Utwórz użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy katalog docelowy i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań katalogowych. W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł orkiestracji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory . Należy upewnić się, że mapowanie tożsamości używane w węźle orkiestracji tworzenia użytkownika zawiera co najmniej dwa dodatkowe mapowania Active Directory : dla atrybutów „ cn ” i „ sAMAccountName ”. Jeśli te dwa mapowania nie będą dostępne w danej konfiguracji, nie będzie ona wyświetlana na liście rozwijanej.

Węzeł orkiestracji nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje wywołanie API do Azure . Należy upewnić się, że mapowanie tożsamości używane w węźle orkiestracji tworzenia użytkownika zawiera co najmniej trzy dodatkowe mapowania usługi Azure AD : dla atrybutów „ displayName ”, „ mailNickname” i „ userPrincipalName ”. Uwaga: jeśli te trzy mapowania nie będą dostępne w danej konfiguracji, nie będą one wyświetlane na liście rozwijanej.

Tworzenie nowych notatek dotyczących aktywności użytkownika:

• Istnieją dwa sposoby utworzenia hasła dla nowego użytkownika na potrzeby jego pierwszego logowania.
  • Zdefiniuj hasło „domyślne” w widoku konfiguracji zadania Pro
    • To hasło będzie używane przez użytkowników tylko wtedy, gdy zalogują się do systemu po raz pierwszy.
  • Generowanie losowego hasła w przepływie pracy i wybór atrybutu, do którego na karcie danych mapowania tożsamości zostało ono zapisane
  • W obu przypadkach wartość „pwdLastSet” przy pierwszym logowaniu jest ustawiana na zero (0), aby zmusić użytkownika do zmiany hasła po pierwszym logowaniu.
  • Możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu. Administratorzy mogą dokonać tego wyboru bezpośrednio z węzła koordynacji tworzenia użytkowników w przepływie pracy.
• Istnieją różne sposoby podania hasła do pierwszego logowania użytkownika końcowego. W zależności od potrzeb klienta, możliwe jest wykorzystanie funkcji przepływu pracy do wysłania hasła bezpośrednio do użytkownika końcowego e-mailem lub SMS-em. Inną opcją jest wysłanie hasła do pierwszego logowania do menedżera, który je poda użytkownikowi końcowemu. Sam węzeł orkiestracji EPE NIE zapewnia tej funkcjonalności, należy ją zdefiniować w innym miejscu.
• Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby utworzyć nowych użytkowników, administratorzy muszą upewnić się, że istnieje tylko jedna baza użytkowników LDAP/filtr użytkowników LDAP, aby uniknąć konfliktów w przepływie pracy.
• Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” Active Directory i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań AD . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji użytkowników aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory lub wykonuje wywołanie API w usłudze Azure AD .

Aktualizacja hasła użytkownika nie jest obsługiwana w ramach tej aktywności orkiestracji.

Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby zaktualizować użytkowników, administratorzy muszą upewnić się, że istnieje tylko jedna baza użytkowników LDAP/filtr użytkowników LDAP, aby uniknąć konfliktów w przepływie pracy.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktywuj/Dezaktywuj użytkownika

Na powyższej ilustracji administratorzy wybierają właściwy „cel” Active Directory i mogą przeglądać mapowania tożsamości skonfigurowane dla wybranych zadań AD . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zajdzie potrzeba wprowadzenia jakichkolwiek zmian w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań Pro Visioning. W tym samym węźle administratorzy mogą wybrać preferowaną akcję: „Aktywuj” lub „Dezaktywuj”.

Zweryfikuj użytkownika

Na powyższej ilustracji mapowania atrybutów tożsamości są generowane z zadań provisioningu Pro . Administratorzy wybierają odpowiednią Active Directory z listy „ Cel ” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania AD . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratorów usługi Identity Mappings administratorzy mogą podać wyrażenie „IF”, które utworzy zapytanie LDAP w celu weryfikacji istnienia użytkownika. Można wybrać dowolną liczbę atrybutów z karty danych osoby, aby potwierdzić unikalność użytkownika. Po wykonaniu akcji atrybuty te zostaną odczytane z danej karty danych i porównane z odpowiednimi atrybutami usługi Active AD zgodnie z konfiguracją „Target*” w usłudze Active Directory . Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu AD , zmieniając wyrażenie „IF”. Pole „ Save result* ” służy do określenia miejsca zapisywania pomyślnych wyników zapytania LDAP: „true”, jeśli użytkownik został znaleziony, lub „false”, jeśli nie został znaleziony.

Kluczową kwestią w zrozumieniu mechaniki tego węzła jest to, że podczas tworzenia wyrażenia IF administrator musi użyć atrybutów szablonu, ale w rzeczywistości wartości odczytane z nich zostaną przetłumaczone (zamapowane) na odpowiednie atrybuty Active Directory , zgodnie z konfiguracją mapowania tożsamości, i przekazane do Active Directory jako zapytanie wyszukiwania.

Administratorzy mają możliwość „sprawdzenia” właściwości „Uwzględnij poddrzewo jednostek organizacyjnych” na tym węźle orkiestracji, aby zweryfikować, czy użytkownik istnieje w zdefiniowanym poddrzewie jednostek organizacyjnych. Jeśli administrator nie zaznaczy tej opcji, węzeł orkiestracji sprawdzi tylko konkretną jednostkę organizacyjną zdefiniowaną w konfiguracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Jak odczytać dane użytkownika z katalogu za pomocą przepływu pracy?

Od wersji 2022.2 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „ Odczyt danych użytkownika ”. Obsługiwane katalogi to Active Directory, Azure AD , OpenLDAP i IBM. Informacje można aktualizować w oparciu o referencje, na przykład dane konta IGA można aktualizować z magazynu tożsamości.

1. Utwórz nowe provisionowanie oparte na zdarzeniach dla aktywności przepływu pracy. Mapowania atrybutów są wypełniane z zadania provisioningu Pro . Mapowania atrybutów muszą być unikalne.
   
   
   
2. Utwórz nowy węzeł koordynacji przepływu pracy z aktywnością „Odczyt danych użytkownika” . Wybierz nowo utworzony epetask oparty na zdarzeniach jako cel. Dodaj unikalny atrybut osoby, który służy do aktualizowania informacji o koncie z katalogu do ESM.
   
   

Odblokuj użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” w usłudze Active Directory . Węzeł orkiestracji użytkowników odblokowuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

Ważne jest, aby w konfiguracjach uwzględnić, że „Atrybut osoby” powinien zawierać nazwę użytkownika distinctionName.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” w usłudze Active Directory . Węzeł orkiestracji usuwania użytkowników odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

W przypadku konfiguracji bazujących na Active Directory „Atrybut osoby” powinien zawierać nazwę użytkownika distinctionName.

W przypadku konfiguracji opartych na usłudze Azure Active Directory „Atrybut osoby” powinien zawierać wartość ObjectGUID użytkownika.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń atrybut użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy element docelowy Active Directory . Węzeł orkiestracji usuwania atrybutów użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . We właściwości „Atrybuty do usunięcia” administrator może zdefiniować atrybut, który zostanie usunięty z usługi Active Directory . Wprowadź NAZWĘ, którą chcesz usunąć. Ciąg znaków może zawierać atrybuty wielowartościowe, takie jak „Miasto”, „Centrum Kosztów”, „Komórka”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zaktualizuj wartość wyróżniającej nazwy użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” w usłudze Active Directory . Węzeł orkiestracji „Aktualizacja wartości nazwy wyróżniającej użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

W polu „Bieżąca wartość nazwy wyróżniającej*” administrator musi wybrać, z którego atrybutu w danym szablonie/karcie danych zostanie odczytana „stara” nazwa lokalizacji AD . Pole „Nowa wartość nazwy wyróżniającej*” wybiera atrybut z danego szablonu/karty danych, który będzie używany jako nazwa nowej lokalizacji AD .

Dzięki tej aktywności administratorzy mogą na przykład ograniczyć akcję aktualizacji do atrybutu „commonname”, ale wymagane jest podanie całej wartości Distinguished, na przykład:

Aktualna wartość nazwy wyróżniającej: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Nowa wartość nazwy wyróżniającej: CN = DemoAccount, OU = OldDemoUsers, DC = testad, DC = local

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zresetuj hasło użytkownika

Na powyższej ilustracji administratorzy mogą wybrać właściwy element docelowy Active Directory . Węzeł orkiestracji „Resetuj hasło użytkownika” odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory . Atrybuty „Osoba” i „Hasło” powinny wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika.

Wartość hasła użytkownika „pwdLastSet” jest ustawiona na zero (1), co oznacza, że użytkownik nie musi zmieniać hasła przy pierwszym logowaniu. Od wersji EPE 2022.3 wprowadziliśmy możliwość wyboru, czy hasło ma zostać zmienione przy pierwszym logowaniu, czy nie. Administratorzy mogą dokonać wyboru bezpośrednio z węzła orkiestracji przepływu pracy „Resetuj hasło użytkownika”.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Jak tworzyć niestandardowe obiekty za pomocą EPE?

Od wersji 2022.2 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Tworzenie obiektu niestandardowego”. Na przykład urządzenia, kontakty i aplikacje można teraz tworzyć za pomocą EPE w odniesieniu do katalogów ( AD , Azure i OpenLDAP ).

[LDAP: błąd kod 16 - 00000057: BłądLdap: DSID-0C0910DA, komentarz: Błąd W atrybut konwersja działanie, dane 0, [v4563]

Jak aktualizować obiekty niestandardowe za pomocą EPE?

Od wersji 2023.1 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Aktualizacja obiektu niestandardowego”. Na przykład urządzenia, kontakty i aplikacje można teraz aktualizować za pomocą EPE w odniesieniu do katalogów ( AD i Azure ).

Jak usunąć obiekty niestandardowe za pomocą EPE?

Od wersji 2023.1 Efecte Provisioning Engine (EPE) wprowadza nową aktywność przepływu pracy „Usuwanie obiektów niestandardowych”. Na przykład urządzenia, kontakty i aplikacje można teraz usuwać za pomocą EPE w kierunku katalogów ( AD i Azure ).

Instrukcje krok po kroku

Dodaj użytkownika do grupy

Na powyższej ilustracji konfiguracja atrybutu „Person” powinna wskazywać szablon, w którym węzeł orkiestracji znajduje dane użytkownika (zazwyczaj konto IGA ). Atrybut „Rola” musi zostać skonfigurowany, aby określić, gdzie węzeł orkiestracji znajduje dostępne role (grupy katalogów, z których użytkownik powinien zostać usunięty). W atrybucie „Rola” może być skonfigurowana jedna lub wiele grup atrybutów. Lista dostępnych zarejestrowanych zadań katalogowych jest pobierana z bazy danych EPE-master.

Należy wybrać katalog Task, ponieważ węzeł koordynacji Efecte Provisioning Engine będzie używał mapowania pól tożsamości i praw dostępu, aby dowiedzieć się, pod którym kodem atrybutu przechowywane są wyróżniające nazwy użytkownika i grupy katalogów.

Obsługa wyjątków:

• Wynik węzła będzie w stanie „Zakończone” tylko wtedy, gdy wszystkie członkostwa użytkownika w grupach zostaną pomyślnie zaktualizowane. Na przykład, gdy użytkownik zostanie pomyślnie usunięty z 5 z 6 grup, wynik węzła będzie w stanie „Wyjątek”.
• W związku z tym wymagane jest mapowanie pola JSON „distributedName” zarówno dla tożsamości, jak i uprawnień dostępu. Jeśli mapowanie nie zostanie znalezione, węzeł orkiestracji przejdzie w stan „Wyjątek”.
• Próba usunięcia użytkownika z grupy, do której nie należy, zakończy się niepowodzeniem.
• Próba dodania użytkownika do grupy, do której już należy, zakończy się niepowodzeniem.
• Szczegóły dotyczące pomyślnej/nieudanej aktualizacji członkostwa użytkownika w grupie można znaleźć w dziennikach.
• Wyjątki Pro aprowizacji i członkostwa w grupie to opcjonalne właściwości w tym węźle przepływu pracy. Administratorzy mogą skonfigurować te właściwości w taki sposób, aby możliwe było zapisanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Jak skonfigurować EPE do korzystania z OU z karty danych?

Zadanie provisioningu oparte na zdarzeniach EPE umożliwia wybór, czy informacje o jednostce organizacyjnej (ścieżce OU), na przykład utworzenie nowego użytkownika, są definiowane w zadaniu provisioningu, czy też mają być odczytywane z karty danych ESM. Ta funkcja zmniejsza liczbę potrzebnych zadań provisioningu opartych na zdarzeniach. Zdarza się, że klienci tworzą nowych użytkowników dla kilku ścieżek OU i w takim podejściu użylibyśmy jednego zadania provisioningu, a część potrzebnych informacji byłaby odczytywana z karty danych.

1. Przejdź do panelu administracyjnego ESM i wybierz zakładkę IGA .
   
   
2. Wybierz opcję Dostarczanie oparte na zdarzeniach i potrzebne zadanie.
   
   
3. Ustaw LDAP userBase / LDAP userfilter lub/i LDAP groupBase / LDAP groupfilter na „Odczytaj ścieżkę OU z karty danych”.
   
   
   
4. Jeśli konfiguracja zadania provisioningu została ustawiona na „Odczytaj ścieżkę OU z karty danych”, działania orkiestracji pokazują dodatkową właściwość (grupa LDAP-/userbase), gdzie można zdefiniować atrybut, z którego można odczytać te informacje.
   
   

Utwórz grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań wizualizacji Pro . Administratorzy wybierają właściwy „cel” Active Directory i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań AD . W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jako pomoc wizualna. Jeśli konieczne są jakiekolwiek zmiany w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji tworzenia nowego użytkownika odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory .

Ważne jest, aby mieć pewność, że mapowanie praw dostępu używane w węźle koordynacji tworzenia grupy zawiera:

• co najmniej cztery dodatkowe mapowania Azure AD : dla atrybutów „displayName”, „mailEnabled”, „mailNickname” i „securityEnabled”.
• co najmniej dwa dodatkowe mapowania Active Directory : dla atrybutów „cn” i „sAMAccountName”.
  
  

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Aktualizuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu pochodzą z zadań Pro . Administratorzy wybierają odpowiedni „cel” Active Directory i mogą przeglądać mapowania praw dostępu skonfigurowane dla wybranych zadań AD .

W tym widoku orkiestracji administratorzy nie mogą zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zajdzie potrzeba wprowadzenia jakichkolwiek zmian w mapowaniach, należy je wprowadzić w widoku konfiguracji zadań wizualizacji Pro .

Węzeł koordynacji grupy aktualizacji odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w usłudze Active Directory lub wykonuje wywołanie API w usłudze Azure .

Konfiguracja „Celu” odbywa się w widoku konfiguracji zadania provisioningu. Aby zaktualizować grupy, administratorzy muszą upewnić się, że istnieje tylko jedna baza grup LDAP/filtr grup LDAP, aby uniknąć konfliktów w przepływie pracy.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Usuń grupę

Na powyższej ilustracji administratorzy mogą wybrać właściwy „cel” w usłudze Active Directory . Węzeł orkiestracji grupy usuwania odczytuje atrybuty z odpowiednich kart danych i wykonuje polecenie LDAP w Active Directory .

W przypadku konfiguracji bazujących na Active Directory „Atrybut grupy ról” powinien zawierać nazwę wyróżnioną grupy.

W przypadku konfiguracji opartych na usłudze Azure Active Directory „Atrybut grupy ról” powinien zawierać ObjectGUID grupy.

Wyjątek Pro aprowizacji to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w taki sposób, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj grupę

Na powyższej ilustracji mapowania atrybutów praw dostępu są generowane z zadań provisioningu Pro . Administratorzy wybierają odpowiednią usługę Active Directory z sekcji „Cel” i mogą wyświetlić mapowania praw dostępu skonfigurowane dla wybranego zadania AD . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

W panelu administratora Mapowania praw dostępu (Access Rights Mappings) administratorzy mogą podać wyrażenie „IF”, które utworzy zapytanie LDAP w celu weryfikacji istnienia grupy. Można wybrać dowolną liczbę atrybutów z Karty danych, aby potwierdzić unikalność grupy. Po wykonaniu akcji, atrybuty te zostaną odczytane z danej Karty danych i porównane z odpowiednimi atrybutami AD , zgodnie z konfiguracją „Target*” Active Directory . Administratorzy mogą również wybrać opcję „equal” lub „not equal” dla odpowiedniego atrybutu AD , zmieniając wyrażenie „IF”. Pole „Save result*” służy do określenia miejsca zapisywania pomyślnych wyników zapytania LDAP: „true” w przypadku znalezienia grupy lub „false” w przeciwnym razie.

Administratorzy mają możliwość „sprawdzenia” właściwości „Uwzględnij poddrzewo jednostek organizacyjnych” na tym węźle orkiestracji, aby zweryfikować, czy grupa istnieje w zdefiniowanym poddrzewie jednostek organizacyjnych. Jeśli administrator nie zaznaczy tej opcji, węzeł orkiestracji sprawdzi tylko konkretną jednostkę organizacyjną zdefiniowaną w konfiguracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Zweryfikuj członkostwo w grupie

Na powyższej ilustracji mapowania atrybutów tożsamości są generowane z zadań provisioningu Pro . Administratorzy wybierają odpowiednią Active Directory z listy „ Cel ” i mogą wyświetlić mapowania tożsamości skonfigurowane dla wybranego zadania AD . W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Pole „ Zapisz wynik* ” służy do określenia miejsca, w którym zapisywane są pomyślne wyniki zapytania LDAP: „true”, jeśli użytkownik został znaleziony lub „false”, w przeciwnym wypadku.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.

Utwórz użytkownika lokalnego (w ESM)

Na powyższej ilustracji mapowania pochodzą z szablonu docelowego i nie jest wymagane oddzielne zadanie EPE. Węzeł tworzenia nowego lokalnego węzła orkiestracji użytkowników odczytuje atrybuty z karty danych i wykonuje polecenie w ESM.

Dziennik zabezpieczeń ESM rejestruje następujące zdarzenia tego węzła:

• Pomyślne i nieudane zmiany w ustawieniach bezpieczeństwa użytkownika
  • Zmiany poziomu użytkownika
  • Hasło
  • Nazwa użytkownika
• Zmiany uprawnień użytkownika
  • użytkownik, któremu przypisano rolę
• Tworzenie użytkownika

Aktualizacja hasła użytkownika lokalnego (z ESM)

Na powyższej ilustracji mapowania pochodzą z szablonu docelowego i nie jest wymagane oddzielne zadanie EPE. Aktualizujący węzeł lokalnej koordynacji użytkowników odczytuje atrybuty z danej karty danych i wykonuje polecenie w ESM. Plik Security.log ESM rejestruje zdarzenia tego węzła. Uwaga! Aktualizacja hasła użytkownika root jest niedozwolona.

Aktualizacja nazwy użytkownika lokalnego (z ESM)

Na powyższej ilustracji mapowania pochodzą z szablonu docelowego i nie jest wymagane oddzielne zadanie EPE. Aktualizujący lokalny węzeł orkiestracji użytkowników odczytuje atrybuty z danej karty danych i wykonuje polecenie w ESM. Plik Security.log ESM rejestruje zdarzenia tego węzła. Uwaga! Aktualizacja nazwy użytkownika root jest niedozwolona.

Usuń użytkownika lokalnego (z ESM)

Na powyższej ilustracji mapowania pochodzą z szablonu docelowego i nie jest wymagane oddzielne zadanie EPE. Węzeł orkiestracji usuwania użytkowników lokalnych odczytuje atrybuty z karty danych i wykonuje polecenie w ESM. Plik ESM Security.log rejestruje zdarzenia tego węzła. Uwaga! Użytkownika root nie można usunąć za pomocą tego węzła.

Zarządzaj adresami Pro xy

Istnieją trzy różne możliwości: ustawienie, aktualizacja i usunięcie adresów proxy.

• Ustaw : administrator wybiera jeden atrybut w interfejsie użytkownika Workflow ESM (może to być atrybut jedno- lub wielowartościowy) – następnie węzeł Workflow nawiązuje kontakt AD , wyszukuje konto użytkownika i ustawia wartość w proxyAddresses (ta akcja służy do ustawienia wartości proxyAddresses za pierwszym razem – poprzednia wartość w AD była nullem).
  
  
• Aktualizacja : administrator wybiera dwa atrybuty w interfejsie użytkownika Workflow ESM – jeden dla wartości CURRENT, a drugi dla wartości NEW. Następnie węzeł Workflow kontaktuje się AD , wyszukuje konto użytkownika i aktualizuje istniejące proxyAddresses, znajduje wartość CURRENT na liście i zmienia jej prefiks z SMTP: na smtp: -, a następnie dodaje NOWĄ wartość z prefiksem SMTP: (pozostałe wartości pozostają w proxyAddresses).
  
  
• Usuń : administrator wybiera jeden atrybut w interfejsie użytkownika Workflow ESM (może to być atrybut jedno- lub wielowartościowy) – następnie węzeł Workflow nawiązuje kontakt AD , wyszukuje konto użytkownika i usuwa wartość z listy proxyAddresses (pozostałe wartości pozostają w proxyAddresses).

Uruchom zadanie provisioningu

Ta aktywność jest stosowana, gdy wszystkie informacje z katalogu są natychmiast potrzebne. Obsługiwane katalogi to Active Directory, Azure AD , OpenLDAP i IBM.

Na powyższej ilustracji administratorzy mogą wybrać właściwy katalog docelowy. Uruchom zadanie orkiestracji, aby odczytać atrybuty węzła z Active Directory do kont IGA .

Wymagania dla zadania EPE „ Cel ” są następujące:

• Zadanie musi być typu „Zadanie harmonogramowalne”, a nie oparte na zdarzeniu
• Szablon przepływu pracy musi być taki sam jak szablon mapowania tożsamości
• Zadanie musi zostać zaplanowane w określonym czasie – oznacza to, że zadanie ma zostać „włączone”
• Mapowania muszą być odrębne, w zadaniu nie może być duplikatów mapowań
  
  

W tym widoku orkiestracji nie można zmieniać żadnych mapowań, są one prezentowane jedynie jako pomoc wizualna. Jeśli zachodzi potrzeba zmiany mapowań atrybutów, atrybuty te muszą zostać zdefiniowane w widoku konfiguracji zadania provisioningu, aby można je było zmienić w węźle orkiestracji.

Wyjątek w Pro to opcjonalna właściwość w tym węźle przepływu pracy. Administratorzy mogą skonfigurować tę właściwość w trybie użycia, aby możliwe było zapisywanie wyjątków w przypadku wystąpienia jakichkolwiek wyjątków podczas akcji aprowizacji.