Benutzer erstellen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro übernommen. Administratoren wählen das richtige Verzeichnisziel aus und können die für ausgewählte Verzeichnisaufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Pro der Bereitstellungsaufgabe vorgenommen werden.

Der neue Benutzer-Orchestrierungsknoten liest Attribute aus den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Es ist wichtig sicherzustellen, dass die im Orchestrierungsknoten „Benutzer erstellen“ verwendete Identitätszuordnung mindestens zwei zusätzliche Active Directory Zuordnungen enthält: für die Attribute „ cn “ und „ sAMAccountName “. Fehlen diese beiden Zuordnungen in einer Konfiguration, wird sie nicht in der Dropdown-Liste angezeigt.

Der neue Benutzerorchestrierungsknoten liest Attribute aus den betreffenden Datenkarten und führt API Aufruf an Azure aus. Es ist wichtig sicherzustellen, dass die im Orchestrierungsknoten „Benutzer erstellen“ verwendete Identitätszuordnung mindestens drei zusätzliche Azure AD Zuordnungen enthält: für die Attribute „ displayName “, „ mailNickname“ und „ userPrincipalName “. Hinweis: Fehlen diese drei Zuordnungen in einer Konfiguration, wird sie nicht in der Dropdown-Liste angezeigt.

Erstellen neuer Benutzeraktivitätsnotizen:

• Es gibt zwei Möglichkeiten, das Passwort für einen neuen Benutzer bei seiner ersten Anmeldung zu erstellen.
  • Definieren Sie das „Standard“-Passwort in der Konfigurationsansicht der Pro .
    • Dieses Passwort wird nur von Benutzern verwendet, wenn sie sich zum ersten Mal in das System einloggen
  • Generieren Sie im Workflow ein zufälliges Kennwort und wählen Sie aus, in welches Attribut auf der Identity Mapping-Datenkarte es geschrieben wurde.
  • In beiden Fällen wird der Wert „pwdLastSet“ für das erste Kennwort auf Null (0) gesetzt, um einen Benutzer zu zwingen, sein Kennwort nach der ersten Anmeldung zu ändern.
  • Möglichkeit zur Auswahl, ob das Kennwort bei der ersten Anmeldung geändert werden muss oder nicht. Administratoren können dies direkt im Workflow-Orchestrierungsknoten „Benutzererstellung“ auswählen.
• Es gibt verschiedene Möglichkeiten, das Passwort für die erste Anmeldung des Endbenutzers bereitzustellen. Je nach Kundenbedarf können Workflow-Funktionen genutzt werden, um das Passwort direkt per E-Mail oder SMS an den Endbenutzer zu senden. Alternativ kann das Passwort für die erste Anmeldung an den Manager gesendet werden, der es dem Endbenutzer bereitstellt. Der Orchestrierungsknoten von EPE selbst bietet diese Funktion NICHT an; sie muss an anderer Stelle definiert werden.
• Die Konfiguration von „Ziel“ erfolgt in der Konfigurationsansicht der Bereitstellungsaufgabe. Beim Anlegen neuer Benutzer müssen Administratoren sicherstellen, dass nur eine LDAP-Benutzerbasis/ein LDAP-Benutzerfilter vorhanden ist, um Konflikte im Workflow zu vermeiden.
• Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer aktualisieren

In der obigen Abbildung werden die Identitätsattributzuordnungen aus Pro befüllt. Administratoren wählen das richtige Active Directory -Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden nur als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der Knoten zur Aktualisierung der Benutzerorchestrierung liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory oder API Aufruf an Azure AD aus.

Die Aktualisierung des Benutzerkennworts wird bei dieser Orchestrierungsaktivität nicht unterstützt.

Die Konfiguration von „Ziel“ erfolgt in der Konfigurationsansicht der Bereitstellungsaufgabe. Für die Aktualisierung von Benutzern müssen Administratoren sicherstellen, dass nur eine LDAP-Benutzerbasis/ein LDAP-Benutzerfilter vorhanden ist, um Konflikte im Workflow zu vermeiden.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer aktivieren/deaktivieren

In der obigen Abbildung wählen Administratoren das richtige Active Directory -Ziel und können die für ausgewählte AD Aufgaben konfigurierten Identitätszuordnungen einsehen. In dieser Orchestrierungsansicht können Administratoren keine Zuordnungen ändern; diese werden nur als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden. Innerhalb desselben Knotens können Administratoren die gewünschte Aktion „Aktivieren“ oder „Deaktivieren“ auswählen.

Benutzer überprüfen

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Active Directory unter „ Ziel “ aus und können sehen, welche Identitätszuordnungen für die ausgewählte AD Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese dienen nur als visuelle Hilfe. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Im Administratorenbereich „Identitätszuordnungen“ können Administratoren „IF“-Ausdrücke eingeben, die eine LDAP-Abfrage zur Überprüfung der Benutzerexistenz erstellen. Es können beliebig viele Attribute aus der Personendatenkarte ausgewählt werden, um die Eindeutigkeit eines Benutzers zu bestätigen. Bei einer Aktion werden diese Attribute aus der betreffenden Datenkarte gelesen und gemäß der Active Directory Konfiguration „Ziel*“ mit den entsprechenden AD Attributen verglichen. Administratoren können durch Ändern des „IF“-Ausdrucks auch „gleich“ oder „ungleich“ zum entsprechenden AD Attribut verwenden. Das Feld „ Ergebnis speichern* “ definiert, wo die Ergebnisse der erfolgreichen LDAP-Abfrage gespeichert werden: „true“, wenn der Benutzer gefunden wurde, andernfalls „false“.

Der entscheidende Punkt zum Verständnis der Funktionsweise dieses Knotens ist: Beim Bilden des IF-Ausdrucks muss der Administrator die Attribute der Vorlage verwenden. Tatsächlich werden die daraus gelesenen Werte jedoch gemäß der Identitätszuordnungskonfiguration in die richtigen Active Directory Attribute übersetzt (abgebildet) und als Suchabfrage an Active Directory übergeben.

Administratoren haben die Möglichkeit, die Eigenschaft „OU-Unterstruktur einschließen“ auf diesem Orchestrierungsknoten zu aktivieren, um zu überprüfen, ob der Benutzer in der definierten Organisationseinheit (Unterstruktur) vorhanden ist. Wenn der Administrator diese Option nicht auswählt, überprüft der Orchestrierungsknoten nur die in der Konfiguration definierte Organisationseinheit.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Wie lese ich Benutzerdaten mit Workflow aus einem Verzeichnis?

Seit 2022.2 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „ Benutzerdaten lesen “ ein. Unterstützte Verzeichnisse sind Active Directory, Azure AD , OpenLDAP und IBM. Informationen können hinter Referenzen aktualisiert werden, z. B. können IGA Kontodaten aus dem Identitätsspeicher aktualisiert werden.

1. Erstellen Sie eine neue ereignisbasierte Bereitstellung für die Workflow-Aktivität. Attributzuordnungen werden aus Pro ausgefüllt. Attributzuordnungen müssen eindeutig sein.
   
   
   
2. Erstellen Sie einen neuen Workflow-Orchestrierungsknoten mit der Aktivität „Benutzerdaten lesen“ . Wählen Sie die soeben erstellte ereignisbasierte Epetask als Ziel aus. Fügen Sie ein eindeutiges Personenattribut hinzu, das zum Aktualisieren der richtigen Kontoinformationen vom Verzeichnis ins ESM verwendet wird.
   
   

Benutzer entsperren

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der entsperrte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Es ist wichtig, bei den Konfigurationen zu berücksichtigen, dass das „Personenattribut“ den DistinguishedName des Benutzers enthalten sollte.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzer löschen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der gelöschte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Bei Active Directory -basierten Konfigurationen sollte das „Personenattribut“ den DistinguishedName des Benutzers enthalten.

Bei Azure Active Directory -basierten Konfigurationen sollte das „Personenattribut“ ObjectGUID Wert des Benutzers enthalten.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerattribut entfernen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten zum Entfernen von Benutzerattributen liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. In der Eigenschaft „Zu entfernende(s) Attribut(e)“ kann der Administrator das Attribut definieren, das aus Active Directory entfernt werden soll. Geben Sie dem zu entfernenden Attribut einen Namen. Die Zeichenfolge kann Attribute mit mehreren Werten enthalten, z. B. „Stadt“, „Kostenstelle“, „Mobil“.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Wert des Benutzer-Distinguished Name aktualisieren

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten „Benutzer-Distinguished Name Value aktualisieren“ liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Im Feld „Aktueller Distinguished Name Value*“ muss der Administrator auswählen, aus welchem Attribut auf der angegebenen Vorlage/Datenkarte der „alte“ Name des AD Standorts gelesen wird. Das Feld „Neuer Distinguished Name Value*“ wählt das Attribut aus der angegebenen Vorlage/Datenkarte aus, das als Name des neuen AD -Standorts verwendet wird.

Mit dieser Aktivität können Administratoren beispielsweise die Aktualisierungsaktion auf das Attribut „Commonname“ beschränken, es ist jedoch erforderlich, den gesamten Distinguished-Wert anzugeben, Beispiel:

Aktueller Distinguished Name-Wert: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Neuer Distinguished Name-Wert: CN=DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Benutzerkennwort zurücksetzen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten „Benutzerkennwort zurücksetzen“ liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus. Die Attribute „Person“ und „Kennwort“ sollten auf die Vorlage verweisen, in der der Orchestrierungsknoten die Benutzerdaten findet.

Der Benutzerkennwortwert „pwdLastSet“ ist auf Null (1) gesetzt, was bedeutet, dass ein Benutzer sein Kennwort bei der ersten Anmeldung nicht ändern muss. Ab EPE-Version 2022.3 haben wir die Möglichkeit implementiert, auszuwählen, ob das Kennwort bei der ersten Anmeldung geändert werden muss oder nicht. Administratoren können dies direkt im Workflow-Orchestrierungsknoten „Benutzerkennwort zurücksetzen“ auswählen.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Wie erstelle ich benutzerdefinierte Objekte mit EPE?

Seit 2022.2 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdefiniertes Objekt erstellen“ ein. Beispielsweise können jetzt Geräte, Kontakte und Anwendungen mit EPE in Richtung Verzeichnis ( AD , Azure und OpenLDAP ) erstellt werden.

[LDAP: Fehler Code 16 - 00000057: LDAP-Fehler: DSID-0C0910DA, Kommentar: Fehler In Attribut Konvertierung Betrieb, Daten 0, v4563]

Wie aktualisiere ich benutzerdefinierte Objekte mit EPE?

Seit 2023.1 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdefiniertes Objekt aktualisieren“ ein. Beispielsweise können Geräte, Kontakte und Anwendungen jetzt mit EPE in Richtung Verzeichnis ( AD und Azure ) aktualisiert werden.

Wie lösche ich benutzerdefinierte Objekte mit EPE?

Seit 2023.1 führt Efecte Provisioning Engine (EPE) die neue Workflow-Aktivität „Benutzerdefiniertes Objekt löschen“ ein. Beispielsweise können Geräte, Kontakte und Anwendungen jetzt mit EPE in Richtung Verzeichnis ( AD und Azure ) gelöscht werden.

Schritt-für-Schritt-Anleitung

Benutzer zur Gruppe hinzufügen

In der obigen Abbildung sollte die Konfiguration des Personenattributs auf die Vorlage verweisen, in der der Orchestrierungsknoten die Benutzerdaten findet (normalerweise IGA Konto). Das Rollenattribut muss konfiguriert werden, um zu definieren, wo der Orchestrierungsknoten die verfügbaren Rollen findet (Verzeichnisgruppen, aus denen der Benutzer entfernt werden soll). In einem Rollenattribut können eine oder mehrere Attributgruppen konfiguriert sein. Die Liste der verfügbaren registrierten Verzeichnisaufgaben wird vom EPE-Master abgerufen.

Es ist erforderlich, die Verzeichnisaufgabe auszuwählen, da der Orchestrierungsknoten Efecte Provisioning Engine die Zuordnung der Felder für Identität und Zugriffsrechte verwendet, um zu wissen, unter welchem Attributcode die eindeutigen Namen des Benutzers und der Verzeichnisgruppe gespeichert sind.

Ausnahmebehandlung:

• Das Ergebnis eines Knotens befindet sich nur dann im Status „Abgeschlossen“, wenn alle Gruppenmitgliedschaften des Benutzers erfolgreich aktualisiert wurden. Wenn der Benutzer beispielsweise erfolgreich aus fünf von sechs Gruppen entfernt wird, befindet sich das Ergebnis eines Knotens im Status „Ausnahme“.
• Daher ist die Zuordnung für das JSON-Feld „distinguishedName“ sowohl für die Identität als auch für das Zugriffsrecht erforderlich. Wenn keine Zuordnung gefunden wird, führt der Orchestrierungsknoten zu einem Ausnahmezustand.
• Der Versuch, einen Benutzer aus einer Gruppe zu entfernen, zu der er nicht gehört, schlägt fehl.
• Der Versuch, einen Benutzer zu einer Gruppe hinzuzufügen, zu der er bereits gehört, schlägt fehl.
• Details zur erfolgreich/nicht erfolgreich aktualisierten Gruppenmitgliedschaft des Benutzers finden Sie in den Protokollen.
• Ausnahmen Pro Bereitstellung und Gruppenmitgliedschaft sind optionale Eigenschaften dieses Workflow-Knotens. Administratoren können diese Eigenschaften so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Wie konfiguriere ich EPE, um OU von der Datenkarte zu verwenden?

Die ereignisbasierte Bereitstellungsaufgabe von EPE bietet die Möglichkeit zu wählen, ob Informationen der Organisationseinheit (OU-Pfad), z. B. die Erstellung neuer Benutzer, in der Bereitstellungsaufgabe definiert oder von der ESM-Datenkarte gelesen werden. Diese Funktion reduziert die Anzahl der erforderlichen ereignisbasierten Bereitstellungsaufgaben. In manchen Fällen erstellen Kunden neue Benutzer für mehrere OU-Pfade. Bei diesem Ansatz verwenden wir eine Bereitstellungsaufgabe und lesen einen Teil der benötigten Informationen von der Datenkarte.

1. Gehen Sie zur ESM-Admin-Seite und wählen Sie die Registerkarte IGA .
   
   
2. Wählen Sie „Ereignisbasierte Bereitstellungen“ und die erforderliche Aufgabe aus.
   
   
3. Setzen Sie LDAP userBase / LDAP userfilter oder/und LDAP groupBase / LDAP groupfilter auf „OU-Pfad von der Datenkarte lesen“.
   
   
   
4. Wenn die Konfiguration der Bereitstellungsaufgabe auf „OU-Pfad von der Datenkarte lesen“ eingestellt wurde, zeigen Ihnen die Orchestrierungsaktivitäten eine zusätzliche Eigenschaft (LDAP-Gruppen-/Benutzerbasis), in der Sie das Attribut definieren können, aus dem diese Informationen gelesen werden können.
   
   

Gruppe erstellen

In der obigen Abbildung werden die Attributzuordnungen der Zugriffsrechte aus Pro übernommen. Administratoren wählen das richtige Active Directory -Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Zugriffsrechtezuordnungen einsehen. In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern; diese werden als visuelle Hilfe dargestellt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der neu erstellte Benutzerorchestrierungsknoten liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory aus.

Es ist wichtig sicherzustellen, dass die im Orchestrierungsknoten „Gruppe erstellen“ verwendete Zuordnung von Zugriffsrechten Folgendes enthält:

• mindestens vier zusätzliche Azure AD Zuordnungen: für die Attribute „displayName“, „mailEnabled“, „mailNickname“ und „securityEnabled“.
• mindestens zwei zusätzliche Active Directory Zuordnungen: für die Attribute „cn“ und „sAMAccountName“.
  
  

Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Provisionierungsaktionen Ausnahmen auftreten.

Gruppe „Aktualisieren“

In der obigen Abbildung werden die Attributzuordnungen für Zugriffsrechte aus Pro ausgefüllt. Administratoren wählen das richtige Active Directory -Ziel aus und können die für ausgewählte AD Aufgaben konfigurierten Zugriffsrechtezuordnungen anzeigen.

In dieser Orchestrierungsansicht dürfen Administratoren keine Zuordnungen ändern. Diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Zuordnungen erforderlich sein, müssen diese in der Konfigurationsansicht der Pro vorgenommen werden.

Der Orchestrierungsknoten der Update-Gruppe liest Attribute von den betreffenden Datenkarten und führt einen LDAP-Befehl an Active Directory oder API Aufruf an Azure aus.

Die Konfiguration von „Ziel“ erfolgt in der Konfigurationsansicht der Bereitstellungsaufgabe. Für die Aktualisierung von Gruppen müssen Administratoren sicherstellen, dass nur eine LDAP-Gruppenbasis/ein LDAP-Gruppenfilter vorhanden ist, um Konflikte im Workflow zu vermeiden.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Gruppe löschen

In der obigen Abbildung können Administratoren das richtige Active Directory Ziel auswählen. Der Orchestrierungsknoten zum Löschen der Gruppe liest Attribute von den betreffenden Datenkarten und führt den LDAP-Befehl an Active Directory aus.

Bei Active Directory -basierten Konfigurationen sollte das „Rollengruppenattribut“ den DistinguishedName der Gruppe enthalten.

Bei Azure Active Directory -basierten Konfigurationen sollte das „Rollengruppenattribut“ ObjectGUID der Gruppe enthalten.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Gruppe überprüfen

In der obigen Abbildung werden die Attributzuordnungen der Zugriffsrechte aus den Pro übernommen. Administratoren wählen das richtige Active Directory unter „Ziel“ aus und können sehen, welche Zugriffsrechtezuordnungen für die ausgewählte AD Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese werden nur als visuelle Hilfe angezeigt. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Im Admin-Bereich „Zugriffsrechtezuordnungen“ können Administratoren „WENN“-Ausdrücke eingeben, die eine LDAP-Abfrage erstellen, um zu überprüfen, ob die Gruppe existiert. Es können beliebig viele Attribute aus der Datenkarte ausgewählt werden, um die Eindeutigkeit einer Gruppe zu bestätigen. Bei einer Aktion werden diese Attribute aus der entsprechenden Datenkarte gelesen und gemäß der Active Directory Konfiguration „Ziel*“ mit den entsprechenden AD Attributen verglichen. Administratoren können durch Ändern des „WENN“-Ausdrucks auch „gleich“ oder „ungleich“ zum entsprechenden AD Attribut verwenden. Das Feld „Ergebnis speichern*“ definiert, wo die Ergebnisse der erfolgreichen LDAP-Abfrage gespeichert werden: „true“, wenn die Gruppe gefunden wurde, andernfalls „false“.

Administratoren haben die Möglichkeit, die Eigenschaft „OU-Unterbaum einschließen“ auf diesem Orchestrierungsknoten zu aktivieren, um zu überprüfen, ob die Gruppe im definierten Organisationseinheit-Unterbaum vorhanden ist. Wenn der Administrator diese Option nicht auswählt, überprüft der Orchestrierungsknoten nur die in der Konfiguration definierte Organisationseinheit.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.

Überprüfen der Gruppenmitgliedschaft

In der obigen Abbildung werden die Identitätsattributzuordnungen aus den Pro übernommen. Administratoren wählen das richtige Active Directory unter „ Ziel “ aus und können sehen, welche Identitätszuordnungen für die ausgewählte AD Aufgabe konfiguriert sind. In dieser Orchestrierungsansicht können keine Zuordnungen geändert werden; diese dienen nur als visuelle Hilfe. Sollten Änderungen an den Attributzuordnungen erforderlich sein, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Das Feld „ Ergebnis speichern* “ wird verwendet, um zu definieren, wo die erfolgreichen LDAP-Abfrageergebnisse gespeichert werden, „true“, wenn der Benutzer gefunden wurde, und andernfalls „false“.

Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Provisionierungsaktionen Ausnahmen auftreten.

Lokalen Benutzer erstellen (in ESM)

In der obigen Abbildung stammen die Zuordnungen aus der Zielvorlage. Hierfür ist keine separate EPE-Aufgabe erforderlich. Der neue lokale Benutzerorchestrierungsknoten liest Attribute von der betreffenden Datenkarte und führt den Befehl an ESM aus.

Das ESM-Sicherheitsprotokoll protokolliert die folgenden Ereignisse dieses Knotens:

• Erfolgreiche UND fehlgeschlagene Änderungen an den „Sicherheitseinstellungen“ des Benutzers
  • Änderungen auf Benutzerebene
  • Passwort
  • Benutzername
• Änderungen der Benutzerberechtigungen
  • Benutzer, dem eine Rolle zugewiesen wurde
• Erstellen eines Benutzers

Aktualisieren Sie das lokale Benutzerkennwort (von ESM)

In der obigen Abbildung stammen die Mappings aus der Zielvorlage, hierfür ist keine separate EPE-Aufgabe erforderlich. Der aktualisierende lokale Benutzerorchestrierungsknoten liest Attribute von der betreffenden Datenkarte und führt den Befehl an ESM aus. ESM Security.log protokolliert die Ereignisse dieses Knotens. Hinweis! Die Kennwortaktualisierung des Root-Benutzers ist nicht zulässig.

Lokalen Benutzernamen aktualisieren (von ESM)

In der obigen Abbildung stammen die Mappings aus der Zielvorlage. Hierfür ist keine separate EPE-Aufgabe erforderlich. Der aktualisierende lokale Benutzerorchestrierungsknoten liest Attribute von der betreffenden Datenkarte und führt den Befehl an ESM aus. ESM Security.log protokolliert die Ereignisse dieses Knotens. Hinweis! Die Aktualisierung des Benutzernamens des Root-Benutzers ist nicht zulässig.

Lokalen Benutzer löschen (aus ESM)

In der obigen Abbildung stammen die Zuordnungen aus der Zielvorlage. Hierfür ist keine separate EPE-Aufgabe erforderlich. Der lokale Benutzer-Orchestrierungsknoten zum Löschen liest Attribute von der betreffenden Datenkarte und führt den Befehl an ESM aus. ESM Security.log protokolliert die Ereignisse dieses Knotens. Hinweis! Der Root-Benutzer kann mit diesem Knoten nicht gelöscht werden.

Pro Adressen verwalten

Es gibt drei verschiedene Möglichkeiten: Proxyadressen festlegen, aktualisieren und entfernen.

• Festlegen : Der Administrator wählt ein Attribut in der Workflow-Benutzeroberfläche von ESM aus (kann ein ein- oder mehrwertiges Attribut sein). Anschließend kontaktiert der Workflow-Knoten AD , sucht das Benutzerkonto und legt den Wert in Proxy-Adressen fest (diese Aktion wird verwendet, um den Wert zum ersten Mal in Proxy-Adressen festzulegen – der vorherige Wert in AD ist null).
  
  
• Update : Der Administrator wählt zwei Attribute in der Workflow-Benutzeroberfläche von ESM aus – eines für den AKTUELLEN Wert und das andere für den NEUEN Wert. Dann kontaktiert der Workflow-Knoten AD , sucht das Benutzerkonto und aktualisiert die vorhandenen Proxy-Adressen, sucht den AKTUELLEN Wert in der Liste und ändert dessen Präfix von SMTP: in SMTP: – und fügt den NEUEN Wert mit dem Präfix SMTP: hinzu (die anderen Werte verbleiben in den Proxy-Adressen).
  
  
• Entfernen : Der Administrator wählt ein Attribut in der Workflow-Benutzeroberfläche von ESM aus (kann ein ein- oder mehrwertiges Attribut sein). Anschließend kontaktiert der Workflow-Knoten AD , sucht das Benutzerkonto und entfernt den Wert aus der Liste „ProxyAddresses“ (die anderen Werte verbleiben in „ProxyAddresses“).

Bereitstellungsaufgabe ausführen

Diese Aktivität wird verwendet, wenn alle Informationen aus dem Verzeichnis sofort zurück benötigt werden. Unterstützte Verzeichnisse sind Active Directory, Azure AD , OpenLDAP und IBM.

In der obigen Abbildung können Administratoren das richtige Verzeichnis „Ziel“ auswählen. Führen Sie den Bereitstellungstask-Orchestrierungsknoten aus, um Attribute aus Active Directory in IGA -Konten zu lesen.

Anforderungen für die „ Ziel “-EPE-Aufgabe sind:

• Die Aufgabe muss vom Typ „Planbare Aufgabe“ sein und darf nicht ereignisbasiert sein.
• Die Vorlage des Workflows muss mit der Vorlage für die Identitätszuordnung identisch sein.
• Die Aufgabe muss zu einem bestimmten Zeitpunkt geplant werden - es markiert eine Aufgabe, die dann "aktiviert" werden soll
• Zuordnungen müssen eindeutig sein, keine doppelten Zuordnungen in der Aufgabe
  
  

In dieser Orchestrierungsansicht können Sie keine Zuordnungen ändern. Diese werden nur als visuelle Hilfe angezeigt. Wenn die Attributzuordnungen geändert werden müssen, müssen diese Attribute in der Konfigurationsansicht der Bereitstellungsaufgabe definiert werden, damit sie im Orchestrierungsknoten geändert werden können.

Die Pro ist eine optionale Eigenschaft dieses Workflowknotens. Administratoren können diese Eigenschaft so konfigurieren, dass Ausnahmen geschrieben werden können, wenn während der Bereitstellungsaktionen Ausnahmen auftreten.