US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

Finnish
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Identiteetin hallinta ja ylläpito ( IGA )
  • IGA ratkaisukirjasto
  • Ohjeet ja uid
  • Yhdistimien määrittäminen

Yhdistimen työnkulun aktiviteetit

EPE-työnkulku

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Palvelunhallinta
    Matrix42 Professional -ratkaisu Matrix42 Core ydinratkaisu Yrityspalveluiden hallinta Matrix42 älykkyys
  • Identiteetin hallinta ja ylläpito ( IGA )
    IGA yleiskatsaus IGA ratkaisukirjasto
  • Alusta
    ESM ESS2 ESS Efecte Chat palvelunhallintaan Efecte-integraatiot Lisäosat
  • M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Julkaisutiedot ja käytännöt
  • Muu materiaali
    Käyttöehdot ja dokumentaatio- uid Saavutettavuusselosteet
  • Palvelut
+ More
    • Palvelunhallinta

    • Identiteetin hallinta ja ylläpito ( IGA )

    • Alusta

    • M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly

    • Muu materiaali

    • Palvelut

Yhdistimen työnkulun aktiviteetit

EPE-työnkulku

Efecte Provisioning Engine (EPE) tarjoaa mahdollisuudet seuraavien toimintojen organisointiin.

Lähde

Toiminta

AD Azure AD OpenLDAP Jira IBM LDAP Paikallinen ESM 389-LDAP Efecte ESM Mukautettu taustajärjestelmä FreeIPA / SCIM
Aktivoi/deaktivoi käyttäjä

x

x

x

x

Lisää käyttäjä ryhmään

x

x

x

x

x

x

Luo käyttäjä

x

x

x

x

x

x

x

Luo ryhmä

x

x

x

x

x

x

Poista ryhmä

x

x

x

x

x

x

Poista käyttäjä

x

x

x

x

x

x

x

Hallinnoi Pro xyAddresseja

x

Poista käyttäjäattribuutti

x

x

x

x

Poista käyttäjä ryhmästä

x

x

x

x

x

x

Palauta käyttäjän salasana

x

x

x

x

Avaa käyttäjä

x

x

x

Päivitä ryhmä

x

x

x

x

x

Päivitä käyttäjä

x

x

x

x

x

x

Päivitä käyttäjän erottuvan nimen arvo

x

x

x

x

Vahvista ryhmä

x

x

x

x

x

Vahvista ryhmän jäsenyys

x

x

x

x

x

Vahvista käyttäjä

x

x

x

x

x

Luo mukautettu objekti

x

x

x

x

x

Päivitä mukautettu objekti

x

x

x

x

x

Poista mukautettu objekti

x

x

x

x

x

Lue käyttäjätiedot

x

x

x

x

x

Suorita valmistelutehtävä

x

x

x

x

x

x

Luo Jira-tuki

x

Luo datakortteja

x

Poista datakortit

x

Suorita mukautettu taustajärjestelmätehtävä

x

Löydät tarkemmat määritysohjeet alta.

Hakemiston käyttäjien aktiviteetit

Määritä: EPE Luo käyttäjä

Luo käyttäjä


Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean kohdehakemiston ja voivat tarkastella valituille hakemistotehtäville määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne esitetään visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Uuden käyttäjän luontisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . On tärkeää varmistaa, että käyttäjän luontisolmussa käytettävä identiteettimääritys sisältää vähintään kaksi muuta Active Directory -määritystä: attribuuteille " cn " ja " sAMAccountName ". Jos nämä kaksi määritystä puuttuvat tietystä kokoonpanosta, sitä ei näytetä avattavassa valikossa.

Uuden käyttäjän luontisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa API kutsunsa Azure . On tärkeää varmistaa, että Create User -orkestrointisolmussa käytettävä identiteettikartoitus sisältää vähintään kolme muuta Azure AD -kartoitusta: attribuuteille ” displayName ”, ” mailNickname” ja ” userPrincipalName ”. Huomautus: jos nämä kolme kartoitusta puuttuvat tietystä kokoonpanosta, sitä ei näytetä avattavassa valikossa.

Uusien käyttäjäaktiviteettimuistiinpanojen luominen:

  • Uuden käyttäjän salasanan luomiseen ensimmäistä kirjautumista varten on kaksi tapaa.
    • Määritä oletussalasana Pro Task -määritysnäkymässä
      • Käyttäjät käyttävät tätä salasanaa vain, kun he kirjautuvat järjestelmään ensimmäistä kertaa.
    • Satunnaisen salasanan luominen työnkulussa ja sen valitseminen, mihin identiteettikartoituksen datakortin attribuuttiin se kirjoitettiin
    • Molemmissa tapauksissa ensimmäisellä kerralla salasanaksi ”pwdLastSet” asetetaan nolla (0), jotta käyttäjän on pakko vaihtaa salasanansa ensimmäisen kirjautumisen jälkeen.
    • Mahdollisuus valita, onko salasana vaihdettava ensimmäisen kirjautumisen yhteydessä vai ei. Järjestelmänvalvojat voivat tehdä tämän valinnan suoraan työnkulun käyttäjäluonnin orkestrointisolmussa.
  • Loppukäyttäjälle voidaan antaa ensimmäisen kirjautumisen salasana eri tavoilla. Asiakkaan tarpeista riippuen on mahdollista käyttää työnkulun toimintoja salasanan lähettämiseen suoraan loppukäyttäjälle sähköpostitse tai tekstiviestitse. Toinen vaihtoehto on lähettää ensimmäisen kirjautumisen salasana esimiehelle, joka toimittaa sen loppukäyttäjälle. EPE:n orkestrointisolmu itsessään EI tarjoa tätä toimintoa, se on määriteltävä muualla.
  • ”Kohteen” määritys tehdään valmistelutehtävien määritysnäkymässä. Uusia käyttäjiä luotaessa järjestelmänvalvojien on varmistettava, että LDAP-käyttäjätietoja/LDAP-käyttäjäsuodatinta on vain yksi, jotta vältetään ristiriidat työnkulussa.
  • Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.



Määritä: EPE-käyttäjän päivitys

Päivitä käyttäjä


Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty valmistelutehtävistä. Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella valituille AD -tehtäville määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne näytetään vain Pro apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Päivityksen käyttäjän orkestrointisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory tai API kutsu Azure AD hen.

Käyttäjän salasanan päivitystä ei tueta tässä orkestrointitoiminnassa.

”Kohteen” määritys tehdään provisiointitehtävien määritysnäkymässä. Käyttäjien päivittämiseksi järjestelmänvalvojien on varmistettava, että LDAP-käyttäjätietoja/LDAP-käyttäjäsuodatinta on vain yksi, jotta vältetään ristiriidat työnkulussa.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.


Määritä: EPE Aktivoi käyttäjä / Deaktivoi käyttäjä

Aktivoi / deaktivoi käyttäjä


Yllä olevassa kuvassa järjestelmänvalvojat valitsevat oikean Active Directory ”kohteen” ja voivat tarkastella valituille AD tehtäville määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä. Samassa solmussa järjestelmänvalvojat voivat valita haluamansa toiminnon: ”Aktivoi” tai ”Poista käytöstä”.


Poistaa

Käyttäjätilien hallinta

Active Directory : 'Aktivointi/deaktivointi'-toiminto viittaa tässä Active Directory -attribuutin 'useraccountcontrol'-arvoksi asettamiseen '512/514' (Ota käyttöön/Pois käytöstä)

Azure Active Directory : Aktivoi/Poista käytöstä -toiminto viittaa tässä 'accountEnabled'-arvon asettamiseen arvoon true, jos tili on käytössä; muussa tapauksessa arvoon false.

Poistaa

Pro

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE-varmenna käyttäjä

Vahvista käyttäjä

Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory " Kohde "-kohdasta ja voivat tarkastella valitulle AD tehtävälle määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä et voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määritteiden määrityksiä on tarpeen muuttaa, kyseiset määritteet on määritettävä valmistelutehtävän määritysnäkymässä, jotta niitä voidaan muuttaa orkestrointisolmussa.

Identiteettimääritykset -ylläpitäjäpaneelissa ylläpitäjät voivat antaa "JOS"-lausekkeen, joka muodostaa LDAP-kyselyn käyttäjän olemassaolon varmistamiseksi. Henkilötietokortista voi valita niin monta attribuuttia kuin on tarpeen käyttäjän yksilöllisyyden vahvistamiseksi. Kun toiminto suoritetaan, nämä attribuutit luetaan kyseisestä tietokortista ja niitä verrataan asianmukaisiin AD attribuutteihin Active Directory -hakemiston "Kohde*"-määrityksen mukaisesti. Ylläpitäjät voivat myös valita vastaavan AD -attribuutin asetukseksi "yhtä suuri kuin" tai "ei yhtä suuri kuin" muuttamalla "JOS"-lauseketta. " Tallenna tulos* " -kenttää käytetään määrittämään, minne onnistuneet LDAP-kyselytulokset tallennetaan, "tosi", jos käyttäjä löytyi, ja "epätosi" muuten.

Tämän solmun mekaniikan ymmärtämisen kannalta olennaista on, että IF-lauseketta muodostettaessa ylläpitäjän on käytettävä Template-mallin attribuutteja, mutta itse asiassa niistä luetut arvot muunnetaan (mapataan) oikeiksi Active Directory -attribuuteiksi identiteettikartoituksen kokoonpanon mukaisesti ja välitetään Active Directory hakukyselynä.

Ylläpitäjillä on mahdollisuus tarkistaa tämän orkestrointisolmun Sisällytä OU-alipuu -ominaisuus varmistaakseen, onko käyttäjä olemassa määritetyssä Organisaatioyksikkö-alipuussa. Jos järjestelmänvalvoja ei valitse tätä vaihtoehtoa, orkestrointisolmu tarkistaa vain määrityksissä määritetyn OU:n.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE lukee käyttäjän data-aktiivisuuden

Kuinka lukea käyttäjän tietoja hakemistosta työnkulun avulla?

Vuodesta 2022.2 lähtien Efecte Provisioning Engine (EPE) on ottanut käyttöön uuden työnkulkutoiminnon " Lue käyttäjän tiedot ". Tuettuja hakemistoja ovat Active Directory, Azure AD , OpenLDAP ja IBM. Tietoja voidaan päivittää viitteen perusteella, esimerkiksi IGA -tilin tiedot voidaan päivittää Identity Storagesta.


  1. Luo uusi tapahtumapohjainen valmistelu työnkulkuaktiviteetille. Määritemääritykset täytetään Pro . Määritemääritysten on oltava yksilöllisiä.


  2. Luo uusi työnkulun orkestrointisolmu aktiviteetilla Lue käyttäjän tiedot . Valitse juuri luotu tapahtumapohjainen epetask kohteeksi. Lisää yksilöivä henkilöattribuutti, jota käytetään oikeiden tilitietojen päivittämiseen hakemistosta ESM:ään.



Määritä: EPE Käyttäjän lukituksen avaaminen

Avaa käyttäjä

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjäorkestrointisolmun lukituksen avaaminen lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Konfiguraatioissa on tärkeää ottaa huomioon, että 'Person Attribute' -kohdan tulee sisältää käyttäjän distinguishedName-nimi.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE Poista käyttäjä

Poista käyttäjä


Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjän poisto-orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Active Directory -pohjaisissa kokoonpanoissa 'Person Attribute' -kohdan tulisi sisältää käyttäjän distinguishedName-nimi.

Azure Active Directory -pohjaisissa kokoonpanoissa 'Person Attribute' -kohdan tulee sisältää käyttäjän ObjectGUID -arvo.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE Poista käyttäjäattribuutti

Poista käyttäjäattribuutti


Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjäattribuutin poisto-orkestrointisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . Ominaisuudessa ”Poistettavat attribuutti(t)” järjestelmänvalvoja voi määrittää attribuutin, joka poistetaan Active Directory . NIMItä poistettava kohde. Merkkijono voi sisältää useita arvoja sisältäviä attribuutteja, kuten ”Kaupunki, Kustannuspaikka, Matkapuhelin”.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE:n päivitys Käyttäjän erottuvan nimen arvo

Päivitä käyttäjän erottuvan nimen arvo

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Päivitä käyttäjän erottuvan nimen arvo -orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Kentässä ”Nykyinen erottuvan nimen arvo*” ylläpitäjän on valittava, mistä annetun mallin/tietokortin attribuutista AD -sijainnin 'vanha' nimi luetaan. Kenttä ”Uusi erottuvan nimen arvo*” valitsee annetun mallin/tietokortin attribuutin, jota käytetään uuden AD sijainnin nimenä.

Tämän aktiviteetin avulla ylläpitäjät voivat esimerkiksi rajoittaa päivitystoiminnon 'commonname'-attribuuttiin, mutta sen on annettava koko Distinguished-arvo, esimerkiksi:

Nykyinen erottuvan nimen arvo: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Uusi erottuvan nimen arvo: CN=DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE Käyttäjän salasanan palautus

Palauta käyttäjän salasana


Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Käyttäjän salasanan nollaus -orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory . Person- ja Password-määritteiden tulisi osoittaa mallipohjaan, josta orkestrointisolmu löytää käyttäjän tiedot.

Käyttäjän salasanan arvoksi ”pwdLastSet” asetetaan nolla (1), mikä tarkoittaa, että käyttäjän ei tarvitse vaihtaa salasanaansa ensimmäisellä kirjautumisella. EPE-versiosta 2022.3 eteenpäin olemme ottaneet käyttöön mahdollisuuden valita, onko salasana vaihdettava ensimmäisellä kirjautumisella vai ei. Järjestelmänvalvojat voivat tehdä tämän valinnan suoraan työnkulun Käyttäjän salasanan vaihtaminen -orkestrointisolmusta.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Mukautettujen objektien aktiviteetit

Määritä: EPE luo mukautettu objekti

Miten luodaan mukautettuja objekteja EPE:llä?


Vuodesta 2022.2 lähtien Efecte Provisioning Engine (EPE) on ottanut käyttöön uuden työnkulkutoiminnon "Luo mukautettu objekti". Esimerkiksi laitteita, yhteystietoja ja sovelluksia voidaan nyt luoda EPE:llä hakemistoon ( AD , Azure ja OpenLDAP ).

Poistaa

IGA -lisensoitu

Mukautettujen objektien luontia voidaan käyttää IGA -asennuksissa.

Vaiheittaiset ohjeet

  1. Luo uusi tapahtumapohjainen valmistelu mukautetulle objektille (tässä esimerkissä sen yhteyshenkilölle). Määritemääritykset täytetään Pro .

  2. Luo uusi työnkulun orkestrointisolmu aktiviteetilla Luo mukautettu objekti. Valitse juuri luotu tapahtumapohjainen epetask kohteeksi. Mukautettu objektiluokka määrittää, minkä objektin EPE luo. Tässä esimerkissä EPE luo yhteystietoja.
Poistaa

Vianmääritys

[LDAP: virhe koodi 16 - 00000057: LdapErr: DSID-0C0910DA, kommentti: Virhe sisään ominaisuus muuntaminen operaatio data 0, v4563]

Ratkaisu: Väärä mukautettu objektiluokka EPE-toiminnossa. Se tulisi vaihtaa oikeaan tai uuden objektin luonnin yhteydessä pakolliset attribuutit puuttuvat.

Poistaa


Määritä: EPE-päivitys mukautettu objekti

Miten mukautettuja objekteja päivitetään EPE:llä?

Vuodesta 2023.1 lähtien Efecte Provisioning Engine (EPE) on ottanut käyttöön uuden työnkulkutoiminnon "Päivitä mukautettu objekti". Esimerkiksi laitteita, yhteystietoja ja sovelluksia voidaan nyt päivittää EPE:n avulla hakemistoon ( AD ja Azure ).

IGA -lisensoitu

Mukautettujen objektien luontia voidaan käyttää IGA -asennuksissa.

Vaiheittaiset ohjeet

  1. Luo uusi tapahtumapohjainen valmistelu mukautetulle objektille (tässä esimerkissä sen yhteyshenkilölle). Määritemääritykset täytetään Pro .



  2. Luo uusi työnkulun orkestrointisolmu aktiviteetilla Päivitä mukautettu objekti. Valitse juuri luotu tapahtumapohjainen epetask kohteeksi. Mukautettu objektiluokka määrittää, mitä objektia EPE päivittää. Tässä esimerkissä EPE päivittää yhteystietoja.
Poistaa

Vianmääritys

Poistaa


Määritä: EPE poistaa mukautetun objektin

Miten mukautettuja objekteja poistetaan EPE:llä?

Vuodesta 2023.1 lähtien Efecte Provisioning Engine (EPE) on ottanut käyttöön uuden työnkulkutoiminnon "Poista mukautettu objekti". Esimerkiksi laitteita, yhteystietoja ja sovelluksia voidaan nyt poistaa EPE:n avulla hakemistosta ( AD ja Azure ).

IGA -lisensoitu

Mukautettujen objektien luontia voidaan käyttää IGA -asennuksissa.


Vaiheittaiset ohjeet

  1. Luo uusi tapahtumapohjainen valmistelu mukautetulle objektille (tässä esimerkissä sen yhteyshenkilölle).



  2. Luo uusi työnkulun orkestrointisolmu aktiviteetilla Poista mukautettu objekti. Valitse juuri luotu tapahtumapohjainen epetask kohteeksi. Objektin nimiattribuutti määrittää, minkä objektin EPE poistaa. Tässä esimerkissä EPE poistaa yhteystietoja.


     

Hakemistoryhmän aktiviteetit

Määritä: EPE Lisää käyttäjä ryhmään

Lisää käyttäjä ryhmään

Yllä olevassa kuvassa Person-attribuutin konfiguraation tulisi osoittaa mallipohjaan, josta orkestrointisolmu löytää käyttäjän tiedot (yleensä IGA tili). Role-attribuutti on konfiguroitava määrittämään, mistä orkestrointisolmu löytää käytettävissä olevat roolit (hakemistoryhmät, joista käyttäjä tulisi poistaa). ”Rooli-attribuutissa” voi olla määritettynä yksi tai useita attribuuttiryhmiä. Käytettävissä olevien rekisteröityjen hakemistotehtävien luettelo noudetaan EPE-pääpalvelimelta.

Hakemiston tehtävävalinta on pakollinen, koska Efecte Provisioning Engine orkestrointisolmu käyttää identiteetti- ja käyttöoikeuskenttien yhdistämismäärityksiä selvittääkseen, minkä attribuuttikoodin alle käyttäjän ja hakemistoryhmän erottuvat nimet on tallennettu.

Poikkeusten käsittely:

  • Solmun tulos on "Valmis"-tilassa vain, jos kaikkien käyttäjien ryhmäjäsenyydet on päivitetty onnistuneesti. Jos esimerkiksi käyttäjä on poistettu onnistuneesti viidestä kuudesta ryhmästä, solmun tulos on "Poikkeus"-tilassa.
  • Tästä syystä sekä identiteetin että käyttöoikeuden JSON-kentän distinguishedName-määritykset ovat pakollisia. Jos määritystä ei löydy, orkestrointisolmu siirtää sen tilaan ”Poikkeus”.
  • Käyttäjän poistaminen ryhmästä, johon hän ei kuulu, epäonnistuu.
  • Käyttäjän lisääminen ryhmään, johon hän jo kuuluu, epäonnistuu.
  • Tiedot käyttäjän ryhmäjäsenyyden onnistuneesta/epäonnistuneesta päivityksestä löytyvät lokeista.
  • Pro ja ryhmäjäsenyyden poikkeukset ovat valinnaisia ominaisuuksia tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää nämä ominaisuudet käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana ilmenee poikkeuksia.

Määritä: EPE Lue OU datakortilta

Miten EPE konfiguroidaan käyttämään OU:ta datakortilta?


EPE:n tapahtumapohjainen provisiointitehtävä tarjoaa mahdollisuuden valita, määritelläänkö organisaatioyksikön (OU-polun) tiedot, esimerkiksi uusien käyttäjien luonti, provisiointitehtävässä vai luetaanko ne ESM-datakortilta. Tämä ominaisuus vähentää tarvittavien tapahtumapohjaisten provisiointitehtävien määrää. On tapauksia, joissa asiakkaat luovat uusia käyttäjiä useille OU-poluille, ja tällä lähestymistavalla käytettäisiin yhtä provisiointitehtävää ja osa tarvittavista tiedoista luettaisiin datakortilta.

  1. Mene ESM:n hallintapaneeliin ja valitse IGA -välilehti.

  2. Valitse Tapahtumapohjaiset valmistelut ja tarvittava tehtävä.

  3. Aseta LDAP userBase / LDAP userfilter tai/ja LDAP groupBase / LDAP groupfilter arvoksi "Lue OU-polku datakortilta".


  4. Kun provisiointitehtävän konfiguraatioksi on asetettu ”Lue OU-polku datakortilta”, orkestrointitoiminnot näyttävät lisäominaisuuden (LDAP-ryhmä-/käyttäjäkanta), jossa voit määrittää, mistä attribuutista tämä tieto voidaan lukea.


Määritä: EPE Luo ryhmä

Luo ryhmä

Yllä olevassa kuvassa käyttöoikeusattribuuttien yhdistämismääritykset on täytetty valmistelutehtävistä. Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella Pro AD tehtäville määritettyjä käyttöoikeusmäärityksiä. Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, vaan ne esitetään visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Uuden käyttäjän orkestrointisolmun luonti lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

On tärkeää varmistaa, että Create Group -orkestrointisolmussa käytettävä käyttöoikeusmääritys sisältää seuraavat tiedot:

  • vähintään neljä muuta Azure AD -määritystä: määritteille ”displayName”, ”mailEnabled”, ”mailNickname” ja ”securityEnabled”.
  • vähintään kaksi muuta Active Directory -määritystä: attribuuteille ”cn” ja ”sAMAccountName”.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE-päivitysryhmä

Päivitä ryhmä



Yllä olevassa kuvassa käyttöoikeusattribuuttien yhdistämismääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory -kohteen ja voivat tarkastella valituille AD tehtäville määritettyjä käyttöoikeusmäärityksiä.

Tässä orkestrointinäkymässä järjestelmänvalvojat eivät voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määrityksiin on tarpeen tehdä muutoksia, ne on suoritettava Pro määritysnäkymässä.

Päivitysryhmän orkestrointisolmu lukee attribuutit kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory tai API kutsu Azure .

”Kohteen” määritys tehdään valmistelutehtävien määritysnäkymässä. Ryhmien päivittämistä varten järjestelmänvalvojien on varmistettava, että LDAP-ryhmäpohja/LDAP-ryhmäsuodatin on olemassa vain yksi, jotta vältetään ristiriidat työnkulussa.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE Poista ryhmä

Poista ryhmä



Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”. Poistoryhmän orkestrointisolmu lukee määritteet kyseisiltä datakorteilta ja suorittaa LDAP-komennon Active Directory .

Active Directory -pohjaisissa kokoonpanoissa 'Rooliryhmäattribuutin' tulisi sisältää ryhmän distinguishedName-nimi.

Azure Active Directory -pohjaisissa kokoonpanoissa 'Rooliryhmän attribuutin' tulisi sisältää ryhmän ObjectGUID .

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE-tarkistusryhmä

Vahvista ryhmä

Yllä olevassa kuvassa käyttöoikeusattribuuttimääritykset on täytetty valmistelutehtävistä. Järjestelmänvalvojat valitsevat oikean Active Directory "Kohde"-kohdasta ja voivat tarkastella valitulle AD tehtävälle määritettyjä käyttöoikeusmäärityksiä. Tässä orkestrointinäkymässä et voi muuttaa määrityksiä, ne näytetään vain Pro apuna. Jos määritteiden määrityksiä on tarpeen muuttaa, kyseiset määritteet on määritettävä valmistelutehtävän määritysnäkymässä, jotta niitä voidaan muuttaa orkestrointisolmussa.

Käyttöoikeusmääritykset -ylläpitäjäpaneelissa ylläpitäjät voivat antaa "JOS"-lausekkeen, joka muodostaa LDAP-kyselyn ryhmän olemassaolon varmistamiseksi. Datakortilta voi valita niin monta attribuuttia kuin on tarpeen ryhmän yksilöllisyyden vahvistamiseksi. Kun toiminto suoritetaan, nämä attribuutit luetaan kyseiseltä datakortilta ja niitä verrataan asianmukaisiin AD attribuutteihin "Kohde*" Active Directory -kokoonpanon mukaisesti. Ylläpitäjät voivat myös valita "yhtä suuri kuin" tai "ei yhtä suuri kuin" vastaavalle AD attribuutille muuttamalla "JOS"-lauseketta. "Tallenna tulos*" -kenttää käytetään määrittämään, minne onnistuneet LDAP-kyselytulokset tallennetaan, "tosi", jos ryhmä löytyi, ja "epätosi" muussa tapauksessa.

Ylläpitäjillä on mahdollisuus tarkistaa tämän orkestrointisolmun Sisällytä OU-alipuu -ominaisuus varmistaakseen, onko ryhmää määritetyssä Organization Unit -alipuussa. Jos järjestelmänvalvoja ei valitse tätä vaihtoehtoa, orkestrointisolmu tarkistaa vain määrityksissä määritetyn OU:n.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE Vahvista ryhmän jäsenyys

Vahvista ryhmän jäsenyys


Yllä olevassa kuvassa identiteettiattribuuttimääritykset on täytetty Pro . Järjestelmänvalvojat valitsevat oikean Active Directory " Kohde "-kohdasta ja voivat tarkastella valitulle AD tehtävälle määritettyjä identiteettimäärityksiä. Tässä orkestrointinäkymässä et voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määritteiden määrityksiä on tarpeen muuttaa, kyseiset määritteet on määritettävä valmistelutehtävän määritysnäkymässä, jotta niitä voidaan muuttaa orkestrointisolmussa.

” Tallenna tulos* ” -kenttää käytetään määrittämään, minne onnistuneet LDAP-kyselytulokset tallennetaan. Arvo on ”true”, jos käyttäjä löytyi, tai ”false”, jos ei.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE-päivitysryhmän erottuva nimi

Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean Active Directory ”kohteen”.

Tämän päivityksen avulla ryhmätoiminnon avulla ylläpitäjät voivat esimerkiksi rajoittaa päivitystoiminnon 'CommonName'-attribuuttiin. Kun AD -ryhmän CommonName päivitetään, se päivittää myös ryhmän DistiguishedName-attribuutin.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

ESM Paikallisten käyttäjien toiminta

Määritä: EPE Luo paikallinen ESM-käyttäjä

Luo paikallinen käyttäjä (ESM:ssä)


Yllä olevassa kuvassa yhdistämismääritykset ovat kohdemallista, eikä tähän tarvita erillistä EPE-tehtävää. Uuden paikallisen käyttäjän orkestrointisolmun luonti lukee attribuutit kyseiseltä datakortilta ja suorittaa komennon ESM:lle.

 

Kartoitus Arvo
Käyttäjänimi Pakollinen ominaisuus. Yksilöllinen merkkijonoattribuutti

Henkilöominaisuus    

Pakollinen ominaisuus. Efecte-käyttäjäviittaus.

Salasana-attribuutti    

Pakollinen ominaisuus. Merkkijonoattribuutti. Huom! Täytyy olla synkronoitu ESM:n salasanavaatimusten kanssa. Katso alustan asetus: password.rule.regexp. Oletusarvo on, että uuden salasanan on oltava vähintään 8 merkkiä pitkä ja sen on sisällettävä vähintään yksi iso kirjain ja vähintään yksi numero.

Käyttäjätaso    

Pakollinen ominaisuus. Jätin tyhjäksi, käyttäjätaso on normaali. Sallitut arvot: "ROOT", "NORMAL", " AD ONLY" / " AD -ONLY" / " AD _ONLY". Toimii myös pienillä kirjaimilla.

Normaali – myöntää oikeudet tarkastella, muokata ja poistaa malleja, kansioita ja datakortteja käyttäjäroolin oikeuksien mukaisesti.
Vain luku – myöntää oikeudet vain lukea datakortteja käyttäjäroolin oikeuksien määrittämällä tavalla.
Pääkäyttäjä – myöntää rajattomat oikeudet ESM-tietoihin ja niiden ylläpitoon ilman käyttäjäroolirajoituksia. Käytä pääkäyttäjän tasoa harkiten, sillä se on poikkeuksellisen tehokas.
Roolit Pakollinen ominaisuus. Tämän on oltava moniarvoinen merkkijono ja sen on sisällettävä ESM:n roolien nimet. Jos haluat luoda käyttäjän ilman ESM-rooleja, lisää tähän attribuuttiin arvo, joka ei ole ESM-rooli (arvo on pakollinen) .
Pro
Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.


ESM-tietoturvaloki kirjaa seuraavat tämän solmun tapahtumat:

  • Käyttäjän "suojausasetukset" -kohdan muutokset onnistuivat JA epäonnistuivat
    • Käyttäjätason muutokset
    • Salasana
    • Käyttäjätunnus
  • Käyttäjäoikeuksien muutokset
    • käyttäjälle annettu rooli
  • Käyttäjän luominen

Määritä: EPE Päivitä paikallisen käyttäjän salasana

Päivitä paikallisen käyttäjän salasana (ESM:stä)


Yllä olevassa kuvassa yhdistämismääritykset ovat kohdemallista, eikä tähän tarvita erillistä EPE-tehtävää. Päivittävä paikallinen käyttäjäorkestrointisolmu lukee attribuutit kyseiseltä datakortilta ja suorittaa komennon ESM:lle. ESM Security.log kirjaa tämän solmun tapahtumat. Huom! Pääkäyttäjän salasanan päivitys ei ole sallittua.


Kartoitus Arvo
Käyttäjänimi
Pakollinen ominaisuus. Yksilöllinen merkkijonoattribuutti

Salasana-attribuutti    

Pakollinen ominaisuus. Merkkijonoattribuutti. Huom! Täytyy olla synkronoitu ESM:n salasanavaatimusten kanssa. Katso alustan asetus: password.rule.regexp. Oletusarvo on, että uuden salasanan on oltava vähintään 8 merkkiä pitkä ja sen on sisällettävä vähintään yksi iso kirjain ja vähintään yksi numero.

Käyttäjätaso    

Pakollinen ominaisuus. Jätin tyhjäksi, käyttäjätaso on normaali. Sallitut arvot: "ROOT", "NORMAL", " AD ONLY" / " AD -ONLY" / " AD _ONLY". Toimii myös pienillä kirjaimilla.

Normaali – myöntää oikeudet tarkastella, muokata ja poistaa malleja, kansioita ja datakortteja käyttäjäroolin oikeuksien mukaisesti.
Vain luku – myöntää oikeudet vain lukea datakortteja käyttäjäroolin oikeuksien määrittämällä tavalla.
Pääkäyttäjä – myöntää rajattomat oikeudet ESM-tietoihin ja niiden ylläpitoon ilman käyttäjäroolirajoituksia. Käytä pääkäyttäjän tasoa harkiten, sillä se on poikkeuksellisen tehokas.

Pro
Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE-päivitys Paikallinen käyttäjätunnus

Päivitä paikallinen käyttäjätunnus (ESM:stä)


Yllä olevassa kuvassa yhdistämismääritykset ovat kohdemallista, eikä tähän tarvita erillistä EPE-tehtävää. Päivittävä paikallinen käyttäjäorkestrointisolmu lukee attribuutit kyseiseltä datakortilta ja suorittaa komennon ESM:lle. ESM Security.log kirjaa tämän solmun tapahtumat. Huom! Pääkäyttäjän käyttäjätunnuksen päivitys ei ole sallittua.

Kartoitus Arvo
Käyttäjätunnus
Pakollinen ominaisuus. Yksilöllinen merkkijonoattribuutti, joka sisältää käyttäjän nykyisen käyttäjätunnuksen.
Uusi käyttäjätunnus Pakollinen ominaisuus. Yksilöllinen merkkijonoattribuutti, joka sisältää käyttäjän tulevan käyttäjätunnuksen.
Pro
Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Määritä: EPE Poista paikallinen käyttäjä

Poista paikallinen käyttäjä (ESM:stä)


Yllä olevassa kuvassa yhdistämismääritykset ovat kohdemallista, eikä tähän tarvita erillistä EPE-tehtävää. Paikallisen käyttäjän poiston orkestrointisolmu lukee attribuutit kyseessä olevalta datakortilta ja suorittaa komennon ESM:lle. ESM Security.log kirjaa tämän solmun tapahtumat. Huom! Pääkäyttäjää ei voi poistaa tällä solmulla.

Kartoitus Arvo
Käyttäjänimi
Pakollinen ominaisuus. Merkkijonoattribuutti, joka sisältää käyttäjän nykyisen käyttäjätunnuksen.
Pro
Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.

Muut aktiviteetit

Määritä: EPE Manage Pro xyAddresses

Hallinnoi Pro xyAddresseja

Vaihtoehtoja on kolme: Aseta, Päivitä ja Poista välityspalvelimen osoitteet.

  • Aseta : ylläpitäjä valitsee yhden attribuutin ESM:n työnkulun käyttöliittymässä (voi olla yksi- tai moniarvoinen attribuutti) - Sitten työnkulun solmu ottaa yhteyttä AD , etsii käyttäjätilin ja asettaa arvon proxyAddresses-arvoksi (tätä toimintoa käytetään proxyAddresses-arvon asettamiseen ensimmäisellä kerralla - edellinen arvo AD :ssä oli null).

  • Päivitys : ylläpitäjä valitsee ESM:n työnkulun käyttöliittymässä kaksi attribuuttia – toisen NYKYISELLE arvolle ja toisen UUDELLE arvolle. Sitten työnkulun solmu ottaa yhteyttä AD :hen, etsii käyttäjätilin ja päivittää olemassa olevat proxyAddresses-osoitteet, etsii luettelosta NYKYISEN arvon ja muuttaa sen etuliitteen SMTP::stä smtp::ksi ja lisää UUDEN arvon etuliitteellä SMTP: (muut arvot pysyvät proxyAddresses-osoitteissa).

  • Poista : ylläpitäjä valitsee yhden attribuutin ESM:n työnkulun käyttöliittymästä (voi olla yksi- tai moniarvoinen attribuutti) - Tämän jälkeen työnkulun solmu ottaa yhteyttä AD hen, etsii käyttäjätilin ja poistaa arvon proxyAddresses-luettelosta (muut arvot jäävät proxyAddresses-luetteloon).

Määritä: EPE:n suoritusvalmistelutehtävä

Suorita valmistelutehtävä

Tätä toimintoa käytetään, kun kaikki hakemiston tiedot tarvitaan välittömästi takaisin. Tuettuja hakemistoja ovat Active Directory, Azure AD , OpenLDAP ja IBM.


Yllä olevassa kuvassa järjestelmänvalvojat voivat valita oikean hakemiston ”Kohde”. Suorita valmistelutehtävä orkestrointisolmun lukumääritteet Active Directory IGA -tileille.

" Target "-EPEtaskin vaatimukset ovat:

  • Tehtävän on oltava tyyppiä "Ajoitettava tehtävä", ei tapahtumapohjainen
  • Työnkulun mallin on oltava sama kuin identiteettikartoituksen malli.
  • Tehtävä on ajoitettava johonkin aikaan - se merkitsee tehtävän "käytössä olevaksi" ja sitten
  • Yhdistämismääritysten on oltava erillisiä, tehtävässä ei saa olla päällekkäisiä yhdistämismäärityksiä

Tässä orkestrointinäkymässä et voi muuttaa määrityksiä, ne näytetään vain visuaalisena apuna. Jos määritteiden määrityksiä on tarpeen muuttaa, kyseiset määritteet on määritettävä valmistelutehtävän määritysnäkymässä, jotta niitä voidaan muuttaa orkestrointisolmussa.

Pro on valinnainen ominaisuus tässä työnkulkusolmussa. Järjestelmänvalvojat voivat määrittää tämän ominaisuuden käyttöön siten, että poikkeuksia voidaan kirjoittaa, jos valmistelutoimintojen aikana on poikkeuksia.




Huom! Versiossa 2024.2 emme enää näytä "Identiteettiattribuuttien yhdistämistä" Workflow Orchestration -solmussa. Näitä on muokattu ja ne näkyvät Connectors UI -tehtäväasetuksissa.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Määritä: EPE SCIM datan lukemiseen Entra avulla
  • Määritä: EPE Luo datakortti ESM:n kohdentamiseen
  • Määritä: EPE Poista datakortti kohde-ESM:stä
  • Määritä: EPE Jira Cloud Connector
  • Microsoft Active Directory ( AD ) -liitin

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand