US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

Polish
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Zarządzanie tożsamością i administracja ( IGA )
  • Biblioteka rozwiązań IGA
  • Instrukcje i uid
  • Konfiguruj łączniki

Złącze SCIM

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Zarządzanie usługami
    Rozwiązanie Matrix42 Professional Rozwiązanie Matrix42 Core Zarządzanie usługami przedsiębiorstwa Inteligencja Matrix42
  • Zarządzanie tożsamością i administracja ( IGA )
    Przegląd IGA Biblioteka rozwiązań IGA
  • Platforma
    ESM ESS2 ES Efecte Chat do zarządzania usługami Efektywne integracje Dodatki
  • Informacje o wydaniu dla M42 Core & Pro , IGA , Conversational AI
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Informacje i zasady dotyczące wydania
  • Inny materiał
    Wytyczne uid terminów i dokumentacji Oświadczenia dotyczące dostępności
  • Usługi
+ More

    • Zarządzanie usługami

    • Zarządzanie tożsamością i administracja ( IGA )

    • Platforma

    • Informacje o wydaniu dla M42 Core & Pro , IGA , Conversational AI

    • Inny materiał

    • Usługi

Złącze SCIM

Złącze SCIM jest częścią Native Connectors i służy do odczytu danych z serwera SCIM . Złącze jest dostępne tylko dla rozwiązania Efecte IGA i wymaga oddzielnej umowy, aby można je było używać w innych rozwiązaniach Efecte. Złącze SCIM jest klientem SCIM , więc może odczytywać dane z serwera SCIM . Nie może jednak połączyć się z innym klientem SCIM .

Łącznik SCIM wymaga konfiguracji zgodnie z przypadkiem użycia klienta, a konfiguracja zasadniczo składa się z dwóch (2) kroków:

  1. Konfiguruj złącze – umożliwia łącznikowi nawiązanie połączenia z serwerem SCIM
  2. Konfiguruj zadanie zaplanowane – używane, gdy dane są odczytywane z serwera SCIM

Instrukcje dotyczące wersji 2024.1 i nowszych

Skonfiguruj łącznik SCIM

W tym rozdziale opisano instrukcje konfiguracji złącza SCIM umożliwiające połączenie się z klientem SCIM .

Aby uzyskać dostęp do zarządzania złączami, użytkownik musi mieć uprawnienia do konfiguracji platformy Efecte.

1. Otwórz obszar administracyjny Efecte (symbol koła zębatego).
2. Otwórz widok złączy.
3. Wybierz nowe złącze

4. Wybierz typ źródła danych SCIM

5. Uzupełnij informacje dotyczące SCIM klientów

  • Nazwa złącza – nadaj złączu przyjazną nazwę (nazwę można później zmienić)
  • Host SCIM – adres hosta, który będzie używany do łączenia się z klientami SCIM
  • Port SCIM – numer portu, który będzie używany do łączenia się z klientem SCIM
  • Nazwa użytkownika SCIM – nazwa konta usługi, która służy do odczytu i zapisu danych do/z SCIM klientów
  • Hasło SCIM - hasło do konta usługi

6. Uzupełnij informacje o użytkowniku API sieci Web

  • Użytkownik API internetowego — wybierz właściwego użytkownika API internetowego, który będzie używany podczas zapisywania danych z SCIM klienta do rozwiązania Efecte.
  • Hasło do API internetowego – hasło użytkownika API internetowego

7. Zapisz informacje o złączu

  • Naciśnij przycisk testu połączenia, aby sprawdzić, czy informacje o porcie i hoście są ustawione prawidłowo
  • Naciśnij przycisk uwierzytelniania testowego, aby sprawdzić, czy informacje o użytkowniku i haśle SCIM (konto usługi) są ustawione prawidłowo

8. Rozwiązanie Customers Efecte może teraz łączyć się z SCIM klienta. Następnym krokiem jest skonfigurowanie zaplanowanego zadania odczytu danych.

Ogólne uid dotyczące zaplanowanych zadań

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Skonfiguruj zadanie zaplanowane do odczytu danych

Aby skonfigurować zadania oparte na harmonogramie, potrzebny jest dostęp do konsoli konfiguracji platformy Efecte.

Uwaga! Jeśli łącznik nie zostanie utworzony, musisz najpierw utworzyć „nowy łącznik”, a następnie będziesz mógł tworzyć nowe zadania.

1. Otwórz obszar administracyjny Efecte (symbol koła zębatego).
2. Otwórz widok złączy.
3. Wybierz łącznik, dla którego skonfigurowano zadanie oparte na harmonogramie
4. Wybierz nowe zadanie pod właściwym łącznikiem

4. Zdefiniuj harmonogram zadania (czy i jak zaplanowane zadanie powinno być uruchamiane okresowo). Wybierz kolejność harmonogramowania, która zależy od ilości danych odczytywanych przez klientów.

5. Wypełnij szczegóły zadania

  • Wpisz unikalną nazwę zadania dla zaplanowanego zadania. Pamiętaj, że nazwy tej nie można później zmienić.
  • Użycie zadania wskazuje, że jest to zadanie służące do odczytu danych, zapisu danych lub uwierzytelniania. Należy pamiętać, że późniejsza zmiana typu zdarzenia może spowodować przerwanie przepływów pracy.
  • Typ mapowania zależy od typu informacji odczytywanej z katalogu
    • Tożsamość i prawa dostępu – używane podczas odczytywania z katalogu informacji o koncie użytkownika i grupie
    • Pojedyncze (tylko tożsamość) – używane, gdy z katalogu odczytywane są tylko informacje o koncie użytkownika
    • Pojedyncze (tylko prawo dostępu) – używane, gdy z katalogu odczytywane są tylko informacje o grupie
    • Ogólne (jeden szablon) – używane, gdy z katalogu odczytywane są informacje ogólne, zwykle inne niż Użytkownicy/Grupy

6. Wypełnij opcjonalne szczegóły filtrowania

  • W razie potrzeby skonfiguruj filtr dla użytkowników,
    Dodatkowy filtr zapytania Graph API stosowany podczas wyodrębniania użytkowników
  • W razie potrzeby skonfiguruj filtr dla grup. Dodatkowy filtr zapytania API SCIM zostanie zastosowany podczas wyodrębniania grup.

7. Uzupełnij informacje o awarii

Opcjonalne ustawienia obsługi awarii. Jeśli zaplanowane zadanie zakończy się niepowodzeniem, może utworzyć kartę danych w systemie Efecte ESM, która wyświetli błąd. Jeśli zdefiniowano ustawienia awarii, administrator nie musi ręcznie sprawdzać statusu zaplanowanych zadań.

  • Szablon awarii — wybierz szablon karty danych, który zostanie utworzony w razie wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).
  • Folder awarii – wybierz folder, w którym będzie przechowywana karta danych awarii.
  • Atrybut awarii — wybierz atrybut, w którym w szablonie awarii mają być przechowywane informacje o błędzie.

8. Wypełnij mapowania tożsamości

Użytkownicy są importowani do szablonu konta IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników między klientami SCIM a rozwiązaniem Efecte. Na przykład.

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut zewnętrzny – który atrybut z serwera SCIM jest mapowany
    2. Atrybut lokalny – atrybut, do którego mapowany jest atrybut w karcie danych.
  • Istnieje możliwość ustawienia dodatkowych atrybutów odczytywanych z kont użytkowników poprzez wybranie opcji Nowy atrybut

9. Wypełnij mapowania praw dostępu

Grupy są odczytywane do szablonu uprawnień IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych i unikalnych wartości, które służą do identyfikacji użytkowników pomiędzy serwerem SCIM klienta a rozwiązaniem Matrix42 Core , Pro lub IGA .

  • Szablon docelowy — wybierz szablon, aby zdefiniować mapowania atrybutów
    Wybierz szablon, aby zdefiniować mapowania atrybutów
  • Folder docelowy – wybierz folder z listy folderów. Lista jest zawężana w celu dopasowania do wybranego szablonu.
  • Mapowania atrybutów
    1. Atrybut szablonu Efecte - do którego atrybutu w katalogu Efecte jest mapowany atrybut.
    2. Atrybut katalogu – który atrybut z katalogu jest mapowany na Efecte
  • Można ustawić dodatkowe atrybuty, które są odczytywane z kont użytkowników w katalogu, wybierając opcję Nowy atrybut

10. Zapisz zadanie provisioningu za pomocą przycisku Zapisz. Jeśli brakuje niektórych wymaganych atrybutów, przycisk Zapisz jest wyświetlany na szaro i wyświetla brakujące elementy w ustawieniach.

11. Skonfigurowano teraz zadanie łącznika oparte na harmonogramie do odczytu danych SCIM .

  • Teraz możesz poczekać, aż zadanie zostanie rozpoczęte zgodnie z harmonogramem lub
  • Uruchom zadanie ręcznie – klikając przycisk, zadanie jest konfigurowane do natychmiastowego uruchomienia. Zazwyczaj w przypadku uruchomień testowych lub gdy nie chcesz zmieniać ustawień harmonogramu, ale chcesz uruchomić zadanie od razu.

Instrukcje dla wersji 2023.4 i starszych

Aby skonfigurować zadanie provisioningu oparte na harmonogramie, potrzebny będzie dostęp do konsoli konfiguracji platformy Efecte.

1. Otwórz obszar administracji Efecte (symbol koła zębatego).
2. Otwórz widok IGA
3. Wybierz opcję Dodaj nowe zadanie w celu Pro opartej na harmonogramie
4. Wybierz SCIM z listy Dodaj nowe zadanie


5. Wprowadź unikalną nazwę zadania provisioningowego
6. Wybierz użytkownika API sieci Web i wpisz hasło
7. Wybierz szablon awarii karty danych, który zostanie utworzony w przypadku wystąpienia błędów podczas udostępniania (połączenie ze źródłami danych, przekroczenie limitu czasu itp.).

8. Wybierz kolejność harmonogramowania, która zależy od ilości danych odczytywanych przez rozwiązanie Customers Efecte

9. Wypełnij sekcję Pro , w której zdefiniowano informacje dotyczące połączenia oraz filtry umożliwiające odczyt informacji o użytkownikach i grupach z SCIM klientów.

10. Wypełnij opcjonalne dane filtrowania

  • W razie potrzeby skonfiguruj filtr dla użytkowników,
    Dodatkowy filtr zapytania Graph API stosowany podczas wyodrębniania użytkowników
  • W razie potrzeby skonfiguruj filtr dla grup. Dodatkowy filtr zapytania Graph API zostanie zastosowany podczas wyodrębniania grup.

10. Użytkownicy są importowani do szablonu konta IGA i konieczne jest ustawienie folderu docelowego, identyfikatora źródła danych oraz unikalnych wartości, które służą do identyfikacji użytkowników między SCIM a rozwiązaniem Efecte. Można ustawić dodatkowe atrybuty odczytywane z kont użytkowników w SCIM , wybierając opcję „Dodaj właściwość”.

11. Grupy są odczytywane do szablonu uprawnień IGA i obowiązkowe jest ustawienie folderu docelowego, identyfikatora źródła danych oraz unikalnych wartości, które służą do identyfikacji użytkowników między SCIM klienta a rozwiązaniem Efecte. Można ustawić dodatkowe atrybuty odczytywane z kont użytkowników w SCIM , wybierając opcję „Dodaj właściwość”.

14. Zapisz zadanie provisioningu z górnego paska

15. Skonfigurowałeś już zadanie dostarczania oparte na harmonogramie i możesz

  • Połączenie testowe
  • Test uwierzytelniania
  • Uruchom zadanie ręcznie

16. Jeśli zadanie jest wykonywane ręcznie (uruchom zadanie ręcznie) lub jest uruchamiane zgodnie z harmonogramem, status zadania można sprawdzić na karcie Wyodrębnij/Załaduj status.

Rozwiązywanie problemów

W tym rozdziale opisano opcje rozwiązywania problemów,

  • W przypadku użycia szablonu awarii należy sprawdzić poprawność karty danych
  • Sprawdź historię zaplanowanych zadań z poziomu zarządzania łącznikiem
  • Sprawdź dzienniki modułu Pro Engine

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Konfiguruj: łącznik EPE Jira Cloud
  • Łącznik Microsoft Active Directory ( AD )

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand