector by entering the search term in the corresponding field . Id, Status, Name, Type, Scheduled and Event fields can be searched.

Scheduled task information (click arrow front of the connector)

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for scheduled tasks

New task - opens configuration page for new task
Remove task(s) - removes the selected task(s) from the system and they cannot be recovered anymore.
Refresh - refresh scheduled-based tasks view
Search - user can search task by entering the search term in the corresponding field for Id, name, enabled, extract/load status.

List view for scheduled tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Enabled - Displays is the task scheduled or not
- Green check mark - Task is scheduled
- Red cross - Task is not scheduled
Extract status - Displays status of data extraction from the target directory/system
- Green check mark - data is extracted successfully
- Red cross - data is extracted with error(s) or extraction is failed
- Clock - Task is waiting execution
Load status - Displays status of data export from json-file to customers solution
- Green check mark - data is imported successfully to customers solution
- Red cross - data is imported with error(s) or import is failed
Manage
- Pen icon - opens task settings in own window (double-clicking the task row also opens task settings)
- Paper icon - copies the task
- Clock icon - opens task history view
- Stop - remove task, pop-up window opens to confirm the removal

Scheduled task history view

By clicking the clock icon in the scheduled task row, history for scheduling will be shown.

Top bar for view history

Refresh - refreshes scheduled task status. This doesn't affect task, this only updates UI to show latest information of task run.

List view for scheduled task history

Color of the row is indicating status
- Green - task executed successfully
- Red - error happened during execution
Execution ID - unique ID for the scheduled task row
Extract planned time - when next extract from the directory/application is scheduled to happen
Extract complete time - when extract was completed
Extract status - status for fetching data from the directory/application
Load start time - when next load to customers solution is scheduled to happen
Load complete time - when load was completed
Load status - status for loading information to customers solution

List view for scheduled task status

Actual start time - timestamp for actual start
Users file - JSON file containing user information read from the directory/application
Group file - JSON file containing group information read from the directory/application
Generic file - JSON file containing generic information read from the directory/application
Extract info - detailed information about reading information from the directory/application
Load info - detailed information about loading the information to customers Matrix42 Core, Pro and IGA solution

Edit window for scheduled task

Configuration for scheduled task can be opened by clicking pen icon or double-clicking the task row.

Left menu and attributes varies according to selected options and therefore more detailed instructions for editing tasks can be found from the connector description, but there are common functionalities for all scheduled tasks which are described below.

Saving the task

In case mandatory information is missing from the task, hoovering mouse on top of the save button will show which attributes are still empty.

Top bar for edit scheduled task

Run task manually - admin can run task manually out side of the defined scheduling
Stop task - admin can stop scheduled-based task which is currently running. Task will be stopped and status is changed to be stopped. It waits in this state until the next timing occurs.
Clear data cache - Data cache for the next provisioning of Users and Groups will be cleared. It means that next run is run as first time run.
- By default, we clear the cache everyday at 00:00 UTC
- If you want to clear the cache at different time, then it has to specify some different value in host file 'custom.properties'.
- EPE Cache is also cleared when EPE is restarted, whole environment is restarted, EPE mappings have been changed

Event task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for event tasks

New task - opens configuration page for new event task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes event tasks view
Show workflow references - calculates task related workflow relations and statuses. This is very useful if you don't know from which workflows event-based tasks are used.

List view for event tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Workflow relations
- Question mark shows pop-up window with detailed information about the reference
Workflow status
- Not used - No relations to workflow
- In use - Workflow(s) attached to task, task cannot be removed
Manage
- Pen icon - opens task settings in own window
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Edit window for event task

Configuration for event task can be opened by clicking pen icon or double-clicking the task row.

Edit event task window

Task usage, editable? - this appears when editing existing task and changing the task usage type will break workflows
Mappings type, editable? - this appears when editing existing task and changing the mappings type will break workflows

Saving the task

In case mandatory information is missing from the task, hovering mouse on top of the save button will show which attributes are still empty.

Authentication tab

Authentication for Matrix42 Core, Pro and IGA solutions are configured from authentication tab, notice that only some of the connectors (directory connectors) are supporting authentication, so its not possible to create authentication tasks to all available connectors.

Top bar for authentication

New connector - opens new window for configuring new connector (notice that not all connectors are supporting authentication)
Remove connector(s) - removes selected task(s), pop-up window appears to confirm the removal
Export - user can export one or more tasks from the environment. Usually used for exporting tasks from test to prod. EPE connectors are password protected.
- Note that Realm for authentication tasks is not exported, you need to set that manually after importing
Import - user can import one or more tasks to the environment. Usually used for importing task from test to prod.
Refresh - refreshes authentication tasks view

List view for authentication overview

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated Unique ID of the connector. Cannot be edited or changed.
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Count - informs how many authentication tasks are configured
Manage
- Pen icon - opens authentication task setting in own window
- Paper icon - copies the task
- Stop icon - removes selected task

Authentication task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for authentication overview

Create new task - opens configuration page for new authentication task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes authentication tasks view

List view for authentication overview,

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Manage
- Pen icon- opens task settings in own window (double-clicking the task row, also opens settings window)
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Logs tab

Logs tab is for downloading Native Connector and Secure Access logs from UI for detailed troubleshooting.

epe-master logs - contains warning, debug and error level messages about Native Connectors and info how long task actions has been taken.
epe-worker-ad logs - contains extract data status of Active Directory connector (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-azure logs - contains extract data status of Entra ID (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-ldap logs - contains extract data status of LDAP (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-launcher logs - contains information about EPE launches
datapump-itsm logs - Contains information about data export to customers Matrix42 Core, Pro and IGA solution.
esa logs - Contains information about Secure Access authentication.

Settings tab

Settings tabs is used for monitoring environments with connectors.

Environment type - is mandatory to be in selected and information is used for example defining alert critically.
- Test - select this when your environment is used as testing environment
- Prod - select this when your environment is used as production environment
- Demo - select this when your environment is used as demo or training environment
- Dev - select this when your environment is used as development environment

What we are monitoring?

Failures in scheduled based provisioning (extracting data, exporting data to ESM, outdated certificates, incorrect passwords, incorrect search base/filter, incorrect mappings, etc.)
Failures in event based provisioning (fail to write to AD/Azure, etc.)
Event-based provisioning - which connectors are used for writing data towards applications/directories.
ESA more than ten failed login attempts to one user in past 3 days
Environment type - is mandatory to be in selected and information is used for example defining alert critically.

Data migrations

Do not click “Migrate attribute mappings” or “Migrate workflows”, if not requested to do so by Matrix42.

Allgemeine uid für geplante Aufgaben

So erstellen Sie eine neue geplante Aufgabe zum Importieren von Daten

Zum Konfigurieren zeitplanbasierter Bereitstellungsaufgaben benötigen Sie Zugriff auf die Registerkarte „Administration/Konnektoren“.

1. Öffnen Sie den Administrationsbereich (ein Zahnradsymbol).

2. Öffnen Sie die Connectors- Ansicht.

3. Wählen Sie Connector für geplante Aufgaben und wählen Sie Neue Aufgabe
Hinweis! Wenn kein Connector erstellt wird, müssen Sie zuerst „Neuer Connector“ und danach „ Neue Aufgabe“ auswählen.

4. Fahren Sie mit den Connector-spezifischen Anweisungen fort: Native Connectors

Soll ich inkrementell, vollständig oder beides verwenden?

Geplante Aufgaben können entweder inkrementell oder vollständig sein.

Importieren Sie keine Berechtigungen mit AD und LDAP-Inkrementalaufgaben

Bei inkrementellen Aufgaben treten Probleme beim Importieren von Berechtigungen auf. Derzeit wird empfohlen, Gruppenmitgliedschaften nicht mit inkrementellen geplanten Aufgaben zu importieren.

Entfernen Sie bei Microsoft Active Directory und OpenLDAP Konnektoren diese Zuordnung bei inkrementellen Aufgaben:

Einstellungen für geplante Aufgaben:

Der inkrementelle Typ wird nur für Microsoft Active Directory , LDAP- und Microsoft Graph API Konnektoren (früher bekannt als Entra ID ) unterstützt.

Inkrementeller Typ bedeutet, dass Native Connectors (EPE) Daten vom Quellsystem abruft und dabei geänderte Zeitstempelinformationen verwendet. Es werden also nur Daten abgerufen, die nach der vorherigen Ausführung der inkrementellen Aufgabe geändert oder hinzugefügt wurden.

Beim ersten Ausführen einer inkrementellen Aufgabe wird ein vollständiger Abruf durchgeführt (und der aktuelle Zeitstempel in der EPE-Datenbank markiert). Anschließend verwendet die Aufgabe diesen Zeitstempel, um die Datenquelle nach Daten zu fragen, die sich seit diesem Zeitstempel geändert haben (und EPE aktualisiert den Zeitstempel in der EPE-Datenbank für den nächsten Aufgabenlauf). Das Leeren des Aufgabencaches hat keinen Einfluss auf diesen Zeitstempel, daher ist die inkrementelle Aufgabe nach dem ersten Ausführen immer inkrementell.

Der vollständige Typ wird für alle Konnektoren unterstützt.

Der vollständige Typimport ruft bei jedem Durchlauf immer alle Daten (für deren Abruf er konfiguriert ist) vom Quellsystem ab.

Sowohl vollständige als auch inkrementelle Aufgaben verwenden auch den Aufgabencache in EPE, wodurch bestimmte Importe für M42 System schneller und einfacher werden.

Standardmäßig wird der Task-Cache um Mitternacht (UTC) geleert. Nach dem Leeren des Caches wird der nächste Import ohne Zwischenspeicherung ausgeführt, um zu entscheiden, ob die abgerufenen Daten an ESM gesendet werden sollen. Alle abgerufenen Daten werden an ESM gesendet. Danach wird der nächste Task ausgeführt, bis der Cache erneut geleert wird. Dabei wird der EPE-Cache verwendet, um zu bestimmen, ob die abgerufenen Daten an ESM gesendet werden sollen oder nicht.

Sie können konfigurieren, zu welcher Tageszeit der Task-Cache geleert wird, indem Sie die globalen Einstellungen in der EPE-Datapump-Konfiguration ändern:

/opt/epe/datapump-itsm/config/ benutzerdefinierte .properties

Dies ist standardmäßig auf clearCacheHours24HourFormat=0 eingestellt.

Sie können den Cache auch mehrmals täglich leeren, aber das muss sorgfältig überlegt werden, da es Auswirkungen auf die Gesamtleistung hat, da EPE Änderungen an ESM weitergibt, die wahrscheinlich bereits vorhanden sind, Beispiel (fügen Sie dem Attributwert keine Leerzeichen hinzu): clearCacheHours24HourFormat=6,12

Starten Sie den EPE-Datapump-Container nach der Änderung dieses Werts neu, um die Änderung zu übernehmen.

Empfehlungen:

Standardmäßig ist immer der vollständige Typ der geplanten Aufgabe verfügbar.

Wenn Sie Änderungen an Daten, die bereits durch die vollständige Aufgabe abgerufen wurden, häufiger abrufen möchten, als Sie die vollständige Aufgabe ausführen können, fügen Sie auch eine inkrementelle Aufgabe hinzu. Normalerweise ist eine inkrementelle Aufgabe nicht erforderlich.

Empfohlene Planungsreihenfolge

Die empfohlene Planungssequenz hängt davon ab, wie viele Daten aus dem System/Verzeichnis des Kunden in die Matrix42 Core , Pro oder IGA Lösung gelesen werden und ob der Import inkrementell oder vollständig erfolgt.

Beispiele für die Terminplanung,

Gesamtzahl der Benutzer	Gesamtzahl der Gruppen	Volllastsequenz	Inkrementelle Ladesequenz
< 500	< 1000	Alle 30 Minuten, wenn keine Teillast genutzt wird Vier (4) Mal täglich bei Teillast	Alle 10 Minuten
< 2000	< 2000	Alle 60 Minuten, wenn keine Teillast genutzt wird Vier (4) Mal täglich bei Teillast	Alle 15 Minuten
< 5000	< 3000	Alle vier (4) Stunden, wenn keine Teillast verwendet wird Bei Teillast zweimal täglich	Alle 15 Minuten
< 10 000	< 5000	Maximale Importe zweimal täglich, egal ob Teilladung genutzt wird oder nicht	Alle 30 Minuten
< 50 000	< 7000	Maximale Einfuhr einmal täglich, unabhängig davon, ob Teilladung genutzt wird oder nicht	Alle 60 Minuten
Über 50.000	Über 7000	Möglicherweise besteht Bedarf an einem weiteren EPE-Mitarbeiter. Bitte wenden Sie sich an den Pro .	Getrennt ausgewertet

Bitte beachten Sie, dass bei gleichzeitiger Ausführung mehrerer Aufgaben möglicherweise mehr EPE-Worker benötigt werden. Die Aufgaben sollten zu unterschiedlichen Zeiten geplant und gemäß der obigen Tabelle abgeschlossen werden. Laufen jedoch mehr als sechs Aufgaben gleichzeitig, sollte die Anzahl der EPE-Worker erhöht werden. Es empfiehlt sich, Aufgaben möglichst nicht gleichzeitig auszuführen.

Empfehlungen zur Leistung
Wenn die Menge der zu importierenden Daten über 10.000 liegt, beachten Sie Folgendes:
Passen Sie die Protokollebene von ESM und DATAPUMP auf die ERROR-Ebene an, um den Protokollierungsumfang während der Taskausführung zu verringern
Sorgen Sie dafür, dass möglichst wenige Automatisierungen sofort für importierte Datenkarten (Listener, Handler, Workflows) gestartet werden, da diese dazu führen, dass ESM mehr Zeit für die Verarbeitung neuer Datenkarten benötigt.

Setzen Sie den Status entfernter Konten und Berechtigungen auf „entfernt/deaktiviert“.

Mit dieser Funktion können Sie den Status von Konten und Berechtigungen beispielsweise als „Gelöscht“ oder „Deaktiviert“ markieren, wenn das Konto oder die Berechtigung aus dem Quellsystem entfernt wird. Ab Version 2025.3 können Sie den Status auch für generische Objekte festlegen (nicht nur für Konten/Identitäten und Berechtigungen/Gruppen).

Für Version 2025.3 und neuer

In Version 2025.3 wurden diese Einstellungen aus den Eigenschaftendateien in die Task-Benutzeroberfläche verschoben. Außerdem können Sie diese Einstellungen jetzt für generische Objekte festlegen, was vor dieser Version nicht möglich war.

Für jede geplante Aufgabe und für alle Zuordnungstypen gibt es eine separate Konfiguration. Hier ist ein Beispiel für diese Konfiguration für die Aufgabe:

Für Version 2025.2 und älter

Diese Funktion ist für geplante Aufgaben des Typs „vollständig“ verfügbar.

Die Einstellungen befinden sich in der Konfigurationsdatei des Datapump-Dockers. Um diese Parameterwerte zu ändern, müssen Sie sie in der Datei /opt/epe/datapump-itsm/config/custom.properties festlegen.

Konfiguration

Um die Deaktivierungsfunktion zu aktivieren, müssen in der Datapump-Konfiguration die folgenden Parameter auf „true“ gesetzt sein:

disable.unknown. esm .users=true
disable.unknown. esm .groups=true

Diese beiden Parameter sind in den Versionen 2024.2 und 2025.1 standardmäßig „false“. In 2025.2 und neueren Versionen sind sie standardmäßig „true“.

Als nächstes folgen diese Parameter:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

Die ersten beiden Attribute sollten auf das Attribut „DatacardHiddenState“ in der Benutzervorlage verweisen und angeben, welcher Wert dorthin gesendet werden soll, wenn der Benutzer gelöscht wird.

Standardmäßig sind es accountStatus und „Value 5 - Removed in IGA Account .

All dies muss mit der Attributkonfiguration übereinstimmen:

Dasselbe gilt für die nächsten beiden Parameter, allerdings für Gruppen.‘

Wenn Sie diese Parameter in der Eigenschaftendatei ändern müssen, nehmen Sie die Änderungen im Datapump-Container in der Datei vor: /opt/ epe /datapump-itsm/config/ custom .properties. Diese Änderungen bleiben dann beim Neustart des Containers erhalten und werden beim Neustart nach /opt/ epe /datapump-itsm/config/application.properties kopiert.

Beschreibung

Aufgaben speichern ihre __taskid__ die als Task Id mapping in der Benutzeroberfläche angezeigt wird, zu den Datenkarten. Sie wird dann verwendet, um festzustellen, ob die Datenkarte von dieser Aufgabe hinzugefügt wurde. Falls es mehrere Aufgaben mit unterschiedlichen Benutzergruppen gibt.

Dieses Feld wurde zuvor als Datenquellen-ID verwendet, aber da wir zu dem Modell gewechselt sind, bei dem der Connector mehrere Aufgaben haben kann, kann seine Kennung nicht mehr verwendet werden. Deshalb wurde das Feld stattdessen als Task-ID umfunktioniert.

Nehmen wir Benutzer als Beispiel: Wenn eine Aufgabe ausgeführt wird, wird ESM nach der Liste der Benutzer gefragt, deren Task-ID im Feld Task Id mapping steht und die keinen personTemplateStatusAttributeDisabledValueKey -Wert im personTemplateStatusCodeAttributeKey haben.

Dieses Ergebnis wird dann mit dem verglichen, was die Aufgabe abgerufen hat, und bei den Datenkarten der Benutzer, die nicht abgerufen wurden, wird das Attribut personTemplateStatus auf den in der Konfiguration angegebenen Wert gesetzt – 5 - Removed .

Das folgende Beispielprotokoll zeigt den beschriebenen Vorgang und informiert darüber, dass ein Benutzer entfernt wurde.

Dasselbe gilt für Gruppen, aber stattdessen werden groupTemplateStatus Attribute verwendet.

Hinweise

Die Funktion funktioniert nur mit geplanten Aufgaben zum vollständigen Abrufen.
Noch keine Unterstützung für generische Vorlagen, nur Identität und Zugriff
Bei der Migration von früheren Versionen, in denen noch die Datenquellen-ID verwendet wurde, muss sie mindestens einmal ausgeführt werden, um zuerst die Task-IDs in den Datenkarten festzulegen.
EPE identifiziert deaktivierte Benutzer oder Gruppen als diejenigen, die aus dem AD entfernt wurden. Derzeit unterstützen wir keine Statusangaben dazu, ob die Entität aktiv ist oder nicht.
EPE aktiviert Benutzer nicht selbstständig.
Wenn mehrere Tasks dieselben Benutzer oder Gruppen abrufen, kann die Task-ID in der Datenkarte überschrieben werden, je nachdem, welcher Task zuletzt ausgeführt wurde. Es wird vermutet, dass viele Tasks vom Typ „vollständig“ nicht denselben Benutzer oder dieselbe Gruppe abrufen.
Nehmen Sie Änderungen an der Konfigurationsdatei immer an benutzerdefinierten Eigenschaften vor. Ändern Sie nicht nur die Anwendungseigenschaften, da diese Änderungen beim Neustart des Containers verloren gehen, wenn Sie nicht dieselben Änderungen an benutzerdefinierten Eigenschaften vorgenommen haben.

Kundenanweisungen

Kundenanweisungen finden Sie hier .

Konfigurieren AD Connectors

In diesem Kapitel werden Konfigurationsanweisungen für AD Connector beschrieben, um eine Verbindung zum Active Directory ( AD ) des Kunden herstellen zu können.

Für den Zugriff auf die Connector-Verwaltung muss der Benutzer über Berechtigungen zur Efecte-Plattformkonfiguration verfügen.

1. Öffnen Sie den Efecte-Administrationsbereich (ein Zahnradsymbol).
2. Öffnen Sie die Konnektoransicht.
3. Neuen Connector auswählen

4. Wählen Sie als Datenquellentyp Microsoft Active Directory

5. Informationen zu Kunden AD ausfüllen

Connector-Name – geben Sie Ihrem Connector einen benutzerfreundlichen Namen (der Name kann später geändert werden)
AD Host – Hostadresse, die für die Verbindung mit AD des Kunden verwendet wird
AD Port – Portnummer, die für die Verbindung zum AD des Kunden verwendet wird
AD Benutzername – Name des Dienstkontos, der zum Lesen und Schreiben von Daten in/aus AD des Kunden verwendet wird
AD -Passwort - Passwort für das Dienstkonto

6. Web API Benutzerinformationen ausfüllen

Web API Benutzer – wählen Sie den richtigen Web API Benutzer aus, der beim Schreiben von Daten aus AD des Kunden in die Efecte-Lösung des Kunden verwendet wird.
Web API Passwort – Passwort für den Web API Benutzer

7. Connector-Informationen speichern

Drücken Sie auf „Verbindung testen“, um zu bestätigen, dass die Port- und Hostinformationen richtig eingestellt sind
Drücken Sie auf „Authentifizierung testen“, um zu bestätigen, dass AD Benutzer- und Kennwortinformationen (Dienstkonto) richtig eingestellt sind

8. Die Efecte-Lösung für Kunden kann jetzt eine Verbindung zum AD der Kunden herstellen

Der nächste Schritt besteht darin, eine geplante Aufgabe zum Lesen von Daten oder eine Ereignisaufgabe zum Schreiben von Daten zu konfigurieren.

Konfigurieren Sie die geplante Aufgabe zum Lesen von Daten

AD Connector wird zum Lesen von Benutzer- und Gruppeninformationen aus AD des Kunden verwendet und wird von der Efecte-Plattform durch Erstellen zeitplanbasierter Aufgaben konfiguriert.

So erstellen Sie eine neue Aufgabe für die geplante Pro

Zum Konfigurieren zeitplanbasierter Aufgaben benötigen Sie Zugriff auf die Konfigurationskonsole der Efecte-Plattform.

Hinweis! Wenn kein Connector erstellt wird, müssen Sie zuerst einen „neuen Connector“ erstellen. Danach können Sie neue Aufgaben erstellen.

1. Öffnen Sie den Efecte-Administrationsbereich (ein Zahnradsymbol).
2. Öffnen Sie die Konnektoransicht.
3. Wählen Sie den Connector, für den die zeitgesteuerte Aufgabe konfiguriert ist
4. Wählen Sie unter dem richtigen Connector eine neue Aufgabe aus

4. Definieren Sie die Planung für die Aufgabe (ob und wie die geplante Aufgabe regelmäßig ausgeführt werden soll). Wählen Sie die Planungssequenz, die davon abhängt, wie viele Daten in die Efecte-Lösung des Kunden eingelesen werden.

Die empfohlene Planungsreihenfolge hängt davon ab, wie viele Daten aus dem Kundenverzeichnis in die Efecte-Lösung gelesen werden und ob der Import teilweise oder vollständig erfolgt.

Beispielplanung für Lesegruppen und Benutzerkonten.

Gesamtzahl der Benutzer	Gesamtzahl der Gruppen	Volllastsequenz	Teillastsequenz
< 500	< 1000	Alle 30 Minuten, wenn keine Teillast genutzt wird Vier (4) Mal täglich bei Teillast	Alle 10 Minuten
< 2000	< 2000	Alle 60 Minuten, wenn keine Teillast genutzt wird Vier (4) Mal täglich bei Teillast	Alle 15 Minuten
< 5000	< 3000	Alle vier (4) Stunden, wenn keine Teillast verwendet wird Bei Teillast zweimal täglich	Alle 15 Minuten
< 10 000	< 5000	Maximale Importe zweimal täglich, egal ob Teilladung genutzt wird oder nicht	Alle 30 Minuten
< 50 000	< 7000	Maximale Einfuhr einmal täglich, unabhängig davon, ob Teilladung genutzt wird oder nicht	Alle 60 Minuten
Über 50.000	Über 7000	Möglicherweise besteht Bedarf an einem weiteren EPE-Mitarbeiter. Bitte wenden Sie sich an den Pro .	Getrennt ausgewertet

5. Aufgabendetails ausfüllen

Geben Sie einen eindeutigen Aufgabennamen für die geplante Aufgabe ein. Beachten Sie, dass der Name später nicht mehr geändert werden kann.
Die angegebene Aufgabenverwendung ist die Aufgabe, die zum Lesen, Schreiben oder zur Authentifizierung verwendet wird. Beachten Sie, dass eine nachträgliche Änderung des Ereignistyps zu Arbeitsabläufen führen kann.
Der Zuordnungstyp hängt davon ab, welche Art von Informationen aus dem Verzeichnis gelesen werden
- Identität und Zugriffsrechte – werden verwendet, wenn Benutzerkonto- und Gruppeninformationen aus dem Verzeichnis gelesen werden
- Single (nur Identität) – werden verwendet, wenn nur Benutzerkontoinformationen aus dem Verzeichnis gelesen werden
- Single (nur Zugriffsrecht) – werden verwendet, wenn nur Gruppeninformationen aus dem Verzeichnis gelesen werden
- Generisch (eine Vorlage) - werden verwendet, wenn allgemeine Informationen aus dem Verzeichnis gelesen werden, normalerweise andere als Benutzer/Gruppen

Füllen Sie die Filterdetails aus,

Daten abrufen
- Vollständig - alle Informationen werden gemäß der definierten Filterung gelesen
- Inkrementell – nur geänderte Informationen werden an die Efecte-Lösung übermittelt
Daten aus dem LDAP-Baumstamm abrufen - Optionale Einstellung. Ermöglicht das Abrufen der Benutzer und Gruppen aus dem LDAP-Baumstamm, um die Bereitstellungsgeschwindigkeit zu erhöhen.

Filtern basierend auf OU

Filtername: LDAP-Benutzerbasis / LDAP-Benutzerfilter

Dieser Filter wird üblicherweise mit dem OU-Pfad gesetzt, aus dem Benutzer gelesen werden, und schließt auch alle untergeordneten OUs in den Import ein, ermöglicht aber auch mehrere andere Filtermöglichkeiten,

Beispiele für andere häufig verwendete Benutzerfilterbeispiele:

Das folgende Beispiel findet Benutzerobjekte: (&(objectCategory=person)(objectClass=user))
Das folgende Beispiel findet Benutzer-, Computer- und Kontaktobjekte: (objectClass=person)
Das folgende Beispiel findet Benutzer- und Kontaktobjekte: (objectCategory=person)
Das folgende Beispiel findet alle aktivierten Benutzerobjekte: (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Das folgende Beispiel findet Benutzer- und Kontaktobjekte, die eine E-Mail und einen SAMAccountName haben (&(objectCategory=person)(sAMAccountName=*)(mail=*))

Filtern von OUs, aus denen Benutzer gelesen werden

Filtername: AD ignoreOusForUsers

Mit diesem Filter können bestimmte untergeordnete OUs (z.B. OU=Sales,DC=adtest,DC=local) vom Import ausgeschlossen werden. Benutzer werden ignoriert, wenn sie direkt in einer der definierten <OU> und/oder in einem Unterbaum einer der definierten OUs vorhanden sind.

Filterung basierend auf einzelnen Benutzern

Filtername: Ausgeschlossene Benutzer

Mit diesem Filter können Sie bestimmte Benutzer vom Import ausschließen. Für LDAP verwenden Sie die Distinguished Names der auszuschließenden Gruppen (getrennt durch Zeilenumbrüche).

Filtergruppen

Filtername: AD groupBase / AD groupFilter

Dieser Filter wird üblicherweise auf den OU-Pfad gesetzt, aus dem Gruppen gelesen werden. Alle untergeordneten OUs werden beim Import berücksichtigt (Beispiel: OU=Finance,DC=adtest,DC=local). Benutzer werden ignoriert, wenn sie direkt in einer der definierten <OU> vorhanden sind und auch im Unterbaum einer der bereits definierten <OU> vorhanden sind.

Beispiele für andere häufig verwendete Gruppenfilter:

Das folgende Beispiel findet Gruppenobjekte:
(Objektkategorie=Gruppe)
Das folgende Beispiel findet Gruppenobjekte, die den Wert cn haben:
(&(Objektkategorie=Gruppe)(cn=*))
Das folgende Beispiel findet Gruppenobjekte, deren Beschreibung einen Wert enthält:
(&(Objektkategorie=Gruppe)(Beschreibung=*))
Das folgende Beispiel findet alle Sicherheitsgruppenobjekte:
(Gruppentyp:1.2.840.113556.1.4.803:=2147483648)

Filtern von OUs, aus denen keine Gruppen gelesen werden

Filtername: AD ingnoredOusForGroup

Filtern einzelner Gruppen

Filtername: Ausgeschlossene Gruppen

Mit diesem Filter können Sie bestimmte Gruppen vom Import ausschließen. Für LDAP verwenden Sie die Distinguished Names der auszuschließenden Gruppen (getrennt durch Zeilenumbrüche).

Filtern von Benutzern basierend auf Gruppenmitgliedschaften

Filtername: Benutzer mit bestimmten Gruppen ausschließen

Mit diesem Filter können Sie bestimmte Benutzer basierend auf Gruppenmitgliedschaften vom Import ausschließen. Für LDAP verwenden Sie die Distinguished Names der auszuschließenden Gruppen (getrennt durch Zeilenumbrüche). Für Azure -basierte Aufgaben geben Sie die Object IDs der auszuschließenden Gruppen (getrennt durch Zeilenumbrüche) ein.

Fehlerinformationen eingeben

Optionale Einstellungen für die Fehlerbehandlung. Bei Fehlschlagen einer geplanten Aufgabe kann eine Datenkarte erstellt werden, die den Fehler anzeigt. Wenn Fehlereinstellungen definiert sind, muss der Administrator den Status geplanter Aufgaben nicht manuell überprüfen.

Fehlervorlage – Wählen Sie eine Datenkartenvorlage aus, die im Falle von Fehlern während der Bereitstellung (Verbindung zu Datenquellen, Zeitüberschreitungen usw.) erstellt wird.
Fehlerordner – Wählen Sie den Ordner aus, in dem die Fehlerdatenkarte gespeichert ist.
Fehlerattribut – Wählen Sie ein Attribut aus, in dem in der Fehlervorlage die Fehlerinformationen gespeichert werden sollen. Wählen Sie das Attribut vom Typ „Text“ aus.

Beispiel einer IGA Admin-Aufgabe, die auch Anweisungen zur Problemlösung enthalten kann,

6. Identitätszuordnungen ausfüllen

Benutzer werden in IGA -Kontovorlage importiert. Dabei ist es zwingend erforderlich, Zielordner, Datenquellen-ID und eindeutige Werte festzulegen, die zur Identifizierung von Benutzern zwischen Kunden AD und Efecte-Lösung verwendet werden. Beispiel:

Zielvorlage – Wählen Sie eine Vorlage aus, um Attributzuordnungen zu definieren
Wählen Sie eine Vorlage zum Definieren von Attributzuordnungen
Zielordner – Wählen Sie einen Ordner aus einer Liste aus. Die Liste wird entsprechend der Kompatibilität mit der ausgewählten Vorlage eingegrenzt.
Attributzuordnungen
1. Externes Attribut - welches Attribut aus dem Verzeichnis/System wird zugeordnet
2. Lokales Attribut - welches Attribut im Vorlagenattribut wird zugeordnet

7. Es ist möglich, zusätzliche Attribute festzulegen, die aus Benutzerkonten in AD gelesen werden, indem Sie Neues Attribut wählen

Löschen

Beachten

IGA Kontovorlage ist für Efecte Provisioning Engine konzipiert. Durch ihre Verwendung wird die Kundenumgebung richtig konfiguriert und der Kunde profitiert in vollem Umfang von der Komponente.

Wichtige Informationen (Name und identifizierende Attribute) aus dem AD Konto des Benutzers werden in der Personenvorlage angezeigt, die meisten Informationen sind jedoch in der IGA -Kontovorlage verfügbar.

Das direkte Lesen von Benutzerinformationen in die Personenvorlage wird nicht empfohlen und es kann sein, dass in Zukunft zusätzliche Konfigurationen erforderlich sind, wenn die Kundenumgebung auf eine neuere Version aktualisiert wird oder der Kunde seine Plattform mit neuen Efecte-Lösungen erweitern möchte.

Es wird empfohlen, Benutzer direkt in die Personenvorlage einzulesen, wenn der Kunde zur Authentifizierung nur Efecte Identity Management (EIM) verwendet.

8. Füllen Sie die Zugriffsrechtezuordnungen aus

Gruppen werden in IGA Berechtigungsvorlage gelesen und es ist obligatorisch, Zielordner, Datenquellen-ID und eindeutige Werte festzulegen, die zur Identifizierung von Benutzern zwischen Kunden AD und Efecte-Lösung verwendet werden.

Zielvorlage – Wählen Sie eine Vorlage aus, um Attributzuordnungen zu definieren
Wählen Sie eine Vorlage zum Definieren von Attributzuordnungen
Zielordner – Wählen Sie einen Ordner aus einer Liste aus. Die Liste wird entsprechend der Kompatibilität mit der ausgewählten Vorlage eingegrenzt.
Attributzuordnungen
1. Externes Attribut - welches Attribut aus dem Verzeichnis/System wird zugeordnet
2. Lokales Attribut - welches Attribut im Vorlagenattribut wird zugeordnet
Es ist möglich, zusätzliche Attribute festzulegen, die aus Benutzerkonten im Verzeichnis gelesen werden, indem Sie Neues Attribut wählen

9. Zuordnungen für generische Vorlagen

Generische Daten werden in jede vom Benutzer gewünschte Vorlage eingelesen und es ist zwingend erforderlich, Zielordner, Datenquellen-ID und eindeutige Werte festzulegen, die zur Identifizierung von Daten zwischen Kunden AD und Efecte-Lösung verwendet werden.

Zielvorlage – Wählen Sie eine Vorlage aus, um Attributzuordnungen zu definieren
Wählen Sie eine Vorlage zum Definieren von Attributzuordnungen
Zielordner – Wählen Sie einen Ordner aus einer Liste aus. Die Liste wird entsprechend der Kompatibilität mit der ausgewählten Vorlage eingegrenzt.
Attributzuordnungen
1. Externes Attribut - welches Attribut aus dem Verzeichnis/System wird zugeordnet
2. Lokales Attribut - welches Attribut im Vorlagenattribut wird zugeordnet
Durch Auswahl der Schaltfläche „Neues Attribut“ können zusätzliche Attribute festgelegt werden, die aus Benutzerkonten in AD gelesen werden.

Löschen

Beachten

IGA Berechtigungsvorlage ist für Efecte Provisioning Engine konzipiert. Durch ihre Verwendung wird die Kundenumgebung richtig konfiguriert und der Kunde erhält alle Vorteile der Komponente.

Für Efecte Provisioning Engine wird keine AD -Gruppenvorlage benötigt. Stellen Sie jedoch vor dem Entfernen sicher, dass die erforderlichen Überwachungsdetails gespeichert sind.

Das direkte Lesen von Gruppeninformationen in AD -Gruppenvorlage wird nicht empfohlen und es kann sein, dass in Zukunft zusätzliche Konfigurationen erforderlich sind, wenn die Kundenumgebung auf eine neuere Version aktualisiert wird oder der Kunde seine Plattform mit neuen Efecte-Lösungen erweitern möchte.

Es wird empfohlen, Gruppen direkt in AD -Gruppenvorlage einzulesen, wenn der Kunde zur Authentifizierung nur Efecte Identity Management (EIM) verwendet.

11. Speichern Sie die Bereitstellungsaufgabe über die Schaltfläche „Speichern“. Wenn einige erforderliche Attribute fehlen, wird die Schaltfläche „Speichern“ grau angezeigt und zeigt an, was in den Einstellungen fehlt.

12. Sie haben jetzt eine zeitgesteuerte Connector-Aufgabe zum Lesen von AD Daten konfiguriert.

Sie können jetzt warten, bis die Aufgabe basierend auf der Planung gestartet wird oder
Aufgabe manuell ausführen – durch Klicken auf die Schaltfläche „Aufgabe ausführen“ wird die Aufgabe sofort gestartet. Normalerweise für Testläufe oder wenn Sie die Zeitplaneinstellungen nicht ändern, die Aufgabe aber sofort ausführen möchten.

Beim Klicken auf „Aufgabe ausführen“ wird der Benutzer über den Ausführungsvorgang informiert

Wenn die Aufgabe manuell ausgeführt wird ( Aufgabe ausführen ) oder gemäß Zeitplan ausgeführt wird, kann der Aufgabenstatus unter „Verlauf anzeigen“ überprüft werden:

Konfigurieren Sie die Ereignisaufgabe zum Schreiben von Daten

Die Ereignisaufgabe wird beim Schreiben von Daten in Active Directory des Kunden verwendet. Diese Funktionen der Pro Engine in Bezug auf Konten, Gruppen und Berechtigungen sind nur für IGA Lösung verfügbar und für ihre Verwendung ist IGA Lizenz erforderlich.

Alle Konfigurationen im Zusammenhang mit Pro Engine und ereignisbasierten Provisioning-Aufgaben werden in Matrix42 Core , Pro and IGA Plattform konfiguriert.

Öffnen Sie die Konfigurationsansicht der Efecte-Plattform (ein Zahnradsymbol).
Ansicht „Konnektoren öffnen“
Wählen Sie den Connector, der die Ereignisaufgabe verwendet
Wählen Sie unter dem richtigen Connector „Neue Aufgabe“ aus

4. Aufgabendetails ausfüllen

Aufgabenname – Geben Sie der Aufgabe einen Namen, er wird in der Konnektoransicht angezeigt.
- Es empfiehlt sich, eine Aufgabe so zu benennen, dass ihr Zweck beschrieben wird, zum Beispiel [Vorlagenname]:[Aktivität] IGA -Serviceanfrage:Benutzer überprüfen
Die angegebene Taskverwendung ist die Task, die zum Lesen oder Schreiben von Daten verwendet wird. Kann nachträglich geändert werden, wird aber nicht empfohlen, wenn eine Ereignistask verwendet wird. Dadurch werden Arbeitsabläufe unterbrochen.
Der Zuordnungstyp hängt davon ab, welche Art von Informationen aus dem Verzeichnis gelesen werden. Die Auswahl der Identitätszuordnungen wird basierend auf dieser Einstellung angezeigt.
- Identität und Zugriffsrechte – werden verwendet, wenn Benutzerkonto- und Gruppeninformationen aus dem Verzeichnis gelesen (oder in dieses geschrieben) werden
- Single (nur Identität) – wird verwendet, wenn nur Benutzerkontoinformationen aus dem Verzeichnis gelesen (oder in dieses geschrieben) werden
- Einzeln (nur Zugriffsrecht) – wird verwendet, wenn nur Gruppeninformationen aus dem Verzeichnis gelesen (oder in dieses geschrieben) werden
- Allgemein (eine Vorlage) – wird verwendet, wenn allgemeine Informationen aus dem Verzeichnis gelesen (oder in das Verzeichnis geschrieben) werden. Normalerweise handelt es sich dabei um andere Daten als Benutzer- oder Gruppeninformationen.

Warnung zur Änderung der Aufgabenverwendung oder des Zuordnungstyps bei Verwendung der Ereignisaufgabe. Normalerweise sollten Sie diese nach dem ersten Speichern nicht mehr ändern:

5. Sicherheitsinformationen eingeben

Diese Informationen werden benötigt, wenn der Aufgabe ein Benutzererstellungsprozess im Workflow zugeordnet ist.

Passwort für die erste Anmeldung – Standardpasswort, das für alle Benutzer gleich ist. Im Workflow wird ein zufälliges Passwort generiert, das normalerweise eindeutig ist.
- Standardkennwort / geben Sie es in das Feld unten ein
  - Standardkennwort - Geben Sie ein Standardkennwort ein, das für alle Benutzer gleich ist und den Verzeichnisanforderungen für das Kennwort entspricht. Beachten Sie, dass die Anzahl der Zeichen nicht der tatsächlichen Länge des Kennworts entspricht.
  - In Produktionsumgebungen wird nicht empfohlen, für alle neuen Konten dasselbe Kennwort zu verwenden.
- Zufälliges Passwort / im Workflow generieren
  - Generiertes Passwort

Filtern

Wenn Daten in das Kundenverzeichnis geschrieben werden, ist eine Filterung erforderlich, damit der Connector weiß, in welche Organisationseinheit die Informationen geschrieben werden.

Filtern von OUs, in denen Benutzer geschrieben werden

Filtername: AD userBase / AD userFilter-Modusauswahl

OU-Pfad von der Datenkarte lesen - Connector liest von
Geben Sie die Suchbasis/den Suchfilter in das Feld unten ein
- AD userBase / AD userFilter – Beispiele hier
- AD ignoriert OusForUser - Beispiele hier

Filtername: AD groupBase / AD groupFilter-Modusauswahl

OU-Pfad von der Datenkarte lesen - Connector liest von
Geben Sie die Suchbasis/den Suchfilter in das Feld unten ein
- AD groupBase / AD userFilter – Beispiele hier
- AD ignorierte OusForGroup - Beispiele hier

Filtern von Informationen zum Typ der generischen Vorlagenzuordnung

Filtername: AD searchBase / AD searchFilter – Beispiel hier

6. Identitätszuordnungen definieren

Zielvorlage – Wählen Sie eine Vorlage aus, um Attributzuordnungen zu definieren
Wählen Sie eine Vorlage zum Definieren von Attributzuordnungen
Zielordner – Wählen Sie einen Ordner aus einer Liste aus. Die Liste wird entsprechend der Kompatibilität mit der ausgewählten Vorlage eingegrenzt.
Attributzuordnungen
1. Externes Attribut - welches Attribut aus dem Verzeichnis/System wird zugeordnet
2. Lokales Attribut - welches Attribut im Vorlagenattribut wird zugeordnet
Neues Attribut hinzufügen – Durch Auswahl der Schaltfläche „Neues Attribut“ können zusätzliche Attribute festgelegt werden, die aus Benutzerkonten in AD gelesen werden.

7. Definieren Sie die Zuordnungen der Zugriffsrechte

Zielvorlage – Wählen Sie eine Vorlage aus, um die Zuordnung von Zugriffsrechten zu definieren
Wählen Sie eine Vorlage zum Definieren von Attributzuordnungen
Zielordner – Wählen Sie einen Ordner aus einer Liste aus. Die Liste wird entsprechend der Kompatibilität mit der ausgewählten Vorlage eingegrenzt.
Attributzuordnungen
1. Externes Attribut - welches Attribut aus dem Verzeichnis/System wird zugeordnet
2. Lokales Attribut - welches Attribut im Vorlagenattribut wird zugeordnet
Neues Attribut hinzufügen – Durch Auswahl der Schaltfläche „Neues Attribut“ können zusätzliche Attribute festgelegt werden, die aus Gruppen in AD gelesen werden.

8. Generische Zuordnungen definieren

Zielvorlage – Wählen Sie eine Vorlage aus, um Attributzuordnungen zu definieren
Wählen Sie eine Vorlage zum Definieren von Attributzuordnungen
Zielordner – Wählen Sie einen Ordner aus einer Liste aus. Die Liste wird entsprechend der Kompatibilität mit der ausgewählten Vorlage eingegrenzt.
Attributzuordnungen
1. Externes Attribut - welches Attribut aus dem Verzeichnis/System wird zugeordnet
2. Lokales Attribut - welches Attribut im Vorlagenattribut wird zugeordnet
Neues Attribut hinzufügen – Durch Auswahl der Schaltfläche „Neues Attribut“ können zusätzliche Attribute festgelegt werden, die aus AD gelesen werden.

8. Speichern Sie die Bereitstellungsaufgabe über die Schaltfläche „Speichern“

Wenn obligatorische Informationen fehlen, können Sie die Aufgabe nicht speichern und die Schaltfläche „Speichern“ zeigt fehlende Informationen an.

9. Im nächsten Schritt konfigurieren Sie den Workflow-Orchestrierungsknoten für diese ereignisbasierte Aufgabe. Von der Workflow-Engine aus können Bereitstellungsaktivitäten für Kundenverzeichnisdienste ausgeführt werden. Das bedeutet, dass jede Aktivität des verfügbaren Orchestrierungsknotens an jedem Punkt des Workflows ausgeführt werden kann.

Workflow-Referenzen werden auf der Connector-Übersichtsseite angezeigt:

Authentifizierungsaufgabe konfigurieren

Eine Authentifizierungsaufgabe ist erforderlich, wenn Kunden- AD zur Authentifizierung von Benutzern bei Efecte-Lösungen von Kunden verwendet wird.

Es gibt zwei Möglichkeiten, eine neue Authentifizierungsaufgabe zu erstellen. Option eins besteht darin, eine vorhandene Bereitstellungsaufgabe in die Authentifizierungsaufgabe zu kopieren, wenn die Authentifizierungsmethode dieselben Einstellungen verwendet. Option zwei besteht darin, eine neue Authentifizierungsaufgabe zu erstellen.

Option 1: Neue Authentifizierungsaufgabe aus Bereitstellungsaufgabe erstellen

1. Öffnen Sie den Administrationsbereich (Zahnradsymbol)
2. Wählen Sie die Registerkarte „Konnektoren“ und kopieren Sie die gewünschte Aufgabe über die Schaltfläche „Klonen“.

3. Geben Sie der neuen Authentifizierungsaufgabe einen Namen und ändern Sie die Aufgabenverwendung in Authentifizierung

4. Füllen Sie die erforderlichen Felder aus und speichern Sie die Aufgabe

Option 2: Neue Authentifizierungsaufgabe erstellen

1. Öffnen Sie den Administrationsbereich (Zahnradsymbol)
2. Wählen Sie das Connectors-Modul
3. Wählen Sie die Registerkarte Authentifizierung
4. Connector auswählen und neue Aufgabe erstellen

5. Geben Sie Ihrer Authentifizierungsaufgabe einen Namen

6. Wählen Sie die Aufgabenverwendung als Authentifizierung aus

7. Filter für Benutzer definieren

Am häufigsten werden für AD Authentifizierung OU-Pfade verwendet, um zu definieren, wer auf Efecte-Lösungen zugreifen kann

8. Filter für Gruppen definieren

Von wo aus benötigte Gruppen aus dem AD des Kunden in die Efecte-Lösung eingelesen werden können

7. Wählen Sie den Authentifizierungsbereich aus.

Bereich, für den die Authentifizierungskonfiguration in ESA erstellt wird

8. Aufgabe speichern und ESA Sync ausführen

Durch die Synchronisierung der Informationen wird die Konfiguration in Efecte Secure Access automatisch erfüllt

9. Der nächste Schritt besteht darin, entsprechend der erforderlichen Authentifizierungsmethode zu den Konfigurationsanweisungen Efecte Secure Access zu wechseln .

Anweisungen für Version 2024.1 und ältere Versionen

Kundenanweisungen

Kundenanweisungen finden Sie hier .

Konfigurieren Sie geplante Aufgaben

Efecte Provisioning Engine wird zum Lesen von Benutzer- und Gruppeninformationen aus AD des Kunden verwendet und von der Efecte Service Management-Plattform aus durch die Erstellung zeitplanbasierter Bereitstellungsaufgaben konfiguriert.

Die empfohlene Planungsreihenfolge hängt davon ab, wie viele Daten aus dem Kundenverzeichnis in die Efecte-Lösung gelesen werden und ob der Import teilweise oder vollständig erfolgt.

Gesamtzahl der Benutzer	Gesamtzahl der Gruppen	Volllastsequenz	Teillastsequenz
< 500	< 1000	Alle 30 Minuten, wenn keine Teillast genutzt wird Vier (4) Mal täglich bei Teillast	Alle 10 Minuten
< 2000	< 2000	Alle 60 Minuten, wenn keine Teillast genutzt wird Vier (4) Mal täglich bei Teillast	Alle 15 Minuten
< 5000	< 3000	Alle vier (4) Stunden, wenn keine Teillast verwendet wird Bei Teillast zweimal täglich	Alle 15 Minuten
< 10 000	< 5000	Maximale Importe zweimal täglich, egal ob Teilladung genutzt wird oder nicht	Alle 30 Minuten
< 50 000	< 7000	Maximale Einfuhr einmal täglich, unabhängig davon, ob Teilladung genutzt wird oder nicht	Alle 60 Minuten
Über 50.000	Über 7000	Möglicherweise besteht Bedarf an einem weiteren EPE-Mitarbeiter. Bitte wenden Sie sich an den Pro .	Getrennt ausgewertet

So erstellen Sie eine neue Aufgabe für die geplante Pro

Zum Konfigurieren zeitplanbasierter Bereitstellungsaufgaben benötigen Sie Zugriff auf die Konfigurationskonsole der Efecte-Plattform.

1. Öffnen Sie den Efecte-Administrationsbereich (ein Zahnradsymbol).
2. IGA Ansicht öffnen
3. Wählen Sie „Neue Aufgabe hinzufügen“ für die zeitgesteuerte Pro

4. Wählen Sie Microsoft Active Directory aus der Liste Neue Aufgabe hinzufügen
5. Geben Sie einen eindeutigen Namen für die Bereitstellungsaufgabe ein
6. Wählen Sie den Web API Benutzer und geben Sie das Passwort ein
7. Wählen Sie eine Fehlervorlage der Datenkarte aus, die im Falle von Fehlern während der Bereitstellung (Verbindung zu Datenquellen, Zeitüberschreitungen usw.) erstellt wird.

8. Wählen Sie die Planungssequenz, die davon abhängt, wie viele Daten an die Efecte-Lösung des Kunden gelesen werden

9. Füllen Sie den Abschnitt Pro Eigenschaften“ aus, in dem Informationen zur Verbindung und Filter zum Lesen von Benutzer- und Gruppeninformationen aus dem Kunden AD definiert werden.

Ausführliche Informationen zu Filtern und ihrer Verwendung finden Sie in der Komponentenbeschreibung Efecte Provisioning Engine .

10. Benutzer werden in IGA -Kontovorlage importiert und es ist zwingend erforderlich, Zielordner, Datenquellen-ID und eindeutige Werte festzulegen, die zur Identifizierung von Benutzern zwischen Kunden AD und Efecte-Lösung verwendet werden.

11. Es ist möglich, zusätzliche Attribute festzulegen, die von Benutzerkonten in AD gelesen werden, indem Sie Eigenschaft hinzufügen wählen

Der Standardsatz für AD ist grundsätzlich

12. Gruppen werden in IGA Berechtigungsvorlage gelesen und es ist obligatorisch, Zielordner, Datenquellen-ID und eindeutige Werte festzulegen, die zur Identifizierung von Benutzern zwischen Kunden AD und Efecte-Lösung verwendet werden.

13. Es ist möglich, zusätzliche Attribute festzulegen, die von Benutzerkonten in AD gelesen werden, indem Sie Eigenschaft hinzufügen wählen

14. Bereitstellungsaufgabe über die obere Leiste speichern

15. Sie haben nun die zeitgesteuerte Bereitstellungsaufgabe konfiguriert und können

Testen der Verbindung
Testauthentifizierung
Aufgabe manuell ausführen

16. Wenn die Aufgabe manuell ausgeführt wird ( Aufgabe manuell ausführen ) oder gemäß Zeitplan ausgeführt wird, kann der Aufgabenstatus unter der Registerkarte „Status extrahieren/laden“ überprüft werden .

Weitere Informationen zur Überwachung und Protokollierung finden Sie in der Komponentenbeschreibung Efecte Provisioning Engine

Ereignisbasierte Aufgabe konfigurieren

Beim Schreiben von Daten in Active Directory wird eine ereignisbasierte Pro verwendet. Diese Funktionen Efecte Provisioning Engine sind nur für die Efecte IGA Lösung verfügbar und für ihre Verwendung ist IGA Lizenz erforderlich.

Alle Konfigurationen im Zusammenhang mit Efecte Provisioning Engine und ereignisbasierten Bereitstellungsaufgaben werden in der Efecte Service Management-Plattform konfiguriert.

1. Wählen Sie Microsoft Active Directory aus der Liste Neue Aufgabe hinzufügen
2. Wählen Sie den Pro Ereignisbasierte Bereitstellung
3. Wählen Sie den Zuordnungstyp: Nur einzelne Identität, Einzeln (nur Zugriffsrechte) oder Identität und Zugriffsrechte.
„Nur Identität“ – nur Benutzerzuordnungen sind verfügbar, „Nur Zugriffsrechte“ – nur Gruppenzuordnungen sind verfügbar.
4. Geben Sie einen eindeutigen Namen für die Bereitstellungsaufgabe ein (z. B. [Vorlagenname]:[Aktivität] IGA -Serviceanfrage:Benutzer überprüfen ).

5. Füllen Sie den Abschnitt Pro Eigenschaften“ aus, in dem Informationen zur Verbindung definiert und Filter für Benutzer- und Gruppeninformationen aus dem Kunden AD erstellt werden.

Hinweis! Es wird immer empfohlen, die Verbindung zwischen Efecte Provisioning Engine und den Verzeichnisdiensten zu sichern.

Beispiel für Verbindungseinstellungen

Filtern von Benutzern und Gruppen

5.1 LDAP-Benutzerbasis / LDAP-BenutzerFilter
In diesem Filter werden üblicherweise die OU-Pfade festgelegt, in die Benutzer geschrieben werden.

Beispiele für häufig verwendete Benutzerfilter:

Das folgende Beispiel findet Benutzerobjekte
(&(Objektkategorie=Person)(Objektklasse=Benutzer))
Das folgende Beispiel findet Benutzer-, Computer- und Kontaktobjekte
(Objektklasse=Person)
Das folgende Beispiel sucht nach Benutzer- und Kontaktobjekten
(Objektkategorie=Person)
Das folgende Beispiel findet alle aktivierten Benutzerobjekte
(&(Objektkategorie=Person)(Objektklasse=Benutzer)(!(Benutzerkontosteuerung:1.2.840.113556.1.4.803:=2)))

5.2 LDAP ignoreOsForUsers
Dieser Filter kann bei der ereignisbasierten Bereitstellung nur mit Überprüfungsaktivitäten verwendet werden.

Beispiel: Der Verkauf wird ignoriert

5.3 LDAP-Gruppenbasis / LDAP-Gruppenfilter
In diesem Filter wird üblicherweise der OU-Pfad festgelegt, in den Gruppen geschrieben werden.

Beispiel für Gruppenbasis und Filter

5.4 LDAP ingronedOusForGroups
Dieser Filter kann bei der ereignisbasierten Bereitstellung nur mit Überprüfungsaktivitäten verwendet werden (z. B. OU=Sales,DC=adtest,DC=local). Gruppen werden ignoriert, wenn sie direkt in einer der definierten <OU> vorhanden sind und auch, wenn sie in einem Unterbaum einer der definierten <OU> vorhanden sind.

Beispiel: Sicherheits-OU wird ignoriert

6. Definieren Sie Attributzuordnungen.

Sie können zusätzliche Attribute festlegen, indem Sie „Benutzerdefinierte Eigenschaft hinzufügen“ auswählen.
Im ereignisbasierten Bereitstellungsvorgang kann definiert werden, welche Attributinformationen der IGA Lösung in das Verzeichnis geschrieben werden.
Es kann mehrere Bereitstellungsaufgaben für unterschiedliche Zwecke geben, beispielsweise eine zum Erstellen von Benutzern und eine zum Entfernen von Benutzern aus dem Verzeichnis.

Beispielzuordnungen für Identitätsspeicher

7. Bereitstellungsaufgabe über die obere Leiste speichern

8. Sie haben nun die ereignisbasierte Bereitstellungsaufgabe konfiguriert und können

Testen der Verbindung
Testauthentifizierung

9. Der nächste Schritt besteht darin, den Workflow für die ereignisbasierte Aufgabe zu konfigurieren. Über die Workflow-Engine der Efecte Service Management-Plattform können Bereitstellungsaktivitäten für Kundenverzeichnisdienste ausgeführt werden. Das bedeutet, dass jede der verfügbaren Aktivitäten zu jedem Zeitpunkt des Workflows ausgeführt werden kann.

Authentifizierungsaufgabe konfigurieren

Option 1: Erstellen Sie eine neue Authentifizierungsaufgabe aus einer Bereitstellungsaufgabe

1. Öffnen Sie den Administrationsbereich (Zahnradsymbol)
2. Wählen Sie die Registerkarte IGA und kopieren Sie die gewünschte Aufgabe über die Schaltfläche „Klonen“.

3. Geben Sie der neuen Authentifizierungsaufgabe einen Namen

4. Ändern Sie nach dem Speichern den Bereitstellungstyp der Authentifizierung

5. Füllen Sie die erforderlichen Felder aus und speichern Sie die Aufgabe

Option 2: Neue Authentifizierungsaufgabe erstellen

1. Öffnen Sie den Administrationsbereich (Zahnradsymbol)
2. Wählen Sie die Registerkarte IGA
3. Wählen Sie „Neue Aufgabe hinzufügen“ und „Verzeichnis korrigieren“
4. Stellen Sie den Bereitstellungstyp auf Authentifizierung ein

5. Pflichtangaben ausfüllen
6. Filter für Benutzer und Gruppen definieren
7. Aufgabe speichern und Synchronisierung mit ESA ausführen

Beachten!

Wenn die Synchronisierung über die Authentifizierungsaufgabe deaktiviert werden muss, können Sie dies tun, indem Sie in den esa-Container gehen und die Datei /opt/esa/epe_synch.config öffnen. Ändern Sie die folgenden Werte von „true“ in „false“.

synchronize_user_federations=false
synchronize_identity_providers=false

Wenn die oben genannte Änderung an der Datei „/opt/esa/epe_synch.config“ vorgenommen wird, wird die Synchronisierung immer deaktiviert.

8. Wechseln Sie zu den Konfigurationsanweisungen Efecte Secure Access gemäß dem Authentifizierungsprotokoll

Workflow-Aktivitäten (Orchestrierungsknoten)

Die Efecte Provisioning Engine (EPE) bietet die Möglichkeit, die folgenden Aktivitäten für Microsoft Active Directory zu orchestrieren.

Benutzer aktivieren/deaktivieren

In der obigen Abbildung haben Administratoren das richtige Active Directory Ziel ausgewählt und können die für ausgewählte AD Aufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Innerhalb desselben Knotens können Administratoren die gewünschte Aktion auswählen: „ Aktivieren “ oder „ Deaktivieren “. Active Directory : Die Funktion „Aktivieren/Deaktivieren“ bezieht sich hier auf das Setzen Active Directory Attributs „useraccountcontrol“ auf den Wert „512/514“ (Aktivieren/Deaktivieren).

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer zur Gruppe hinzufügen

In der obigen Abbildung sollte die Konfiguration des Personenattributs auf die Vorlage verweisen, in der der Orchestrierungsknoten die Benutzerdaten findet (normalerweise IGA Konto). Das Rollenattribut muss konfiguriert werden, um zu definieren, wo der Orchestrierungsknoten die verfügbaren Rollen findet (Verzeichnisgruppen, aus denen der Benutzer entfernt werden soll). In einem Rollenattribut können eine oder mehrere Attributgruppen konfiguriert sein. Die Liste der verfügbaren registrierten Verzeichnisaufgaben wird vom EPE-Master abgerufen.

Es ist erforderlich, die Verzeichnisaufgabe auszuwählen, da der Orchestrierungsknoten Efecte Provisioning Engine die Zuordnung der Felder für Identität und Zugriffsrechte verwendet, um zu wissen, unter welchem Attributcode die eindeutigen Namen des Benutzers und der Verzeichnisgruppe gespeichert sind.

Ausnahmebehandlung:

Das Ergebnis eines Knotens befindet sich nur dann im Status „Abgeschlossen“, wenn alle Gruppenmitgliedschaften des Benutzers erfolgreich aktualisiert wurden. Wenn der Benutzer beispielsweise erfolgreich aus fünf von sechs Gruppen entfernt wird, befindet sich das Ergebnis eines Knotens im Status „Ausnahme“.
Daher ist die Zuordnung für das JSON-Feld „distinguishedName“ sowohl für die Identität als auch für das Zugriffsrecht erforderlich. Wenn keine Zuordnung gefunden wird, führt der Orchestrierungsknoten zu einem Ausnahmezustand.
Der Versuch, einen Benutzer aus einer Gruppe zu entfernen, zu der er nicht gehört, schlägt fehl.
Der Versuch, einen Benutzer zu einer Gruppe hinzuzufügen, zu der er bereits gehört, schlägt fehl.
Details zur erfolgreich/nicht erfolgreich aktualisierten Gruppenmitgliedschaft des Benutzers finden Sie in den Protokollen.
Ausnahmen Pro Bereitstellung und Gruppenmitgliedschaft sind optionale Eigenschaften dieses Workflow-Knotens. Administratoren können diese Eigenschaften so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerdefiniertes Objekt erstellen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro übernommen. Der Administrator hat das richtige Verzeichnis AD als „Ziel“ ausgewählt und kann die für ausgewählte Verzeichnisaufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der neue benutzerdefinierte Objektorchestrierungsknoten liest Attribute aus den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Es ist wichtig sicherzustellen, dass beim Erstellen des benutzerdefinierten Objektorchestrierungsknotens die Identitätszuordnung verwendet wird.

Benutzer erstellen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro übernommen. Administratoren wählen das richtige Verzeichnisziel aus und können die für ausgewählte Verzeichnisaufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Pro der Bereitstellungsaufgabe vorgenommen werden.

Der neue Benutzer-Orchestrierungsknoten liest Attribute aus den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Es ist wichtig sicherzustellen, dass die im Orchestrierungsknoten „Benutzer erstellen“ verwendete Identitätszuordnung mindestens zwei zusätzliche Active Directory Zuordnungen enthält: für die Attribute „ cn “ und „ sAMAccountName “. Fehlen diese beiden Zuordnungen in einer Konfiguration, wird sie nicht in der Dropdown-Liste angezeigt.

Erstellen neuer Benutzeraktivitätsnotizen:

Es gibt zwei Möglichkeiten, das Passwort für einen neuen Benutzer bei seiner ersten Anmeldung zu erstellen.
- Definieren Sie das „Standard“-Passwort in der Konfigurationsansicht der Pro
  - Dieses Passwort wird nur von Benutzern verwendet, wenn sie sich zum ersten Mal in das System einloggen
- Generieren Sie im Workflow ein zufälliges Kennwort und wählen Sie aus, in welches Attribut auf der Identity Mapping-Datenkarte es geschrieben wurde.
- In beiden Fällen wird der Wert „pwdLastSet“ für das erste Kennwort auf Null (0) gesetzt, um einen Benutzer zu zwingen, sein Kennwort nach der ersten Anmeldung zu ändern.
- Möglichkeit zur Auswahl, ob das Kennwort bei der ersten Anmeldung geändert werden muss oder nicht. Administratoren können dies direkt im Workflow-Orchestrierungsknoten „Benutzererstellung“ auswählen.
Es gibt verschiedene Möglichkeiten, das Passwort für die erste Anmeldung des Endbenutzers bereitzustellen. Je nach Kundenbedarf können Workflow-Funktionen genutzt werden, um das Passwort direkt per E-Mail oder SMS an den Endbenutzer zu senden. Alternativ kann das Passwort für die erste Anmeldung an den Manager gesendet werden, der es dem Endbenutzer bereitstellt. Der Orchestrierungsknoten von EPE selbst bietet diese Funktion NICHT an; sie muss an anderer Stelle definiert werden.
Die Konfiguration von „Ziel“ erfolgt in der Konfigurationsansicht der Bereitstellungsaufgabe. Beim Anlegen neuer Benutzer müssen Administratoren sicherstellen, dass nur eine LDAP-Benutzerbasis/ein LDAP-Benutzerfilter vorhanden ist, um Konflikte im Workflow zu vermeiden.
Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Gruppe erstellen

In der obigen Abbildung werden die Attributzuordnungen der Zugriffsrechte aus Pro übernommen. Administratoren wählen das richtige Active Directory -Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Zugriffsrechtezuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der neu erstellte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Es muss sichergestellt werden, dass die im Orchestrierungsknoten „Gruppe erstellen“ verwendete Zugriffsrechtezuordnung mindestens zwei zusätzliche Active Directory Zuordnungen enthält: für die Attribute „cn“ und „sAMAccountName“.

Benutzerdefiniertes Objekt löschen

In der obigen Abbildung definiert das Attribut „Objektname“, welches Objekt EPE löscht. In diesem Beispiel löscht EPE DN.

Gruppe löschen

In der obigen Abbildung können Administratoren das richtige Active Directory -Ziel auswählen. Der Orchestrierungsknoten „Gruppe löschen“ liest Attribute aus den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Bei Active Directory -basierten Konfigurationen sollte das „Rollengruppenattribut“ den DistinguishedName der Gruppe enthalten.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer löschen

In der obigen Abbildung können Administratoren das richtige Active Directory -Ziel auswählen. Der gelöschte Benutzerorchestrierungsknoten liest Attribute aus den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Bei Active Directory -basierten Konfigurationen sollte das „Personenattribut“ den DistinguishedName des Benutzers enthalten.

Pro Adressen verwalten

Es gibt drei verschiedene Möglichkeiten: Proxyadressen festlegen, aktualisieren und entfernen.

Festlegen : Der Administrator wählt ein Attribut in der Workflow-Benutzeroberfläche von ESM aus (kann ein ein- oder mehrwertiges Attribut sein). Anschließend kontaktiert der Workflow-Knoten AD , sucht das Benutzerkonto und legt den Wert in Proxy-Adressen fest (diese Aktion wird verwendet, um den Wert zum ersten Mal in Proxy-Adressen festzulegen – der vorherige Wert in AD ist null).

Update : Der Administrator wählt zwei Attribute in der Workflow-Benutzeroberfläche von ESM aus – eines für den AKTUELLEN Wert und das andere für den NEUEN Wert. Dann kontaktiert der Workflow-Knoten AD , sucht das Benutzerkonto und aktualisiert die vorhandenen Proxy-Adressen, sucht den AKTUELLEN Wert in der Liste und ändert dessen Präfix von SMTP: in SMTP: – und fügt den NEUEN Wert mit dem Präfix SMTP: hinzu (die anderen Werte verbleiben in den Proxy-Adressen).

Verwenden Sie bei der Aktualisierungsaktion Einzelwertattribute sowohl für die aktuelle Adresse als auch für die zu aktualisierende Adresse, etwa wie folgt:

Entfernen : Der Administrator wählt ein Attribut in der Workflow-Benutzeroberfläche von ESM aus (kann ein ein- oder mehrwertiges Attribut sein). Anschließend kontaktiert der Workflow-Knoten AD , sucht das Benutzerkonto und entfernt den Wert aus der Liste „ProxyAddresses“ (die anderen Werte verbleiben in „ProxyAddresses“).

Benutzerdaten lesen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro befüllt. Administratoren wählen das richtige Active Directory -Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Zuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Benutzerattribut entfernen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten zum Entfernen von Benutzerattributen liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. In der Eigenschaft „Zu entfernende(s) Attribut(e)“ kann der Administrator das Attribut definieren, das aus Active Directory entfernt werden soll. Geben Sie dem zu entfernenden Attribut einen Namen. Die Zeichenfolge kann Attribute mit mehreren Werten enthalten, z. B. „Stadt“, „Kostenstelle“, „Mobil“.

Benutzer aus Gruppe entfernen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten zum Entfernen von Benutzerattributen liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. In der Eigenschaft „Zu entfernende Attribute“ kann der Administrator das Attribut definieren, das aus Active Directory entfernt werden soll.

Benutzerkennwort zurücksetzen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten „Benutzerkennwort zurücksetzen“ liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Die Attribute „Person“ und „Kennwort“ sollten auf die Vorlage verweisen, in der der Orchestrierungsknoten die Benutzerdaten findet.

Der Benutzerkennwortwert „pwdLastSet“ ist auf Null (1) gesetzt, was bedeutet, dass ein Benutzer sein Kennwort bei der ersten Anmeldung nicht ändern muss. Ab EPE-Version 2022.3 haben wir die Möglichkeit implementiert, auszuwählen, ob das Kennwort bei der ersten Anmeldung geändert werden muss oder nicht. Administratoren können dies direkt im Workflow-Orchestrierungsknoten „Benutzerkennwort zurücksetzen“ auswählen.

Bereitstellungsaufgabe ausführen

Diese Aktivität wird verwendet, wenn alle Informationen aus dem Verzeichnis sofort zurück benötigt werden.

In der obigen Abbildung können Administratoren das richtige Verzeichnis „Ziel“ auswählen. Führen Sie den Bereitstellungstask-Orchestrierungsknoten aus, um Attribute aus Active Directory in IGA -Konten zu lesen.

Anforderungen für die EPE-Aufgabe „Ziel“ sind:

Die Aufgabe muss vom Typ „Planbare Aufgabe“ sein und darf nicht ereignisbasiert sein.
Die Vorlage des Workflows muss mit der Vorlage für die Identitätszuordnung identisch sein.
Die Aufgabe muss zu einem bestimmten Zeitpunkt geplant werden - es markiert eine Aufgabe, die dann "aktiviert" werden soll
Zuordnungen müssen eindeutig sein, keine doppelten Zuordnungen in der Aufgabe

In dieser Orchestrierungsansicht können Sie keine Zuordnungen ändern. Diese werden nur als visuelle Hilfe angezeigt. Wenn die Attributzuordnungen geändert werden müssen, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Benutzer entsperren

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der entsperrte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Es ist wichtig, bei den Konfigurationen zu berücksichtigen, dass das „Personenattribut“ den DistinguishedName des Benutzers enthalten sollte.

Benutzerdefiniertes Objekt aktualisieren

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Die benutzerdefinierte Objektklasse definiert, welches Objekt EPE aktualisiert, in diesem Beispiel „Kontakt“. Es liest Attribute aus den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Gruppe „Aktualisieren“

In der obigen Abbildung werden die Attributzuordnungen der Zugriffsrechte aus Pro ausgefüllt. Administratoren wählen das richtige Active Directory -Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Zugriffsrechtezuordnungen anzeigen.

In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern. Diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der Orchestrierungsknoten der Update-Gruppe liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Die Konfiguration von „Ziel“ erfolgt in der Konfigurationsansicht der Bereitstellungsaufgabe. Beim Aktualisieren von Gruppen müssen Administratoren sicherstellen, dass nur eine LDAP-Gruppenbasis/ein LDAP-Gruppenfilter vorhanden ist, um Konflikte im Workflow zu vermeiden.

Benutzer aktualisieren

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro befüllt. Administratoren wählen das richtige Active Directory Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Identitätszuordnungen anzeigen. Der Knoten „Benutzerorchestrierung aktualisieren“ liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Beachten Sie, dass die Aktualisierung des Benutzerkennworts bei dieser Orchestrierungsaktivität nicht unterstützt wird.

Die Konfiguration von „Ziel“ erfolgt in der Konfigurationsansicht der Bereitstellungsaufgabe. Für die Aktualisierung von Benutzern müssen Administratoren sicherstellen, dass nur eine LDAP-Benutzerbasis/ein LDAP-Benutzerfilter vorhanden ist, um Konflikte im Workflow zu vermeiden.

Wert des Benutzer-Distinguished Name aktualisieren

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten „Benutzer-Distinguished Name Value aktualisieren“ liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Im Feld „Aktueller Distinguished Name Value*“ muss der Administrator auswählen, aus welchem Attribut auf der angegebenen Vorlage/Datenkarte der „alte“ Name des AD Standorts gelesen wird. Das Feld „Neuer Distinguished Name Value*“ wählt das Attribut aus der angegebenen Vorlage/Datenkarte aus, das als Name des neuen AD -Standorts verwendet wird.

Mit dieser Aktivität können Administratoren beispielsweise die Aktualisierungsaktion auf das Attribut „Commonname“ beschränken, es ist jedoch erforderlich, den gesamten Distinguished-Wert anzugeben, Beispiel:

Aktueller Distinguished Name-Wert: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Neuer Distinguished Name-Wert: CN=DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

Gruppe überprüfen

In der obigen Abbildung werden die Attributzuordnungen für Zugriffsrechte aus den Pro ausgefüllt. Administratoren wählen das richtige Active Directory unter „Ziel“ aus und können sehen, welche Zugriffsrechtezuordnungen für die ausgewählte AD Aufgabe konfiguriert sind.

Im Admin-Bereich „Zugriffsrechtezuordnungen“ können Administratoren „WENN“-Ausdrücke eingeben, die eine LDAP-Abfrage erstellen, um zu überprüfen, ob die Gruppe existiert. Es können beliebig viele Attribute aus der Datenkarte ausgewählt werden, um die Eindeutigkeit einer Gruppe zu bestätigen. Bei einer Aktion werden diese Attribute aus der entsprechenden Datenkarte gelesen und gemäß der Active Directory Konfiguration „Ziel*“ mit den entsprechenden AD Attributen verglichen. Administratoren können durch Ändern des „WENN“-Ausdrucks auch „gleich“ oder „ungleich“ zum entsprechenden AD Attribut verwenden. Das Feld „Ergebnis speichern*“ definiert, wo die Ergebnisse der erfolgreichen LDAP-Abfrage gespeichert werden: „true“, wenn die Gruppe gefunden wurde, andernfalls „false“.

Administratoren haben die Möglichkeit, die Eigenschaft „OU-Unterbaum einschließen“ auf diesem Orchestrierungsknoten zu aktivieren, um zu überprüfen, ob die Gruppe im definierten Organisationseinheit-Unterbaum vorhanden ist. Wenn der Administrator diese Option nicht auswählt, überprüft der Orchestrierungsknoten nur die in der Konfiguration definierte Organisationseinheit.

Überprüfen der Gruppenmitgliedschaft

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro ausgefüllt. Administratoren wählen das richtige Active Directory unter „Ziel“ aus und können sehen, welche Identitätszuordnungen für die ausgewählte AD Aufgabe konfiguriert sind.

Das Feld „Ergebnis speichern*“ wird verwendet, um zu definieren, wo die erfolgreichen LDAP-Abfrageergebnisse gespeichert werden, „true“, wenn der Benutzer gefunden wurde, und andernfalls „false“.

Benutzer überprüfen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Active Directory unter „Ziel“ aus und können sehen, welche Identitätszuordnungen für die ausgewählte AD Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Im Administratorenbereich „Identitätszuordnungen“ können Administratoren „IF“-Ausdrücke eingeben, die eine LDAP-Abfrage zur Überprüfung der Benutzerexistenz erstellen. Es können beliebig viele Attribute aus der Personendatenkarte ausgewählt werden, um die Eindeutigkeit eines Benutzers zu bestätigen. Bei einer Aktion werden diese Attribute aus der betreffenden Datenkarte gelesen und gemäß der Active Directory Konfiguration „Ziel*“ mit den entsprechenden AD Attributen verglichen. Administratoren können durch Ändern des „IF“-Ausdrucks auch „gleich“ oder „ungleich“ zum entsprechenden AD Attribut verwenden. Das Feld „Ergebnis speichern*“ definiert, wo die Ergebnisse der erfolgreichen LDAP-Abfrage gespeichert werden: „true“, wenn der Benutzer gefunden wurde, andernfalls „false“.

Der entscheidende Punkt zum Verständnis der Funktionsweise dieses Knotens ist: Beim Bilden des IF-Ausdrucks muss der Administrator die Attribute der Vorlage verwenden. Tatsächlich werden die daraus gelesenen Werte jedoch gemäß der Identitätszuordnungskonfiguration in die richtigen Active Directory Attribute übersetzt (abgebildet) und als Suchabfrage an Active Directory übergeben.

Administratoren haben die Möglichkeit, die Eigenschaft „OU-Unterstruktur einschließen“ auf diesem Orchestrierungsknoten zu aktivieren, um zu überprüfen, ob der Benutzer in der definierten Organisationseinheit (Unterstruktur) vorhanden ist. Wenn der Administrator diese Option nicht auswählt, überprüft der Orchestrierungsknoten nur die in der Konfiguration definierte Organisationseinheit.

Pro Vision Bild

Benutzerfoto zum Verzeichnis Pro

Native Connectors (EPE) bietet die Möglichkeit, Benutzerfotos im Verzeichnis zu aktualisieren. Unterstützte Verzeichnisse sind Active Directory und Microsoft Entra ID (früher bekannt als Azure AD ).

Erstellen Sie eine neue ereignisbasierte Bereitstellung für die Workflow-Aktivität. Attributzuordnungen werden aus Pro ausgefüllt.

Die Attributzuordnung muss das Benutzerfotoattribut enthalten ( Fileupload- Attribut in ESM).
Für das AD und Azure AD Attribut lautet das thumbnailPhoto. Das im thumbnailPhoto-Attribut gespeicherte Foto darf nicht größer als 100 KB sein. Die empfohlene Größe beträgt 96 x 96 Pixel.
Erstellen Sie einen neuen Workflow-Orchestrierungsknoten mit der Aktivität „Benutzer aktualisieren“. Wählen Sie die gerade erstellte ereignisbasierte Epetask als Ziel aus.

Anweisungen zum Installieren von Zertifikaten

Es wird dringend empfohlen, den Kunden anzuweisen, einen Prozess zur Erneuerung der Zertifikate zu erstellen, bevor diese veralten und die Verbindung verloren geht. Dies bedeutet, dass sich die Endbenutzer des Kunden nicht bei Efecte Solutions anmelden können und/oder Daten aus AD nicht gelesen oder geschrieben werden können.

Anweisungen

Fehlerbehebung

In diesem Kapitel werden Möglichkeiten zur Fehlerbehebung beschrieben,

Falls eine Fehlervorlage verwendet wird, überprüfen Sie die korrekte Datenkarte
Überprüfen Sie den Verlauf geplanter Aufgaben über die Connector-Verwaltung
Überprüfen Sie die Protokolle Efecte Provisioning Engine

Contact Us

Microsoft Active Directory ( AD ) Connector

Contact Us

Serviceverwaltung

Identitätsverwaltung und -administration ( IGA )

Plattform

Versionshinweise für M42 Core & Pro , IGA , Conversational AI

Sonstiges Material

Leistungen

Microsoft Active Directory ( AD ) Connector

So integrieren Sie Microsoft Active Directory

Microsoft Active Directory Connector

Fair-Use-Richtlinie

Anweisungen für die Version 2024.2 und neuer

Allgemeine Funktionalitäten

Connectors - general functionalities

Allgemeine uid für geplante Aufgaben

Allgemeine uid für geplante Aufgaben

So erstellen Sie eine neue geplante Aufgabe zum Importieren von Daten

Zum Konfigurieren zeitplanbasierter Bereitstellungsaufgaben benötigen Sie Zugriff auf die Registerkarte „Administration/Konnektoren“.

Soll ich inkrementell, vollständig oder beides verwenden?

Importieren Sie keine Berechtigungen mit AD und LDAP-Inkrementalaufgaben

Empfehlungen:

Empfohlene Planungsreihenfolge

Die empfohlene Planungssequenz hängt davon ab, wie viele Daten aus dem System/Verzeichnis des Kunden in die Matrix42 Core , Pro oder IGA Lösung gelesen werden und ob der Import inkrementell oder vollständig erfolgt.

Setzen Sie den Status entfernter Konten und Berechtigungen auf „entfernt/deaktiviert“.

Für Version 2025.3 und neuer

Für Version 2025.2 und älter

Konfiguration

Beschreibung

Hinweise

Kundenanweisungen

Konfigurieren AD Connectors

Konfigurieren Sie die geplante Aufgabe zum Lesen von Daten

So erstellen Sie eine neue Aufgabe für die geplante Pro

Beachten

Beachten

Konfigurieren Sie die Ereignisaufgabe zum Schreiben von Daten

Authentifizierungsaufgabe konfigurieren

Option 1: Neue Authentifizierungsaufgabe aus Bereitstellungsaufgabe erstellen

Anweisungen für Version 2024.1 und ältere Versionen

Kundenanweisungen

Konfigurieren Sie geplante Aufgaben

So erstellen Sie eine neue Aufgabe für die geplante Pro

Ereignisbasierte Aufgabe konfigurieren

Authentifizierungsaufgabe konfigurieren

Beachten!

Workflow-Aktivitäten (Orchestrierungsknoten)

Benutzer aktivieren/deaktivieren

Benutzer zur Gruppe hinzufügen

Benutzerdefiniertes Objekt erstellen

Benutzer erstellen

Erstellen neuer Benutzeraktivitätsnotizen:

Gruppe erstellen

Benutzerdefiniertes Objekt löschen

Gruppe löschen

Benutzer löschen

Pro Adressen verwalten

Benutzerdaten lesen

Benutzerattribut entfernen

Benutzer aus Gruppe entfernen

Benutzerkennwort zurücksetzen

Bereitstellungsaufgabe ausführen

Benutzer entsperren

Benutzerdefiniertes Objekt aktualisieren

Gruppe „Aktualisieren“

Benutzer aktualisieren

Wert des Benutzer-Distinguished Name aktualisieren

Gruppe überprüfen

Überprüfen der Gruppenmitgliedschaft

Benutzer überprüfen

Pro Vision Bild

Benutzerfoto zum Verzeichnis Pro

Anweisungen zum Installieren von Zertifikaten

Fehlerbehebung

Related Articles