Łącznik Microsoft Active Directory ( AD )

Jak zintegrować się z Microsoft Active Directory

+ More

Łącznik Microsoft Active Directory

Łącznik Microsoft Active Directory ( AD ) jest częścią Native Connectors i służy do odczytu i zapisu danych do/z Active Directory klientów. Może być używany we wszystkich rozwiązaniach Matrix42 Core , Pro and IGA korzystających z Native Connectors.

Możesz odczytywać i zapisywać obiekty typu użytkownik, kontakt, drukarka, komputer, folder współdzielony, grupa i/lub jednostka organizacyjna w/z Active Directory

Łącznik AD wymaga konfiguracji zgodnie z przypadkiem użycia klienta, a konfiguracja zasadniczo składa się z trzech (3) kroków:

Konfiguruj łącznik – umożliwia łącznikowi nawiązanie połączenia z katalogiem
Konfiguruj zadanie zaplanowane – używane, gdy dane są odczytywane z katalogu
Konfiguruj zadanie zdarzenia – używane, gdy dane są zapisywane do katalogu
1. Wymagana jest również konfiguracja węzłów koordynacji przepływu pracy

Polityka uczciwego użytkowania

Złącze może być używane bez ograniczeń w normalnych warunkach pracy. Jeśli jednak jego użycie spowoduje znaczny wzrost obciążenia, wymagającego dodatkowych zasobów chmury (np. pamięci lub mocy obliczeniowej), mogą zostać naliczone dodatkowe opłaty.

Aby używać tego łącznika do tworzenia, aktualizowania lub usuwania kont użytkowników lub obiektów grupowych, wymagana jest aktywna licencja IGA .

Instrukcje dotyczące wersji 2024.2 i nowszych

Ogólne funkcjonalności

Connectors - general functionalities

Connectors - general functionalities

In this article are described general functionalities for managing native connectors in solution. All Native Connectors are managed from the same connector management UI.

Notice that there are separate descriptions for each connector, where connector specific functionalities and configuration instructions are described in detailed level.

To be able to access connector management, user needs to have admin level permissions to customers Platform configuration. When accesses are granted correctly, connector tab will be visible and user can manage connectors.

Left menu

Connector management is divided into four tabs:

Overview - for creating and updating Native Connectors. The Admin User can see their status, type and how many scheduled or event tasks are associated with them.
Authentication - for creating and updating authentication tasks. Provisioning task for authentication is needed for Secure Access to be able to define which Customers end-users can access to Matrix42 Core, Pro and IGA login page.
Logs - for downloading Native Connector and Secure Access logs from UI.
Settings - general settings for Native Connectors and Secure Access, including environment type for logging and monitoring.

Connectors overview tab

From overview page, user can easily and quickly see status for all connectors.

Top bar:

Status for Native Connectors (EPE)
- Green text indicates that Native Connectors is online. All the needed services are up and running.
- Red text indicates that there is a problem with Native Connectors, all the services are not running.
Status for Secure Access (ESA)
- Green text indicates that Secure Access is online. All the needed services are up and running.
- Red text indicates that there is a problem with Secure Access, all the services are not running.
Native Connectors version number is displayed in top right corner

Top bar for list view:

New connector - opens new window for adding and configuring new connector
Remove connector(s) - workflow references are calculated and pop-up window appears to confirm removal (notice that calculating references can take several seconds)
Export - Admin can export one or more connectors (and tasks) from the environment. Usually used for exporting connectors and connectors (and tasks) from test to prod. Native connectors secret information is password protected.
Import - Admin can import one or more connectors (and tasks) to the environment. Usually used for importing connectors (and tasks) from test to prod.
- Admin cannot import from old EPE UI (Older than 2024.1) to the new one. Source and target environments must have same version.
- Import will fail if the configuration (templates, attributes) is not the same - for example when some attribute is missing
- If you are importing something with the same connector details, it will be merged under existing connector
Refresh - Admin can refresh connectors view by clicking the button.

List view for overview,

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated unique ID of the connector. Cannot be edited or changed.
Status - indicates scheduled task status
- Green check mark - Task is executed without any errors
- Red cross -Task is executed, but there have been error
- Grey clock - Task is not executed yet, waiting for scheduling
- Orange - one of the tasks has a problem
- No value - Scheduled based-task is missing
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Scheduled - informs how many scheduled tasks are configured
Event - informs how many event tasks are configured
Manage
- Pen icon - opens connector settings (double-clicking the connector row, also opens settings)
- Paper icon - copies the connector
- Stop - workflow references are calculated and pop-up window appears to confirm removal
Search - User can search connector by entering the search term in the corresponding field . Id, Status, Name, Type, Scheduled and Event fields can be searched.

Scheduled task information (click arrow front of the connector)

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for scheduled tasks

New task - opens configuration page for new task
Remove task(s) - removes the selected task(s) from the system and they cannot be recovered anymore.
Refresh - refresh scheduled-based tasks view
Search - user can search task by entering the search term in the corresponding field for Id, name, enabled, extract/load status.

List view for scheduled tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Enabled - Displays is the task scheduled or not
- Green check mark - Task is scheduled
- Red cross - Task is not scheduled
Extract status - Displays status of data extraction from the target directory/system
- Green check mark - data is extracted successfully
- Red cross - data is extracted with error(s) or extraction is failed
- Clock - Task is waiting execution
Load status - Displays status of data export from json-file to customers solution
- Green check mark - data is imported successfully to customers solution
- Red cross - data is imported with error(s) or import is failed
Manage
- Pen icon - opens task settings in own window (double-clicking the task row also opens task settings)
- Paper icon - copies the task
- Clock icon - opens task history view
- Stop - remove task, pop-up window opens to confirm the removal

Scheduled task history view

By clicking the clock icon in the scheduled task row, history for scheduling will be shown.

Top bar for view history

Refresh - refreshes scheduled task status. This doesn't affect task, this only updates UI to show latest information of task run.

List view for scheduled task history

Color of the row is indicating status
- Green - task executed successfully
- Red - error happened during execution
Execution ID - unique ID for the scheduled task row
Extract planned time - when next extract from the directory/application is scheduled to happen
Extract complete time - when extract was completed
Extract status - status for fetching data from the directory/application
Load start time - when next load to customers solution is scheduled to happen
Load complete time - when load was completed
Load status - status for loading information to customers solution

List view for scheduled task status

Actual start time - timestamp for actual start
Users file - JSON file containing user information read from the directory/application
Group file - JSON file containing group information read from the directory/application
Generic file - JSON file containing generic information read from the directory/application
Extract info - detailed information about reading information from the directory/application
Load info - detailed information about loading the information to customers Matrix42 Core, Pro and IGA solution

Edit window for scheduled task

Configuration for scheduled task can be opened by clicking pen icon or double-clicking the task row.

Left menu and attributes varies according to selected options and therefore more detailed instructions for editing tasks can be found from the connector description, but there are common functionalities for all scheduled tasks which are described below.

Saving the task

In case mandatory information is missing from the task, hoovering mouse on top of the save button will show which attributes are still empty.

Top bar for edit scheduled task

Run task manually - admin can run task manually out side of the defined scheduling
Stop task - admin can stop scheduled-based task which is currently running. Task will be stopped and status is changed to be stopped. It waits in this state until the next timing occurs.
Clear data cache - Data cache for the next provisioning of Users and Groups will be cleared. It means that next run is run as first time run.
- By default, we clear the cache everyday at 00:00 UTC
- If you want to clear the cache at different time, then it has to specify some different value in host file 'custom.properties'.
- EPE Cache is also cleared when EPE is restarted, whole environment is restarted, EPE mappings have been changed

Event task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for event tasks

New task - opens configuration page for new event task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes event tasks view
Show workflow references - calculates task related workflow relations and statuses. This is very useful if you don't know from which workflows event-based tasks are used.

List view for event tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Workflow relations
- Question mark shows pop-up window with detailed information about the reference
Workflow status
- Not used - No relations to workflow
- In use - Workflow(s) attached to task, task cannot be removed
Manage
- Pen icon - opens task settings in own window
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Edit window for event task

Configuration for event task can be opened by clicking pen icon or double-clicking the task row.

Edit event task window

Task usage, editable? - this appears when editing existing task and changing the task usage type will break workflows
Mappings type, editable? - this appears when editing existing task and changing the mappings type will break workflows

Saving the task

In case mandatory information is missing from the task, hovering mouse on top of the save button will show which attributes are still empty.

Authentication tab

Authentication for Matrix42 Core, Pro and IGA solutions are configured from authentication tab, notice that only some of the connectors (directory connectors) are supporting authentication, so its not possible to create authentication tasks to all available connectors.

Top bar for authentication

New connector - opens new window for configuring new connector (notice that not all connectors are supporting authentication)
Remove connector(s) - removes selected task(s), pop-up window appears to confirm the removal
Export - user can export one or more tasks from the environment. Usually used for exporting tasks from test to prod. EPE connectors are password protected.
- Note that Realm for authentication tasks is not exported, you need to set that manually after importing
Import - user can import one or more tasks to the environment. Usually used for importing task from test to prod.
Refresh - refreshes authentication tasks view

List view for authentication overview

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated Unique ID of the connector. Cannot be edited or changed.
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Count - informs how many authentication tasks are configured
Manage
- Pen icon - opens authentication task setting in own window
- Paper icon - copies the task
- Stop icon - removes selected task

Authentication task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for authentication overview

Create new task - opens configuration page for new authentication task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes authentication tasks view

List view for authentication overview,

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Manage
- Pen icon- opens task settings in own window (double-clicking the task row, also opens settings window)
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Logs tab

Logs tab is for downloading Native Connector and Secure Access logs from UI for detailed troubleshooting.

epe-master logs - contains warning, debug and error level messages about Native Connectors and info how long task actions has been taken.
epe-worker-ad logs - contains extract data status of Active Directory connector (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-azure logs - contains extract data status of Entra ID (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-ldap logs - contains extract data status of LDAP (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-launcher logs - contains information about EPE launches
datapump-itsm logs - Contains information about data export to customers Matrix42 Core, Pro and IGA solution.
esa logs - Contains information about Secure Access authentication.

Settings tab

Settings tabs is used for monitoring environments with connectors.

Environment type - is mandatory to be in selected and information is used for example defining alert critically.
- Test - select this when your environment is used as testing environment
- Prod - select this when your environment is used as production environment
- Demo - select this when your environment is used as demo or training environment
- Dev - select this when your environment is used as development environment

What we are monitoring?

Failures in scheduled based provisioning (extracting data, exporting data to ESM, outdated certificates, incorrect passwords, incorrect search base/filter, incorrect mappings, etc.)
Failures in event based provisioning (fail to write to AD/Azure, etc.)
Event-based provisioning - which connectors are used for writing data towards applications/directories.
ESA more than ten failed login attempts to one user in past 3 days
Environment type - is mandatory to be in selected and information is used for example defining alert critically.

Data migrations

Do not click “Migrate attribute mappings” or “Migrate workflows”, if not requested to do so by Matrix42.

Ogólne uid dotyczące zaplanowanych zadań

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
Note! If connector is not created, you have to choose first New connector and after that New task.

4. Continue with connector specific instructions: Native Connectors

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database), thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run.

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration:

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Examples for scheduling,

Total amount of users	Total amount of groups	Full load sequence	Incremental load sequence
< 500	< 1000	Every 30 minutes if partial load is not used Four (4) times a day if partial load is used	Every 10 minutes
< 2000	< 2000	Every 60 minutes, if partial load is not used Four (4) times a day if partial load is used	Every 15 minutes
< 5000	< 3000	Every four (4) hours, if partial load is not used Twice a day if partial load is used	Every 15 minutes
< 10 000	< 5000	Maximum imports twice a day, no matter if partial load is or is not used	Every 30 minutes
< 50 000	< 7000	Maximum import once a day, no matter if partial load is or is not used	Every 60 minutes
Over 50 000	Over 7000	There might be a need for another EPE-worker, please contact Product Owner	Separately evaluated

Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups).

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

Feature works only with full fetch scheduled tasks..
No support for generic templates yet, only identity and access
When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
EPE does not enable users back on its own.
If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.

Instrukcje dla klienta

Instrukcje dla klientów można znaleźć tutaj .

Skonfiguruj łącznik AD

W tym rozdziale opisano instrukcje konfiguracji łącznika AD umożliwiającego połączenie się z Active Directory ( AD ) klientów.

Aby uzyskać dostęp do zarządzania złączami, użytkownik musi mieć uprawnienia do konfiguracji platformy Efecte.

1. Otwórz obszar administracyjny Efecte (symbol koła zębatego).
2. Otwórz widok złączy.
3. Wybierz nowe złącze

4. Wybierz typ źródła danych: Microsoft Active Directory

5. Uzupełnij informacje dotyczące AD klientów

Nazwa złącza – nadaj złączu przyjazną nazwę (nazwę można później zmienić)
Host AD – adres hosta, który będzie używany do łączenia się z AD klientów
Port AD – numer portu, który będzie używany do łączenia się z AD klienta
Nazwa użytkownika AD – nazwa konta usługi, która służy do odczytu i zapisu danych do/z usługi AD klienta
Hasło AD - hasło do konta usługi

6. Uzupełnij informacje o użytkowniku API sieci Web

Użytkownik API internetowego — wybierz właściwego użytkownika API internetowego, który będzie używany podczas zapisywania danych z AD klientów do rozwiązania Efecte.
Hasło do API internetowego – hasło użytkownika API internetowego

7. Zapisz informacje o złączu

Naciśnij przycisk testu połączenia, aby sprawdzić, czy informacje o porcie i hoście są ustawione prawidłowo
Naciśnij przycisk uwierzytelniania testowego, aby sprawdzić, czy informacje o użytkowniku AD i haśle (konto usługi) są ustawione prawidłowo

8. Rozwiązanie Customers Efecte umożliwia teraz łączenie się z AD klientów

Następnym krokiem jest skonfigurowanie zaplanowanego zadania do odczytu danych lub zadania zdarzeń do zapisu danych.

Skonfiguruj zadanie zaplanowane do odczytu danych

Łącznik AD służy do odczytywania informacji o użytkownikach i grupach z Customers AD Jest on konfigurowany z poziomu platformy Efecte poprzez tworzenie zadań opartych na harmonogramie.

Jak utworzyć nowe zadanie do wizualizacji w programie Scheduled Pro

Aby skonfigurować zadania oparte na harmonogramie, potrzebny jest dostęp do konsoli konfiguracji platformy Efecte.

Uwaga! Jeśli łącznik nie zostanie utworzony, musisz najpierw utworzyć „nowy łącznik”, a następnie będziesz mógł tworzyć nowe zadania.

1. Otwórz obszar administracyjny Efecte (symbol koła zębatego).
2. Otwórz widok złączy.
3. Wybierz łącznik, dla którego skonfigurowano zadanie oparte na harmonogramie
4. Wybierz nowe zadanie pod właściwym łącznikiem

4. Zdefiniuj harmonogram zadania (czy i jak zaplanowane zadanie powinno być uruchamiane okresowo). Wybierz kolejność harmonogramowania, która zależy od ilości danych odczytywanych przez klientów.

Zalecana kolejność harmonogramowania zależy od ilości danych odczytanych z katalogu klienta do rozwiązania Efecte oraz od tego, czy import odbywa się z częściowym, czy pełnym obciążeniem.

Przykładowy harmonogram dla grup czytelniczych i kont użytkowników.

Całkowita liczba użytkowników	Łączna liczba grup	Sekwencja pełnego obciążenia	Sekwencja częściowego obciążenia
< 500	< 1000	Co 30 minut, jeśli nie jest używane obciążenie częściowe Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe	Co 10 minut
< 2000	< 2000	Co 60 minut, jeśli nie jest używane obciążenie częściowe Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe	Co 15 minut
< 5000	< 3000	Co cztery (4) godziny, jeżeli nie jest wykorzystywane obciążenie częściowe Dwa razy dziennie, jeśli stosowane jest obciążenie częściowe	Co 15 minut
< 10 000	< 5000	Maksymalny import dwa razy dziennie, bez względu na to, czy ładunek częściowy jest wykorzystywany, czy nie	Co 30 minut
< 50 000	< 7000	Maksymalny import raz dziennie, bez względu na to, czy obciążenie częściowe jest wykorzystywane, czy nie	Co 60 minut
Ponad 50 000	Ponad 7000	Może być potrzebny inny pracownik EPE, prosimy o kontakt z właścicielem produktu Pro	Ocenione osobno

5. Wypełnij szczegóły zadania

Wpisz unikalną nazwę zadania dla zaplanowanego zadania. Pamiętaj, że nazwy tej nie można później zmienić.
Użycie zadania wskazuje, że jest to zadanie służące do odczytu danych, zapisu danych lub uwierzytelniania. Należy pamiętać, że późniejsza zmiana typu zdarzenia może spowodować przerwanie przepływów pracy.
Typ mapowania zależy od typu informacji odczytywanej z katalogu
- Tożsamość i prawa dostępu – używane podczas odczytywania z katalogu informacji o koncie użytkownika i grupie
- Pojedyncze (tylko tożsamość) – używane, gdy z katalogu odczytywane są tylko informacje o koncie użytkownika
- Pojedyncze (tylko prawo dostępu) – używane, gdy z katalogu odczytywane są tylko informacje o grupie
- Ogólne (jeden szablon) – używane, gdy z katalogu odczytywane są informacje ogólne, zwykle inne niż Użytkownicy/Grupy

Wypełnij szczegóły filtrowania,

Pobierz dane
- Pełny - wszystkie informacje są odczytywane zgodnie z zdefiniowanym filtrowaniem
- Przyrostowy – do rozwiązania Efecte dostarczane są tylko zmienione informacje
Pobierz dane z głównego katalogu drzewa LDAP – ustawienie opcjonalne. Umożliwia pobieranie użytkowników i grup z głównego katalogu drzewa LDAP, co zmniejsza szybkość udostępniania.

Filtrowanie na podstawie jednostki organizacyjnej

Nazwa filtru: LDAP userBase / LDAP userFilter

Ten filtr jest zwykle ustawiany ze ścieżką OU, z której odczytywani są użytkownicy, i obejmuje również wszystkie podjednostki organizacyjne w imporcie, ale umożliwia również kilka innych możliwości filtrowania,

Przykłady innych powszechnie stosowanych filtrów użytkownika:

Poniższy przykład wyszukuje obiekty użytkownika: (&(objectCategory=person)(objectClass=user))
Poniższy przykład wyszukuje obiekty użytkownika, komputera i kontaktu: (objectClass=person)
Poniższy przykład wyszukuje obiekty użytkownika i kontaktu: (objectCategory=person)
Poniższy przykład wyszukuje wszystkie włączone obiekty użytkownika: (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Poniższy przykład wyszukuje obiekty użytkownika i kontaktu, które mają adres e-mail i nazwę konta SAMAccountName (&(objectCategory=person)(sAMAccountName=*)(mail=*))

Filtrowanie jednostek organizacyjnych, z których odczytywani są użytkownicy

Nazwa filtra: AD ignorujeOusForUsers

Za pomocą tego filtra można wykluczyć niektóre podjednostki organizacyjne z importu (np. OU=Sales, DC=adtest, DC=local). Użytkownicy zostaną zignorowani, jeśli znajdują się bezpośrednio w jednej ze zdefiniowanych jednostek organizacyjnych <OU> i/lub jeśli znajdują się w poddrzewie jednej ze zdefiniowanych jednostek organizacyjnych.

Filtrowanie na podstawie pojedynczych użytkowników

Nazwa filtra: Wykluczeni użytkownicy

Za pomocą tego filtra można wykluczyć konkretnych użytkowników z importu. W przypadku protokołu LDAP należy użyć nazw wyróżniających grup (rozdzielonych znakami nowej linii), aby wykluczyć użytkowników.

Grupy filtrujące

Nazwa filtru: AD groupBase / AD groupFilter

Ten filtr jest zazwyczaj ustawiony na ścieżkę OU, z której odczytywane są grupy. Wszystkie podjednostki organizacyjne (OU) zostaną uwzględnione w imporcie (na przykład: OU=Finance, DC=adtest, DC=local). Użytkownicy zostaną zignorowani, jeśli znajdują się bezpośrednio w jednej ze zdefiniowanych jednostek <OU> lub znajdują się w poddrzewie jednej ze zdefiniowanych już jednostek <OU>.

Przykłady innych powszechnie używanych filtrów grupowych:

Poniższy przykład wyszukuje obiekty grupowe:
(objectCategory=grupa)
Poniższy przykład wyszukuje obiekty grupy, które mają wartość w cn:
(&(objectCategory=grupa)(cn=*))
Poniższy przykład wyszukuje obiekty grupy, które mają wartość w swoim opisie:
(&(objectCategory=grupa)(opis=*))
Poniższy przykład wyszukuje wszystkie obiekty grupy zabezpieczeń:
(typ grupy:1.2.840.113556.1.4.803:=2147483648)

Filtrowanie jednostek organizacyjnych, z których nie są odczytywane grupy

Nazwa filtra: AD ignorowaneOusForGroup

Filtrowanie pojedynczych grup

Nazwa filtra: Grupy wykluczone

Za pomocą tego filtra można wykluczyć określone grupy z importu. W przypadku protokołu LDAP należy użyć nazw wyróżniających grupy (rozdzielonych znakami nowej linii), aby je wykluczyć.

Filtrowanie użytkowników na podstawie przynależności do grup

Nazwa filtra: Wyklucz użytkowników z określonych grup

Za pomocą tego filtra można wykluczyć konkretnych użytkowników z importu na podstawie przynależności do grup. W przypadku protokołu LDAP należy użyć nazw wyróżniających grup (rozdzielonych znakami nowej linii), aby je wykluczyć. W przypadku zadań opartych na Azure należy podać identyfikatory obiektów grup do wykluczenia (rozdzielone znakami nowej linii).

Wpisz informacje o awarii

Opcjonalne ustawienia obsługi błędów. Jeśli zaplanowane zadanie zakończy się niepowodzeniem, może utworzyć kartę danych wyświetlającą błąd. Jeśli zdefiniowano ustawienia błędów, administrator nie musi ręcznie sprawdzać statusu zaplanowanych zadań.

Szablon awarii — wybierz szablon karty danych, który zostanie utworzony w razie wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).
Folder awarii – wybierz folder, w którym będzie przechowywana karta danych awarii.
Atrybut awarii — wybierz atrybut, w którym w szablonie awarii mają być przechowywane informacje o błędzie. Wybierz atrybut typu tekstowego.

Przykład zadania administracyjnego IGA , które może również zawierać instrukcje dotyczące rozwiązywania problemów,

6. Wypełnij mapowania tożsamości

Użytkownicy są importowani do szablonu konta IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników między klientami AD a rozwiązaniem Efecte. Na przykład.

Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
Wybierz szablon, aby zdefiniować mapowania atrybutów
Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
Mapowania atrybutów
1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany

7. Można ustawić dodatkowe atrybuty odczytywane z kont użytkowników w AD , wybierając opcję Nowy atrybut

Usuwać

Ogłoszenie

Szablon konta IGA został zaprojektowany dla Efecte Provisioning Engine . Dzięki niemu środowisko Klienta zostanie poprawnie skonfigurowane, a Klient odniesie wszelkie korzyści z tego komponentu.

Ważne informacje (nazwa i atrybuty identyfikacyjne) z konta użytkownika w usłudze AD są wyświetlane w szablonie osoby, ale główne informacje są dostępne w szablonie konta IGA .

Nie zaleca się odczytywania informacji o użytkowniku bezpośrednio do szablonu osoby. W przyszłości może zaistnieć potrzeba dodatkowej konfiguracji, gdy środowisko Klienta zostanie zaktualizowane do nowszej wersji lub Klient będzie chciał rozszerzyć swoją platformę o nowe rozwiązania Efecte.

Jeśli Klient do uwierzytelniania używa wyłącznie Efecte Identity Management (EIM), zaleca się kierowanie użytkowników bezpośrednio do szablonu osoby.

8. Wypełnij mapowania praw dostępu

Grupy są odczytywane do szablonu uprawnień IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników pomiędzy klientami AD i rozwiązaniem Efecte.

Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
Wybierz szablon, aby zdefiniować mapowania atrybutów
Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
Mapowania atrybutów
1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
Można ustawić dodatkowe atrybuty, które są odczytywane z kont użytkowników w katalogu, wybierając opcję Nowy atrybut

9. Mapowania dla szablonu ogólnego

Dane ogólne są odczytywane według potrzeb dowolnego szablonu, a obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji danych między klientami AD i rozwiązaniem Efecte.

Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
Wybierz szablon, aby zdefiniować mapowania atrybutów
Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
Mapowania atrybutów
1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
Istnieje możliwość ustawienia dodatkowych atrybutów odczytywanych z kont użytkowników w AD poprzez wybranie przycisku Nowy atrybut.

Usuwać

Ogłoszenie

Szablon uprawnień IGA został zaprojektowany dla Efecte Provisioning Engine . Dzięki niemu środowisko klienta zostanie poprawnie skonfigurowane, a klient otrzyma wszystkie korzyści wynikające z komponentu.

Szablon grupy AD nie jest potrzebny dla Efecte Provisioning Engine , ale przed jego usunięciem należy upewnić się, że obowiązkowe szczegóły audytu są zapisane.

Nie zaleca się odczytywania informacji o grupie bezpośrednio do szablonu AD -Group. W przyszłości może zaistnieć potrzeba dodatkowej konfiguracji, gdy środowisko Klienta zostanie zaktualizowane do nowszej wersji lub Klient będzie chciał rozszerzyć swoją platformę o nowe rozwiązania Efecte.

Jeśli Klient używa do uwierzytelniania wyłącznie Efecte Identity Management (EIM), zaleca się odczytywanie grup bezpośrednio do szablonu grupy AD .

11. Zapisz zadanie provisioningu za pomocą przycisku Zapisz. Jeśli brakuje niektórych wymaganych atrybutów, przycisk Zapisz jest wyświetlany na szaro i wyświetla brakujące elementy w ustawieniach.

12. Skonfigurowano teraz zadanie łącznika oparte na harmonogramie do odczytu danych AD .

Teraz możesz poczekać, aż zadanie zostanie rozpoczęte zgodnie z harmonogramem lub
Uruchom zadanie ręcznie – klikając przycisk „Uruchom zadanie”, zadanie uruchamia się natychmiast. Zazwyczaj w przypadku uruchomień testowych lub gdy nie chcesz zmieniać ustawień harmonogramu, ale chcesz uruchomić zadanie od razu.

Po kliknięciu „Uruchom zadanie” użytkownik zostanie poinformowany o uruchomieniu zadania.

Jeśli zadanie jest wykonywane ręcznie ( uruchom zadanie ) lub jest uruchamiane zgodnie z harmonogramem, status zadania można sprawdzić w „Historii wyświetlania”:

Skonfiguruj zadanie zdarzenia do zapisu danych

Zadanie zdarzenia jest używane podczas zapisywania danych w usłudze Active Directory klienta. Te funkcje modułu Pro Engine związane z kontami, grupami i uprawnieniami są dostępne tylko w rozwiązaniu IGA , a do ich użycia wymagana jest licencja IGA .

Cała konfiguracja związana z modułem Pro Engine i zadaniami provisioningu opartymi na zdarzeniach jest konfigurowana na platformie Matrix42 Core , Pro and IGA .

Otwórz widok konfiguracji platformy Efecte (symbol koła zębatego).
Otwórz widok złączy
Wybierz łącznik, który będzie korzystał z zadania zdarzenia
Wybierz „nowe zadanie” pod właściwym łącznikiem

4. Wypełnij szczegóły zadania

Nazwa zadania — podaj nazwę zadania, która będzie wyświetlana w widoku łączników.
- Dobrą praktyką jest nadawanie zadaniu nazwy opisującej jego cel, na przykład [Nazwa szablonu]:[Aktywność] Żądanie usługi IGA :Zweryfikuj użytkownika
Użycie zadania wskazuje, że jest to zadanie używane do odczytu lub zapisu danych. Można to później zmienić, ale nie jest to zalecane, jeśli zadanie zdarzenia jest w użyciu. Spowoduje to przerwanie przepływów pracy.
Typ mapowania zależy od typu informacji odczytanych z katalogu. Wybory mapowania tożsamości są wyświetlane na podstawie tego ustawienia.
- Tożsamość i prawa dostępu – używane, gdy informacje o kontach użytkowników i grupach są odczytywane z katalogu (lub zapisywane do niego)
- Pojedynczy (tylko tożsamość) – używany, gdy z katalogu odczytywane są (lub zapisywane do niego) tylko informacje o koncie użytkownika
- Pojedynczy (tylko prawo dostępu) – używany, gdy z katalogu (lub do niego) odczytywane są tylko informacje o grupie
- Ogólne (jeden szablon) – używane, gdy informacje ogólne są odczytywane z katalogu (lub do niego zapisywane). Zwykle są to dane inne niż informacje o użytkowniku lub grupie.

Ostrzeżenie dotyczące zmiany użycia zadania lub typu mapowania podczas korzystania z zadania zdarzenia. Zazwyczaj nie należy ich zmieniać po pierwszym zapisaniu:

5. Wypełnij informacje dotyczące bezpieczeństwa

Informacje te są potrzebne, jeśli proces tworzenia użytkownika w przepływie pracy jest dołączony do zadania.

Hasło do pierwszego logowania - domyślne hasło, które jest takie samo dla wszystkich użytkowników. W trakcie przepływu pracy generowane jest losowe hasło, które zwykle jest unikalne.
- Domyślne hasło / wpisz w polu poniżej
  - Hasło domyślne – wpisz hasło domyślne, które jest takie samo dla wszystkich użytkowników i spełnia wymagania dotyczące hasła w katalogu. Pamiętaj, że liczba znaków nie odzwierciedla rzeczywistej długości hasła.
  - W środowiskach produkcyjnych nie zaleca się stosowania tego samego hasła dla wszystkich nowych kont
- Losowe hasło / generuj w przepływie pracy
  - Wygenerowane hasło

Filtracja

Gdy dane są zapisywane w katalogu klientów, konieczne jest zastosowanie filtrowania, aby łącznik rozpoznał, do której jednostki organizacyjnej (OU) są zapisywane informacje.

Filtrowanie jednostek organizacyjnych, w których zapisano użytkowników

Nazwa filtru: Wybór trybu AD userBase / AD userFilter

Odczyt ścieżki OU z karty danych - złącze odczytuje z
Wpisz bazę wyszukiwania/filtr wyszukiwania w polu poniżej
- AD userBase / AD userFilter – przykłady tutaj
- AD zignorowało OusForUser – przykłady tutaj

Nazwa filtru: AD groupBase / Wybór trybu filtrowania AD group

Odczyt ścieżki OU z karty danych - złącze odczytuje z
Wpisz bazę wyszukiwania/filtr wyszukiwania w polu poniżej
- AD groupBase / AD userFilter – przykłady tutaj
- AD zignorowało OusForGroup - przykłady tutaj

Filtrowanie informacji o typie mapowań szablonów ogólnych

Nazwa filtra: AD searchBase / AD searchFilter - przykład tutaj

6. Zdefiniuj mapowania tożsamości

Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
Wybierz szablon, aby zdefiniować mapowania atrybutów
Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
Mapowania atrybutów
1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
Dodaj nowy atrybut - Możliwe jest ustawienie dodatkowych atrybutów, które są odczytywane z kont użytkowników w AD , poprzez wybranie przycisku Nowy atrybut.

7. Zdefiniuj mapowania praw dostępu

Szablon docelowy — wybierz szablon, aby zdefiniować mapowania uprawnień dostępu
Wybierz szablon, aby zdefiniować mapowania atrybutów
Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
Mapowania atrybutów
1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
Dodaj nowy atrybut - Możliwe jest ustawienie dodatkowych atrybutów, które są odczytywane z grup w AD , poprzez wybranie przycisku Nowy atrybut.

8. Zdefiniuj mapowania ogólne

Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
Wybierz szablon, aby zdefiniować mapowania atrybutów
Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
Mapowania atrybutów
1. Atrybut zewnętrzny – który atrybut z katalogu/systemu jest mapowany
2. Atrybut lokalny – do którego atrybutu w szablonie jest mapowany
Dodaj nowy atrybut - Możliwe jest ustawienie dodatkowych atrybutów odczytywanych z AD poprzez wybranie przycisku Nowy atrybut.

8. Zapisz zadanie provisioningu za pomocą przycisku „Zapisz”

Jeśli brakuje jakichkolwiek obowiązkowych informacji, nie będzie można zapisać zadania. Przycisk Zapisz pokaże brakujące informacje.

9. Następnym krokiem jest skonfigurowanie węzła orkiestracji przepływu pracy do korzystania z tego zadania opartego na zdarzeniach. Z poziomu silnika przepływu pracy możliwe jest wykonywanie działań provisioningowych w odniesieniu do usług katalogowych klienta. Oznacza to, że dowolną z dostępnych aktywności węzłów orkiestracji można uruchomić w dowolnym momencie przepływu pracy.

Odniesienia do przepływów pracy są pokazane na stronie przeglądu łącznika:

Skonfiguruj zadanie uwierzytelniania

Zadanie uwierzytelniania jest potrzebne, gdy AD klienta jest wykorzystywana do uwierzytelniania użytkowników w rozwiązaniach Efecte dla klientów.

Istnieją dwie opcje utworzenia nowego zadania uwierzytelniania. Opcja pierwsza polega na skopiowaniu istniejącego zadania provisioningu do zadania uwierzytelniania, jeśli metoda uwierzytelniania korzysta z tych samych ustawień. Opcja druga polega na utworzeniu nowego zadania uwierzytelniania.

Opcja 1: Utwórz nowe zadanie uwierzytelniania z zadania provisioningu

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz zakładkę Łączniki, skopiuj żądane zadanie z przycisku Klonuj

3. Podaj nazwę nowego zadania uwierzytelniania i zmień sposób użycia zadania na uwierzytelnianie

4. Wypełnij wymagane pola i zapisz zadanie

Opcja 2: Utwórz nowe zadanie uwierzytelniania

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz moduł Złącza
3. Wybierz zakładkę Uwierzytelnianie
4. Wybierz łącznik i utwórz nowe zadanie

5. Nadaj nazwę zadaniu uwierzytelniania

6. Wybierz użycie zadania jako uwierzytelnianie

7. Zdefiniuj filtry dla użytkowników

Najczęściej do uwierzytelniania AD ścieżki OU służą do definiowania, kto może uzyskać dostęp do rozwiązań Efecte

8. Zdefiniuj filtry dla grup

Z miejsca, w którym potrzebne grupy mogą być odczytane do rozwiązania Efecte z AD klienta

7. Wybierz dziedzinę uwierzytelniania.

Obszar, dla którego zostanie utworzona konfiguracja uwierzytelniania w ESA

8. Zapisz zadanie i uruchom ESA Sync

Synchronizacja informacji automatycznie wypełni konfigurację w Efecte Secure Access

9. Następnym krokiem jest przejście do instrukcji konfiguracji Efecte Secure Access zgodnie z wymaganą metodą uwierzytelniania.

Instrukcje dla wersji 2024.1 i starszych

Instrukcje dla klienta

Instrukcje dla klientów można znaleźć tutaj .

Konfiguruj zadanie oparte na harmonogramie

Efecte Provisioning Engine służy do odczytywania informacji o użytkownikach i grupach z Customers AD Jest on konfigurowany na platformie Efecte Service Management poprzez tworzenie zadań provisioningu opartych na harmonogramie.

Zalecana kolejność harmonogramowania zależy od ilości danych odczytanych z katalogu Klientów do rozwiązania Efecte oraz od tego, czy import odbywa się z częściowym, czy pełnym obciążeniem.

Całkowita liczba użytkowników	Łączna liczba grup	Sekwencja pełnego obciążenia	Sekwencja częściowego obciążenia
< 500	< 1000	Co 30 minut, jeśli nie jest używane obciążenie częściowe Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe	Co 10 minut
< 2000	< 2000	Co 60 minut, jeśli nie jest używane obciążenie częściowe Cztery (4) razy dziennie, jeśli stosowane jest obciążenie częściowe	Co 15 minut
< 5000	< 3000	Co cztery (4) godziny, jeżeli nie jest wykorzystywane obciążenie częściowe Dwa razy dziennie, jeśli stosowane jest obciążenie częściowe	Co 15 minut
< 10 000	< 5000	Maksymalny import dwa razy dziennie, bez względu na to, czy ładunek częściowy jest wykorzystywany, czy nie	Co 30 minut
< 50 000	< 7000	Maksymalny import raz dziennie, bez względu na to, czy obciążenie częściowe jest wykorzystywane, czy nie	Co 60 minut
Ponad 50 000	Ponad 7000	Może być potrzebny inny pracownik EPE, prosimy o kontakt z właścicielem produktu Pro	Ocenione oddzielnie

Jak utworzyć nowe zadanie do planowania wizualizacji w programie Pro

Aby skonfigurować zadanie provisioningu oparte na harmonogramie, potrzebny będzie dostęp do konsoli konfiguracji platformy Efecte.

1. Otwórz obszar administracji Efecte (symbol koła zębatego).
2. Otwórz widok IGA
3. Wybierz opcję Dodaj nowe zadanie w celu Pro opartej na harmonogramie

4. Wybierz Microsoft Active Directory z listy Dodaj nowe zadanie
5. Wprowadź unikalną nazwę zadania provisioningowego
6. Wybierz użytkownika API sieci Web i wpisz hasło
7. Wybierz szablon awarii karty danych, który zostanie utworzony w przypadku wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).

8. Wybierz kolejność harmonogramowania, która zależy od ilości danych odczytywanych przez rozwiązanie Customers Efecte

9. Wypełnij sekcję Pro , w której zdefiniowano informacje dotyczące połączenia oraz filtry umożliwiające odczyt informacji o użytkownikach i grupach z AD klientów.

Aby uzyskać szczegółowe informacje na temat filtrów i sposobu ich użycia, zapoznaj się z opisem komponentu Efecte Provisioning Engine .

10. Użytkownicy są importowani do szablonu konta IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników między AD klientów i rozwiązaniem Efecte.

11. Istnieje możliwość ustawienia dodatkowych atrybutów odczytywanych z kont użytkowników w AD poprzez wybranie opcji Dodaj właściwość

W linii bazowej domyślnym zestawem dla AD jest

12. Grupy są odczytywane do szablonu uprawnień IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników między klientami AD i rozwiązaniem Efecte.

13. Istnieje możliwość ustawienia dodatkowych atrybutów odczytywanych z kont użytkowników w AD poprzez wybranie opcji Dodaj właściwość

14. Zapisz zadanie provisioningu z górnego paska

15. Skonfigurowałeś już zadanie dostarczania oparte na harmonogramie i możesz

Połączenie testowe
Test uwierzytelniania
Uruchom zadanie ręcznie

16. Jeśli zadanie jest wykonywane ręcznie ( uruchamiane ręcznie ) lub zgodnie z harmonogramem, status zadania można sprawdzić na karcie Wyodrębnij/Załaduj status .

Więcej informacji na temat monitorowania i rejestrowania można znaleźć w opisie komponentu Efecte Provisioning Engine

Konfiguruj zadanie oparte na zdarzeniach

Zadanie Pro oparte na zdarzeniach jest używane podczas zapisywania danych w usłudze Active Directory . Te możliwości Efecte Provisioning Engine są dostępne tylko w rozwiązaniu Efecte IGA , a do ich użycia wymagana jest licencja IGA .

Wszelka konfiguracja związana z Efecte Provisioning Engine i zadaniami provisionowania opartymi na zdarzeniach jest konfigurowana na platformie Efecte Service Management.

1. Wybierz Microsoft Active Directory z listy Dodaj nowe zadanie
2. Wybierz typ dostarczania Pro oparte na zdarzeniach
3. Wybierz typ mapowania: Tylko pojedyncza tożsamość, Pojedyncza (tylko prawa dostępu) lub Tożsamość i prawa dostępu.
„Tylko tożsamość” – dostępne są wyłącznie mapowania użytkowników, „Tylko prawa dostępu” – dostępne są wyłącznie mapowania grup.
4. Wprowadź unikalną nazwę zadania provisioningowego (np. [Nazwa szablonu]:[Aktywność] Żądanie usługi IGA :Zweryfikuj użytkownika )

5. Wypełnij sekcję Pro , w której definiuje się informacje dotyczące połączenia oraz filtry dotyczące informacji o użytkownikach i grupach z Customers AD .

Uwaga! Zaleca się, aby połączenie między Efecte Provisioning Engine a usługami katalogowymi było zawsze bezpieczne.

Przykładowe ustawienia połączenia

Filtrowanie użytkowników i grup

5.1 Baza użytkowników LDAP / Filtr użytkowników LDAP
W tym filtrze zwykle ustawia się ścieżki jednostek organizacyjnych, do których zapisywani są użytkownicy.

Przykłady często używanych filtrów użytkownika:

Poniższy przykład wyszukuje obiekty użytkownika
(&(objectCategory=osoba)(objectClass=użytkownik))
Poniższy przykład wyszukuje obiekty użytkownika, komputera i kontaktu
(objectClass=osoba)
Poniższy przykład wyszukiwania obiektów użytkownika i kontaktu
(objectCategory=osoba)
Poniższy przykład wyszukuje wszystkie włączone obiekty użytkownika
(&(objectCategory=osoba)(objectClass=użytkownik)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

5.2 LDAP ignorował użytkownika
Tego filtra można używać w przypadku provisioningu opartego na zdarzeniach wyłącznie z działaniami verify.

Przykład Sprzedaży jest ignorowany

5.3 Baza grupy LDAP / Filtr grupy LDAP
W tym filtrze zwykle ustawia się ścieżkę OU, w której zapisywane są grupy.

Przykładowa grupa bazowa i filtr

5.4 LDAP ingronedOusForGroups
Tego filtra można używać w provisioningu opartym na zdarzeniach tylko z aktywnościami weryfikującymi (np. OU=Sales, DC=adtest, DC=local). Grupy zostaną zignorowane, jeśli będą istnieć bezpośrednio w jednej ze zdefiniowanych <OU>, a także jeśli będą istnieć w poddrzewie jednej ze zdefiniowanych.

Przykładowa jednostka organizacyjna zabezpieczeń jest ignorowana

6. Zdefiniuj mapowania atrybutów.

Możliwe jest ustawienie dodatkowych atrybutów poprzez wybranie opcji Dodaj właściwość niestandardową.
W zadaniu provisionowania opartego na zdarzeniach możliwe jest zdefiniowanie, które informacje o atrybutach rozwiązania IGA mają być zapisywane w katalogu.
Może istnieć kilka zadań provisioningowych służących różnym celom, np. jedno do tworzenia użytkowników, a drugie do usuwania użytkowników z katalogu.

Przykładowe mapowania dla magazynu tożsamości

7. Zapisz zadanie provisioningu z górnego paska

8. Skonfigurowałeś już zadanie provisioningu oparte na zdarzeniach i możesz

Połączenie testowe
Test uwierzytelniania

9. Następnym krokiem jest skonfigurowanie przepływu pracy w celu wykorzystania tego zadania opartego na zdarzeniach. Z poziomu silnika przepływu pracy na platformie Efecte Service Management możliwe jest wykonywanie działań provisioningowych w odniesieniu do usług katalogowych klientów. Oznacza to, że dowolną z dostępnych aktywności można uruchomić w dowolnym momencie przepływu pracy.

Konfigurowanie zadania uwierzytelniania

Opcja 1: Utwórz nowe zadanie uwierzytelniania z zadania provisioningu

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz zakładkę IGA , skopiuj żądane zadanie z przycisku Klonuj

3. Podaj nazwę nowego zadania uwierzytelniania

4. Po zapisaniu zmień typ provisioningu, który ma zostać uwierzytelniony

5. Wypełnij wymagane pola i zapisz zadanie

Opcja 2: Utwórz nowe zadanie uwierzytelniania

1. Otwórz obszar administracyjny (symbol koła zębatego)
2. Wybierz zakładkę IGA
3. Wybierz Dodaj nowe zadanie i popraw katalog
4. Ustaw typ provisioningu na Uwierzytelnianie

5. Uzupełnij obowiązkowe informacje
6. Zdefiniuj filtry dla użytkowników i grup
7. Zapisz zadanie i uruchom synchronizację z ESA

Ogłoszenie!

Jeśli synchronizacja musi zostać wyłączona z zadania uwierzytelniania, można to zrobić, wchodząc do esa-container i otwierając plik /opt/esa/epe_synch.config. Zmień następujące wartości z true na false.

synchronize_user_federations=false
synchronize_identity_providers=false

Po wprowadzeniu powyższej zmiany w pliku „/opt/esa/epe_synch.config” synchronizacja będzie zawsze wyłączona.

8. Przejdź do instrukcji konfiguracji Efecte Secure Access zgodnie z protokołem uwierzytelniania

Działania przepływu pracy (węzły orkiestracji)

Silnik Efecte Provisioning Engine (EPE) zapewnia możliwość organizowania następujących działań w Microsoft Active Directory .

Aktywuj/Dezaktywuj użytkownika

Na powyższej ilustracji administratorzy wybrali prawidłowy „cel” Active Directory i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań AD . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wdrożeniowych Pro .

W tym samym węźle administratorzy mogą wybrać preferowaną akcję: „ Aktywuj ” lub „ Dezaktywuj ”. Active Directory : Funkcjonalność „Aktywowania/Dezaktywowania” w tym przypadku odnosi się do ustawienia atrybutu „useraccountcontrol” Active Directory na wartość „512”/„514” (Włącz/Wyłącz).

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Dodaj użytkownika do grupy

Na powyższej ilustracji konfiguracja atrybutu „Person” powinna wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika (zazwyczaj konto IGA ). Atrybut „Rola” musi zostać skonfigurowany, aby określić, gdzie węzeł orkiestracji znajduje dostępne role (grupy katalogów, z których użytkownik powinien zostać usunięty). W atrybucie „Rola” może być skonfigurowana jedna lub wiele grup atrybutów. Lista dostępnych zarejestrowanych zadań katalogowych jest pobierana z bazy danych EPE-master.

Należy wybrać katalog Task, ponieważ węzeł koordynacji Efecte Provisioning Engine będzie używał mapowania pól tożsamości i praw dostępu, aby dowiedzieć się, pod którym kodem atrybutu przechowywane są wyróżniające nazwy użytkownika i grupy katalogów.

Obsługa wyjątków:

Wynik węzła będzie w stanie „Zakończone” tylko wtedy, gdy wszystkie członkostwa użytkownika w grupach zostaną pomyślnie zaktualizowane. Na przykład, gdy użytkownik zostanie pomyślnie usunięty z 5 z 6 grup, wynik węzła będzie w stanie „Wyjątek”.
W związku z tym wymagane jest mapowanie pola JSON „distributedName” zarówno dla tożsamości, jak i uprawnień dostępu. Jeśli mapowanie nie zostanie znalezione, węzeł orkiestracji przejdzie w stan „Wyjątek”.
Próba usunięcia użytkownika z grupy, do której nie należy, zakończy się niepowodzeniem.
Próba dodania użytkownika do grupy, do której już należy, zakończy się niepowodzeniem.
Szczegóły dotyczące pomyślnej/nieudanej aktualizacji członkostwa użytkownika w grupie można znaleźć w dziennikach.
Wyjątki Pro aprowizacji i członkostwa w grupie to opcjonalne właściwości w tym węźle przepływu pracy. Administratorzy mogą skonfigurować te właściwości w taki sposób, aby możliwe było zapisanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz obiekt niestandardowy

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administrator wybrał prawidłowy katalog AD jako „Docelowy” i może przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań katalogowych. W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Tworzenie nowego węzła orkiestracji obiektów niestandardowych odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . Należy upewnić się, że w węźle orkiestracji obiektów niestandardowych używane jest mapowanie tożsamości.

Utwórz użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog docelowy i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań katalogowych. W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł orkiestracji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory . Należy upewnić się, że mapowanie tożsamości używane w węźle orkiestracji tworzenia użytkownika zawiera co najmniej dwa dodatkowe mapowania Active Directory : dla atrybutów „ cn ” i „ sAMAccountName ”. Jeśli te dwa mapowania nie będą dostępne w danej konfiguracji, nie będzie ona wyświetlana na liście rozwijanej.

Tworzenie nowych notatek dotyczących aktywności użytkownika:

Istnieją dwa sposoby utworzenia hasła dla nowego użytkownika na potrzeby jego pierwszego logowania.
- Zdefiniuj hasło „domyślne” w widoku konfiguracji zadania Pro
  - To hasło będzie używane przez użytkowników tylko wtedy, gdy zalogują się do systemu po raz pierwszy.
- Generowanie losowego hasła w przepływie pracy i wybór atrybutu, do którego na karcie danych mapowania tożsamości zostało ono zapisane
- W obu przypadkach wartość „pwdLastSet” przy pierwszym logowaniu jest ustawiana na zero (0), aby zmusić użytkownika do zmiany hasła po pierwszym logowaniu.
- Możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu. Administratorzy mogą dokonać tego wyboru bezpośrednio z węzła koordynacji tworzenia użytkowników w przepływie pracy.
Istnieją różne sposoby podania hasła do pierwszego logowania użytkownika końcowego. W zależności od potrzeb klienta, możliwe jest wykorzystanie funkcji przepływu pracy do wysłania hasła bezpośrednio do użytkownika końcowego e-mailem lub SMS-em. Inną opcją jest wysłanie hasła do pierwszego logowania do menedżera, który je poda użytkownikowi końcowemu. Sam węzeł orkiestracji EPE NIE zapewnia tej funkcjonalności, należy ją zdefiniować w innym miejscu.
Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby utworzyć nowych użytkowników, administratorzy muszą upewnić się, że istnieje tylko jedna baza użytkowników LDAP/filtr użytkowników LDAP, aby uniknąć konfliktów w przepływie pracy.
Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” Active Directory i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań AD . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory .

Ważne jest, aby mieć pewność, że mapowanie praw dostępu, używane w węźle koordynacji Tworzenie grupy, zawiera co najmniej dwa dodatkowe mapowania Active Directory : dla atrybutów „cn” i „sAMAccountName”.

Usuń obiekt niestandardowy

Na powyższej ilustracji atrybut nazwy obiektu definiuje, który obiekt EPE usuwa. W tym przykładzie EPE usuwa nazwę wyróżniającą (DN).

Usuń grupę

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” Active Directory . Węzeł orkiestracji usuwania grup odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . W przypadku konfiguracji opartych na usłudze Active Directory , „Atrybut grupy ról” powinien zawierać nazwę wyróżnioną grupy.

Usuń użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” Active Directory . Węzeł orkiestracji usuwania użytkowników odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . W przypadku konfiguracji opartych na usłudze Active Directory , „Atrybut osoby” powinien zawierać nazwę wyróżniającą użytkownika (distributedName).

Zarządzaj adresami Pro xy

Istnieją trzy różne możliwości: ustawienie, aktualizacja i usunięcie adresów proxy.

Ustaw : administrator wybiera jeden atrybut w interfejsie użytkownika Workflow ESM (może to być atrybut jedno- lub wielowartościowy) – następnie węzeł Workflow nawiązuje kontakt AD , wyszukuje konto użytkownika i ustawia wartość w proxyAddresses (ta akcja służy do ustawienia wartości proxyAddresses za pierwszym razem – poprzednia wartość w AD była nullem).

Aktualizacja : administrator wybiera dwa atrybuty w interfejsie użytkownika Workflow ESM – jeden dla wartości CURRENT, a drugi dla wartości NEW. Następnie węzeł Workflow kontaktuje się AD , wyszukuje konto użytkownika i aktualizuje istniejące proxyAddresses, znajduje wartość CURRENT na liście i zmienia jej prefiks z SMTP: na smtp: -, a następnie dodaje NOWĄ wartość z prefiksem SMTP: (pozostałe wartości pozostają w proxyAddresses).

Podczas akcji aktualizacji użyj atrybutów o pojedynczej wartości zarówno dla bieżącego adresu, jak i adresu, który ma zostać zaktualizowany, w następujący sposób:

Usuń : administrator wybiera jeden atrybut w interfejsie użytkownika Workflow ESM (może to być atrybut jedno- lub wielowartościowy) – następnie węzeł Workflow nawiązuje kontakt AD , wyszukuje konto użytkownika i usuwa wartość z listy proxyAddresses (pozostałe wartości pozostają w proxyAddresses).

Odczytaj dane użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” Active Directory i mogą przeglądać mapowania skonfigurowane dla wybranych zadań AD . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Usuń atrybut użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy element docelowy Active Directory . Węzeł orkiestracji usuwania atrybutów użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . We właściwości „Atrybuty do usunięcia” administrator może zdefiniować atrybut, który zostanie usunięty z usługi Active Directory . Wprowadź NAZWĘ, którą chcesz usunąć. Ciąg znaków może zawierać atrybuty wielowartościowe, takie jak „Miasto”, „Centrum Kosztów”, „Komórka”.

Usuń użytkownika z grupy

Zresetuj hasło użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy element docelowy Active Directory . Węzeł orkiestracji „Resetuj hasło użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . Atrybuty „Osoba” i „Hasło” powinny wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika.

Wartość hasła użytkownika „pwdLastSet” jest ustawiona na zero (1), co oznacza, że użytkownik nie musi zmieniać hasła przy pierwszym logowaniu. Od wersji EPE 2022.3 wprowadziliśmy możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu, czy nie. Administratorzy mogą dokonać wyboru bezpośrednio z węzła orkiestracji przepływu pracy „Resetuj hasło użytkownika”.

Uruchom zadanie provisioningu

Aktywność tę stosuje się wtedy, gdy wszystkie informacje z katalogu są potrzebne natychmiast.

Na powyższej ilustracji administratorzy mogą wybrać właściwy katalog docelowy. Uruchom zadanie orkiestracji, aby odczytać atrybuty węzła z Active Directory do kont IGA .

Wymagania dla zadania EPE „Docelowy” są następujące:

Zadanie musi być typu „Zadanie harmonogramowalne”, a nie oparte na zdarzeniu
Szablon przepływu pracy musi być taki sam jak szablon mapowania tożsamości
Zadanie musi zostać zaplanowane w określonym czasie – oznacza to, że zadanie ma zostać „włączone”
Mapowania muszą być odrębne, w zadaniu nie może być duplikatów mapowań

W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Odblokuj użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” w usłudze Active Directory . Węzeł orkiestracji użytkowników odblokowuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

Ważne jest, aby w konfiguracjach uwzględnić, że „Atrybut osoby” powinien zawierać nazwę użytkownika distinctionName.

Aktualizuj obiekt niestandardowy

Na powyższej ilustracji administratorzy mogą wybrać właściwy obiekt docelowy Active Directory . Niestandardowa klasa obiektów definiuje obiekt aktualizowany przez EPE. W tym przykładzie jest to Kontakt. EPE odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

Aktualizuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań Pro . Administratorzy wybierają odpowiedni „cel” Active Directory i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań AD .

W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zajdzie potrzeba wprowadzenia jakichkolwiek zmian w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji grupy aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory .

Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby zaktualizować grupy, administratorzy muszą upewnić się, że istnieje tylko jedna baza grup LDAP/filtr grup LDAP, aby uniknąć konfliktów w przepływie pracy.

Aktualizuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości są generowane z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” Active Directory i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań AD . Węzeł koordynacji użytkowników aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

Należy pamiętać, że aktualizacja hasła użytkownika nie jest obsługiwana w ramach tej aktywności orkiestracji.

Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby zaktualizować użytkowników, administratorzy muszą upewnić się, że istnieje tylko jedna baza użytkowników LDAP/filtr użytkowników LDAP, aby uniknąć konfliktów w przepływie pracy.

Zaktualizuj wartość wyróżniającej nazwy użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” w usłudze Active Directory . Węzeł orkiestracji „Aktualizacja wartości nazwy wyróżniającej użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

W polu „Bieżąca wartość nazwy wyróżniającej*” administrator musi wybrać, z którego atrybutu w danym szablonie/karcie danych zostanie odczytana „stara” nazwa lokalizacji AD . Pole „Nowa wartość nazwy wyróżniającej*” wybiera atrybut z danego szablonu/karty danych, który będzie używany jako nazwa nowej lokalizacji AD .

Dzięki tej aktywności administratorzy mogą na przykład ograniczyć akcję aktualizacji do atrybutu „commonname”, ale wymagane jest podanie całej wartości Distinguished, na przykład:

Aktualna wartość nazwy wyróżniającej: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Nowa wartość nazwy wyróżniającej: CN = DemoAccount, OU = OldDemoUsers, DC = testad, DC = local

Zweryfikuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań Pro . Administratorzy wybierają odpowiednią Active Directory z sekcji „Docelowy” i mogą wyświetlić mapowania praw dostępu skonfigurowane dla wybranego zadania AD .

W panelu administratora Mapowania praw dostępu (Access Rights Mappings) administratorzy mogą podać wyrażenie „IF”, które utworzy zapytanie LDAP w celu weryfikacji istnienia grupy. Można wybrać dowolną liczbę atrybutów z Karty danych, aby potwierdzić unikalność grupy. Po wykonaniu akcji, atrybuty te zostaną odczytane z danej Karty danych i porównane z odpowiednimi atrybutami AD , zgodnie z konfiguracją „Target*” Active Directory . Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu AD , zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania pomyślnych wyników zapytania LDAP: „true” w przypadku znalezienia grupy lub „false” w przeciwnym razie.

Administratorzy mają możliwość „sprawdzenia” właściwości „Uwzględnij poddrzewo jednostek organizacyjnych” na tym węźle orkiestracji, aby zweryfikować, czy grupa istnieje w zdefiniowanym poddrzewie jednostek organizacyjnych. Jeśli administrator nie zaznaczy tej opcji, węzeł orkiestracji sprawdzi tylko konkretną jednostkę organizacyjną zdefiniowaną w konfiguracji.

Zweryfikuj członkostwo w grupie

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają odpowiednią Active Directory z sekcji „Docelowy” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania AD .

Pole „Zapisz wynik*” służy do określenia miejsca, w którym zostaną zapisane pomyślne wyniki zapytania LDAP: „true”, jeśli użytkownik został znaleziony lub „false”, w przeciwnym wypadku.

Zweryfikuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości są generowane z zadań provisioningu Pro . Administratorzy wybierają odpowiednią Active Directory z sekcji „Cel” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania AD . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratora usługi Identity Mappings administratorzy mogą podać wyrażenie „IF”, które utworzy zapytanie LDAP w celu weryfikacji istnienia użytkownika. Można wybrać dowolną liczbę atrybutów z karty danych osoby, aby potwierdzić unikalność użytkownika. Po wykonaniu akcji atrybuty te zostaną odczytane z danej karty danych i porównane z odpowiednimi atrybutami usługi Active AD zgodnie z konfiguracją „Target*” w usłudze Active Directory . Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu AD , zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania pomyślnych wyników zapytania LDAP: „true”, jeśli użytkownik został znaleziony, lub „false”, jeśli nie został znaleziony.

Kluczową kwestią w zrozumieniu mechaniki tego węzła jest to, że podczas tworzenia wyrażenia IF administrator musi użyć atrybutów szablonu, ale w rzeczywistości wartości odczytane z nich zostaną przetłumaczone (zamapowane) na odpowiednie atrybuty Active Directory , zgodnie z konfiguracją mapowania tożsamości, i przekazane do Active Directory jako zapytanie wyszukiwania.

Administratorzy mają możliwość „sprawdzenia” właściwości „Uwzględnij poddrzewo jednostek organizacyjnych” na tym węźle orkiestracji, aby zweryfikować, czy użytkownik istnieje w zdefiniowanym poddrzewie jednostek organizacyjnych. Jeśli administrator nie zaznaczy tej opcji, węzeł orkiestracji sprawdzi tylko konkretną jednostkę organizacyjną zdefiniowaną w konfiguracji.

Obraz Pro Vision

Zdjęcie użytkownika Pro Vision do katalogu

Natywne łączniki (EPE) umożliwiają aktualizację zdjęć użytkowników w katalogu. Obsługiwane katalogi to Active Directory i Microsoft Entra ID (wcześniej znany jako Azure AD ).

Utwórz nowe provisionowanie oparte na zdarzeniach dla aktywności przepływu pracy. Mapowania atrybutów są wypełniane z zadania provisionowania Pro .

Mapowanie atrybutów musi zawierać atrybut zdjęcia użytkownika (atrybut Fileupload w ESM).
Atrybutem dla AD i Azure AD jest thumbnailPhoto. Zdjęcie zapisane w atrybucie thumbnailPhoto nie może być większe niż 100 KB, a zalecany rozmiar to 96 x 96 pikseli.
Utwórz nowy węzeł koordynacji przepływu pracy z aktywnością „Aktualizuj użytkownika”. Wybierz nowo utworzony epetask oparty na zdarzeniach jako cel.

Instrukcje dotyczące instalacji certyfikatów

Zdecydowanie zaleca się, aby Klient został poinstruowany o konieczności wdrożenia procesu odnawiania certyfikatów, zanim staną się one nieaktualne i połączenie zostanie utracone. Oznacza to, że użytkownicy końcowi Klienta nie będą mogli zalogować się do Efecte Solutions i/lub dane z AD nie będą mogły zostać odczytane ani zapisane.

Instrukcje

Rozwiązywanie problemów

W tym rozdziale opisano opcje rozwiązywania problemów,

W przypadku użycia szablonu awarii należy sprawdzić poprawność karty danych
Sprawdź historię zaplanowanych zadań z poziomu zarządzania łącznikiem
Sprawdź dzienniki modułu Efecte Provisioning Engine

Contact Us

Łącznik Microsoft Active Directory ( AD )

Contact Us

Zarządzanie usługami

Zarządzanie tożsamością i administracja ( IGA )

Platforma

Informacje o wydaniu dla M42 Core & Pro , IGA , Conversational AI

Inny materiał

Usługi

Łącznik Microsoft Active Directory ( AD )

Jak zintegrować się z Microsoft Active Directory

Łącznik Microsoft Active Directory

Polityka uczciwego użytkowania

Instrukcje dotyczące wersji 2024.2 i nowszych

Ogólne funkcjonalności

Connectors - general functionalities

Ogólne uid dotyczące zaplanowanych zadań

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

Should I use Incremental, Full or Both?

Do not import permissions with AD and LDAP incremental task

Recommendations:

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Set removed accounts and entitlements status removed/disabled

For version 2025.3 and newer

For version 2025.2 and older

Configuration

Description

Notes

Instrukcje dla klienta

Skonfiguruj łącznik AD

Skonfiguruj zadanie zaplanowane do odczytu danych

Jak utworzyć nowe zadanie do wizualizacji w programie Scheduled Pro

Ogłoszenie

Ogłoszenie

Skonfiguruj zadanie zdarzenia do zapisu danych

Skonfiguruj zadanie uwierzytelniania

Opcja 1: Utwórz nowe zadanie uwierzytelniania z zadania provisioningu

Instrukcje dla wersji 2024.1 i starszych

Instrukcje dla klienta

Konfiguruj zadanie oparte na harmonogramie

Jak utworzyć nowe zadanie do planowania wizualizacji w programie Pro

Konfiguruj zadanie oparte na zdarzeniach

Konfigurowanie zadania uwierzytelniania

Ogłoszenie!

Działania przepływu pracy (węzły orkiestracji)

Aktywuj/Dezaktywuj użytkownika

Dodaj użytkownika do grupy

Utwórz obiekt niestandardowy

Utwórz użytkownika

Tworzenie nowych notatek dotyczących aktywności użytkownika:

Utwórz grupę

Usuń obiekt niestandardowy

Usuń grupę

Usuń użytkownika

Zarządzaj adresami Pro xy

Odczytaj dane użytkownika

Usuń atrybut użytkownika

Usuń użytkownika z grupy

Zresetuj hasło użytkownika

Uruchom zadanie provisioningu

Odblokuj użytkownika

Aktualizuj obiekt niestandardowy

Aktualizuj grupę

Aktualizuj użytkownika

Zaktualizuj wartość wyróżniającej nazwy użytkownika

Zweryfikuj grupę

Zweryfikuj członkostwo w grupie

Zweryfikuj użytkownika

Obraz Pro Vision

Zdjęcie użytkownika Pro Vision do katalogu

Instrukcje dotyczące instalacji certyfikatów

Rozwiązywanie problemów

Related Articles