US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

French
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Gouvernance et administration des identités ( IGA )
  • Bibliothèque de solutions IGA
  • Instructions et lignes uid
  • Configurer les connecteurs

Connecteur OpenLDAP

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Gestion des services
    Solution Matrix42 Professional Solution Matrix42 Core Gestion des services d'entreprise Matrix42 Intelligence
  • Gouvernance et administration des identités ( IGA )
    Aperçu IGA Bibliothèque de solutions IGA
  • Plate-forme
    ESM ESS2 ESS Effet Chat pour la gestion des services Efecte Integrations Modules complémentaires
  • Notes de version pour M42 Core & Pro , IGA , IA conversationnelle
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Informations et politiques de publication
  • Autre matériel
    Conditions uid et directives de documentation Déclarations d'accessibilité
  • Services
+ More

    • Gestion des services

    • Gouvernance et administration des identités ( IGA )

    • Plate-forme

    • Notes de version pour M42 Core & Pro , IGA , IA conversationnelle

    • Autre matériel

    • Services

Connecteur OpenLDAP

Connecteur OpenLDAP

Le connecteur OpenLDAP fait partie intégrante du moteur de Pro et permet la lecture et l'écriture de données vers/depuis l'annuaire OpenLDAP des clients. Il est compatible avec toutes les solutions Matrix42 Core , Pro and IGA utilisant le moteur Pro provisionnement.

Le connecteur OpenLDAP nécessite une configuration en fonction du cas d'utilisation du client et, en principe, la configuration comporte trois (3) étapes :

  1. Configurer le connecteur - permet au connecteur d'établir une connexion au répertoire
  2. Configurer la tâche planifiée - est utilisé lorsque les données sont lues à partir du répertoire
  3. Configurer la tâche d'événement - est utilisé lorsque des données sont écrites dans le répertoire
    1. Les nœuds d'orchestration de flux de travail doivent également être configurés

Politique d'utilisation équitable

Le connecteur peut être utilisé sans restriction dans des conditions normales de fonctionnement. Cependant, si son utilisation entraîne une charge significativement accrue nécessitant des ressources cloud supplémentaires (par exemple, mémoire ou capacité de traitement), des frais supplémentaires peuvent s'appliquer.

L'utilisation de ce connecteur pour créer, mettre à jour ou supprimer des comptes d'utilisateurs ou des objets de groupe nécessite une licence IGA active.

Instructions pour les versions 2024.2 et ultérieures

Fonctionnalités générales

Connecteurs - fonctionnalités générales

Connecteurs - fonctionnalités générales

Cet article décrit les fonctionnalités générales de gestion des connecteurs natifs dans la solution. Tous les connecteurs natifs sont gérés depuis la même interface de gestion.

Notez qu'il existe des descriptions distinctes pour chaque connecteur, où les fonctionnalités spécifiques au connecteur et les instructions de configuration sont décrites à un niveau détaillé.

Pour accéder à la gestion des connecteurs, l'utilisateur doit disposer des autorisations d'administrateur pour la configuration de la plateforme client. Une fois les accès accordés, l'onglet Connecteurs s'affiche et l'utilisateur peut gérer les connecteurs.

Menu de gauche

La gestion des connecteurs est divisée en quatre onglets :

  • Présentation : pour créer et mettre à jour des connecteurs natifs. L'administrateur peut consulter leur statut, leur type et le nombre de tâches planifiées ou d'événements qui leur sont associés.
  • Authentification : pour créer et mettre à jour les tâches d'authentification. La tâche de Pro pour l'authentification est nécessaire pour que Secure Access puisse définir quels utilisateurs finaux peuvent accéder à la page de connexion Matrix42 Core , Pro and IGA .
  • Journaux - pour télécharger les journaux du connecteur natif et Secure Access à partir de l'interface utilisateur.
  • Paramètres - paramètres généraux pour les connecteurs natifs et Secure Access , y compris le type d'environnement pour la journalisation et la surveillance.

Onglet Présentation des connecteurs

Depuis la page d'aperçu, l'utilisateur peut facilement et rapidement voir l'état de tous les connecteurs.

Barre supérieure :

  • Statut des connecteurs natifs (EPE)
    • Le texte vert indique que les connecteurs natifs sont en ligne. Tous les services nécessaires sont opérationnels.
    • Le texte rouge indique qu'il y a un problème avec les connecteurs natifs, tous les services ne fonctionnent pas.
  • Statut d' Secure Access ( ESA )
    • Le texte vert indique que Secure Access est en ligne. Tous les services nécessaires sont opérationnels.
    • Le texte rouge indique qu'il y a un problème avec Secure Access , tous les services ne fonctionnent pas.
  • Le numéro de version des connecteurs natifs est affiché dans le coin supérieur droit

Barre supérieure pour la vue en liste :

  • Nouveau connecteur - ouvre une nouvelle fenêtre pour ajouter et configurer un nouveau connecteur
  • Supprimer le(s) connecteur(s) - les références de workflow sont calculées et une fenêtre contextuelle apparaît pour confirmer la suppression (notez que le calcul des références peut prendre plusieurs secondes)
  • Exporter : l'administrateur peut exporter un ou plusieurs connecteurs (et tâches) depuis l'environnement. Cette fonction est généralement utilisée pour exporter des connecteurs et des tâches du test vers la production. Les informations confidentielles des connecteurs natifs sont protégées par mot de passe.
  • Importation : l'administrateur peut importer un ou plusieurs connecteurs (et tâches) dans l'environnement. Cette fonction est généralement utilisée pour importer des connecteurs (et tâches) du test vers la production.
    • L'administrateur ne peut pas importer de données depuis l'ancienne interface EPE (antérieure à 2024.1) vers la nouvelle. Les environnements source et cible doivent avoir la même version.
    • L'importation échouera si la configuration (modèles, attributs) n'est pas la même - par exemple lorsqu'un attribut est manquant
    • Si vous importez quelque chose avec les mêmes détails de connecteur, il sera fusionné sous le connecteur existant
  • Actualiser - L'administrateur peut actualiser la vue des connecteurs en cliquant sur le bouton .
Votre navigateur ne prend pas en charge la vidéo HTML5.

Vue de liste pour un aperçu,

  • Sélectionner le(s) connecteur(s) - Sélectionnez un connecteur en cliquant sur la case à cocher devant la ligne de connecteur ou en cliquant sur la case à cocher dans la ligne d'en-tête pour sélectionner tous les connecteurs
  • ID - ID unique du connecteur généré automatiquement. Non modifiable.
  • Statut - indique l'état de la tâche planifiée
    • Coche verte - La tâche est exécutée sans aucune erreur
    • Croix- Rouge - La tâche est exécutée, mais il y a eu une erreur
    • Horloge grise - La tâche n'est pas encore exécutée, en attente de planification
    • Orange - l'une des tâches présente un problème
    • Aucune valeur - La tâche planifiée est manquante
  • Nom - Nom du connecteur ajouté aux paramètres. Nom unique du connecteur contenant la configuration d'une source de données.
  • Type - indique le système cible/source
  • Planifié - informe du nombre de tâches planifiées configurées
  • Événement - informe du nombre de tâches d'événement configurées
  • Gérer
    • Icône de stylo - ouvre les paramètres du connecteur (double-cliquez sur la ligne du connecteur pour ouvrir également les paramètres)
    • Icône papier - copie le connecteur
    • Arrêter - les références de flux de travail sont calculées et une fenêtre contextuelle apparaît pour confirmer la suppression
  • Recherche : l'utilisateur peut rechercher un connecteur en saisissant le terme recherché dans le champ correspondant. Les champs ID, Statut, Nom, Type, Planifié et Événement peuvent être consultés.
Votre navigateur ne prend pas en charge la vidéo HTML5.

Informations sur les tâches planifiées (cliquez sur la flèche devant le connecteur)

Lorsque vous cliquez sur la flèche au début de la ligne du connecteur, toutes les tâches planifiées et événementielles associées sont affichées

Barre supérieure pour les tâches planifiées

  • Nouvelle tâche - ouvre la page de configuration pour la nouvelle tâche
  • Supprimer la ou les tâches - supprime la ou les tâches sélectionnées du système et elles ne peuvent plus être récupérées.
  • Actualiser - actualiser la vue des tâches planifiées
  • Recherche - l'utilisateur peut rechercher une tâche en saisissant le terme de recherche dans le champ correspondant pour l'ID, le nom, l'activation, l'état d'extraction/chargement.

Vue de liste pour les tâches planifiées

  • Sélectionner la ou les tâches - Sélectionnez la tâche à supprimer dans la vue liste en cochant la case.
  • ID : identifiant unique de la tâche. Généré automatiquement et non modifiable.
  • Nom - Nom de la tâche ajouté aux paramètres de la tâche, nom unique de la tâche.
  • Activé - Affiche si la tâche est planifiée ou non
    • Coche verte - La tâche est planifiée
    • Croix -Rouge - La tâche n'est pas planifiée
  • État d'extraction - Affiche l'état de l'extraction des données du répertoire/système cible
    • Coche verte : les données ont été extraites avec succès
    • Croix- Rouge - les données sont extraites avec des erreurs ou l'extraction a échoué
    • Horloge - La tâche est en attente d'exécution
  • État de chargement - Affiche l'état de l'exportation des données du fichier json vers la solution du client
    • Coche verte : les données ont été importées avec succès vers la solution client
    • Croix- Rouge - les données sont importées avec des erreurs ou l'importation a échoué
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche dans sa propre fenêtre (un double-clic sur la ligne de la tâche ouvre également les paramètres de la tâche)
    • Icône papier - copie la tâche
    • Icône d'horloge - ouvre la vue de l'historique des tâches
    • Arrêter - supprimer la tâche, une fenêtre contextuelle s'ouvre pour confirmer la suppression

Affichage de l'historique des tâches planifiées

En cliquant sur l'icône de l'horloge dans la ligne des tâches planifiées, l'historique de la planification sera affiché.

Barre supérieure pour afficher l'historique

  • Actualiser : actualise l'état de la tâche planifiée. Cela n'affecte pas la tâche ; l'interface utilisateur est simplement mise à jour pour afficher les dernières informations sur son exécution.

Vue de liste pour l'historique des tâches planifiées

  • La couleur de la ligne indique le statut
    • Vert - tâche exécutée avec succès
    • Rouge - une erreur s'est produite lors de l'exécution
  • ID d'exécution - ID unique pour la ligne de tâche planifiée
  • Heure prévue d'extraction - quand la prochaine extraction du répertoire/de l'application est prévue
  • Heure d'achèvement de l'extraction - quand l'extraction a été terminée
  • Extraire l'état - état de récupération des données du répertoire/de l'application
  • Heure de début du chargement - heure à laquelle le prochain chargement de la solution client est prévu
  • Heure de fin de chargement - quand le chargement a été terminé
  • Statut de chargement - statut de chargement des informations vers la solution client

Vue de liste pour l'état des tâches planifiées

  • Heure de début réelle - horodatage du début réel
  • Fichier utilisateurs - Fichier JSON contenant les informations utilisateur lues à partir du répertoire/de l'application
  • Fichier de groupe - Fichier JSON contenant des informations de groupe lues à partir du répertoire/de l'application
  • Fichier générique - Fichier JSON contenant des informations génériques lues à partir du répertoire/de l'application
  • Extraire des informations - informations détaillées sur la lecture des informations du répertoire/de l'application
  • Informations sur le chargement - informations détaillées sur le chargement des informations vers les solutions clients Matrix42 Core , Pro and IGA

Fenêtre d'édition pour la tâche planifiée

La configuration de la tâche planifiée peut être ouverte en cliquant sur l'icône du stylo ou en double-cliquant sur la ligne de la tâche.

Le menu de gauche et les attributs varient en fonction des options sélectionnées et, par conséquent, des instructions plus détaillées pour l'édition des tâches peuvent être trouvées dans la description du connecteur, mais il existe des fonctionnalités communes à toutes les tâches planifiées qui sont décrites ci-dessous.

Sauvegarder la tâche

Si des informations obligatoires manquent dans la tâche, passer la souris sur le bouton d'enregistrement affichera les attributs encore vides.

Barre supérieure pour modifier la tâche planifiée

  • Exécuter la tâche manuellement - l'administrateur peut exécuter la tâche manuellement en dehors de la planification définie
  • Arrêter la tâche : l'administrateur peut arrêter une tâche planifiée en cours d'exécution. La tâche sera alors arrêtée et son statut passera à « Arrêté ». Elle restera dans cet état jusqu'à la prochaine exécution.
  • Vider le cache de données : le cache de données pour le prochain provisionnement des utilisateurs et des groupes sera vidé. Cela signifie que la prochaine exécution sera exécutée comme la première fois.
    • Par défaut, nous vidons le cache tous les jours à 00h00 UTC
    • Si vous souhaitez vider le cache à un moment différent, vous devez spécifier une valeur différente dans le fichier hôte « custom.properties ».
    • Le cache EPE est également vidé lorsque EPE est redémarré, l'environnement entier est redémarré, les mappages EPE ont été modifiés

Informations sur les tâches d'événement

Lorsque vous cliquez sur la flèche au début de la ligne du connecteur, toutes les tâches planifiées et événementielles associées sont affichées

Barre supérieure pour les tâches d'événement

  • Nouvelle tâche - ouvre la page de configuration pour une nouvelle tâche d'événement
  • Supprimer la ou les tâches - supprime la ou les tâches sélectionnées, une fenêtre contextuelle apparaît pour confirmer la suppression
  • Actualiser - actualise la vue des tâches d'événement
  • Afficher les références de workflow : calcule les relations et les statuts des workflows liés aux tâches. Ceci est très utile si vous ignorez de quels workflows proviennent les tâches basées sur les événements.

Vue de liste pour les tâches d'événement

  • Sélectionner la ou les tâches - Sélectionnez la tâche à supprimer dans la vue liste en cochant la case.
  • ID : identifiant unique de la tâche. Généré automatiquement et non modifiable.
  • Nom - Nom de la tâche ajouté aux paramètres de la tâche, nom unique de la tâche.
  • Relations de flux de travail
    • Le point d'interrogation affiche une fenêtre contextuelle contenant des informations détaillées sur la référence
  • Statut du flux de travail
    • Non utilisé - Aucune relation avec le flux de travail
    • En cours d'utilisation - Workflow(s) attaché(s) à la tâche, la tâche ne peut pas être supprimée
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche dans sa propre fenêtre
    • Icône papier - copie la tâche
    • Icône d'arrêt - supprime la tâche, une fenêtre contextuelle apparaît pour confirmer la suppression

Fenêtre d'édition pour la tâche d'événement

La configuration de la tâche d'événement peut être ouverte en cliquant sur l'icône du stylo ou en double-cliquant sur la ligne de la tâche.

Le menu de gauche et les attributs varient en fonction des options sélectionnées et, par conséquent, des instructions plus détaillées pour l'édition des tâches peuvent être trouvées dans la description du connecteur, mais il existe des fonctionnalités communes à toutes les tâches d'événement qui sont décrites ci-dessous.

Modifier la fenêtre des tâches d'événement

  • Utilisation de la tâche, modifiable ? - cela apparaît lors de la modification d'une tâche existante et la modification du type d'utilisation de la tâche interrompt les flux de travail
  • Type de mappage, modifiable ? - cela apparaît lors de la modification d'une tâche existante et la modification du type de mappage interrompt les flux de travail.

Sauvegarder la tâche

Si des informations obligatoires manquent dans la tâche, passez la souris sur le bouton Enregistrer pour afficher les attributs encore vides.

Onglet Authentification

L'authentification pour les solutions Matrix42 Core , Pro and IGA est configurée à partir de l'onglet Authentification. Notez que seuls certains connecteurs (connecteurs d'annuaire) prennent en charge l'authentification. Il n'est donc pas possible de créer des tâches d'authentification sur tous les connecteurs disponibles.

Barre supérieure pour l'authentification

  • Nouveau connecteur - ouvre une nouvelle fenêtre pour configurer un nouveau connecteur (notez que tous les connecteurs ne prennent pas en charge l'authentification)
  • Supprimer le(s) connecteur(s) - supprime la ou les tâches sélectionnées, une fenêtre contextuelle apparaît pour confirmer la suppression
  • Exporter : l'utilisateur peut exporter une ou plusieurs tâches de l'environnement. Cette option est généralement utilisée pour exporter des tâches du test vers la production. Les connecteurs EPE sont protégés par mot de passe.
    • Notez que le domaine pour les tâches d'authentification n'est pas exporté, vous devez le définir manuellement après l'importation
  • Importer : l'utilisateur peut importer une ou plusieurs tâches dans l'environnement. Ce paramètre est généralement utilisé pour importer des tâches de test vers la production.
  • Actualiser - actualise la vue des tâches d'authentification

Vue de liste pour l'aperçu de l'authentification

  • Sélectionner le(s) connecteur(s) - Sélectionnez un connecteur en cliquant sur la case à cocher devant la ligne de connecteur ou en cliquant sur la case à cocher dans la ligne d'en-tête pour sélectionner tous les connecteurs
  • ID - Identifiant unique du connecteur généré automatiquement. Non modifiable.
  • Nom - Nom du connecteur ajouté aux paramètres. Nom unique du connecteur contenant la configuration d'une source de données.
  • Type - indique le système cible/source
  • Count - informe du nombre de tâches d'authentification configurées
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche d'authentification dans sa propre fenêtre
    • Icône papier - copie la tâche
    • Icône d'arrêt - supprime la tâche sélectionnée

Informations sur la tâche d'authentification

Lorsque vous cliquez sur la flèche au début de la ligne du connecteur, toutes les tâches planifiées et événementielles associées sont affichées

Barre supérieure pour l'aperçu de l'authentification

  • Créer une nouvelle tâche - ouvre la page de configuration pour une nouvelle tâche d'authentification
  • Supprimer la ou les tâches - supprime la ou les tâches sélectionnées, une fenêtre contextuelle apparaît pour confirmer la suppression
  • Actualiser - actualise la vue des tâches d'authentification

Vue de liste pour l'aperçu de l'authentification,

  • Sélectionner la ou les tâches - Sélectionnez la tâche à supprimer dans la vue liste en cochant la case.
  • ID : identifiant unique de la tâche. Généré automatiquement et non modifiable.
  • Nom - Nom de la tâche ajouté aux paramètres de la tâche, nom unique de la tâche.
  • Gérer
    • Icône de stylo - ouvre les paramètres de la tâche dans sa propre fenêtre (double-cliquez sur la ligne de la tâche pour ouvrir également la fenêtre des paramètres)
    • Icône papier - copie la tâche
    • Icône d'arrêt - supprime la tâche, une fenêtre contextuelle apparaît pour confirmer la suppression

Onglet Journaux

L'onglet Journaux permet de télécharger les journaux du connecteur natif et Secure Access à partir de l'interface utilisateur pour un dépannage détaillé.

  • Journaux epe-master - contiennent des messages d'avertissement, de débogage et d'erreur sur les connecteurs natifs et des informations sur la durée pendant laquelle les actions de tâche ont été effectuées.
  • Journaux epe-worker-ad : contient les données d'état extraites du connecteur Active Directory (ce que le connecteur natif charge pour les clients Matrix42 Core , Pro and IGA ). Si la sélection est vide, cela signifie que le répertoire n'est pas utilisé dans cet environnement.
  • Journaux epe-worker-azure : contient l'état des données extraites de Entra ID (ce que Native Connector charge pour les clients Matrix42 Core , Pro and IGA ). Si la sélection est vide, cela signifie que le répertoire n'est pas utilisé dans cet environnement.
  • Journaux epe-worker-ldap : contient l'état des données extraites LDAP (ce que Native Connector charge pour les clients Matrix42 Core , Pro and IGA ). Si la sélection est vide, cela signifie que l'annuaire n'est pas utilisé dans cet environnement.
  • Journaux du lanceur epe - contient des informations sur les lancements EPE
  • datapump-itsm l ogs - Contient des informations sur l'exportation de données vers les clients Matrix42 Core , Pro and IGA .
  • Journaux esa - Contient des informations sur l'authentification Secure Access .

Onglet Paramètres

Les onglets Paramètres sont utilisés pour surveiller les environnements avec des connecteurs.

  • Type d'environnement - doit obligatoirement être sélectionné et les informations sont utilisées par exemple pour définir une alerte de manière critique.
    • Test - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de test
    • Pro d - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de production
    • Démo - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de démonstration ou de formation
    • Dev - sélectionnez cette option lorsque votre environnement est utilisé comme environnement de développement

Que surveillons-nous ?

  • Échecs dans le provisionnement planifié (extraction de données, exportation de données vers ESM, certificats obsolètes, mots de passe incorrects, base de recherche/filtre incorrect, mappages incorrects, etc.)
  • Échecs dans le provisionnement basé sur les événements (échec d'écriture dans AD / Azure , etc.)
  • Provisionnement basé sur les événements : quels connecteurs sont utilisés pour écrire des données vers des applications/répertoires.
  • ESA a enregistré plus de dix tentatives de connexion infructueuses pour un même utilisateur au cours des trois derniers jours.
  • Type d'environnement - doit obligatoirement être sélectionné et les informations sont utilisées par exemple pour définir une alerte de manière critique.

Migrations de données

Ne cliquez pas sur « Migrer les mappages d’attributs » ou « Migrer les workflows », si Matrix42 ne vous le demande pas.

Configurer le connecteur OpenLDAP

Comment créer un nouveau connecteur OpenLDAP

Pour configurer le provisionnement, vous aurez besoin d’accéder à la console de configuration de la plateforme.

1. Ouvrez la zone Administration (symbole d’engrenage).
2. Ouvrez la vue Connecteurs.
3. Choisissez Nouveau connecteur

4. Sélectionnez le type de source de données OpenLDAP

5. Donnez un nom au connecteur et ajoutez les paramètres de connexion

6. Choisissez l'utilisateur API Web, saisissez le mot de passe et enregistrez les modifications

7. Appuyez sur les boutons de test de connexion et de test d'authentification pour valider que la connexion et les informations d'identification fonctionnent.

uid générales pour les tâches planifiées

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Configurer une tâche planifiée pour la lecture des données

Le connecteur OpenLDAP est utilisé pour lire les informations sur les utilisateurs et les groupes à partir de l'annuaire des clients et il est configuré à partir de la plateforme en créant une tâche de provisionnement planifiée.

Comment créer une nouvelle tâche pour Pro planifiée

Pour configurer une tâche de provisionnement planifiée, vous devez accéder à la console de configuration de la plateforme. Remarque : si aucun connecteur n'est créé, vous devez d'abord créer un « nouveau connecteur » avant de pouvoir créer de nouvelles tâches.

1. Ouvrez la vue de configuration de la plate-forme (un symbole d’engrenage).
2. Ouvrez la vue Connecteurs.
3. Choisissez le connecteur pour la tâche planifiée et sélectionnez une nouvelle tâche


4. Définissez la planification de la tâche (si et comment la tâche planifiée doit être exécutée périodiquement). Choisissez la séquence de planification, qui dépend de la quantité de données lues dans la solution.

La séquence de planification recommandée dépend de la quantité de données lues depuis l'annuaire client vers la solution et de l'importation (chargement partiel ou complet). Exemple de planification pour la lecture des groupes et des comptes utilisateurs.

Nombre total d'utilisateurs Nombre total de groupes Séquence de charge complète Séquence de charge partielle
< 500 < 1000 Toutes les 30 minutes si la charge partielle n'est pas utilisée
Quatre (4) fois par jour si une charge partielle est utilisée 		Toutes les 10 minutes
< 2000 < 2000 Toutes les 60 minutes, si la charge partielle n'est pas utilisée
Quatre (4) fois par jour si une charge partielle est utilisée 		Toutes les 15 minutes
< 5000 < 3000 Toutes les quatre (4) heures, si la charge partielle n'est pas utilisée
Deux fois par jour si une charge partielle est utilisée 		Toutes les 15 minutes
< 10 000 < 5000 Importations maximales deux fois par jour, peu importe si une charge partielle est utilisée ou non Toutes les 30 minutes
< 50 000 < 7000 Importation maximale une fois par jour, peu importe si une charge partielle est utilisée ou non Toutes les 60 minutes
Plus de 50 000 Plus de 7000 Il pourrait être nécessaire de faire appel à un autre travailleur EPE, veuillez contacter le propriétaire Pro produit. Évalué séparément

5. Remplissez les détails de la tâche

  • Saisissez un nom de tâche unique pour la tâche planifiée. Notez que le nom ne peut pas être modifié par la suite.
  • L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données, ou pour l'authentification. Notez que toute modification ultérieure du type d'événement peut interrompre les flux de travail.
  • Le type de mappage dépend du type d'informations lues dans le répertoire
    • Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues à partir de l'annuaire
    • Unique (identité uniquement) - sont utilisés lorsque seules les informations du compte utilisateur sont lues à partir du répertoire
    • Unique (droit d'accès uniquement) - sont utilisés lorsque seules les informations de groupe sont lues à partir du répertoire
    • Générique (un modèle) - sont utilisés lorsqu'une information générique est lue à partir du répertoire, généralement autre que les utilisateurs/groupes

Remplissez les détails de filtrage,

  • Récupérer des données
    • Complet - toutes les informations sont lues selon un filtrage défini
    • Incrémental - seules les informations modifiées sont transmises à la solution
  • Récupérer les données depuis la racine de l'arborescence LDAP – Paramètre facultatif. Permet de récupérer les utilisateurs et les groupes depuis la racine de l'arborescence LDAP, au détriment de la vitesse de provisionnement.

Filtrage basé sur l'UO

Nom du filtre : OpenLDAP userBase / OpenLDAP userFilter

Ce filtre est généralement défini avec le chemin d'accès de l'UO, à partir duquel les utilisateurs sont lus et il inclut également toutes les sous-UO dans l'importation, mais il permet également plusieurs autres possibilités de filtrage,

Exemples d’autres filtres utilisateur couramment utilisés :

  • L'exemple suivant recherche les objets utilisateur : (&(objectCategory=person)(objectClass=user))
  • L'exemple suivant recherche les objets utilisateur, ordinateur et contact : (objectClass=person)
  • L'exemple suivant recherche les objets utilisateur et contact : (objectCategory=person)


Filtrage de l'unité d'organisation, d'où les utilisateurs sont lus

Nom du filtre : OpenLDAP ignoredOusForUsers

Ce filtre permet d'exclure certaines sous-unités d'organisation de l'importation (par exemple, OU=Sales,DC=adtest,DC=local). Les utilisateurs seront ignorés s'ils appartiennent directement à l'une des unités d'organisation définies et/ou à une sous-arborescence de l'une de ces unités.

Filtrage basé sur des utilisateurs uniques

Nom du filtre : Utilisateurs exclus

Ce filtre permet d'exclure des utilisateurs spécifiques de l'importation. Pour LDAP, utilisez les noms distinctifs des groupes à exclure (séparés par des sauts de ligne).

Filtrage des groupes

Nom du filtre : OpenLDAP groupBase / LDAP groupFilter

Ce filtre est généralement défini sur le chemin d'accès de l'unité d'organisation (UO) d'où proviennent les groupes. Toutes les sous-UO seront incluses dans l'importation (exemple : UO=Finance,DC=adtest,DC=local). Les utilisateurs seront ignorés s'ils se trouvent directement dans l'une des UO définies et dans une sous-arborescence d'une UO déjà définie.

Exemples d’autres filtres de groupe couramment utilisés :

  • L'exemple suivant recherche des objets de groupe :
    (objectCategory=groupe)
  • L'exemple suivant recherche des objets de groupe qui ont une valeur dans cn :
    (&(objectCategory=groupe)(cn=*))
  • L'exemple suivant recherche des objets de groupe qui ont une valeur dans leur description :
    (&(objectCategory=groupe)(description=*))

Filtrage des unités d'organisation (UO) à partir desquelles les groupes ne sont pas lus

Nom du filtre : OpenLDAP ignoredOusForGroups

Ce filtre est généralement défini sur le chemin d'accès de l'unité d'organisation (UO) d'où proviennent les groupes. Toutes les sous-UO seront incluses dans l'importation (exemple : UO=Finance,DC=adtest,DC=local). Les utilisateurs seront ignorés s'ils se trouvent directement dans l'une des UO définies et dans une sous-arborescence d'une UO déjà définie.


Filtrage de groupes individuels

Nom du filtre : Groupes exclus

Ce filtre permet d'exclure des groupes spécifiques de l'importation. Pour LDAP, utilisez les noms distinctifs des groupes à exclure (séparés par des sauts de ligne).

Filtrage des utilisateurs en fonction de leur appartenance à un groupe

Nom du filtre : Exclure les utilisateurs avec des groupes spécifiques

Ce filtre permet d'exclure des utilisateurs spécifiques de l'importation en fonction de leur appartenance à un groupe. Pour LDAP, utilisez les noms distinctifs des groupes à exclure (séparés par des sauts de ligne).

Remplissez les informations d'échec

Paramètres facultatifs pour la gestion des échecs : en cas d'échec d'une tâche planifiée, une carte de données affichant l'erreur peut être créée. Si des paramètres d'échec sont définis, l'administrateur n'a pas besoin de vérifier manuellement l'état des tâches planifiées.

  • Modèle d'échec - Sélectionnez un modèle de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)
  • Dossier d'échec - Sélectionnez le dossier dans lequel la carte de données d'échec est stockée.
  • Attribut d'échec - Sélectionnez un attribut dans lequel les informations d'erreur doivent être stockées dans le modèle d'échec. Sélectionnez l'attribut de type texte.

6. Remplissez les mappages d'identité

Les utilisateurs sont importés dans le modèle de compte IGA et il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients OpenLDAP et cette solution. Par exemple :

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du répertoire/système est mappé
    2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans le répertoire, en choisissant Nouvel attribut

8. Renseignez les mappages de droits d'accès

Les groupes sont lus selon le modèle d'autorisation IGA et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les utilisateurs entre le répertoire des clients et cette solution.

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du répertoire/système est mappé
    2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans le répertoire, en choisissant Nouvel attribut

9. Mappages pour modèle générique

Les données génériques sont lues selon le modèle souhaité par l'utilisateur et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les données entre les clients AD et cette solution.

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du répertoire/système est mappé
    2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans le répertoire, en choisissant Nouvel attribut

10. Enregistrez la tâche de provisionnement via le bouton Enregistrer. Si certains attributs requis sont manquants, le bouton Enregistrer s'affiche en gris et affiche les éléments manquants dans les paramètres.

11. Vous avez maintenant configuré une tâche de connecteur planifiée pour la lecture des données OpenLDAP .

Actions d'administration à partir des paramètres de tâche

  • Exécuter la tâche manuellement : en cliquant sur ce bouton, la tâche est configurée pour être planifiée et démarrer immédiatement. Ceci est généralement utilisé pour des tests ou si vous ne souhaitez pas modifier les paramètres de planification, mais souhaitez exécuter la tâche immédiatement.
  • Arrêter la tâche : la tâche planifiée peut être arrêtée en cliquant sur le bouton. Le statut de la tâche est désormais arrêté et elle attendra sa prochaine exécution manuelle ou planifiée.
  • Vider le cache : en cliquant sur ce bouton, le cache de données pour le prochain provisionnement des utilisateurs et des groupes sera vidé. La prochaine tâche sera exécutée comme lors de la première exécution.

Exemple de message de démarrage d'exécution de tâche manuelle :

Si la tâche est exécutée manuellement (Exécuter la tâche ) ou si elle est exécutée selon une planification, l'état de la tâche peut être consulté à partir de Afficher l'historique :

Exemple d’affichage de l’historique des tâches planifiées :

Les utilisateurs administrateurs peuvent également accéder aux journaux des connecteurs à partir de la page des journaux des connecteurs,

Lorsque les informations de panne sont correctement définies, le connecteur crée une carte de données, qui peut avoir son propre processus.

Exemple de tâche d'administration IGA , qui uid également l'administrateur sur la manière de résoudre le problème,

Configurer une tâche basée sur des événements pour l'écriture de données

La tâche événementielle est utilisée lors de l'écriture de données vers OpenLDAP . Ces fonctionnalités du moteur de Pro pour les comptes, les groupes et les autorisations sont disponibles uniquement pour la solution Matrix42 IGA . Une licence IGA est requise pour leur utilisation.

Toutes les configurations liées au moteur de Pro et à la tâche de provisionnement basée sur les événements sont configurées dans la vue Connecteur de la plateforme.

  1. Ouvrez la vue de configuration de la plate-forme (un symbole d'engrenage).
  2. Ouvrir la vue des connecteurs
  3. Choisissez le connecteur qui utilisera la tâche événementielle
  4. Sélectionnez « Nouvelle tâche » sous le connecteur approprié


  5. Remplissez les détails de la tâche
    1. Nom de la tâche - Donnez un nom à la tâche, il sera affiché dans la vue des connecteurs.
      • Il est recommandé de nommer une tâche d'une manière qui décrit son objectif, par exemple [Nom du modèle] : [Activité] Demande de service IGA : Vérifier l'utilisateur
      • L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données. Elle peut être modifiée ultérieurement, mais elle est déconseillée si une tâche événementielle est utilisée. Cela perturberait les flux de travail.
      • Le type de mappage dépend du type d'informations lues dans le répertoire. Les sélections de mappages d'identité sont affichées en fonction de ce paramètre.
        • Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues (ou écrites) dans le répertoire
        • Unique (identité uniquement) - est utilisé lorsque seules les informations du compte utilisateur sont lues (ou écrites) dans le répertoire
        • Unique (droit d'accès uniquement) - est utilisé lorsque seules les informations de groupe sont lues (ou écrites) dans le répertoire
        • Générique (un modèle) : utilisé lorsque des informations génériques sont lues (ou écrites) dans l'annuaire. Il s'agit généralement de données autres que des informations sur les utilisateurs ou les groupes.




6. Remplissez les informations de sécurité

Ces informations sont nécessaires si le processus de création d'utilisateur dans le workflow est associé à la tâche.

  • Mot de passe pour la première connexion - Mot de passe par défaut qui est le même pour tous les utilisateurs, un mot de passe aléatoire est généré dans le flux de travail et il est généralement unique.
    • Mot de passe par défaut / saisissez-le dans la case ci-dessous
      • Mot de passe par défaut : saisissez un mot de passe par défaut identique pour tous les utilisateurs et conforme aux exigences de l'annuaire. Notez que le nombre de caractères ne représente pas la longueur réelle du mot de passe.
      • Il n'est pas recommandé d'utiliser le même mot de passe pour tous les comptes dans un environnement de production
    • Mot de passe aléatoire / générer dans le workflow
      • Mot de passe généré

7. Définir les mappages d'identité

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du répertoire/système est mappé
    2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
  • Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes d'utilisateurs dans AD , en choisissant le bouton Nouvel attribut.

7. Définir les mappages de droits d'accès

  • Modèle cible - Sélectionnez un modèle pour définir les mappages de droits d'accès
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du répertoire/système est mappé
    2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
  • Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus à partir de groupes dans AD , en choisissant le bouton Nouvel attribut.

Facultatif si des mappages génériques sont utilisés : définir des mappages génériques

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du répertoire/système est mappé
    2. Attribut local - auquel l'attribut dans l'attribut de modèle est mappé
  • Ajouter un nouvel attribut - Il est possible de définir des attributs supplémentaires, qui sont lus depuis AD , en choisissant le bouton Nouvel attribut.

8. Enregistrez la tâche de provisionnement via le bouton « Enregistrer ». Si des informations obligatoires sont manquantes, vous ne pourrez pas enregistrer la tâche et le bouton « Enregistrer » affichera les informations manquantes.

9. L'étape suivante consiste à configurer le nœud d'orchestration du workflow pour utiliser cette tâche événementielle. Depuis le moteur de workflow de Platform, il est possible d'exécuter des activités de provisionnement vers les services d'annuaire client. Cela signifie que n'importe quelle activité du nœud d'orchestration disponible peut être exécutée à tout moment du workflow.

Les références de workflow sont affichées dans la page de présentation du connecteur :

Configurer la tâche d'authentification

Comment créer une nouvelle tâche pour l’authentification ?

Il existe deux options pour créer une tâche d'authentification. La première consiste à copier la tâche de provisionnement existante dans la tâche d'authentification, si la méthode d'authentification utilise les mêmes paramètres. La deuxième option consiste à créer une nouvelle tâche d'authentification.

Remarque : La synchronisation des tâches d'authentification avec Security Access ne fonctionne pas sur les versions antérieures à 2025.2. Il est donc conseillé de ne pas les créer sur des versions antérieures. Connectez-vous plutôt à la console d'administration de Secure Access (ESA) et créez directement Secure Access ESA Pro identité .

Option 1 : Créer une nouvelle tâche d'authentification à partir d'une tâche de provisionnement

1. Ouvrez la zone d'administration (symbole d'engrenage)
2. Choisissez l'onglet Connecteurs, copiez la tâche souhaitée à partir du bouton Cloner

3. Donnez un nom à la nouvelle tâche d'authentification et modifiez l'utilisation de la tâche pour qu'elle soit Authentification

4. Remplissez les champs obligatoires et enregistrez la tâche

Option 2 : Créer une nouvelle tâche d'authentification

1. Ouvrez la zone d'administration (symbole d'engrenage)
2. Choisissez le module Connecteurs
3. Choisissez l'onglet Authentification
4. Choisissez le connecteur et créez une nouvelle tâche

5. Remplissez les informations obligatoires
6. Définir des filtres pour les utilisateurs et les groupes

7. Sélectionnez le domaine d'authentification. Domaine pour lequel la configuration d'authentification sera créée dans ESA

8. Enregistrez la tâche et exécutez ESA Sync

9. Passez aux instructions de configuration Efecte Secure Access selon le protocole d'authentification

Instructions pour les versions 2024.1 et antérieures

Configurer une tâche planifiée

Efecte Provisioning Engine est utilisé pour lire les informations sur les utilisateurs et les groupes à partir de l'annuaire OpenLDAP des clients et il est configuré à partir de la plate-forme Efecte Service Management en créant une tâche de provisionnement planifiée.

Séquence de planification recommandée, dépend de la quantité de données lues depuis le répertoire des clients vers la solution Efecte et est une importation partielle ou complète.

Nombre total d'utilisateurs Nombre total de groupes Séquence de charge complète Séquence de charge partielle
< 500 < 1000 Toutes les 30 minutes si la charge partielle n'est pas utilisée
Quatre (4) fois par jour si une charge partielle est utilisée 		Toutes les 10 minutes
< 2000 < 2000 Toutes les 60 minutes, si la charge partielle n'est pas utilisée
Quatre (4) fois par jour si une charge partielle est utilisée 		Toutes les 15 minutes
< 5000 < 3000 Toutes les quatre (4) heures, si la charge partielle n'est pas utilisée
Deux fois par jour si une charge partielle est utilisée 		Toutes les 15 minutes
< 10 000 < 5000 Importations maximales deux fois par jour, peu importe si une charge partielle est utilisée ou non Toutes les 30 minutes
< 50 000 < 7000 Importation maximale une fois par jour, peu importe si une charge partielle est utilisée ou non Toutes les 60 minutes
Plus de 50 000 Plus de 7000 Il pourrait être nécessaire de faire appel à un autre travailleur EPE, veuillez contacter le propriétaire Pro produit. Évalué séparément

Comment créer une nouvelle tâche pour Pro planifié

Pour configurer une tâche de provisionnement planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

1. Ouvrez la zone Administration des effets (symbole d'engrenage).
2. Ouvrir la vue IGA
3. Choisissez Ajouter une nouvelle tâche pour la planification basée sur Pro planification

4. Choisissez OpenLDAP dans la liste Ajouter une nouvelle tâche
5. Renseignez un nom unique pour la tâche de provisionnement
6. Choisissez l'utilisateur API Web et saisissez le mot de passe
7. Sélectionnez un modèle d'échec de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)

8. Choisissez la séquence de planification, qui dépend de la quantité de données lues par les clients. Solution Efecte

9. Remplissez la section Pro , où les informations de connexion sont définies et les filtres pour la lecture des informations utilisateur et groupe à partir des clients OpenLDAP .

10. Les utilisateurs sont importés dans le modèle de compte IGA . Il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les solutions OpenLDAP et Efecte. Il est possible de définir des attributs supplémentaires, lus depuis les comptes utilisateurs dans OpenLDAP , en sélectionnant « Ajouter une propriété ».

12. Les groupes sont lus dans le modèle d'autorisation IGA . Il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients OpenLDAP et la solution Efecte. Il est possible de définir des attributs supplémentaires, lus depuis les comptes utilisateurs dans OpenLDAP , en sélectionnant « Ajouter une propriété ».

14. Enregistrez la tâche de provisionnement à partir de la barre supérieure

15. Vous avez maintenant configuré la tâche de provisionnement planifiée et vous pouvez

  • Tester la connexion
  • Tester l'authentification
  • Exécuter la tâche manuellement

16. Si la tâche est exécutée manuellement (exécuter la tâche manuellement) ou si elle est exécutée selon la planification, l'état de la tâche peut être consulté sous l'onglet Extraire/Charger l'état.

Configurer une tâche basée sur les événements

La tâche Pro basée sur les événements est utilisée lors de l'écriture de données vers OpenLDAP . Ces fonctionnalités Efecte Provisioning Engine sont disponibles uniquement pour la solution Efecte IGA ; une licence IGA est requise pour leur utilisation.

Toutes les configurations liées à Efecte Provisioning Engine et à la tâche de provisionnement basée sur les événements sont configurées dans la plate-forme Efecte Service Management.

1. Choisissez OpenLDAP dans la liste Ajouter une nouvelle tâche
2. Sélectionnez le type de provisionnement Pro basé sur les événements 
3. Sélectionnez le type de mappage
4. Renseignez le nom et le nom unique de la tâche de provisionnement (par exemple, [Nom du modèle] : [Activité] Demande de service IGA : Vérifier l'utilisateur )

5. Renseignez la section Pro , où sont définies les informations de connexion et les filtres d'utilisateurs et de groupes provenant des clients OpenLDAP . Remarque : il est toujours recommandé de sécuriser la connexion entre Efecte Provisioning Engine et les services d'annuaire.


6. Définir les mappages d’attributs.

  • Il est possible de définir des attributs supplémentaires en choisissant Ajouter une propriété personnalisée.
  • Dans la tâche de provisionnement basée sur les événements, il est possible de définir quelles informations d'attribut dans la solution IGA sont écrites dans le répertoire.
  • Il peut y avoir plusieurs tâches de provisionnement à des fins différentes, comme une pour créer des utilisateurs et une pour supprimer des utilisateurs de l'annuaire.

7. Enregistrez la tâche de provisionnement à partir de la barre supérieure

8. Vous avez maintenant configuré la tâche de provisionnement basée sur les événements et vous pouvez tester la connexion et l'authentification.

9. L'étape suivante consiste à configurer le workflow pour utiliser cette tâche événementielle. Depuis le moteur de workflow de la plateforme Efecte Service Management, il est possible d'exécuter des activités de provisionnement vers les services d'annuaire client. Cela signifie que n'importe quelle activité disponible peut être exécutée à tout moment du workflow.

Configurer la tâche d'authentification

Il existe deux options pour créer une tâche d'authentification. La première consiste à copier la tâche de provisionnement existante dans la tâche d'authentification, si la méthode d'authentification utilise les mêmes paramètres. La deuxième option consiste à créer une nouvelle tâche d'authentification.

Option 1 : Créer une nouvelle tâche d'authentification à partir d'une tâche de provisionnement

1. Ouvrez la zone d'administration (symbole d'engrenage)
2. Choisissez l'onglet IGA , copiez la tâche souhaitée à partir du bouton Cloner

3. Donnez un nom à la nouvelle tâche d'authentification

4. Après avoir enregistré, modifiez le type de provisionnement de l'authentification.

5. Remplissez les champs obligatoires et enregistrez la tâche

Option 2 : Créer une nouvelle tâche d'authentification

1. Ouvrez la zone Administration (symbole de la roue dentée)
2. Choisissez l'onglet IGA
3. Choisissez Ajouter une nouvelle tâche et le répertoire correct
4. Définissez le type d'approvisionnement sur Authentification

5. Remplissez les informations obligatoires
6. Définir des filtres pour les utilisateurs et les groupes
7. Enregistrez la tâche et exécutez la synchronisation avec ESA

8. Passez aux instructions de configuration Efecte Secure Access selon le protocole d'authentification

Activités de flux de travail

Le moteur de Pro (EPE) offre la possibilité d'orchestrer les activités suivantes sur OpenLDAP .

Activer / Désactiver l'utilisateur

Dans l'illustration ci-dessus, les administrateurs ont sélectionné la cible OpenLDAP appropriée et peuvent consulter les mappages d'identité configurés pour les tâches OpenLDAP sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

À l’intérieur de ce même nœud, les administrateurs peuvent choisir l’action qu’ils préfèrent utiliser « Activer » ou « Désactiver ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

 

Ajouter un utilisateur au groupe

Dans l'illustration ci-dessus, la configuration de l'attribut Personne doit pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur (généralement le compte IGA ). L'attribut Rôle doit être configuré pour définir où le nœud d'orchestration trouve les rôles disponibles (groupes d'annuaires dont l'utilisateur doit être supprimé). Un ou plusieurs groupes d'attributs peuvent être configurés dans un attribut Rôle. La liste des tâches d'annuaire enregistrées disponibles est extraite du maître EPE.

Il est nécessaire de sélectionner la tâche d'annuaire, car le nœud d'orchestration du moteur Pro utilisera le mappage des champs d'identité et de droits d'accès pour savoir sous quel code d'attribut les noms distinctifs de l'utilisateur et du groupe d'annuaires sont stockés.

Gestion des exceptions :

  • Le résultat d'un nœud sera à l'état « Terminé » uniquement si toutes les appartenances aux groupes de l'utilisateur ont été mises à jour avec succès. Si, par exemple, l'utilisateur est supprimé de 5 groupes sur 6, le résultat d'un nœud sera à l'état « Exception ».
  • Par conséquent, le mappage du champ JSON distinguishedName, pour l'identité et les droits d'accès, est requis. Si le mappage est introuvable, le nœud d'orchestration affichera un état « Exception ».
  • La tentative de supprimer un utilisateur d'un groupe auquel il n'appartient pas se terminera par un échec.
  • La tentative d'ajouter un utilisateur à un groupe auquel il appartient déjà se terminera par un échec.
  • Les détails sur l'appartenance au groupe d'un utilisateur mis à jour avec succès ou non peuvent être trouvés dans les journaux.
  • Les exceptions de Pro et d'appartenance aux groupes sont des propriétés facultatives pour ce nœud de workflow. Les administrateurs peuvent configurer ces propriétés pour qu'elles puissent être utilisées et créer des exceptions si des exceptions surviennent lors des actions de provisionnement.

Créer un utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent l'annuaire cible approprié et peuvent consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP . Il est important de vérifier que le mappage d'identité utilisé dans le nœud d'orchestration de création d'utilisateur contient au moins deux mappages Active Directory supplémentaires : pour les attributs « cn » et « sAMAccountName ». Si ces deux mappages sont absents dans une configuration donnée, ils ne seront pas affichés dans la liste déroulante.

Création de nouvelles notes d’activité utilisateur :

  • Il existe deux manières de créer le mot de passe d'un nouvel utilisateur pour sa première connexion.
    • Définir le mot de passe « Par défaut » dans la vue de configuration de la tâche de Pro
      • Ce mot de passe ne sera utilisé par les utilisateurs que lorsqu'ils se connecteront au système pour la première fois.
    • Générer un mot de passe aléatoire dans le flux de travail et sélectionner dans quel attribut de la carte de données de mappage d'identité il a été écrit
    • Possibilité de choisir si le mot de passe doit être modifié à la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Création d'utilisateur » du workflow.
  • Il existe différentes manières de fournir un mot de passe pour la première connexion de l'utilisateur final. Selon les besoins du client, il est possible d'utiliser les fonctionnalités du workflow pour envoyer le mot de passe directement à l'utilisateur final par e-mail ou SMS. Une autre option consiste à envoyer le mot de passe de première connexion au responsable, qui le fournira à l'utilisateur final. Le nœud d'orchestration d'EPE ne fournit pas cette fonctionnalité ; elle doit être définie ailleurs.
  • La configuration de la « Cible » s'effectue dans la vue de configuration de la tâche de provisionnement. Pour créer de nouveaux utilisateurs, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base d'utilisateurs LDAP/un seul filtre d'utilisateurs LDAP afin d'éviter tout conflit dans le workflow.
  • L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Créer un groupe


Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible OpenLDAP appropriée et peuvent consulter les mappages des droits d'accès configurés pour les tâches OpenLDAP sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'un nouvel utilisateur lit les attributs des cartes de données en question et exécute la commande LDAP sur OpenLDAP .

Il est important de s'assurer que le mappage des droits d'accès, utilisé dans le nœud d'orchestration Créer un groupe, contient au moins deux mappages OpenLDAP supplémentaires : pour les attributs « cn » et « sAMAccountName ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer le groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration de suppression de groupe lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP .

Pour les configurations basées sur LDAP, « Attribut de groupe de rôles » doit contenir le nom distinguishedName du groupe.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur


Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration de suppression d'utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP .

Pour les configurations basées sur Active Directory , « Attribut de personne » doit contenir le nom distinguishedName de l'utilisateur.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'attribut utilisateur


Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration des attributs utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP . Dans la propriété « Attribut(s) à supprimer », l'administrateur peut définir l'attribut à supprimer de l'annuaire. Indiquez le nom de l'attribut à supprimer. Une chaîne peut contenir des attributs à valeurs multiples, comme « Ville », « Centre de coûts », « Mobile ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur du groupe


Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration de suppression d'attributs utilisateur lit les attributs des cartes de données concernées et exécute la commande LDAP vers l'annuaire. Dans la propriété « Attribut(s) à supprimer », l'administrateur peut définir l'attribut à supprimer de l'annuaire.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Réinitialiser le mot de passe de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » lit les attributs des cartes de données concernées et exécute la commande LDAP vers l'annuaire. Les attributs « Personne » et « Mot de passe » doivent pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur.

L'administrateur peut choisir de modifier le mot de passe lors de la première connexion. Il peut effectuer cette sélection directement depuis le nœud d'orchestration du workflow « Réinitialiser le mot de passe utilisateur ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Déverrouiller l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration utilisateur de déverrouillage lit les attributs des cartes de données concernées et exécute la commande LDAP vers l'annuaire.

Il est important de prendre en compte dans les configurations que « Attribut de personne » doit contenir le nom distinctif de l'utilisateur.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Groupe de mise à jour


Dans l'illustration ci-dessus, les mappages d'attributs de droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible OpenLDAP appropriée et peuvent consulter les mappages de droits d'accès configurés pour les tâches OpenLDAP sélectionnées.

Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications aux mappages sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches Pro .

Le nœud d'orchestration du groupe de mise à jour lit les attributs des cartes de données en question et exécute la commande LDAP sur OpenLDAP .

La configuration de la cible s'effectue dans la vue de configuration de la tâche de provisionnement. Pour la mise à jour des groupes, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base de groupe OpenLDAP /un seul filtre de groupe LDAP afin d'éviter tout conflit dans le workflow.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.



Mettre à jour l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible OpenLDAP appropriée et peuvent consulter les mappages d'identité configurés pour les tâches OpenLDAP sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration utilisateur de mise à jour lit les attributs des cartes de données en question et exécute la commande LDAP sur OpenLDAP .

Notez que la mise à jour du mot de passe utilisateur n'est pas prise en charge sur cette activité d'orchestration.

La configuration de la « Cible » s'effectue dans la vue de configuration de la tâche de provisionnement. Pour la mise à jour des utilisateurs, les administrateurs doivent s'assurer qu'il n'existe qu'une seule base d'utilisateurs OpenLDAP /un seul filtre d'utilisateurs LDAP afin d'éviter tout conflit dans le workflow.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Mettre à jour la valeur du nom distinctif de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible OpenLDAP appropriée. Le nœud d'orchestration « Mettre à jour la valeur du nom distinctif de l'utilisateur » lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP .

Dans le champ « Valeur du nom distinctif actuel* », l'administrateur doit sélectionner l'attribut du modèle/de la fiche de données à partir duquel l'ancien nom de l'emplacement OpenLDAP sera lu. Le champ « Nouveau nom distinctif* » sélectionne l'attribut du modèle/de la fiche de données à utiliser comme nom du nouvel emplacement OpenLDAP .

Avec cette activité, les administrateurs peuvent par exemple limiter l'action de mise à jour à l'attribut « commonname », mais il est nécessaire de donner la valeur Distinguished complète, par exemple :

Valeur actuelle du nom distinctif : CN = DemoAccount, OU = DemoUsers, DC = testad, DC = local

Nouvelle valeur de nom distinctif : CN= DemoAccount,OU=OldDemoUsers,DC=testad,DC=local

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier le groupe

Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l' OpenLDAP approprié dans « Cible » et peuvent visualiser les mappages de droits d'accès configurés pour la tâche OpenLDAP sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages de droits d'accès, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence du groupe. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données pour confirmer l'unicité d'un groupe. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données concernée et comparés aux attributs OpenLDAP appropriés, conformément à la configuration OpenLDAP « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut OpenLDAP correspondant en modifiant l'expression « IF ». Le champ « Save result* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « true » si le groupe a été trouvé, « false » dans le cas contraire.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'UO » sur ce nœud d'orchestration pour vérifier si le groupe existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'UO spécifique définie dans la configuration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier l'appartenance au groupe

Dans l’illustration ci-dessus, les administrateurs choisissent le bon OpenLDAP dans « Cible » et peuvent voir quels mappages d’identité sont configurés pour la tâche sélectionnée.

Le champ « Enregistrer le résultat* » permet de définir où les résultats de la requête LDAP réussie sont enregistrés, « true » si l'utilisateur a été trouvé ou « false » dans le cas contraire.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches Pro . Les administrateurs sélectionnent l' OpenLDAP approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche OpenLDAP sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages d'identité, les administrateurs peuvent saisir une expression « IF », qui générera une requête LDAP pour vérifier l'existence de l'utilisateur. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données pour confirmer l'unicité d'un utilisateur. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données concernée et comparés aux attributs OpenLDAP appropriés, conformément à la configuration OpenLDAP « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut OpenLDAP correspondant en modifiant l'expression « IF ». Le champ « Save result* » permet de définir l'emplacement d'enregistrement des résultats de la requête LDAP : « true » si l'utilisateur a été trouvé, « false » dans le cas contraire.

Le point clé pour comprendre la mécanique de ce nœud est le suivant : lors de la formation de l'expression IF, l'administrateur doit utiliser les attributs du modèle, mais en fait, les valeurs lues à partir d'eux seront traduites (mappées) vers les attributs de répertoire appropriés, conformément à la configuration du mappage d'identité et seront transmises à OpenLDAP comme requête de recherche.

Les administrateurs peuvent cocher la propriété « Inclure la sous-arborescence d'unité organisationnelle » sur ce nœud d'orchestration pour vérifier si l'utilisateur existe dans la sous-arborescence d'unité organisationnelle définie. Si l'administrateur ne sélectionne pas cette option, le nœud d'orchestration ne vérifiera que l'unité organisationnelle spécifique définie dans la configuration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.


Créer un objet personnalisé

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . L'administrateur a sélectionné l'annuaire OpenLDAP comme « cible » et peut consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro . La classe d'objet personnalisée définit l'objet créé par EPE ; dans cet exemple, il s'agit de l'organisation. Elle lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP .

Le nœud d'orchestration d'objet personnalisé en cours de création lit les attributs des cartes de données concernées et exécute la commande LDAP vers OpenLDAP . Il est important de vérifier que le mappage d'identité est utilisé dans le nœud d'orchestration d'objet personnalisé en cours de création.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Mettre à jour l'objet personnalisé

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la « cible » OpenLDAP correcte, il lit les attributs des cartes de données en question et exécute la commande LDAP sur OpenLDAP .

Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement pour pouvoir être modifiés dans le nœud d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'objet personnalisé

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la « cible » OpenLDAP correcte, il lit les attributs des cartes de données en question et exécute la commande LDAP sur OpenLDAP .

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Lire les données de l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible OpenLDAP appropriée et peuvent consulter les mappages configurés pour les tâches OpenLDAP sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

« Attribut de personne » doit contenir le nom distinctif de l'utilisateur ou un autre attribut unique.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Exécuter la tâche de provisionnement

Dans l'illustration ci-dessus, les administrateurs peuvent choisir le répertoire cible approprié. Exécutez la tâche de provisionnement pour lire les attributs du nœud d'orchestration depuis OpenLDAP vers les comptes IGA .

Les exigences pour la tâche EPE « Cible » sont :

  • La tâche doit être de type « Tâche planifiable » et non basée sur un événement
  • Le modèle de workflow doit être identique au modèle de mappage d'identité
  • La tâche doit être planifiée à un moment donné - elle marque une tâche à « activer » puis
  • Les mappages doivent être distincts, pas de mappages dupliqués dans la tâche

Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement pour pouvoir être modifiés dans le nœud d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Dépannage

En cas d'erreur, veuillez consulter les journaux EPE et la FAQ

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Configurer : EPE Créer une carte de données pour cibler ESM
  • Configurer : EPE Supprimer la carte de données de l'ESM cible
  • Configurer : EPE Jira Cloud Connector

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand