US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

Finnish
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Identiteetin hallinta ja ylläpito ( IGA )
  • IGA ratkaisukirjasto
  • Ohjeet ja uid
  • Yhdistimien määrittäminen

SCIM liitin

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Palvelunhallinta
    Matrix42 Professional -ratkaisu Matrix42 Core ydinratkaisu Yrityspalveluiden hallinta Matrix42 älykkyys
  • Identiteetin hallinta ja ylläpito ( IGA )
    IGA yleiskatsaus IGA ratkaisukirjasto
  • Alusta
    ESM ESS2 ESS Efecte Chat palvelunhallintaan Efecte-integraatiot Lisäosat
  • M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Julkaisutiedot ja käytännöt
  • Muu materiaali
    Käyttöehdot ja dokumentaatio- uid Saavutettavuusselosteet
  • Palvelut
+ More

    • Palvelunhallinta

    • Identiteetin hallinta ja ylläpito ( IGA )

    • Alusta

    • M42 Core & Pro julkaisutiedot, IGA , keskustelupohjainen tekoäly

    • Muu materiaali

    • Palvelut

SCIM liitin

SCIM liitin on osa Native Connectoria ja sitä käytetään datan lukemiseen SCIM palvelimelta. Liitin on saatavilla vain Efecte IGA -ratkaisulle ja sen käyttö muissa Efecte-ratkaisuissa vaatii erillisen sopimuksen. SCIM liitin on SCIM asiakasohjelma, joten se voi lukea dataa SCIM palvelimelta. Mutta se ei voi muodostaa yhteyttä toiseen SCIM asiakasohjelmaan.

SCIM -liitin vaatii konfiguroinnin asiakkaan käyttötapauksen mukaan, ja periaatteessa konfiguroinnissa on kaksi (2) vaihetta:

  1. Yhdistimen määrittäminen – mahdollistaa yhdistimen yhteyden muodostamisen SCIM -palvelimeen
  2. Ajoitetun tehtävän määrittäminen - käytetään, kun tietoja luetaan SCIM -palvelimelta

2024.1 ja uudemmat ohjeet

SCIM liittimen määrittäminen

Tässä luvussa kuvataan SCIM liittimen konfigurointiohjeet, jotta se voidaan yhdistää asiakkaan SCIM järjestelmään.

Päästäkseen liittimien hallintaan käyttäjällä on oltava oikeudet Efecte Platformin konfigurointiin.

1. Avaa Efecten hallinta-alue (ratassymboli).
2. Avaa yhdistinnäkymä.
3. Valitse uusi liitin

4. Valitse tietolähteen tyypiksi SCIM

5. Asiakkaiden SCIM tietoihin liittyvien tietojen täyttäminen

  • Liittimen nimi – anna liittimellesi käyttäjäystävällinen nimi (nimeä voi muuttaa jälkikäteen)
  • SCIM isäntä - isäntäosoite, jota käytetään yhteyden muodostamiseen asiakkaiden SCIM
  • SCIM portti - portin numero, jota käytetään yhteyden muodostamiseen asiakkaan SCIM palveluun
  • SCIM käyttäjätunnus - palvelutilin nimi, jota käytetään datan lukemiseen ja kirjoittamiseen asiakkaiden SCIM tiliin/SCIM-tileiltä
  • SCIM -salasana - palvelutilin salasana

6. Täytä Web API -käyttäjätiedot

  • Web API -käyttäjä - valitse oikea Web API -käyttäjä, jota käytetään kirjoitettaessa tietoja asiakkaan SCIM palvelusta asiakkaan Efecte-ratkaisuun.
  • Web API -salasana - Web API -käyttäjän salasana

7. Tallenna liittimen tiedot

  • Vahvista, että portti- ja isäntätiedot on asetettu oikein, painamalla Testaa yhteys -painiketta.
  • Vahvista, että SCIM käyttäjän ja salasanan (palvelutilin) tiedot on asetettu oikein, painamalla testitodennusta.

8. Asiakkaan Efecte-ratkaisu pystyy nyt muodostamaan yhteyden asiakkaan SCIM järjestelmään. Seuraava vaihe on ajoitettujen tehtävien määrittäminen datan lukemista varten.

Yleisiä uid ajoitettuihin tehtäviin

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Ajoitetun tehtävän määrittäminen tietojen lukemista varten

Ajoitettujen tehtävien määrittämiseen tarvitset pääsyn Efecte Platformin määrityskonsoliin.

Huom! Jos liitintä ei luoda, sinun on ensin luotava ”uusi liitin” ja sen jälkeen voit luoda uusia tehtäviä.

1. Avaa Efecten hallinta-alue (ratassymboli).
2. Avaa yhdistinnäkymä.
3. Valitse liitin, jolle aikataulutettu tehtävä on määritetty
4. Valitse uusi tehtävä oikean yhdistimen alta

4. Määritä tehtävän ajoitus (suoritetaanko ajoitettu tehtävä säännöllisesti ja miten). Valitse ajoitusjärjestys, joka riippuu siitä, kuinka paljon dataa luetaan asiakkaalle Efecte-ratkaisussa.

5. Täytä tehtävän tiedot

  • Täytä ajoitettuun tehtävään yksilöivä nimi. Huomaa, että nimeä ei voi muuttaa jälkikäteen.
  • Tehtävän käyttö osoittaa, että kyseessä on tehtävä, jota käytetään datan lukemiseen, datan kirjoittamiseen tai todennukseen. Huomaa, että jos tapahtumatyyppiä muutetaan jälkikäteen, se voi rikkoa työnkulut.
  • Yhdistämistyyppi riippuu siitä, minkä tyyppistä tietoa hakemistosta luetaan.
    • Identiteetti ja käyttöoikeudet - käytetään, kun käyttäjätilin ja ryhmän tiedot luetaan hakemistosta
    • Yksittäinen (vain identiteetti) - käytetään, kun hakemistosta luetaan vain käyttäjätilin tiedot
    • Yksittäinen (vain käyttöoikeus) - käytetään, kun hakemistosta luetaan vain ryhmätietoja
    • Yleiset (yksi mallipohja) - käytetään, kun hakemistosta luetaan yleisiä tietoja, yleensä muita kuin käyttäjät/ryhmät

6. Täytä valinnaiset suodatustiedot

  • Määritä käyttäjille suodatin tarvittaessa,
    Lisäsuodatin Graph API -kyselyille käytetään, kun käyttäjiä poimitaan
  • Määritä ryhmille suodatin tarvittaessa. Lisä SCIM API -kyselysuodatinta käytetään, kun ryhmiä puretaan.

7. Täytä vikatiedot

Valinnaiset asetukset virheiden käsittelyyn. Jos ajoitettu tehtävä epäonnistuu, Efecte ESM:ään voidaan luoda datakortti, joka näyttää virheen. Jos virheasetukset on määritetty, järjestelmänvalvojan ei tarvitse tarkistaa ajoitettujen tehtävien tilaa manuaalisesti.

  • Virhemalli - Valitse datakortin malli, joka luodaan, jos valmistelussa ilmenee virheitä (yhteys tietolähteisiin, aikakatkaisut jne.).
  • Vikakansio - Valitse kansio, johon vikatietokortti on tallennettu.
  • Virheattribuutti – Valitse attribuutti, mihin virhemallissa virhetiedot tallennetaan.

8. Täytä identiteettikartoitukset

Käyttäjät tuodaan IGA -tilimalliin, ja kohdekansion, tietolähteen tunnuksen ja yksilöllisten arvojen asettaminen on pakollista. Näitä arvoja käytetään käyttäjien tunnistamiseen asiakkaan SCIM ja Efecte-ratkaisun välillä. Esimerkiksi.

  • Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
    Valitse mallipohja määrittääksesi attribuuttimääritykset
  • Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
  • Ominaisuusmääritykset
    1. Ulkoinen attribuutti - mikä SCIM -palvelimen attribuutti yhdistetään
    2. Paikallinen attribuutti - mihin datacard-attribuutin attribuuttiin se on yhdistetty.
  • Käyttäjätileiltä luettavia lisäattribuutteja voi asettaa valitsemalla Uusi attribuutti.

9. Täytä käyttöoikeusmääritykset

Ryhmät luetaan IGA Entitlement -mallipohjaan, ja kohdekansion, datasourceid:n ja yksilöllisten arvojen asettaminen on pakollista. Näitä arvoja käytetään käyttäjien tunnistamiseen asiakkaan SCIM palvelimen ja Matrix42 Core , Pro tai IGA -ratkaisun välillä.

  • Kohdemalli – Valitse malli määrittääksesi attribuuttimääritykset
    Valitse mallipohja määrittääksesi attribuuttimääritykset
  • Kohdekansio - Valitse kansio kansioluettelosta. Luetteloa rajataan vastaamaan yhteensopivuutta valitun mallin kanssa.
  • Ominaisuusmääritykset
    1. Efecte-mallin attribuutti - mihin attribuuttiin Efecte-hakemistossa attribuutti on yhdistetty.
    2. Hakemiston attribuutti - mikä hakemiston attribuutti on yhdistetty Efecteen
  • Voit asettaa lisäattribuutteja, jotka luetaan hakemiston käyttäjätileiltä, valitsemalla Uusi attribuutti.

10. Tallenna valmistelutehtävä Tallenna-painikkeella. Jos jotkin pakolliset ominaisuudet puuttuvat, tallennuspainike näkyy harmaana ja se näyttää asetuksista puuttuvat tiedot.

11. Olet nyt määrittänyt aikataulun mukaisen yhdistintehtävän SCIM tietojen lukemista varten.

  • Voit nyt odottaa, kunnes tehtävä aloitetaan aikataulun perusteella tai
  • Suorita tehtävä manuaalisesti – painiketta napsauttamalla tehtävä määritetään ajoitettavaksi alkamaan välittömästi. Yleensä testiajoihin tai jos et halua muuttaa aikatauluasetuksia, mutta haluat suorittaa tehtävän nyt.

2023.4 ja vanhempien versioiden ohjeet

Ajoitetun provisiointitehtävän määrittämiseen tarvitset pääsyn Efecte Platformin määrityskonsoliin.

1. Avaa Efecte-hallinta-alue (ratassymboli).
2. Avaa IGA näkymä
3. Valitse Lisää uusi tehtävä aikataulun Pro valmisteluun.
4. Valitse SCIM Lisää uusi tehtävä -luettelosta


5. Täytä valmistelutehtävän yksilöllinen nimi
6. Valitse Web API -käyttäjä ja kirjoita salasana
7. Valitse datakortin virhemalli, joka luodaan, jos valmistelun aikana ilmenee virheitä (yhteys tietolähteisiin, aikakatkaisut jne.).

8. Valitse aikataulutusjärjestys, joka riippuu siitä, kuinka paljon dataa luetaan asiakkaan Efecte-ratkaisuun

9. Täytä Pro -osio, jossa määritellään yhteyden tiedot ja suodattimet käyttäjä- ja ryhmätietojen lukemiseksi asiakkaan SCIM tiedostosta.

10. Täytä valinnaiset suodatustiedot

  • Määritä käyttäjille suodatin tarvittaessa,
    Lisäsuodatin Graph API -kyselyille käytetään, kun käyttäjiä poimitaan
  • Määritä ryhmille suodatin tarvittaessa. Lisäsuodatin Graph API -kyselyille otetaan käyttöön ryhmien purkamisen yhteydessä.

10. Käyttäjät tuodaan IGA -tilimalliin, ja on pakollista asettaa kohdekansio, tietolähteen tunniste ja yksilölliset arvot, joita käytetään käyttäjien tunnistamiseen asiakkaan SCIM ja Efecte-ratkaisun välillä. Voit määrittää lisäattribuutteja, jotka luetaan käyttäjätileiltä SCIM :ssä, valitsemalla Lisää ominaisuus.

11. Ryhmät luetaan IGA Entitlement -mallipohjaan, ja on pakollista asettaa kohdekansio, tietolähteen tunniste ja yksilölliset arvot, joita käytetään käyttäjien tunnistamiseen asiakkaan SCIM ja Efecte-ratkaisun välillä. Voit määrittää lisäattribuutteja, jotka luetaan käyttäjätileiltä SCIM :ssä, valitsemalla Lisää ominaisuus.

14. Tallenna valmistelutehtävä yläpalkista

15. Olet nyt määrittänyt aikataulun mukaisen valmistelutehtävän ja voit

  • Testiyhteys
  • Testaa todennus
  • Suorita tehtävä manuaalisesti

16. Jos tehtävä suoritetaan manuaalisesti (suorita tehtävä manuaalisesti) tai se suoritetaan aikataulun mukaisesti, tehtävän tilaa voidaan tarkastella Pura / Lataa tila -välilehdellä.

Vianmääritys

Tässä luvussa kuvataan vianmääritysvaihtoehtoja,

  • Jos käytetään vikamallia, tarkista oikea datakortti
  • Tarkista ajoitettujen tehtävien historia liitinten hallinnasta
  • Tarkista Pro Enginen lokit

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Määritä: EPE Jira Cloud Connector
  • Microsoft Active Directory ( AD ) -liitin

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand