HR-connector wykorzystuje Efecte Provisioning Engine (niestandardowy łącznik skryptów) do odczytu danych z pliku. Łącznik został zaprojektowany do wykorzystania w rozwiązaniach IGA w zarządzaniu cyklem życia użytkownika. Użycie go do innych celów wymaga wyeksportowania skryptu z komputera hosta i zmodyfikowania go zgodnie z wymaganiami klienta. Należy pamiętać, że możliwe jest również utworzenie nowego skryptu od podstaw i użycie niestandardowego łącznika skryptów do jego walidacji i zaimportowania.

Łącznik HR obsługuje jeden lub kilka okresów pracy, pod warunkiem, że okresy pracy są generowane zgodnie z opisem w rozdziale „Generowanie pliku z rozwiązania HR”.

Podstawowe zasady łącznika HR,

1. Łącznik używa dodatkowych argumentów zdefiniowanych w zadaniu dostarczania opartym na harmonogramie w celu znalezienia pliku ze ścieżki (jeśli brakuje dodatkowego argumentu, proces zostaje zatrzymany)

2. Pliki są konwertowane do formatu JSON (słownik) i przechowywane jako JSON

3. Każdy plik można uruchomić w całości lub w części

4. Częściowe uruchomienie zawsze porównuje dane z plikiem archiwalnym (jeśli plik archiwalny jest nieobecny, proces zostaje zatrzymany)

5. W pliku w formacie JSON wszystkie mapowane atrybuty są polami obowiązkowymi, a zadanie zatrzymuje import, jeśli w którymkolwiek z importowanych obiektów brakuje atrybutów obowiązkowych. Format CSV działa inaczej – wystarczy, że wszystkie mapowane atrybuty zostaną znalezione w wierszu nagłówka jako kolumny.

6. Po wykonaniu importu łącznik zaimportuje zadanie administracyjne IGA do rozwiązania IGA w tym błędy i pliki JSON zawierające zarchiwizowane i zaimportowane wiersze.

Pliki łączników,

Łącznik HR oczekuje, że plik zostanie wygenerowany przez rozwiązanie HR zgodnie z poniższą logiką, a następnie zapisany na serwerze SFTP klienta, skąd łącznik może pobrać plik(i). Należy pamiętać, że kodowanie musi być UTF-8.
Jeśli używasz formatu pliku csv, domyślnym separatorem pól używanym przez skrypt łącznika HR jest ; (średnik).

Proces generowania pliku różni się w zależności od rozwiązania HR, z którego korzysta klient. Przykładowo rozwiązanie IGA wymaga pobierania informacji zarówno z przeszłości, jak i z przyszłości.

W przypadku rozwiązań HR Workday zaleca się utworzenie niestandardowego raportu w Workday, który będzie zawierał potrzebne informacje, i użycie w tym raporcie formatu json do sformatowania danych.

Przykłady, jakie informacje są wykorzystywane do generowania wymaganego pliku,

Jeśli klient chce użyć łącznika HR do importowania wielu różnych typów danych, zaleca się posiadanie jednego łącznika HR na każdy typ danych.

Na przykład, jeśli klient chce zaimportować organizacje i użytkowników, powinien mieć 2 łączniki, takie jak „Łącznik HR Organizacje” i „Łącznik HR Użytkownicy”.

Mając te dwa pliki łączników na tym samym serwerze ftp, struktura folderów mogłaby wyglądać na przykład tak:

/sftp/iga/in/organisation

/sftp/iga/in/organization/archive

/sftp/iga/in/użytkownik

/sftp/iga/in/użytkownik/archiwum

Folder danych powinien zawierać tylko jeden plik na raz.

Dzięki takiej strukturze folderów możesz używać następujących parametrów skryptu dla organizacji łącznika HR:

“sftp_remote_path_data”:"/sftp/iga/in/organization",

“sftp_remote_path_archive”:"/sftp/iga/in/organization/archive",

“file_path”:"./organization/*.csv"

Podobnie różne parametry skryptu dla użytkowników łącznika HR.

Parametry

Służą do definiowania ustawień łącznika HR, które są sprawdzane po uruchomieniu skryptu.
Pamiętaj o zapisaniu hasła w bezpiecznym miejscu, na wypadek gdybyś po zapisaniu zaplanowanego zadania musiał sprawdzić parametry.

Łącznik HR wykorzystuje następujące parametry:

Walidacja

Walidacja oznacza, że łącznik HR weryfikuje, czy wszystkie obowiązkowe informacje dotyczące użytkowników zostały otrzymane z rozwiązania HR, a w przypadku ich braku łącznik HR tworzy domyślne zadanie administratora IGA .

Klient może zdefiniować więcej atrybutów do odczytu, spoza listy poniżej, ale wymaga to modyfikacji skryptu łączników HR (więcej informacji można znaleźć w rozdziale o możliwościach rozszerzenia).

Wyjątki

Klient może zdefiniować, w którym szablonie, folderze i atrybucie łącznik HR generuje następujące wyjątki,

Instrukcje te uid jak korzystać ze wstępnie skonfigurowanego łącznika HR lub jak utworzyć go od podstaw. Należy pamiętać, że modyfikowanie skryptu wymaga umiejętności pisania skryptów w języku Python.

Ogólne uid dotyczące zaplanowanych zadań

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 

 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 

 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users	Total amount of groups	Full load sequence	Incremental load sequence
< 500	< 1000	Every 30 minutes if partial load is not used Four (4) times a day if partial load is used	Every 10 minutes
< 2000	< 2000	Every 60 minutes, if partial load is not used Four (4) times a day if partial load is used	Every 15 minutes
< 5000	< 3000	Every four (4) hours, if partial load is not used Twice a day if partial load is used	Every 15 minutes
< 10 000	< 5000	Maximum imports twice a day, no matter if partial load is or is not used	Every 30 minutes
< 50 000	< 7000	Maximum import once a day, no matter if partial load is or is not used	Every 60 minutes
Over 50 000	Over 7000	There might be a need for another EPE-worker, please contact Product Owner	Separately evaluated

Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 

 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

Open 1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

Open 2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

• Feature works only with full fetch scheduled tasks..
• No support for generic templates yet, only identity and access
• When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
• EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
• EPE does not enable users back on its own.
• If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
• Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.

 

 

 

Konfigurowanie łącznika HR i zaplanowanego zadania

Aby uzyskać dostęp do zarządzania złączami, użytkownik musi mieć uprawnienia do konfiguracji platformy Efecte.

1. Otwórz obszar administracyjny Efecte (symbol koła zębatego).
2. Otwórz widok złączy.
3. Wybierz nowe złącze

2. Wybierz typ źródła danych: Niestandardowe zaplecze

3. Uzupełnij informacje

• Wpisz unikalną nazwę łącznika, pamiętaj, że nazwy tej nie można później zmienić.
• Wybierz skrypt IGA Connector.py z pola skryptu provisioningowego
• Hasło szyfrujące parametry jest potrzebne do ukrycia/ujawnienia parametrów po zapisaniu łącznika
• Użytkownik API sieci Web jest potrzebny, gdy łącznik HR zapisuje dane klientom Rozwiązanie Efecte
• Hasło API sieci Web jest potrzebne, gdy łącznik HR zapisuje dane klientom Rozwiązanie Efecte

4. Ujawnij i zmodyfikuj parametry zgodnie z definicjami klienta

• Zapisz hasło szyfrowania w bezpiecznym miejscu. Będziesz go potrzebować później, jeśli zajdzie potrzeba zmiany parametrów.
  
  Przykład dotyczący parametrów:
  {"objectGUID_field_name":"objectGUID", "sftp_server_fqdn":"transfer.xx.com", "sftp_server_ssh_port_number":"22", "sftp_username":"username_here", "sftp_password":"username_here", "sftp_remote_path_data":"/sftp/data", "sftp_remote_path_archive":"/sftp/archive",
"file_path":"./data/workperiod*.csv", // Path and file pattern where file is located. Mandatory value
"data_type":"workperiod", // Values: costcenter, organization, title or workperiod. Mandatory value
"run_type":"partial", // Run type specifies if comparison to previous file will be done. Values: full or partial. Optional value, default is 'partial'
"update_limit": 100, // How many updates are allowed to IGA System. Mandatory value
"override_update_limit":false, // overrides update limit, if amoun of updates is more than given limit. Values: true or false. Optional value, defaul is 'false'
"minimum_row_count": 10, // What is the minimum amount of rows, that should exist in the file. Optional value
"webapi_user": " IGA .Web API ", // Web API user for report creation. Requires Create and Read permissions to IGA Adminisitration task. Mandatory value
"webapi_password": "aeiou", // Web API user's password. Mandatory value
"webapi_url":"https://eisdemo.efectecloud-demo.com", // URL to ESM environment. Mandatory value
"report_template_code":" IGA WorkflowTaskInformation", // Target template code. Mandatory value
"report_folder_code":"iga_tasks", // Target folder code. Mandatory value
"debug": false, // Enables debug logging. Values: true of false. Optional value, default is 'false'
"language": "en" // Sets IGA Administration Task report language. Optional value, default is 'en'
}

5. Utwórz nowe zaplanowane zadanie dla łącznika HR

6. Wypełnij szczegóły zadania

• Unikalna nazwa zadania dla łącznika. Należy pamiętać, że nazwy tej nie można później zmienić.
• Użycie zadań jest ustawione na zaplanowane
• Typ mapowania jest ustawiony na ogólny (jeden szablon)

• Nazwa atrybutu dla uid Objectg. Zapisano nazwę kolumny/atrybutu danych wejściowych, która zawiera unikalny identyfikator wiersza. Na przykład: objectGUID

7. Uzupełnij informacje o awarii

Opcjonalne ustawienia obsługi awarii. Jeśli zaplanowane zadanie zakończy się niepowodzeniem, może utworzyć kartę danych w systemie Efecte ESM, która wyświetla błąd. Jeśli zdefiniowano ustawienia awarii, administrator nie musi ręcznie sprawdzać statusu zaplanowanych zadań.

• Szablon awarii — wybierz szablon karty danych, który zostanie utworzony w razie wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).
• Folder awarii – wybierz folder, w którym będzie przechowywana karta danych awarii.
• Atrybut awarii — wybierz atrybut, w którym w szablonie awarii mają być przechowywane informacje o błędzie.

8. Uzupełnij mapowania dla szablonu ogólnego

Dane ogólne są odczytywane według potrzeb dowolnego szablonu, a obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji danych pomiędzy działem HR klienta a rozwiązaniem Efecte.

• Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
  Wybierz szablon, aby zdefiniować mapowania atrybutów
• Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
• Mapowania atrybutów
  1. Atrybut szablonu Efecte - do którego atrybutu w katalogu Efecte jest mapowany atrybut.
  2. Atrybut HR – który atrybut z pliku jest mapowany na Efecte

9. W przypadku konieczności modyfikacji skryptu należy go pobrać z komputera klienta, zmodyfikować i ponownie przesłać.

• Jeśli nie masz dostępu do komputera-hosta, skontaktuj się z Service Desk Efecte, aby uzyskać pomoc.

10. Zapisz zmiany

11. Przed uruchomieniem zaplanowanego zadania dla łącznika HR,

• Sprawdź, czy cała konfiguracja dotycząca przepływów pracy i ustawień na kartach danych jest na swoim miejscu.
• Podczas pierwszego uruchomienia upewnij się, że obsługa katalogów i aplikacji jest wyłączona

12. Uruchom zadanie ręcznie lub poczekaj, aż rozpocznie się zaplanowane uruchamianie.

13. Sprawdź, czy dane zostały odczytane na właściwych kartach danych i czy zastosowano właściwe atrybuty.

14. Rozwiązywanie problemów

• W przypadku użycia szablonu awarii należy sprawdzić poprawność karty danych
• Sprawdź historię zaplanowanych zadań z poziomu zarządzania łącznikiem
• Sprawdź dzienniki modułu Efecte Provisioning Engine

Wybierz łącznik HR jeśli:

• Plik HR jest w formacie XML, CSV lub JSON
• Klient ma serwer SFTP
• Informacje HR są otrzymywane z przeszłości i przyszłości
• Typ danych to centrum kosztów, organizacja, stanowisko lub okres pracy
• Dane zawierają co najmniej nazwisko, imię, datę rozpoczęcia zatrudnienia, identyfikator stanowiska, identyfikator kierownika, identyfikator jednostki organizacyjnej
• Dane zawierają co najmniej jedną z następujących unikalnych wartości: numer ubezpieczenia społecznego / dowód osobisty / numer pracownika