US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

French
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Gouvernance et administration des identités ( IGA )
  • Bibliothèque de solutions IGA
  • Instructions et lignes uid
  • Configurer les connecteurs

Connecteur SCIM

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Gestion des services
    Solution Matrix42 Professional Solution Matrix42 Core Gestion des services d'entreprise Matrix42 Intelligence
  • Gouvernance et administration des identités ( IGA )
    Aperçu IGA Bibliothèque de solutions IGA
  • Plate-forme
    ESM ESS2 ESS Effet Chat pour la gestion des services Efecte Integrations Modules complémentaires
  • Notes de version pour M42 Core & Pro , IGA , IA conversationnelle
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Informations et politiques de publication
  • Autre matériel
    Conditions uid et directives de documentation Déclarations d'accessibilité
  • Services
+ More

    • Gestion des services

    • Gouvernance et administration des identités ( IGA )

    • Plate-forme

    • Notes de version pour M42 Core & Pro , IGA , IA conversationnelle

    • Autre matériel

    • Services

Connecteur SCIM

Le connecteur SCIM fait partie des connecteurs natifs et permet de lire les données du serveur SCIM . Disponible uniquement pour la solution Efecte IGA , il nécessite un accord spécifique pour être utilisé avec d'autres solutions Efecte. Le connecteur SCIM est un client SCIM ; il peut donc lire les données du serveur SCIM . Cependant, il ne peut pas se connecter à un autre client SCIM .

Le connecteur SCIM nécessite une configuration en fonction du cas d'utilisation du client et, en principe, la configuration comporte deux (2) étapes :

  1. Configurer le connecteur - permet au connecteur d'établir une connexion au serveur SCIM
  2. Configurer la tâche planifiée - est utilisé lorsque les données sont lues à partir du serveur SCIM

Instructions pour les versions 2024.1 et ultérieures

Configurer le connecteur SCIM

Dans ce chapitre sont décrites les instructions de configuration du connecteur SCIM pour pouvoir se connecter aux clients SCIM .

Pour accéder à la gestion des connecteurs, l'utilisateur doit disposer des autorisations nécessaires à la configuration de la plateforme Efecte.

1. Ouvrez la zone d’administration d’Efecte (un symbole d’engrenage).
2. Ouvrez la vue des connecteurs.
3. Choisissez un nouveau connecteur

4. Sélectionnez le type de source de données SCIM

5. Remplir les informations relatives aux clients SCIM

  • Nom du connecteur - donnez à votre connecteur un nom convivial (le nom peut être modifié par la suite)
  • Hôte SCIM - adresse de l'hôte qui sera utilisée pour la connexion au SCIM des clients
  • Port SCIM - numéro de port qui sera utilisé pour la connexion au SCIM du client
  • Nom d'utilisateur SCIM - nom du compte de service utilisé pour lire et écrire des données vers/depuis les clients SCIM
  • Mot de passe SCIM - mot de passe pour le compte de service

6. Remplissez les informations utilisateur API Web

  • Utilisateur API Web - sélectionnez l'utilisateur API Web correct qui est utilisé lors de l'écriture des données des clients SCIM vers les clients Solution d'effet
  • Mot de passe de API Web - mot de passe de l'utilisateur de l' API Web

7. Enregistrer les informations du connecteur

  • Appuyez sur « Test de connexion » pour valider que les informations sur le port et l'hôte sont correctement définies.
  • Appuyez sur le test d'authentification pour valider que les informations d'utilisateur et de mot de passe SCIM (compte de service) sont correctement définies

8. La solution Efecte est désormais capable de se connecter à SCIM . L'étape suivante consiste à configurer une tâche planifiée pour la lecture des données.

uid générales pour les tâches planifiées

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Configurer une tâche planifiée pour la lecture des données

Pour configurer une tâche planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

Remarque ! Si aucun connecteur n'est créé, vous devez d'abord créer un « nouveau connecteur » avant de pouvoir créer de nouvelles tâches.

1. Ouvrez la zone d’administration d’Efecte (un symbole d’engrenage).
2. Ouvrez la vue des connecteurs.
3. Choisissez le connecteur pour lequel la tâche planifiée est configurée
4. Sélectionnez une nouvelle tâche sous le connecteur approprié

4. Définissez la planification de la tâche (si et comment la tâche planifiée doit être exécutée périodiquement). Choisissez la séquence de planification, qui dépend de la quantité de données lues par la solution Efecte du client.

5. Remplissez les détails de la tâche

  • Saisissez un nom de tâche unique pour la tâche planifiée. Notez que le nom ne peut pas être modifié par la suite.
  • L'utilisation de la tâche indique la tâche utilisée pour la lecture ou l'écriture de données, ou pour l'authentification. Notez que toute modification ultérieure du type d'événement peut interrompre les flux de travail.
  • Le type de mappage dépend du type d'informations lues dans le répertoire
    • Identité et droits d'accès - sont utilisés lorsque les informations de compte d'utilisateur et de groupe sont lues à partir de l'annuaire
    • Unique (identité uniquement) - sont utilisés lorsque seules les informations du compte utilisateur sont lues à partir du répertoire
    • Unique (droit d'accès uniquement) - sont utilisés lorsque seules les informations de groupe sont lues à partir du répertoire
    • Générique (un modèle) - sont utilisés lorsqu'une information générique est lue à partir du répertoire, généralement autre que les utilisateurs/groupes

6. Remplissez les détails de filtrage facultatifs

  • Configurer un filtre pour les utilisateurs si nécessaire,
    Filtre de requête API graphique supplémentaire appliqué lors de l'extraction des utilisateurs
  • Configurez un filtre pour les groupes si nécessaire, un filtre de requête API SCIM supplémentaire appliqué lors de l'extraction des groupes

7. Remplissez les informations d'échec

Paramètres facultatifs pour la gestion des échecs : en cas d'échec d'une tâche planifiée, une carte de données peut être créée pour Efecte ESM, affichant l'erreur. Si des paramètres d'échec sont définis, l'administrateur n'a pas besoin de vérifier manuellement l'état des tâches planifiées.

  • Modèle d'échec - Sélectionnez un modèle de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)
  • Dossier d'échec - Sélectionnez le dossier dans lequel la carte de données d'échec est stockée.
  • Attribut d'échec - Sélectionnez un attribut dans lequel les informations d'erreur doivent être stockées dans le modèle d'échec.

8. Remplissez les mappages d'identité

Les utilisateurs sont importés dans le modèle de compte IGA et il est obligatoire de définir le dossier cible, l'ID de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre les clients SCIM et la solution Efecte. Par exemple :

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut externe - quel attribut du serveur SCIM est mappé
    2. Attribut local - vers lequel l'attribut de la carte de données est mappé.
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs, en choisissant Nouvel attribut

9. Renseignez les mappages de droits d'accès

Les groupes sont lus selon le modèle d'autorisation IGA et il est obligatoire de définir le dossier cible, l'ID de source de données et les valeurs uniques qui sont utilisées pour identifier les utilisateurs entre le serveur SCIM des clients et la solution Matrix42 Core , Pro ou IGA .

  • Modèle cible - Sélectionnez un modèle pour définir les mappages d'attributs
    Sélectionnez un modèle pour définir les mappages d'attributs
  • Dossier cible : sélectionnez un dossier dans une liste. La liste est réduite pour correspondre au modèle sélectionné.
  • Mappages d'attributs
    1. Attribut de modèle d'effet - vers quel attribut dans le répertoire d'effet l'attribut est mappé.
    2. Attribut de répertoire - quel attribut du répertoire est mappé à Efecte
  • Il est possible de définir des attributs supplémentaires, qui sont lus à partir des comptes utilisateurs dans le répertoire, en choisissant Nouvel attribut

10. Enregistrez la tâche de provisionnement via le bouton Enregistrer. Si certains attributs requis sont manquants, le bouton Enregistrer s'affiche en gris et affiche les éléments manquants dans les paramètres.

11. Vous avez maintenant configuré une tâche de connecteur planifiée pour la lecture des données SCIM .

  • Vous pouvez désormais attendre que la tâche soit démarrée en fonction de la planification ou
  • Exécuter la tâche manuellement : en cliquant sur ce bouton, la tâche est configurée pour être planifiée et démarrer immédiatement. Ceci est généralement utilisé pour des tests ou si vous ne souhaitez pas modifier les paramètres de planification, mais souhaitez exécuter la tâche immédiatement.

Instructions pour les versions 2023.4 et antérieures

Pour configurer une tâche de provisionnement planifiée, vous aurez besoin d'accéder à la console de configuration d'Efecte Platform.

1. Ouvrez la zone Administration des effets (symbole d'engrenage).
2. Ouvrir la vue IGA
3. Choisissez Ajouter une nouvelle tâche pour la planification basée sur Pro planification
4. Choisissez SCIM dans la liste Ajouter une nouvelle tâche


5. Saisissez un nom unique pour la tâche de provisionnement
6. Choisissez l'utilisateur API Web et saisissez le mot de passe
7. Sélectionnez un modèle d'échec de carte de données qui sera créé en cas d'erreur lors de l'approvisionnement (connexion aux sources de données, délais d'attente, etc.)

8. Choisissez la séquence de planification, qui dépend de la quantité de données lues par les clients. Solution Efecte

9. Remplissez la section Pro , où les informations de connexion sont définies et les filtres pour la lecture des informations utilisateur et groupe à partir SCIM des clients

10. Remplissez les détails de filtrage facultatifs

  • Configurer un filtre pour les utilisateurs si nécessaire,
    Filtre de requête API graphique supplémentaire appliqué lors de l'extraction des utilisateurs
  • Configurez un filtre pour les groupes si nécessaire, un filtre de requête API graphique supplémentaire est appliqué lors de l'extraction des groupes

10. Les utilisateurs sont importés dans le modèle de compte IGA . Il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre Customers SCIM et la solution Efecte. Il est possible de définir des attributs supplémentaires, lus depuis les comptes utilisateurs dans SCIM , en sélectionnant « Ajouter une propriété ».

11. Les groupes sont lus dans le modèle d'autorisation IGA . Il est obligatoire de définir le dossier cible, l'identifiant de la source de données et les valeurs uniques utilisées pour identifier les utilisateurs entre Customers SCIM et la solution Efecte. Il est possible de définir des attributs supplémentaires, lus depuis les comptes utilisateurs dans SCIM , en sélectionnant « Ajouter une propriété ».

14. Enregistrez la tâche de provisionnement à partir de la barre supérieure

15. Vous avez maintenant configuré la tâche de provisionnement planifiée et vous pouvez

  • Tester la connexion
  • Tester l'authentification
  • Exécuter la tâche manuellement

16. Si la tâche est exécutée manuellement (exécuter la tâche manuellement) ou si elle est exécutée selon la planification, l'état de la tâche peut être consulté sous l'onglet Extraire/Charger l'état.

Dépannage

Dans ce chapitre sont décrites les options de dépannage,

  • En cas d'utilisation d'un modèle d'échec, vérifiez la carte de données correcte
  • Vérifier l'historique des tâches planifiées à partir de la gestion des connecteurs
  • Vérifier les journaux du moteur Pro provisionnement

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Configurer : EPE Jira Cloud Connector
  • Connecteur Microsoft Active Directory ( AD )

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand