Connecteur Microsoft Active Directory ( AD )

Comment intégrer Microsoft Active Directory

+ More

Connecteur Microsoft Active Directory

Le connecteur Microsoft Active Directory ( AD ) fait partie des connecteurs natifs et permet la lecture et l'écriture de données vers/depuis Active Directory . Il est compatible avec toutes les solutions Matrix42 Core , Pro and IGA utilisant des connecteurs natifs.

Vous pouvez lire et écrire des objets de type utilisateur, contact, imprimante, ordinateur, dossier partagé, groupe et/ou unité organisationnelle vers/depuis Active Directory

Le connecteur AD nécessite une configuration en fonction du cas d'utilisation du client et, en principe, la configuration comporte trois (3) étapes :

Configurer le connecteur - permet au connecteur d'établir une connexion au répertoire
Configurer la tâche planifiée - est utilisé lorsque les données sont lues à partir du répertoire
Configurer la tâche d'événement - est utilisé lorsque des données sont écrites dans le répertoire
1. Les nœuds d'orchestration de flux de travail doivent également être configurés

Politique d'utilisation équitable

Le connecteur peut être utilisé sans restriction dans des conditions normales de fonctionnement. Cependant, si son utilisation entraîne une charge significativement accrue nécessitant des ressources cloud supplémentaires (par exemple, mémoire ou capacité de traitement), des frais supplémentaires peuvent s'appliquer.

L'utilisation de ce connecteur pour créer, mettre à jour ou supprimer des comptes d'utilisateurs ou des objets de groupe nécessite une licence IGA active.

Instructions pour les versions 2024.2 et ultérieures

Fonctionnalités générales

Connectors - general functionalities

Connectors - general functionalities

In this article are described general functionalities for managing native connectors in solution. All Native Connectors are managed from the same connector management UI.

Notice that there are separate descriptions for each connector, where connector specific functionalities and configuration instructions are described in detailed level.

To be able to access connector management, user needs to have admin level permissions to customers Platform configuration. When accesses are granted correctly, connector tab will be visible and user can manage connectors.

Left menu

Connector management is divided into four tabs:

Overview - for creating and updating Native Connectors. The Admin User can see their status, type and how many scheduled or event tasks are associated with them.
Authentication - for creating and updating authentication tasks. Provisioning task for authentication is needed for Secure Access to be able to define which Customers end-users can access to Matrix42 Core, Pro and IGA login page.
Logs - for downloading Native Connector and Secure Access logs from UI.
Settings - general settings for Native Connectors and Secure Access, including environment type for logging and monitoring.

Connectors overview tab

From overview page, user can easily and quickly see status for all connectors.

Top bar:

Status for Native Connectors (EPE)
- Green text indicates that Native Connectors is online. All the needed services are up and running.
- Red text indicates that there is a problem with Native Connectors, all the services are not running.
Status for Secure Access (ESA)
- Green text indicates that Secure Access is online. All the needed services are up and running.
- Red text indicates that there is a problem with Secure Access, all the services are not running.
Native Connectors version number is displayed in top right corner

Top bar for list view:

New connector - opens new window for adding and configuring new connector
Remove connector(s) - workflow references are calculated and pop-up window appears to confirm removal (notice that calculating references can take several seconds)
Export - Admin can export one or more connectors (and tasks) from the environment. Usually used for exporting connectors and connectors (and tasks) from test to prod. Native connectors secret information is password protected.
Import - Admin can import one or more connectors (and tasks) to the environment. Usually used for importing connectors (and tasks) from test to prod.
- Admin cannot import from old EPE UI (Older than 2024.1) to the new one. Source and target environments must have same version.
- Import will fail if the configuration (templates, attributes) is not the same - for example when some attribute is missing
- If you are importing something with the same connector details, it will be merged under existing connector
Refresh - Admin can refresh connectors view by clicking the button.

List view for overview,

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated unique ID of the connector. Cannot be edited or changed.
Status - indicates scheduled task status
- Green check mark - Task is executed without any errors
- Red cross -Task is executed, but there have been error
- Grey clock - Task is not executed yet, waiting for scheduling
- Orange - one of the tasks has a problem
- No value - Scheduled based-task is missing
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Scheduled - informs how many scheduled tasks are configured
Event - informs how many event tasks are configured
Manage
- Pen icon - opens connector settings (double-clicking the connector row, also opens settings)
- Paper icon - copies the connector
- Stop - workflow references are calculated and pop-up window appears to confirm removal
Search - User can search connector by entering the search term in the corresponding field . Id, Status, Name, Type, Scheduled and Event fields can be searched.

Scheduled task information (click arrow front of the connector)

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for scheduled tasks

New task - opens configuration page for new task
Remove task(s) - removes the selected task(s) from the system and they cannot be recovered anymore.
Refresh - refresh scheduled-based tasks view
Search - user can search task by entering the search term in the corresponding field for Id, name, enabled, extract/load status.

List view for scheduled tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Enabled - Displays is the task scheduled or not
- Green check mark - Task is scheduled
- Red cross - Task is not scheduled
Extract status - Displays status of data extraction from the target directory/system
- Green check mark - data is extracted successfully
- Red cross - data is extracted with error(s) or extraction is failed
- Clock - Task is waiting execution
Load status - Displays status of data export from json-file to customers solution
- Green check mark - data is imported successfully to customers solution
- Red cross - data is imported with error(s) or import is failed
Manage
- Pen icon - opens task settings in own window (double-clicking the task row also opens task settings)
- Paper icon - copies the task
- Clock icon - opens task history view
- Stop - remove task, pop-up window opens to confirm the removal

Scheduled task history view

By clicking the clock icon in the scheduled task row, history for scheduling will be shown.

Top bar for view history

Refresh - refreshes scheduled task status. This doesn't affect task, this only updates UI to show latest information of task run.

List view for scheduled task history

Color of the row is indicating status
- Green - task executed successfully
- Red - error happened during execution
Execution ID - unique ID for the scheduled task row
Extract planned time - when next extract from the directory/application is scheduled to happen
Extract complete time - when extract was completed
Extract status - status for fetching data from the directory/application
Load start time - when next load to customers solution is scheduled to happen
Load complete time - when load was completed
Load status - status for loading information to customers solution

List view for scheduled task status

Actual start time - timestamp for actual start
Users file - JSON file containing user information read from the directory/application
Group file - JSON file containing group information read from the directory/application
Generic file - JSON file containing generic information read from the directory/application
Extract info - detailed information about reading information from the directory/application
Load info - detailed information about loading the information to customers Matrix42 Core, Pro and IGA solution

Edit window for scheduled task

Configuration for scheduled task can be opened by clicking pen icon or double-clicking the task row.

Left menu and attributes varies according to selected options and therefore more detailed instructions for editing tasks can be found from the connector description, but there are common functionalities for all scheduled tasks which are described below.

Saving the task

In case mandatory information is missing from the task, hoovering mouse on top of the save button will show which attributes are still empty.

Top bar for edit scheduled task

Run task manually - admin can run task manually out side of the defined scheduling
Stop task - admin can stop scheduled-based task which is currently running. Task will be stopped and status is changed to be stopped. It waits in this state until the next timing occurs.
Clear data cache - Data cache for the next provisioning of Users and Groups will be cleared. It means that next run is run as first time run.
- By default, we clear the cache everyday at 00:00 UTC
- If you want to clear the cache at different time, then it has to specify some different value in host file 'custom.properties'.
- EPE Cache is also cleared when EPE is restarted, whole environment is restarted, EPE mappings have been changed

Event task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for event tasks

New task - opens configuration page for new event task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes event tasks view
Show workflow references - calculates task related workflow relations and statuses. This is very useful if you don't know from which workflows event-based tasks are used.

List view for event tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Workflow relations
- Question mark shows pop-up window with detailed information about the reference
Workflow status
- Not used - No relations to workflow
- In use - Workflow(s) attached to task, task cannot be removed
Manage
- Pen icon - opens task settings in own window
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Edit window for event task

Configuration for event task can be opened by clicking pen icon or double-clicking the task row.

Edit event task window

Task usage, editable? - this appears when editing existing task and changing the task usage type will break workflows
Mappings type, editable? - this appears when editing existing task and changing the mappings type will break workflows

Saving the task

In case mandatory information is missing from the task, hovering mouse on top of the save button will show which attributes are still empty.

Authentication tab

Authentication for Matrix42 Core, Pro and IGA solutions are configured from authentication tab, notice that only some of the connectors (directory connectors) are supporting authentication, so its not possible to create authentication tasks to all available connectors.

Top bar for authentication

New connector - opens new window for configuring new connector (notice that not all connectors are supporting authentication)
Remove connector(s) - removes selected task(s), pop-up window appears to confirm the removal
Export - user can export one or more tasks from the environment. Usually used for exporting tasks from test to prod. EPE connectors are password protected.
- Note that Realm for authentication tasks is not exported, you need to set that manually after importing
Import - user can import one or more tasks to the environment. Usually used for importing task from test to prod.
Refresh - refreshes authentication tasks view

List view for authentication overview

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated Unique ID of the connector. Cannot be edited or changed.
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Count - informs how many authentication tasks are configured
Manage
- Pen icon - opens authentication task setting in own window
- Paper icon - copies the task
- Stop icon - removes selected task

Authentication task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for authentication overview

Create new task - opens configuration page for new authentication task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes authentication tasks view

List view for authentication overview,

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Manage
- Pen icon- opens task settings in own window (double-clicking the task row, also opens settings window)
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Logs tab

Logs tab is for downloading Native Connector and Secure Access logs from UI for detailed troubleshooting.

epe-master logs - contains warning, debug and error level messages about Native Connectors and info how long task actions has been taken.
epe-worker-ad logs - contains extract data status of Active Directory connector (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-azure logs - contains extract data status of Entra ID (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-ldap logs - contains extract data status of LDAP (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-launcher logs - contains information about EPE launches
datapump-itsm logs - Contains information about data export to customers Matrix42 Core, Pro and IGA solution.
esa logs - Contains information about Secure Access authentication.

Settings tab

Settings tabs is used for monitoring environments with connectors.

Environment type - is mandatory to be in selected and information is used for example defining alert critically.
- Test - select this when your environment is used as testing environment
- Prod - select this when your environment is used as production environment
- Demo - select this when your environment is used as demo or training environment
- Dev - select this when your environment is used as development environment

What we are monitoring?

Failures in scheduled based provisioning (extracting data, exporting data to ESM, outdated certificates, incorrect passwords, incorrect search base/filter, incorrect mappings, etc.)
Failures in event based provisioning (fail to write to AD/Azure, etc.)
Event-based provisioning - which connectors are used for writing data towards applications/directories.
ESA more than ten failed login attempts to one user in past 3 days
Environment type - is mandatory to be in selected and information is used for example defining alert critically.

Data migrations

Do not click “Migrate attribute mappings” or “Migrate workflows”, if not requested to do so by Matrix42.

uid générales pour les tâches planifiées

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
Note! If connector is not created, you have to choose first New connector and after that New task.

4. Continue with connector specific instructions: Native Connectors

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database), thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run.

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration:

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Examples for scheduling,

Total amount of users	Total amount of groups	Full load sequence	Incremental load sequence
< 500	< 1000	Every 30 minutes if partial load is not used Four (4) times a day if partial load is used	Every 10 minutes
< 2000	< 2000	Every 60 minutes, if partial load is not used Four (4) times a day if partial load is used	Every 15 minutes
< 5000	< 3000	Every four (4) hours, if partial load is not used Twice a day if partial load is used	Every 15 minutes
< 10 000	< 5000	Maximum imports twice a day, no matter if partial load is or is not used	Every 30 minutes
< 50 000	< 7000	Maximum import once a day, no matter if partial load is or is not used	Every 60 minutes
Over 50 000	Over 7000	There might be a need for another EPE-worker, please contact Product Owner	Separately evaluated

Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups).

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

Feature works only with full fetch scheduled tasks..
No support for generic templates yet, only identity and access
When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
EPE does not enable users back on its own.
If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.

Instructions client

Les instructions destinées aux clients peuvent être trouvées ici .

Configurer le connecteur AD

Dans ce chapitre sont décrites les instructions de configuration du connecteur AD pour pouvoir se connecter aux clients Active Directory ( AD ).

Pour accéder à la gestion des connecteurs, l'utilisateur doit disposer des autorisations nécessaires à la configuration de la plateforme Efecte.

1. Ouvrez la zone d’administration d’Efecte (un symbole d’engrenage).
2. Ouvrez la vue des connecteurs.
3. Choisissez un nouveau connecteur

4. Sélectionnez le type de source de données Microsoft Active Directory

5. Remplissez les informations relatives aux AD clients

Nom du connecteur - donnez à votre connecteur un nom convivial (le nom peut être modifié par la suite)
Hôte AD - adresse de l'hôte qui sera utilisée pour se connecter aux clients AD
Port AD - numéro de port qui sera utilisé pour se connecter au client AD
Nom d'utilisateur AD - nom du compte de service utilisé pour lire et écrire des données vers/depuis les clients AD
Mot de passe AD - mot de passe du compte de service

6. Remplissez les informations utilisateur API Web

Utilisateur API Web - sélectionnez l'utilisateur API Web correct qui est utilisé lors de l'écriture de données de AD des clients vers la solution Efecte des clients
Mot de passe de API Web - mot de passe de l'utilisateur de l' API Web

7. Enregistrer les informations du connecteur

Appuyez sur « Test de connexion » pour valider que les informations sur le port et l'hôte sont correctement définies.
Appuyez sur le test d'authentification pour valider que les informations d'utilisateur et de mot de passe AD (compte de service) sont correctement définies

8. La solution Clients Efecte est désormais capable de se connecter aux AD des clients

L’étape suivante consiste à configurer une tâche planifiée pour la lecture des données ou une tâche événementielle pour l’écriture des données.

Configurer une tâche planifiée pour la lecture des données

Le connecteur AD est utilisé pour lire les informations sur les utilisateurs et les groupes à partir AD des clients et il est configuré à partir de la plate-forme Efecte en créant une tâche planifiée.

Comment créer une nouvelle tâche pour Pro planifiée

Pour configurer une tâche planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

Remarque ! Si aucun connecteur n'est créé, vous devez d'abord créer un « nouveau connecteur » avant de pouvoir créer de nouvelles tâches.

1. Ouvrez la zone d’administration d’Efecte (un symbole d’engrenage).
2. Ouvrez la vue des connecteurs.
3. Choisissez le connecteur pour lequel la tâche planifiée est configurée
4. Sélectionnez une nouvelle tâche sous le connecteur approprié

4. Définissez la planification de la tâche (si et comment la tâche planifiée doit être exécutée périodiquement). Choisissez la séquence de planification, qui dépend de la quantité de données lues par la solution Efecte du client.

Séquence de planification recommandée, dépend de la quantité de données lues depuis le répertoire des clients vers la solution Efecte et est une importation partielle ou complète.

Exemple de planification pour les groupes de lecture et les comptes utilisateurs.

Nombre total d'utilisateurs	Nombre total de groupes	Séquence de charge complète	Séquence de charge partielle
< 500	< 1000	Toutes les 30 minutes si la charge partielle n'est pas utilisée Quatre (4) fois par jour si une charge partielle est utilisée	Toutes les 10 minutes
< 2000	< 2000	Toutes les 60 minutes, si la charge partielle n'est pas utilisée Quatre (4) fois par jour si une charge partielle est utilisée	Toutes les 15 minutes
< 5000	< 3000	Toutes les quatre (4) heures, si la charge partielle n'est pas utilisée Deux fois par jour si une charge partielle est utilisée	Toutes les 15 minutes
< 10 000	< 5000	Importations maximales deux fois par jour, peu importe si une charge partielle est utilisée ou non	Toutes les 30 minutes
< 50 000	< 7000	Importation maximale une fois par jour, peu importe si une charge partielle est utilisée ou non	Toutes les 60 minutes
Plus de 50 000	Plus de 7000	Il pourrait être nécessaire de faire appel à un autre travailleur EPE, veuillez contacter le propriétaire Pro produit.	Évalué séparément

5. Remplissez les détails de la tâche

Saisissez un nom de tâche unique pour la tâche planifiée. Notez que le nom ne peut pas être modifié par la suite.
L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données, ou pour l'authentification. Notez que toute modification ultérieure du type d'événement peut interrompre les flux de travail.
Le type de mappage dépend du type d'informations lues dans le répertoire
- Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues à partir de l'annuaire
- Unique (identité uniquement) - sont utilisés lorsque seules les informations du compte utilisateur sont lues à partir du répertoire
- Unique (droit d'accès uniquement) - sont utilisés lorsque seules les informations de groupe sont lues à partir du répertoire
- Générique (un modèle) - sont utilisés lorsqu'une information générique est lue à partir du répertoire, généralement autre que les utilisateurs/groupes

Remplissez les détails de filtrage,

Récupérer des données
- Complet - toutes les informations sont lues selon un filtrage défini
- Incrémentiel - seules les informations modifiées sont transmises à la solution Efecte
Récupérer les données depuis la racine de l'arborescence LDAP – Paramètre facultatif. Permet de récupérer les utilisateurs et les groupes depuis la racine de l'arborescence LDAP, en échange d'une réduction de la vitesse de provisionnement.

Filtrage basé sur l'UO

Nom du filtre : LDAP userBase / LDAP userFilter

Ce filtre est généralement défini avec le chemin d'accès de l'UO, à partir duquel les utilisateurs sont lus et il inclut également toutes les sous-UO dans l'importation, mais il permet également plusieurs autres possibilités de filtrage,

Exemples d’autres filtres utilisateur couramment utilisés :

L'exemple suivant recherche les objets utilisateur : (&(objectCategory=person)(objectClass=user))
L'exemple suivant recherche les objets utilisateur, ordinateur et contact : (objectClass=person)
L'exemple suivant recherche les objets utilisateur et contact : (objectCategory=person)
L'exemple suivant recherche tous les objets utilisateur activés : (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
L'exemple suivant recherche un objet utilisateur et un objet contact qui ont un e-mail et SAMAccountName (&(objectCategory=person)(sAMAccountName=*)(mail=*))

Filtrage de l'unité d'organisation, d'où les utilisateurs sont lus

Nom du filtre : AD ignoreOusForUsers

Ce filtre permet d'exclure certaines sous-unités d'organisation de l'importation (par exemple, OU=Sales,DC=adtest,DC=local). Les utilisateurs seront ignorés s'ils appartiennent directement à l'une des unités d'organisation définies et/ou à une sous-arborescence de l'une de ces unités.

Filtrage basé sur des utilisateurs uniques

Nom du filtre : Utilisateurs exclus

Ce filtre permet d'exclure des utilisateurs spécifiques de l'importation. Pour LDAP, utilisez les noms distinctifs des groupes à exclure (séparés par des sauts de ligne).

Filtrage des groupes

Nom du filtre : AD groupBase / AD groupFilter

Ce filtre est généralement défini sur le chemin d'accès de l'unité d'organisation (UO) d'où proviennent les groupes. Toutes les sous-UO seront incluses dans l'importation (exemple : UO=Finance,DC=adtest,DC=local). Les utilisateurs seront ignorés s'ils se trouvent directement dans l'une des UO définies et dans une sous-arborescence d'une UO déjà définie.

Exemples d’autres filtres de groupe couramment utilisés :

L'exemple suivant recherche des objets de groupe :
(objectCategory=groupe)
L'exemple suivant recherche des objets de groupe qui ont une valeur dans cn :
(&(objectCategory=groupe)(cn=*))
L'exemple suivant recherche des objets de groupe qui ont une valeur dans leur description :
(&(objectCategory=groupe)(description=*))
L'exemple suivant recherche tous les objets de groupe de sécurité :
(type de groupe : 1.2.840.113556.1.4.803 : = 2147483648)

Filtrage des unités d'organisation (UO) à partir desquelles les groupes ne sont pas lus

Nom du filtre : AD ignoredOusForGroup

Filtrage de groupes individuels

Nom du filtre : Groupes exclus

Ce filtre permet d'exclure des groupes spécifiques de l'importation. Pour LDAP, utilisez les noms distinctifs des groupes à exclure (séparés par des sauts de ligne).

Filtrage des utilisateurs en fonction de leur appartenance à un groupe

Nom du filtre : Exclure les utilisateurs avec des groupes spécifiques

Ce filtre permet d'exclure des utilisateurs spécifiques de l'importation en fonction de leur appartenance à un groupe. Pour LDAP, utilisez les noms distinctifs des groupes à exclure (séparés par des sauts de ligne). Pour les tâches Azure , indiquez les identifiants d'objet des groupes à exclure (séparés par des sauts de ligne).

Remplissez les informations d'échec

Paramètres facultatifs pour la gestion des échecs : en cas d'échec d'une tâche planifiée, une carte de données affichant l'erreur peut être créée. Si des paramètres d'échec sont définis, l'administrateur n'a pas besoin de vérifier manuellement l'état des tâches planifiées.

Modèle d'échec - Sélectionnez un modèle de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)
Dossier d'échec - Sélectionnez le dossier dans lequel la carte de données d'échec est stockée.
Attribut d'échec - Sélectionnez un attribut dans lequel les informations d'erreur doivent être stockées dans le modèle d'échec. Sélectionnez l'attribut de type texte.

Exemple de tâche d'administration IGA , qui peut également contenir des instructions sur la façon de résoudre les problèmes,

6. Remplissez les mappages d'identité

Les utilisateurs sont importés dans le modèle de compte IGA et il est obligatoire de définir le dossier cible, l'ID de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients AD et la solution Efecte. Par exemple :

Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
Sélectionnez un modèle pour définir les mappages d'attributs
Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
Mappages d'attributs
1. Attribut externe - quel attribut du répertoire/système est mappé
2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé

7. Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans AD , en choisissant Nouvel attribut

Supprimer

Avis

Le modèle de compte IGA est conçu pour Efecte Provisioning Engine et en l'utilisant, l'environnement client est correctement configuré et le client bénéficiera de tous les avantages du composant.

Les informations importantes (nom et attributs d'identification) du compte AD des utilisateurs sont affichées dans le modèle Personne, mais les informations principales sont disponibles dans le modèle Compte IGA .

La lecture des informations utilisateur directement dans le modèle Person n'est pas recommandée et une configuration supplémentaire pourrait être nécessaire à l'avenir, lorsque l'environnement du client sera mis à jour vers une version plus récente ou que le client souhaitera étendre sa plate-forme avec de nouvelles solutions Efecte.

Il est recommandé de lire directement aux utilisateurs le modèle Personne si le client utilise uniquement Efecte Identity Management (EIM) pour l'authentification.

8. Renseignez les mappages de droits d'accès

Les groupes sont lus selon le modèle d'autorisation IGA et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les utilisateurs entre les clients AD et la solution Efecte.

Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
Sélectionnez un modèle pour définir les mappages d'attributs
Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
Mappages d'attributs
1. Attribut externe - quel attribut du répertoire/système est mappé
2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans le répertoire, en choisissant Nouvel attribut

9. Mappages pour modèle générique

Les données génériques sont lues selon le modèle souhaité par l'utilisateur et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les données entre les clients AD et la solution Efecte.

Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
Sélectionnez un modèle pour définir les mappages d'attributs
Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
Mappages d'attributs
1. Attribut externe - quel attribut du répertoire/système est mappé
2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans AD , en choisissant le bouton Nouvel attribut.

Supprimer

Avis

Le modèle d'autorisation IGA est conçu pour Efecte Provisioning Engine et en l'utilisant, l'environnement client est configuré correctement et le client bénéficiera de tous les avantages du composant.

Le modèle de groupe AD n'est pas nécessaire pour Efecte Provisioning Engine , mais avant de le supprimer, assurez-vous que les détails d'audit obligatoires sont stockés.

Il n'est pas recommandé de lire les informations du groupe directement dans le modèle AD -Group et une configuration supplémentaire pourrait être nécessaire à l'avenir, lorsque l'environnement du client sera mis à jour vers une version plus récente ou que le client souhaitera étendre sa plate-forme avec de nouvelles solutions Efecte.

Il est recommandé de lire les groupes directement dans le modèle de groupe AD si le client utilise uniquement Efecte Identity Management (EIM) pour l'authentification.

11. Enregistrez la tâche de provisionnement via le bouton Enregistrer. Si certains attributs requis sont manquants, le bouton Enregistrer s'affiche en gris et affiche les paramètres manquants.

12. Vous avez maintenant configuré une tâche de connecteur planifiée pour la lecture des données AD .

Vous pouvez désormais attendre que la tâche soit démarrée en fonction de la planification ou
Exécuter la tâche manuellement : en cliquant sur le bouton « Exécuter la tâche », la tâche démarre immédiatement. Généralement, c'est pour des tests ou si vous ne souhaitez pas modifier les paramètres de planification, mais souhaitez exécuter la tâche immédiatement.

En cliquant sur « Exécuter la tâche », l’utilisateur est informé de l’exécution

Si la tâche est exécutée manuellement ( exécuter la tâche ) ou si elle est exécutée selon une planification, l'état de la tâche peut être consulté à partir de « Afficher l'historique » :

Configurer la tâche événementielle pour l'écriture des données

La tâche événementielle est utilisée lors de l'écriture de données vers Active Directory . Ces fonctionnalités du moteur de Pro liées aux comptes, aux groupes et aux autorisations, sont disponibles uniquement pour la solution IGA . Une licence IGA est requise pour leur utilisation.

Toutes les configurations liées au moteur de Pro et à la tâche de provisionnement basée sur les événements sont configurées dans les plates-formes Matrix42 Core , Pro and IGA .

Ouvrez la vue de configuration de la plateforme Efecte (un symbole d'engrenage).
Ouvrir la vue des connecteurs
Choisissez le connecteur qui utilisera la tâche événementielle
Sélectionnez « Nouvelle tâche » sous le connecteur approprié

4. Remplissez les détails de la tâche

Nom de la tâche - Donnez un nom à la tâche, il sera affiché dans la vue des connecteurs.
- Il est recommandé de nommer une tâche d'une manière qui décrit son objectif, par exemple [Nom du modèle] : [Activité] Demande de service IGA : Vérifier l'utilisateur
L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données. Elle peut être modifiée ultérieurement, mais elle est déconseillée si une tâche événementielle est utilisée. Cela perturberait les flux de travail.
Le type de mappage dépend du type d'informations lues dans le répertoire. Les sélections de mappages d'identité sont affichées en fonction de ce paramètre.
- Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues (ou écrites) dans le répertoire
- Unique (identité uniquement) - est utilisé lorsque seules les informations du compte utilisateur sont lues (ou écrites) dans le répertoire
- Unique (droit d'accès uniquement) - est utilisé lorsque seules les informations de groupe sont lues (ou écrites) dans le répertoire
- Générique (un modèle) : utilisé lorsque des informations génériques sont lues (ou écrites) dans l'annuaire. Il s'agit généralement de données autres que des informations sur les utilisateurs ou les groupes.

Avertissement concernant la modification de l'utilisation ou du type de mappage des tâches lors de l'utilisation d'une tâche événementielle. En règle générale, il est déconseillé de les modifier après la première sauvegarde.

5. Remplissez les informations de sécurité

Ces informations sont nécessaires si le processus de création d'utilisateur dans le workflow est associé à la tâche.

Mot de passe pour la première connexion - Mot de passe par défaut qui est le même pour tous les utilisateurs, un mot de passe aléatoire est généré dans le flux de travail et il est généralement unique.
- Mot de passe par défaut / saisissez-le dans la case ci-dessous
  - Mot de passe par défaut : saisissez un mot de passe par défaut identique pour tous les utilisateurs et conforme aux exigences de l'annuaire. Notez que le nombre de caractères ne représente pas la longueur réelle du mot de passe.
  - Il n'est pas recommandé dans les environnements de production d'avoir le même mot de passe pour tous les nouveaux comptes
- Mot de passe aléatoire / générer dans le workflow
  - Mot de passe généré

Filtration

Lorsque des données sont écrites dans le répertoire client, un filtrage est nécessaire pour que le connecteur sache dans quelle unité organisationnelle les informations sont écrites.

Filtrage des unités d'organisation où les utilisateurs sont écrits

Nom du filtre : Sélection du mode AD userBase / AD userFilter

Lire le chemin de l'unité d'organisation à partir de la carte de données - le connecteur lit à partir de
Tapez base de recherche / filtre de recherche dans la case ci-dessous
- AD userBase / AD userFilter - exemples ici
- AD a ignoré OusForUser - exemples ici

Nom du filtre : Groupe AD / Groupe ADSélection du mode de AD

Lire le chemin de l'unité d'organisation à partir de la carte de données - le connecteur lit à partir de
Tapez base de recherche / filtre de recherche dans la case ci-dessous
- AD groupBase / AD userFilter - exemples ici
- AD a ignoré OusForGroup - exemples ici

Filtrage des informations de type de mappage de modèles génériques

Nom du filtre : AD searchBase / AD searchFilter - exemple ici

6. Définir les mappages d'identité

Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
Sélectionnez un modèle pour définir les mappages d'attributs
Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
Mappages d'attributs
1. Attribut externe - quel attribut du répertoire/système est mappé
2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes d'utilisateurs dans AD , en choisissant le bouton Nouvel attribut.

7. Définir les mappages de droits d'accès

Modèle cible - Sélectionnez un modèle pour définir les mappages de droits d'accès
Sélectionnez un modèle pour définir les mappages d'attributs
Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
Mappages d'attributs
1. Attribut externe - quel attribut du répertoire/système est mappé
2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus à partir de groupes dans AD , en choisissant le bouton Nouvel attribut.

8. Définir des mappages génériques

Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
Sélectionnez un modèle pour définir les mappages d'attributs
Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
Mappages d'attributs
1. Attribut externe - quel attribut du répertoire/système est mappé
2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus depuis AD , en choisissant le bouton Nouvel attribut.

8. Enregistrez la tâche de provisionnement à partir du bouton « Enregistrer »

Si des informations obligatoires sont manquantes, vous ne pourrez pas enregistrer la tâche et le bouton Enregistrer affichera les informations manquantes.

9. L'étape suivante consiste à configurer le nœud d'orchestration du workflow pour utiliser cette tâche événementielle. Depuis le moteur de workflow, il est possible d'exécuter des activités de provisionnement vers les services d'annuaire client. Cela signifie que n'importe quelle activité du nœud d'orchestration disponible peut être exécutée à tout moment du workflow.

Les références de workflow sont affichées dans la page de présentation du connecteur :

Configurer la tâche d'authentification

La tâche d'authentification est nécessaire lorsque les clients AD sont utilisés pour authentifier les utilisateurs auprès des clients Efecte Solutions.

Il existe deux options pour créer une tâche d'authentification. La première consiste à copier la tâche de provisionnement existante dans la tâche d'authentification, si la méthode d'authentification utilise les mêmes paramètres. La deuxième option consiste à créer une nouvelle tâche d'authentification.

Option 1 : Créer une nouvelle tâche d'authentification à partir d'une tâche de provisionnement

1. Ouvrez la zone d'administration (symbole d'engrenage)
2. Choisissez l'onglet Connecteurs, copiez la tâche souhaitée à partir du bouton Cloner

3. Donnez un nom à la nouvelle tâche d'authentification et modifiez l'utilisation de la tâche pour qu'elle soit authentification

4. Remplissez les champs obligatoires et enregistrez la tâche

Option 2 : Créer une nouvelle tâche d'authentification

1. Ouvrez la zone d'administration (symbole d'engrenage)
2. Choisissez le module Connecteurs
3. Choisissez l'onglet Authentification
4. Choisissez le connecteur et créez une nouvelle tâche

5. Donnez un nom à votre tâche d'authentification

6. Sélectionnez l'utilisation de la tâche à authentifier

7. Définir des filtres pour les utilisateurs

Le plus souvent, pour l'authentification AD les chemins d'organisation sont utilisés pour définir qui peut accéder aux solutions Efecte

8. Définir des filtres pour les groupes

À partir de là, les groupes nécessaires peuvent être lus pour mettre en œuvre la solution à partir de l' AD du client

7. Sélectionnez le domaine d’authentification.

Domaine pour lequel la configuration d'authentification sera créée dans ESA

8. Enregistrez la tâche et exécutez ESA Sync

La synchronisation des informations exécutera automatiquement la configuration dans Efecte Secure Access

9. L’étape suivante consiste à passer aux instructions de configuration Efecte Secure Access en fonction de la méthode d’authentification requise.

Instructions pour les versions 2024.1 et antérieures

Instructions client

Les instructions destinées aux clients peuvent être trouvées ici .

Configurer une tâche planifiée

Efecte Provisioning Engine est utilisé pour lire les informations sur les utilisateurs et les groupes à partir AD des clients et il est configuré à partir de la plate-forme Efecte Service Management en créant une tâche de provisionnement planifiée.

Séquence de planification recommandée, dépend de la quantité de données lues depuis le répertoire des clients vers la solution Efecte et est une importation partielle ou complète.

Nombre total d'utilisateurs	Nombre total de groupes	Séquence de charge complète	Séquence de charge partielle
< 500	< 1000	Toutes les 30 minutes si la charge partielle n'est pas utilisée Quatre (4) fois par jour si une charge partielle est utilisée	Toutes les 10 minutes
< 2000	< 2000	Toutes les 60 minutes, si la charge partielle n'est pas utilisée Quatre (4) fois par jour si une charge partielle est utilisée	Toutes les 15 minutes
< 5000	< 3000	Toutes les quatre (4) heures, si la charge partielle n'est pas utilisée Deux fois par jour si une charge partielle est utilisée	Toutes les 15 minutes
< 10 000	< 5000	Importations maximales deux fois par jour, peu importe si une charge partielle est utilisée ou non	Toutes les 30 minutes
< 50 000	< 7000	Importation maximale une fois par jour, peu importe si une charge partielle est utilisée ou non	Toutes les 60 minutes
Plus de 50 000	Plus de 7000	Il pourrait être nécessaire de faire appel à un autre travailleur EPE, veuillez contacter le propriétaire Pro produit.	Évalué séparément

Comment créer une nouvelle tâche pour Pro planifié

Pour configurer une tâche de provisionnement planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

1. Ouvrez la zone Administration des effets (symbole d'engrenage).
2. Ouvrir la vue IGA
3. Choisissez Ajouter une nouvelle tâche pour la planification basée sur Pro planification

4. Choisissez Microsoft Active Directory dans la liste Ajouter une nouvelle tâche
5. Renseignez un nom unique pour la tâche de provisionnement
6. Choisissez l'utilisateur API Web et saisissez le mot de passe
7. Sélectionnez un modèle d'échec de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)

8. Choisissez la séquence de planification, qui dépend de la quantité de données lues par les clients. Solution Efecte

9. Remplissez la section Pro , où les informations de connexion sont définies et les filtres pour la lecture des informations utilisateur et groupe à partir AD clients

Veuillez consulter la description du composant Efecte Provisioning Engine pour obtenir des informations détaillées sur les filtres et la manière dont ils peuvent être utilisés.

10. Les utilisateurs sont importés dans le modèle de compte IGA et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les utilisateurs entre les clients AD et la solution Efecte.

11. Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans AD , en choisissant Ajouter une propriété

En référence, la valeur par défaut définie pour AD est

12. Les groupes sont lus selon le modèle d'autorisation IGA et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les utilisateurs entre les clients AD et la solution Efecte.

13. Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans AD , en choisissant Ajouter une propriété

14. Enregistrez la tâche de provisionnement à partir de la barre supérieure

15. Vous avez maintenant configuré la tâche de provisionnement planifiée et vous pouvez

Tester la connexion
Tester l'authentification
Exécuter la tâche manuellement

16. Si la tâche est exécutée manuellement ( exécuter la tâche manuellement ) ou si elle est exécutée selon la planification, l'état de la tâche peut être consulté sous l'onglet Extraire/Charger l'état .

Plus d'informations sur la surveillance et la journalisation sont disponibles dans la description du composant Efecte Provisioning Engine

Configurer une tâche basée sur les événements

La tâche Pro basé sur les événements est utilisée lors de l'écriture de données vers Active Directory . Ces fonctionnalités Efecte Provisioning Engine sont disponibles uniquement pour la solution Efecte IGA ; une licence IGA est requise pour leur utilisation.

Toutes les configurations liées à Efecte Provisioning Engine et à la tâche de provisionnement basée sur les événements sont configurées dans la plate-forme Efecte Service Management.

1. Choisissez Microsoft Active Directory dans la liste Ajouter une nouvelle tâche
2. Sélectionnez le type de provisionnement Pro basé sur les événements
3. Sélectionnez le type de mappage : Identité unique uniquement, Unique (droits d'accès uniquement) ou Identité et droits d'accès.
« Identité uniquement » - seuls les mappages des utilisateurs sont disponibles, « Droits d'accès uniquement » - seuls les mappages des groupes sont disponibles.
4. Renseignez un nom unique pour la tâche de provisionnement (par exemple, [Nom du modèle] : [Activité] Demande de service IGA : Vérifier l'utilisateur )

5. Remplissez la section Pro , où les informations de connexion sont définies et filtrent les informations utilisateur et groupe des clients AD .

Remarque ! Il est toujours recommandé de sécuriser la connexion entre Efecte Provisioning Engine et les services d'annuaire.

Exemple de paramètres de connexion

Filtrage des utilisateurs et des groupes

5.1 Base d'utilisateurs LDAP / Filtre d'utilisateurs LDAP
Dans ce filtre, les chemins d'accès OU où les utilisateurs sont écrits sont généralement définis.

Exemples de filtres utilisateur couramment utilisés :

L'exemple suivant recherche des objets User
(&(objectCategory=personne)(objectClass=utilisateur))
L'exemple suivant recherche les objets Utilisateur, Ordinateur et Contact
(objectClass=personne)
L'exemple suivant recherche les objets Utilisateur et Contact
(objectCategory=personne)
L'exemple suivant recherche tous les objets utilisateur activés
(&(objectCategory=personne)(objectClass=utilisateur)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

5.2 LDAP ignoréOusForUsers
Ce filtre peut être utilisé dans le provisionnement basé sur les événements uniquement avec les activités de vérification.

Exemple Les ventes sont ignorées

5.3 LDAP groupBase / LDAP groupFilter
Dans ce filtre, le chemin d'accès OU où les groupes sont écrits est généralement défini.

Exemple de Groupbase et de filtre

5.4 LDAP ingronedOusForGroups
Ce filtre peut être utilisé dans le provisionnement basé sur les événements uniquement avec des activités de vérification (par exemple, OU=Sales,DC=adtest,DC=local). Les groupes seront ignorés s'ils existent directement dans l'une des unités d'organisation définies et également s'ils existent dans une sous-arborescence de l'une d'elles.

Exemple d'unité d'organisation de sécurité ignorée

6. Définissez les mappages d’attributs.

Il est possible de définir des attributs supplémentaires en choisissant Ajouter une propriété personnalisée.
Dans la tâche de provisionnement basée sur les événements, il est possible de définir quelles informations d'attribut dans la solution IGA sont écrites dans le répertoire.
Il peut y avoir plusieurs tâches de provisionnement à des fins différentes, comme une pour créer des utilisateurs et une pour supprimer des utilisateurs de l'annuaire.

Exemples de mappages pour le stockage d'identité

7. Enregistrez la tâche de provisionnement à partir de la barre supérieure

8. Vous avez maintenant configuré la tâche de provisionnement basée sur les événements et vous pouvez

Tester la connexion
Tester l'authentification

9. L'étape suivante consiste à configurer le workflow pour utiliser cette tâche événementielle. Depuis le moteur de workflow de la plateforme Efecte Service Management, il est possible d'exécuter des activités de provisionnement vers les services d'annuaire client. Cela signifie que n'importe quelle activité disponible peut être exécutée à tout moment du workflow.

Configurer la tâche d'authentification

Option 1 : Créer une nouvelle tâche d'authentification à partir d'une tâche de provisionnement

1. Ouvrez la zone d'administration (symbole d'engrenage)
2. Choisissez l'onglet IGA , copiez la tâche souhaitée à partir du bouton Cloner

3. Donnez un nom à la nouvelle tâche d'authentification

4. Après avoir enregistré, modifiez le type de provisionnement de l'authentification.

5. Remplissez les champs obligatoires et enregistrez la tâche

Option 2 : Créer une nouvelle tâche d'authentification

1. Ouvrez la zone Administration (symbole de la roue dentée)
2. Choisissez l'onglet IGA
3. Choisissez Ajouter une nouvelle tâche et le répertoire correct
4. Définissez le type de provisionnement sur Authentification

5. Remplissez les informations obligatoires
6. Définir des filtres pour les utilisateurs et les groupes
7. Enregistrez la tâche et exécutez la synchronisation avec ESA

Avis!

Si la synchronisation doit être désactivée lors de l'authentification, accédez au conteneur esa et ouvrez le fichier /opt/esa/epe_synch.config. Modifiez les valeurs suivantes : de « true » à « false ».

synchronize_user_federations=false
synchronize_identity_providers=false

Lorsque la modification ci-dessus est effectuée dans le fichier « /opt/esa/epe_synch.config », la synchronisation sera toujours désactivée.

8. Passez aux instructions de configuration Efecte Secure Access selon le protocole d'authentification

Activités de workflow (nœuds d'orchestration)

Le Efecte Provisioning Engine (EPE) offre la possibilité d'orchestrer les activités suivantes sur Microsoft Active Directory .

Activer / Désactiver l'utilisateur

Dans l'illustration ci-dessus, les administrateurs ont sélectionné la cible Active Directory appropriée et peuvent consulter les mappages d'identité configurés pour les tâches AD sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches Pro .

Dans ce même nœud, les administrateurs peuvent choisir l'action qu'ils préfèrent utiliser : « Activer » ou « Désactiver ». Active Directory : la fonctionnalité « Activer/Désactiver » consiste ici à définir l'attribut Active Directory « useraccountcontrol » sur la valeur « 512/514 » (Activer/Désactiver).

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Ajouter un utilisateur au groupe

Dans l'illustration ci-dessus, la configuration de l'attribut Personne doit pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur (généralement le compte IGA ). L'attribut Rôle doit être configuré pour définir où le nœud d'orchestration trouve les rôles disponibles (groupes d'annuaires dont l'utilisateur doit être supprimé). Un ou plusieurs groupes d'attributs peuvent être configurés dans un attribut Rôle. La liste des tâches d'annuaire enregistrées disponibles est extraite du maître EPE.

Il est nécessaire de sélectionner la tâche d'annuaire, car le nœud d'orchestration Efecte Provisioning Engine utilisera le mappage des champs d'identité et de droits d'accès pour savoir sous quel code d'attribut, les noms distinctifs de l'utilisateur et du groupe d'annuaires sont stockés.

Gestion des exceptions :

Le résultat d'un nœud sera à l'état « Terminé » uniquement si toutes les appartenances aux groupes de l'utilisateur ont été mises à jour avec succès. Si, par exemple, l'utilisateur est supprimé de 5 groupes sur 6, le résultat d'un nœud sera à l'état « Exception ».
Par conséquent, le mappage du champ JSON distinguishedName, pour l'identité et les droits d'accès, est requis. Si le mappage est introuvable, le nœud d'orchestration affichera un état « Exception ».
La tentative de supprimer un utilisateur d'un groupe auquel il n'appartient pas se terminera par un échec.
La tentative d'ajouter un utilisateur à un groupe auquel il appartient déjà se terminera par un échec.
Les détails sur l'appartenance au groupe d'un utilisateur mis à jour avec succès ou non peuvent être trouvés dans les journaux.
Les exceptions de Pro et d'appartenance aux groupes sont des propriétés facultatives pour ce nœud de workflow. Les administrateurs peuvent configurer ces propriétés pour qu'elles puissent être utilisées et créer des exceptions si des exceptions surviennent lors des actions de provisionnement.

Créer un objet personnalisé

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . L'administrateur a sélectionné l'annuaire AD approprié comme « cible » et peut consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration d'objet personnalisé créé lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Il est important de vérifier que le mappage d'identité est utilisé dans le nœud d'orchestration d'objet personnalisé créé.

Créer un utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent l'annuaire cible approprié et peuvent consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Il est important de vérifier que le mappage d'identité utilisé dans le nœud d'orchestration de création d'utilisateur contient au moins deux mappages Active Directory supplémentaires : pour les attributs « cn » et « sAMAccountName ». Si ces deux mappages sont manquants dans une configuration donnée, ils ne seront pas affichés dans la liste déroulante.

Création de nouvelles notes d’activité utilisateur :

Il existe deux manières de créer le mot de passe d'un nouvel utilisateur pour sa première connexion.
- Définir le mot de passe « Par défaut » dans la vue de configuration de la tâche de Pro
  - Ce mot de passe ne sera utilisé par les utilisateurs que lorsqu'ils se connecteront au système pour la première fois.
- Générer un mot de passe aléatoire dans le flux de travail et sélectionner dans quel attribut de la carte de données de mappage d'identité il a été écrit
- Dans les deux cas, la valeur du premier mot de passe « pwdLastSet » est définie sur zéro (0) pour forcer un utilisateur à modifier son mot de passe après la première connexion.
- Possibilité de choisir si le mot de passe doit être modifié à la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Création d'utilisateur » du workflow.
Il existe différentes manières de fournir un mot de passe pour la première connexion de l'utilisateur final. Selon les besoins du client, il est possible d'utiliser les fonctionnalités du workflow pour envoyer le mot de passe directement à l'utilisateur final par e-mail ou SMS. Une autre option consiste à envoyer le mot de passe de première connexion au responsable, qui le fournira à l'utilisateur final. Le nœud d'orchestration d'EPE ne fournit pas cette fonctionnalité ; elle doit être définie ailleurs.
La configuration de la « Cible » s'effectue dans la vue de configuration de la tâche de provisionnement. Pour créer de nouveaux utilisateurs, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base d'utilisateurs LDAP/un seul filtre d'utilisateurs LDAP afin d'éviter tout conflit dans le workflow.
L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Créer un groupe

Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages des droits d'accès configurés pour les tâches AD sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'un nouvel utilisateur lit les attributs des cartes de données en question et exécute la commande LDAP sur Active Directory .

Il est important de s'assurer que le mappage des droits d'accès, utilisé dans le nœud d'orchestration Créer un groupe, contient au moins deux mappages Active Directory supplémentaires : pour les attributs « cn » et « sAMAccountName ».

Supprimer l'objet personnalisé

Dans l'illustration ci-dessus, l'attribut Nom d'objet définit l'objet supprimé par EPE. Dans cet exemple, EPE supprime DN.

Supprimer le groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration de suppression de groupe lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Pour les configurations basées sur Active Directory , l'attribut « Groupe de rôles » doit contenir le nom distinctif du groupe.

Supprimer l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration de suppression d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Pour les configurations basées sur Active Directory , l'attribut « Person » doit contenir le nom distinctif de l'utilisateur.

Gérer les adresses Pro

Il existe trois possibilités différentes : définir, mettre à jour et supprimer des adresses proxy.

Ensemble : l'administrateur sélectionne un attribut dans l'interface utilisateur du workflow d'ESM (il peut s'agir d'un attribut à valeur unique ou multiple) - Ensuite, le nœud de workflow contacte AD , trouve le compte utilisateur et définit la valeur dans proxyAddresses (cette action est utilisée pour définir la valeur sur proxyAddresses la première fois - la valeur précédente dans AD est nulle).

Mise à jour : l'administrateur sélectionne deux attributs dans l'interface utilisateur du workflow ESM : l'un pour la valeur actuelle et l'autre pour la nouvelle valeur. Le nœud Workflow contacte ensuite AD , recherche le compte utilisateur et met à jour les adresses proxy existantes. Il recherche la valeur actuelle dans la liste, modifie son préfixe SMTP en SMTP et ajoute la nouvelle valeur avec le préfixe SMTP (les autres valeurs restent dans les adresses proxy).

Lors de l'action de mise à jour, utilisez des attributs à valeur unique pour l'adresse actuelle et l'adresse à mettre à jour, comme ceci :

Supprimer : l'administrateur sélectionne un attribut dans l'interface utilisateur du workflow d'ESM (il peut s'agir d'un attribut à valeur unique ou multiple) - Ensuite, le nœud de workflow contacte AD , recherche le compte utilisateur et supprime la valeur de la liste proxyAddresses (les autres valeurs restent dans proxyAddresses).

Lire les données de l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages configurés pour les tâches AD sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Supprimer l'attribut utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration des attributs utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Dans la propriété « Attribut(s) à supprimer », l'administrateur peut définir l'attribut à supprimer d' Active Directory . Indiquez le nom de l'attribut à supprimer. Une chaîne peut contenir des attributs à valeurs multiples, comme « Ville », « Centre de coûts », « Mobile ».

Supprimer l'utilisateur du groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration de suppression d'attributs utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Dans la propriété « Attribut(s) à supprimer », l'administrateur peut définir l'attribut à supprimer d' Active Directory .

Réinitialiser le mot de passe de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Les attributs Personne et Mot de passe doivent pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur.

La valeur du mot de passe utilisateur « pwdLastSet » est définie sur zéro (1), ce qui signifie qu'il n'est pas nécessaire de le modifier lors de la première connexion. Depuis la version 2022.3 d'EPE, nous avons mis en place la possibilité de choisir si le mot de passe doit être modifié lors de la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » du workflow.

Exécuter la tâche de provisionnement

Cette activité est utilisée lorsque toutes les informations du répertoire sont immédiatement nécessaires.

Dans l'illustration ci-dessus, les administrateurs peuvent choisir le répertoire cible approprié. Exécutez le nœud d'orchestration de la tâche de provisionnement pour lire les attributs d' Active Directory vers les comptes IGA .

Les exigences pour la tâche EPE « Cible » sont :

La tâche doit être de type « Tâche planifiable » et non basée sur un événement
Le modèle de workflow doit être identique au modèle de mappage d'identité
La tâche doit être planifiée à un moment donné - elle marque une tâche à « activer » puis
Les mappages doivent être distincts, pas de mappages dupliqués dans la tâche

Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement pour pouvoir être modifiés dans le nœud d'orchestration.

Déverrouiller l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration utilisateur déverrouillé lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Il est important de prendre en compte dans les configurations que « Attribut de personne » doit contenir le nom distinctif de l'utilisateur.

Mettre à jour l'objet personnalisé

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. La classe d'objet personnalisée définit l'objet mis à jour par EPE (dans cet exemple, il s'agit de Contact). Elle lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Groupe de mise à jour

Dans l'illustration ci-dessus, les mappages d'attributs de droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages de droits d'accès configurés pour les tâches AD sélectionnées.

Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications aux mappages sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches Pro .

Le nœud d'orchestration du groupe de mise à jour lit les attributs des cartes de données en question et exécute la commande LDAP sur Active Directory .

La configuration de la cible s'effectue dans la vue de configuration de la tâche de provisionnement. Pour la mise à jour des groupes, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base de groupe LDAP/un seul filtre de groupe LDAP afin d'éviter tout conflit dans le workflow.

Mettre à jour l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages d'identité configurés pour les tâches AD sélectionnées. Le nœud d'orchestration des utilisateurs de mise à jour lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Notez que la mise à jour du mot de passe utilisateur n'est pas prise en charge sur cette activité d'orchestration.

La configuration de la « Cible » s'effectue dans la vue de configuration de la tâche de provisionnement. Pour la mise à jour des utilisateurs, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base d'utilisateurs / filtre d'utilisateurs LDAP afin d'éviter tout conflit dans le workflow.

Mettre à jour la valeur du nom distinctif de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration « Mettre à jour la valeur du nom distinctif de l'utilisateur » lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Dans le champ « Valeur du nom distinctif actuel* », l'administrateur doit sélectionner l'attribut du modèle/de la fiche de données à partir duquel l'ancien nom de l'emplacement AD sera lu. Le champ « Nouvelle valeur du nom distinctif* » sélectionne l'attribut du modèle/de la fiche de données à utiliser comme nom du nouvel emplacement AD .

Avec cette activité, les administrateurs peuvent par exemple limiter l'action de mise à jour à l'attribut « commonname », mais il est nécessaire de donner la valeur Distinguished complète, par exemple :

Valeur actuelle du nom distinctif : CN = DemoAccount, OU = DemoUsers, DC = testad, DC = local

Nouvelle valeur de nom distinctif : CN= DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

Vérifier le groupe

Dans l'illustration ci-dessus, les mappages d'attributs de droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l' Active Directory approprié dans « Cible » et peuvent visualiser les mappages de droits d'accès configurés pour la tâche AD sélectionnée.

Dans le panneau d'administration des mappages de droits d'accès, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence du groupe. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données pour confirmer l'unicité d'un groupe. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données concernée et comparés aux attributs AD appropriés, conformément à la configuration « Cible* » Active Directory . Les administrateurs peuvent également choisir d'utiliser « égal » ou « différent » pour l'attribut AD correspondant en modifiant l'expression « IF ». Le champ « Enregistrer le résultat* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « vrai » si le groupe a été trouvé, « faux » dans le cas contraire.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'UO » sur ce nœud d'orchestration pour vérifier si le groupe existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'UO spécifique définie dans la configuration.

Vérifier l'appartenance au groupe

Le champ « Enregistrer le résultat* » permet de définir où les résultats de la requête LDAP réussie sont enregistrés, « true » si l'utilisateur a été trouvé ou « false » dans le cas contraire.

Vérifier l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l' Active Directory approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche AD sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages d'identité, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence de l'utilisateur. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données personnelles pour confirmer l'unicité d'un utilisateur. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données en question et comparés aux attributs AD appropriés, conformément à la configuration Active Directory « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut AD correspondant en modifiant l'expression « IF ». Le champ « Save result* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « true » si l'utilisateur a été trouvé, « false » dans le cas contraire.

Le point clé pour comprendre la mécanique de ce nœud est le suivant : lors de la formation de l'expression IF, l'administrateur doit utiliser les attributs du modèle, mais en fait, les valeurs lues à partir d'eux seront traduites (mappées) vers les attributs Active Directory appropriés, conformément à la configuration du mappage d'identité et seront transmises à Active Directory en tant que requête de recherche.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'unité organisationnelle » sur ce nœud d'orchestration pour vérifier si l'utilisateur existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'unité organisationnelle spécifique définie dans la configuration.

Photo Pro Vision

Photo de l'utilisateur Pro Vision vers l'annuaire

Les connecteurs natifs (EPE) permettent de mettre à jour la photo de l'utilisateur dans l'annuaire. Les annuaires pris en charge sont Active Directory et Microsoft Entra ID (anciennement Azure AD ).

Créez un provisionnement basé sur les événements pour l'activité de workflow. Les mappages d'attributs sont renseignés à partir de la tâche Pro .

Le mappage d'attributs doit contenir l'attribut photo de l'utilisateur (attribut Fileupload dans ESM).
Pour AD et Azure AD l'attribut est thumbnailPhoto. La photo stockée dans l'attribut thumbnailPhoto ne peut pas dépasser 100 Ko, et la taille recommandée est de 96 x 96 pixels.
Créez un nœud d'orchestration de workflow avec l'activité « Mettre à jour l'utilisateur ». Sélectionnez la tâche ePeask basée sur les événements que vous venez de créer comme cible.

Instructions pour l'installation des certificats

Il est fortement recommandé au client de créer une procédure de renouvellement des certificats avant qu'ils ne deviennent obsolètes et que la connexion ne soit perdue. Dans ce cas, les utilisateurs finaux du client ne pourront plus se connecter à Efecte Solutions et/ou les données d' AD ne pourront ni être lues ni écrites.

Instructions

Dépannage

Dans ce chapitre sont décrites les options de dépannage,

En cas d'utilisation d'un modèle d'échec, vérifiez la carte de données correcte
Vérifier l'historique des tâches planifiées à partir de la gestion des connecteurs
Vérifier les journaux Efecte Provisioning Engine

Contact Us

Connecteur Microsoft Active Directory ( AD )

Contact Us

Gestion des services

Gouvernance et administration des identités ( IGA )

Plate-forme

Notes de version pour M42 Core & Pro , IGA , IA conversationnelle

Autre matériel

Services

Connecteur Microsoft Active Directory ( AD )

Comment intégrer Microsoft Active Directory

Connecteur Microsoft Active Directory

Politique d'utilisation équitable

Instructions pour les versions 2024.2 et ultérieures

Fonctionnalités générales

Connectors - general functionalities

uid générales pour les tâches planifiées

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

Should I use Incremental, Full or Both?

Do not import permissions with AD and LDAP incremental task

Recommendations:

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Set removed accounts and entitlements status removed/disabled

For version 2025.3 and newer

For version 2025.2 and older

Configuration

Description

Notes

Instructions client

Configurer le connecteur AD

Configurer une tâche planifiée pour la lecture des données

Comment créer une nouvelle tâche pour Pro planifiée

Avis

Avis

Configurer la tâche événementielle pour l'écriture des données

Configurer la tâche d'authentification

Option 1 : Créer une nouvelle tâche d'authentification à partir d'une tâche de provisionnement

Instructions pour les versions 2024.1 et antérieures

Instructions client

Configurer une tâche planifiée

Comment créer une nouvelle tâche pour Pro planifié

Configurer une tâche basée sur les événements

Configurer la tâche d'authentification

Avis!

Activités de workflow (nœuds d'orchestration)

Activer / Désactiver l'utilisateur

Ajouter un utilisateur au groupe

Créer un objet personnalisé

Créer un utilisateur

Création de nouvelles notes d’activité utilisateur :

Créer un groupe

Supprimer l'objet personnalisé

Supprimer le groupe

Supprimer l'utilisateur

Gérer les adresses Pro

Lire les données de l'utilisateur

Supprimer l'attribut utilisateur

Supprimer l'utilisateur du groupe

Réinitialiser le mot de passe de l'utilisateur

Exécuter la tâche de provisionnement

Déverrouiller l'utilisateur

Mettre à jour l'objet personnalisé

Groupe de mise à jour

Mettre à jour l'utilisateur

Mettre à jour la valeur du nom distinctif de l'utilisateur

Vérifier le groupe

Vérifier l'appartenance au groupe

Vérifier l'utilisateur

Photo Pro Vision

Photo de l'utilisateur Pro Vision vers l'annuaire

Instructions pour l'installation des certificats

Dépannage

Related Articles