Créer un utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent l'annuaire cible approprié et peuvent consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Il est important de vérifier que le mappage d'identité utilisé dans le nœud d'orchestration de création d'utilisateur contient au moins deux mappages Active Directory supplémentaires : pour les attributs « cn » et « sAMAccountName ». Si ces deux mappages sont manquants dans une configuration donnée, ils ne seront pas affichés dans la liste déroulante.

Le nœud d'orchestration de création d'utilisateur lit les attributs des cartes de données concernées et exécute l'appel API vers Azure . Il est important de vérifier que le mappage d'identité utilisé dans le nœud d'orchestration de création d'utilisateur contient au moins trois mappages Azure AD supplémentaires : pour les attributs « displayName », « mailNickname » et « userPrincipalName ». Remarque : si ces trois mappages sont manquants dans une configuration donnée, ils ne seront pas affichés dans la liste déroulante.

Création de nouvelles notes d’activité utilisateur :

• Il existe deux manières de créer le mot de passe d'un nouvel utilisateur pour sa première connexion.
  • Définir le mot de passe « Par défaut » dans la vue de configuration de la tâche de Pro
    • Ce mot de passe ne sera utilisé par les utilisateurs que lorsqu'ils se connecteront au système pour la première fois.
  • Générer un mot de passe aléatoire dans le flux de travail et sélectionner dans quel attribut de la carte de données de mappage d'identité il a été écrit
  • Dans les deux cas, la valeur du premier mot de passe « pwdLastSet » est définie sur zéro (0) pour forcer un utilisateur à modifier son mot de passe après la première connexion.
  • Possibilité de choisir si le mot de passe doit être modifié à la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Création d'utilisateur » du workflow.
• Il existe différentes manières de fournir un mot de passe pour la première connexion de l'utilisateur final. Selon les besoins du client, il est possible d'utiliser les fonctionnalités du workflow pour envoyer le mot de passe directement à l'utilisateur final par e-mail ou SMS. Une autre option consiste à envoyer le mot de passe de première connexion au responsable, qui le fournira à l'utilisateur final. Le nœud d'orchestration d'EPE ne fournit pas cette fonctionnalité ; elle doit être définie ailleurs.
• La configuration de la « Cible » s'effectue dans la vue de configuration de la tâche de provisionnement. Pour créer de nouveaux utilisateurs, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base d'utilisateurs LDAP/un seul filtre d'utilisateurs LDAP afin d'éviter tout conflit dans le workflow.
• L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Mettre à jour l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages d'identité configurés pour les tâches AD sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d’orchestration utilisateur de mise à jour lit les attributs des cartes de données en question et exécute la commande LDAP vers Active Directory ou exécute l’appel API vers Azure AD .

La mise à jour du mot de passe utilisateur n'est pas prise en charge sur cette activité d'orchestration.

La configuration de la « Cible » s'effectue dans la vue de configuration de la tâche de provisionnement. Pour la mise à jour des utilisateurs, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base d'utilisateurs LDAP/un seul filtre d'utilisateurs LDAP afin d'éviter tout conflit dans le workflow.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Activer / Désactiver l'utilisateur

Dans l'illustration ci-dessus, les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages d'identité configurés pour les tâches AD sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches Pro . Dans ce même nœud, les administrateurs peuvent choisir l'action qu'ils préfèrent : « Activer » ou « Désactiver ».

Vérifier l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l' Active Directory approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche AD sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages d'identité, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence de l'utilisateur. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données personnelles pour confirmer l'unicité d'un utilisateur. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données en question et comparés aux attributs AD appropriés, conformément à la configuration Active Directory « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut AD correspondant en modifiant l'expression « IF ». Le champ « Enregistrer le résultat* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « true » si l'utilisateur a été trouvé, « false » dans le cas contraire.

Le point clé pour comprendre la mécanique de ce nœud est le suivant : lors de la formation de l'expression IF, l'administrateur doit utiliser les attributs du modèle, mais en fait, les valeurs lues à partir d'eux seront traduites (mappées) vers les attributs Active Directory appropriés, conformément à la configuration du mappage d'identité et seront transmises à Active Directory en tant que requête de recherche.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'unité organisationnelle » sur ce nœud d'orchestration pour vérifier si l'utilisateur existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'unité organisationnelle spécifique définie dans la configuration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Comment lire les données de l'utilisateur à partir du répertoire avec le workflow ?

Depuis la version 2022.2, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow « Lire les données utilisateur ». Les annuaires pris en charge sont Active Directory, Azure AD , OpenLDAP et IBM. Les informations peuvent être mises à jour après référence, par exemple les données de compte IGA peuvent être mises à jour depuis le stockage d'identité.

1. Créez un provisionnement basé sur les événements pour l'activité de workflow. Les mappages d'attributs sont renseignés à partir de la tâche Pro . Ils doivent être uniques.
   
   
   
2. Créez un nœud d'orchestration de workflow avec l'activité « Lire les données utilisateur » . Sélectionnez la tâche ePeask événementielle nouvellement créée comme cible. Ajoutez un attribut de personne unique, utilisé pour mettre à jour les informations de compte appropriées de l'annuaire vers ESM.
   
   

Déverrouiller l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration utilisateur déverrouillé lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Il est important de prendre en compte dans les configurations que « Attribut de personne » doit contenir le nom distinctif de l'utilisateur.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration de suppression d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Pour les configurations basées sur Active Directory , « Attribut de personne » doit contenir le nom distinguishedName de l'utilisateur.

Pour les configurations basées sur Azure Active Directory , « Attribut de personne » doit contenir la valeur ObjectGUID de l’utilisateur.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'attribut utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration des attributs utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Dans la propriété « Attribut(s) à supprimer », l'administrateur peut définir l'attribut à supprimer d' Active Directory . Indiquez le nom de l'attribut à supprimer. Une chaîne peut contenir des attributs à valeurs multiples, comme « Ville », « Centre de coûts », « Mobile ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Mettre à jour la valeur du nom distinctif de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration « Mettre à jour la valeur du nom distinctif de l'utilisateur » lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Dans le champ « Valeur du nom distinctif actuel* », l'administrateur doit sélectionner l'attribut du modèle/de la fiche de données à partir duquel l'ancien nom de l'emplacement AD sera lu. Le champ « Nouvelle valeur du nom distinctif* » sélectionne l'attribut du modèle/de la fiche de données à utiliser comme nom du nouvel emplacement AD .

Avec cette activité, les administrateurs peuvent par exemple limiter l'action de mise à jour à l'attribut « commonname », mais il est nécessaire de donner la valeur Distinguished complète, par exemple :

Valeur actuelle du nom distinctif : CN = DemoAccount, OU = DemoUsers, DC = testad, DC = local

Nouvelle valeur de nom distinctif : CN= DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Réinitialiser le mot de passe de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory . Les attributs Personne et Mot de passe doivent pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur.

La valeur du mot de passe utilisateur « pwdLastSet » est définie sur zéro (1), ce qui signifie qu'il n'est pas nécessaire de le modifier lors de la première connexion. Depuis la version 2022.3 d'EPE, nous avons mis en place la possibilité de choisir si le mot de passe doit être modifié lors de la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » du workflow.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Comment créer des objets personnalisés avec EPE ?

Depuis la version 2022.2, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Créer un objet personnalisé ». Par exemple, EPE permet de créer des appareils, des contacts et des applications dans les annuaires ( AD , Azure et OpenLDAP ).

[LDAP: erreur code 16 - 00000057: ErreurLdap : DSID-0C0910DA, commentaire: Erreur dans attribut conversion opération, données 0, [v4563]

Comment mettre à jour des objets personnalisés avec EPE ?

Depuis la version 2023.1, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Mettre à jour un objet personnalisé ». Par exemple, les appareils, les contacts et les applications peuvent désormais être mis à jour avec EPE vers l'annuaire ( AD et Azure ).

Comment supprimer des objets personnalisés avec EPE ?

Depuis la version 2023.1, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Supprimer un objet personnalisé ». Par exemple, les appareils, les contacts et les applications peuvent désormais être supprimés avec EPE vers l'annuaire ( AD et Azure ).

Instructions étape par étape

Ajouter un utilisateur au groupe

Dans l'illustration ci-dessus, la configuration de l'attribut Personne doit pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur (généralement le compte IGA ). L'attribut Rôle doit être configuré pour définir où le nœud d'orchestration trouve les rôles disponibles (groupes d'annuaires dont l'utilisateur doit être supprimé). Un ou plusieurs groupes d'attributs peuvent être configurés dans un attribut Rôle. La liste des tâches d'annuaire enregistrées disponibles est extraite du maître EPE.

Il est nécessaire de sélectionner la tâche d'annuaire, car le nœud d'orchestration Efecte Provisioning Engine utilisera le mappage des champs d'identité et de droits d'accès pour savoir sous quel code d'attribut, les noms distinctifs de l'utilisateur et du groupe d'annuaires sont stockés.

Gestion des exceptions :

• Le résultat d'un nœud sera à l'état « Terminé » uniquement si toutes les appartenances aux groupes de l'utilisateur ont été mises à jour avec succès. Si, par exemple, l'utilisateur est supprimé de 5 groupes sur 6, le résultat d'un nœud sera à l'état « Exception ».
• Par conséquent, le mappage du champ JSON distinguishedName, pour l'identité et les droits d'accès, est requis. Si le mappage est introuvable, le nœud d'orchestration affichera un état « Exception ».
• La tentative de supprimer un utilisateur d'un groupe auquel il n'appartient pas se terminera par un échec.
• La tentative d'ajouter un utilisateur à un groupe auquel il appartient déjà se terminera par un échec.
• Les détails sur l'appartenance au groupe d'un utilisateur mis à jour avec succès ou non peuvent être trouvés dans les journaux.
• Les exceptions de Pro et d'appartenance aux groupes sont des propriétés facultatives pour ce nœud de workflow. Les administrateurs peuvent configurer ces propriétés pour qu'elles puissent être utilisées et créer des exceptions si des exceptions surviennent lors des actions de provisionnement.

Comment configurer EPE pour utiliser l'OU à partir de la carte de données ?

La tâche de provisionnement basée sur les événements EPE permet de choisir si les informations relatives à l'unité organisationnelle (chemin d'UO), comme la création d'un nouvel utilisateur, sont définies directement dans la tâche de provisionnement ou lues depuis la carte de données ESM. Cette fonctionnalité réduit le nombre de tâches de provisionnement basées sur les événements nécessaires. Dans certains cas, lorsque les clients créent de nouveaux utilisateurs sur plusieurs chemins d'UO, une seule tâche de provisionnement est utilisée, et une partie des informations nécessaires est lue depuis la carte de données.

1. Accédez au côté administrateur ESM et sélectionnez l’onglet IGA .
   
   
2. Sélectionnez les provisionnements basés sur les événements et la tâche nécessaire.
   
   
3. Définissez LDAP userBase / LDAP userfilter ou/et LDAP groupBase / LDAP groupfilter sur « Lire le chemin de l'UO à partir de la carte de données ».
   
   
   
4. Lorsque la configuration de la tâche de provisionnement a été définie sur « Lire le chemin de l'UO à partir de la carte de données », les activités d'orchestration vous montrent une propriété supplémentaire (groupe LDAP-/base d'utilisateurs), où il est possible de définir l'attribut à partir duquel ces informations peuvent être lues.
   
   

Créer un groupe

Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages des droits d'accès configurés pour les tâches AD sélectionnées . Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'un nouvel utilisateur lit les attributs des cartes de données en question et exécute la commande LDAP sur Active Directory .

Il est important de s'assurer que le mappage des droits d'accès, utilisé dans le nœud d'orchestration Créer un groupe, contient :

• au moins quatre mappages Azure AD supplémentaires : pour les attributs « displayName », « mailEnabled », « mailNickname » et « securityEnabled ».
• au moins deux mappages Active Directory supplémentaires : pour les attributs « cn » et « sAMAccountName ».
  
  

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Groupe de mise à jour

Dans l'illustration ci-dessus, les mappages d'attributs de droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Active Directory appropriée et peuvent consulter les mappages de droits d'accès configurés pour les tâches AD sélectionnées.

Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications aux mappages sont nécessaires, elles doivent être exécutées dans la vue de configuration des tâches Pro .

Le nœud d’orchestration du groupe de mise à jour lit les attributs des cartes de données en question et exécute la commande LDAP vers Active Directory ou exécute l’appel API vers Azure .

La configuration de la cible s'effectue dans la vue de configuration de la tâche de provisionnement. Pour la mise à jour des groupes, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base de groupe LDAP/un seul filtre de groupe LDAP afin d'éviter tout conflit dans le workflow.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer le groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Active Directory appropriée. Le nœud d'orchestration de suppression de groupe lit les attributs des cartes de données concernées et exécute la commande LDAP vers Active Directory .

Pour les configurations basées sur Active Directory , « Attribut de groupe de rôles » doit contenir le nom distinguishedName du groupe.

Pour les configurations basées sur Azure Active Directory , « Attribut de groupe de rôles » doit contenir ObjectGUID du groupe.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier le groupe

Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l' Active Directory approprié dans « Cible » et peuvent visualiser les mappages de droits d'accès configurés pour la tâche AD sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages de droits d'accès, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence du groupe. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données pour confirmer l'unicité d'un groupe. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données concernée et comparés aux attributs AD appropriés, conformément à la configuration « Cible* » Active Directory . Les administrateurs peuvent également choisir d'utiliser « égal » ou « différent » pour l'attribut AD correspondant en modifiant l'expression « IF ». Le champ « Enregistrer le résultat* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « vrai » si le groupe a été trouvé, « faux » dans le cas contraire.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'UO » sur ce nœud d'orchestration pour vérifier si le groupe existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'UO spécifique définie dans la configuration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier l'appartenance au groupe

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l' Active Directory approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche AD sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.

Le champ « Enregistrer le résultat* » permet de définir où les résultats de la requête LDAP réussie sont enregistrés, « vrai » si l'utilisateur a été trouvé ou « faux » dans le cas contraire.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Créer un utilisateur local (dans ESM)

Dans l'illustration ci-dessus, les mappages proviennent du modèle cible ; aucune tâche EPE distincte n'est requise. Le nœud d'orchestration utilisateur local en cours de création lit les attributs de la carte de données concernée et exécute la commande vers ESM.

Le journal de sécurité ESM enregistre les événements suivants de ce nœud :

• Modifications réussies et échouées sur les « paramètres de sécurité » de l'utilisateur
  • Modifications du niveau d'utilisateur
  • Mot de passe
  • Nom d'utilisateur
• Modifications des autorisations des utilisateurs
  • un rôle est attribué à l'utilisateur
• Créer un utilisateur

Mettre à jour le mot de passe de l'utilisateur local (à partir d'ESM)

Dans l'illustration ci-dessus, les mappages proviennent du modèle cible ; aucune tâche EPE distincte n'est requise. Le nœud d'orchestration utilisateur local de mise à jour lit les attributs de la carte de données concernée et exécute la commande vers ESM. Le fichier ESM Security.log enregistre les événements de ce nœud. Remarque : la mise à jour du mot de passe de l'utilisateur root n'est pas autorisée.

Mettre à jour le nom d'utilisateur local (à partir d'ESM)

Dans l'illustration ci-dessus, les mappages proviennent du modèle cible ; aucune tâche EPE distincte n'est requise. Le nœud d'orchestration utilisateur local de mise à jour lit les attributs de la carte de données concernée et exécute la commande vers ESM. Le fichier ESM Security.log enregistre les événements de ce nœud. Remarque : la mise à jour du nom d'utilisateur root n'est pas autorisée.

Supprimer l'utilisateur local (depuis ESM)

Dans l'illustration ci-dessus, les mappages proviennent du modèle cible ; aucune tâche EPE distincte n'est requise. Le nœud d'orchestration de suppression d'utilisateur local lit les attributs de la carte de données concernée et exécute la commande vers ESM. Le fichier ESM Security.log enregistre les événements de ce nœud. Remarque : l'utilisateur root ne peut pas être supprimé avec ce nœud.

Gérer les adresses Pro

Il existe trois possibilités différentes : définir, mettre à jour et supprimer des adresses proxy.

• Ensemble : l'administrateur sélectionne un attribut dans l'interface utilisateur du workflow d'ESM (il peut s'agir d'un attribut à valeur unique ou multiple) - Ensuite, le nœud de workflow contacte AD , trouve le compte utilisateur et définit la valeur dans proxyAddresses (cette action est utilisée pour définir la valeur sur proxyAddresses la première fois - la valeur précédente dans AD est nulle).
  
  
• Mise à jour : l'administrateur sélectionne deux attributs dans l'interface utilisateur du workflow ESM : l'un pour la valeur actuelle et l'autre pour la nouvelle valeur. Le nœud Workflow contacte ensuite AD , recherche le compte utilisateur et met à jour les adresses proxy existantes. Il recherche la valeur actuelle dans la liste, modifie son préfixe SMTP en SMTP et ajoute la nouvelle valeur avec le préfixe SMTP (les autres valeurs restent dans les adresses proxy).
  
  
• Supprimer : l'administrateur sélectionne un attribut dans l'interface utilisateur du workflow d'ESM (il peut s'agir d'un attribut à valeur unique ou multiple) - Ensuite, le nœud de workflow contacte AD , recherche le compte utilisateur et supprime la valeur de la liste proxyAddresses (les autres valeurs restent dans proxyAddresses).

Exécuter la tâche de provisionnement

Cette activité est utilisée lorsque toutes les informations de l'annuaire sont immédiatement récupérées. Les annuaires pris en charge sont Active Directory, Azure AD , OpenLDAP et IBM.

Dans l'illustration ci-dessus, les administrateurs peuvent choisir le répertoire cible approprié. Exécutez le nœud d'orchestration de la tâche de provisionnement pour lire les attributs d' Active Directory vers les comptes IGA .

Les exigences pour la tâche EPE « Cible » sont :

• La tâche doit être de type « Tâche planifiable » et non basée sur un événement
• Le modèle de workflow doit être identique au modèle de mappage d'identité
• La tâche doit être planifiée à un moment donné - elle marque une tâche à « activer » puis
• Les mappages doivent être distincts, pas de mappages dupliqués dans la tâche
  
  

Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement pour pouvoir être modifiés dans le nœud d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.