Microsoft Active Directory ( AD )-anslutning

Hur man integrerar med Microsoft Active Directory

+ More

Microsoft Active Directory anslutning

Microsoft Active Directory ( AD ) Connector är en del av Native Connectors och används för att läsa och skriva data till/från kunders Active Directory . Den kan användas för alla Matrix42 Core , Pro and IGA -lösningar som använder Native Connectors.

Du kan läsa och skriva objekt av typen användar-, kontakt-, skrivar-, dator-, delade mapp-, grupp- och/eller organisationsenhet till/från Active Directory

AD kontakten kräver konfiguration enligt kundens användningsfall, och i princip har konfigurationen tre (3) steg:

Konfigurera anslutning - gör det möjligt för anslutningen att upprätta en anslutning till katalogen
Konfigurera schemalagd uppgift - används när data läses från katalogen
Konfigurera händelseuppgift - används när data skrivs till katalogen
1. Även arbetsflödesorkestreringsnoder måste konfigureras

Policy för rättvis användning

Anslutningen kan användas utan begränsningar under normala driftsförhållanden. Om användningen resulterar i en avsevärt ökad belastning som kräver ytterligare molnresurser (t.ex. minne eller processorkapacitet) kan ytterligare avgifter tillkomma.

Att använda den här anslutningen för att skapa, uppdatera eller ta bort användarkonton eller gruppobjekt kräver en aktiv IGA licens.

Instruktioner för 2024.2 och senare versioner

Allmänna funktioner

Connectors - general functionalities

Connectors - general functionalities

In this article are described general functionalities for managing native connectors in solution. All Native Connectors are managed from the same connector management UI.

Notice that there are separate descriptions for each connector, where connector specific functionalities and configuration instructions are described in detailed level.

To be able to access connector management, user needs to have admin level permissions to customers Platform configuration. When accesses are granted correctly, connector tab will be visible and user can manage connectors.

Left menu

Connector management is divided into four tabs:

Overview - for creating and updating Native Connectors. The Admin User can see their status, type and how many scheduled or event tasks are associated with them.
Authentication - for creating and updating authentication tasks. Provisioning task for authentication is needed for Secure Access to be able to define which Customers end-users can access to Matrix42 Core, Pro and IGA login page.
Logs - for downloading Native Connector and Secure Access logs from UI.
Settings - general settings for Native Connectors and Secure Access, including environment type for logging and monitoring.

Connectors overview tab

From overview page, user can easily and quickly see status for all connectors.

Top bar:

Status for Native Connectors (EPE)
- Green text indicates that Native Connectors is online. All the needed services are up and running.
- Red text indicates that there is a problem with Native Connectors, all the services are not running.
Status for Secure Access (ESA)
- Green text indicates that Secure Access is online. All the needed services are up and running.
- Red text indicates that there is a problem with Secure Access, all the services are not running.
Native Connectors version number is displayed in top right corner

Top bar for list view:

New connector - opens new window for adding and configuring new connector
Remove connector(s) - workflow references are calculated and pop-up window appears to confirm removal (notice that calculating references can take several seconds)
Export - Admin can export one or more connectors (and tasks) from the environment. Usually used for exporting connectors and connectors (and tasks) from test to prod. Native connectors secret information is password protected.
Import - Admin can import one or more connectors (and tasks) to the environment. Usually used for importing connectors (and tasks) from test to prod.
- Admin cannot import from old EPE UI (Older than 2024.1) to the new one. Source and target environments must have same version.
- Import will fail if the configuration (templates, attributes) is not the same - for example when some attribute is missing
- If you are importing something with the same connector details, it will be merged under existing connector
Refresh - Admin can refresh connectors view by clicking the button.

List view for overview,

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated unique ID of the connector. Cannot be edited or changed.
Status - indicates scheduled task status
- Green check mark - Task is executed without any errors
- Red cross -Task is executed, but there have been error
- Grey clock - Task is not executed yet, waiting for scheduling
- Orange - one of the tasks has a problem
- No value - Scheduled based-task is missing
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Scheduled - informs how many scheduled tasks are configured
Event - informs how many event tasks are configured
Manage
- Pen icon - opens connector settings (double-clicking the connector row, also opens settings)
- Paper icon - copies the connector
- Stop - workflow references are calculated and pop-up window appears to confirm removal
Search - User can search connector by entering the search term in the corresponding field . Id, Status, Name, Type, Scheduled and Event fields can be searched.

Scheduled task information (click arrow front of the connector)

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for scheduled tasks

New task - opens configuration page for new task
Remove task(s) - removes the selected task(s) from the system and they cannot be recovered anymore.
Refresh - refresh scheduled-based tasks view
Search - user can search task by entering the search term in the corresponding field for Id, name, enabled, extract/load status.

List view for scheduled tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Enabled - Displays is the task scheduled or not
- Green check mark - Task is scheduled
- Red cross - Task is not scheduled
Extract status - Displays status of data extraction from the target directory/system
- Green check mark - data is extracted successfully
- Red cross - data is extracted with error(s) or extraction is failed
- Clock - Task is waiting execution
Load status - Displays status of data export from json-file to customers solution
- Green check mark - data is imported successfully to customers solution
- Red cross - data is imported with error(s) or import is failed
Manage
- Pen icon - opens task settings in own window (double-clicking the task row also opens task settings)
- Paper icon - copies the task
- Clock icon - opens task history view
- Stop - remove task, pop-up window opens to confirm the removal

Scheduled task history view

By clicking the clock icon in the scheduled task row, history for scheduling will be shown.

Top bar for view history

Refresh - refreshes scheduled task status. This doesn't affect task, this only updates UI to show latest information of task run.

List view for scheduled task history

Color of the row is indicating status
- Green - task executed successfully
- Red - error happened during execution
Execution ID - unique ID for the scheduled task row
Extract planned time - when next extract from the directory/application is scheduled to happen
Extract complete time - when extract was completed
Extract status - status for fetching data from the directory/application
Load start time - when next load to customers solution is scheduled to happen
Load complete time - when load was completed
Load status - status for loading information to customers solution

List view for scheduled task status

Actual start time - timestamp for actual start
Users file - JSON file containing user information read from the directory/application
Group file - JSON file containing group information read from the directory/application
Generic file - JSON file containing generic information read from the directory/application
Extract info - detailed information about reading information from the directory/application
Load info - detailed information about loading the information to customers Matrix42 Core, Pro and IGA solution

Edit window for scheduled task

Configuration for scheduled task can be opened by clicking pen icon or double-clicking the task row.

Left menu and attributes varies according to selected options and therefore more detailed instructions for editing tasks can be found from the connector description, but there are common functionalities for all scheduled tasks which are described below.

Saving the task

In case mandatory information is missing from the task, hoovering mouse on top of the save button will show which attributes are still empty.

Top bar for edit scheduled task

Run task manually - admin can run task manually out side of the defined scheduling
Stop task - admin can stop scheduled-based task which is currently running. Task will be stopped and status is changed to be stopped. It waits in this state until the next timing occurs.
Clear data cache - Data cache for the next provisioning of Users and Groups will be cleared. It means that next run is run as first time run.
- By default, we clear the cache everyday at 00:00 UTC
- If you want to clear the cache at different time, then it has to specify some different value in host file 'custom.properties'.
- EPE Cache is also cleared when EPE is restarted, whole environment is restarted, EPE mappings have been changed

Event task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for event tasks

New task - opens configuration page for new event task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes event tasks view
Show workflow references - calculates task related workflow relations and statuses. This is very useful if you don't know from which workflows event-based tasks are used.

List view for event tasks

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Workflow relations
- Question mark shows pop-up window with detailed information about the reference
Workflow status
- Not used - No relations to workflow
- In use - Workflow(s) attached to task, task cannot be removed
Manage
- Pen icon - opens task settings in own window
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Edit window for event task

Configuration for event task can be opened by clicking pen icon or double-clicking the task row.

Edit event task window

Task usage, editable? - this appears when editing existing task and changing the task usage type will break workflows
Mappings type, editable? - this appears when editing existing task and changing the mappings type will break workflows

Saving the task

In case mandatory information is missing from the task, hovering mouse on top of the save button will show which attributes are still empty.

Authentication tab

Authentication for Matrix42 Core, Pro and IGA solutions are configured from authentication tab, notice that only some of the connectors (directory connectors) are supporting authentication, so its not possible to create authentication tasks to all available connectors.

Top bar for authentication

New connector - opens new window for configuring new connector (notice that not all connectors are supporting authentication)
Remove connector(s) - removes selected task(s), pop-up window appears to confirm the removal
Export - user can export one or more tasks from the environment. Usually used for exporting tasks from test to prod. EPE connectors are password protected.
- Note that Realm for authentication tasks is not exported, you need to set that manually after importing
Import - user can import one or more tasks to the environment. Usually used for importing task from test to prod.
Refresh - refreshes authentication tasks view

List view for authentication overview

Select connector(s) - Select one connector by clicking check box in front of the connector row or clicking check box in the header row will select all connectors
Id - Automatically generated Unique ID of the connector. Cannot be edited or changed.
Name - Connector name added to connector settings. Unique name of the connector holding configuration for one data source
Type - indicates target / source system
Count - informs how many authentication tasks are configured
Manage
- Pen icon - opens authentication task setting in own window
- Paper icon - copies the task
- Stop icon - removes selected task

Authentication task information

When clicking arrow at the beginning of the connector row, all related scheduled and event tasks are shown

Top bar for authentication overview

Create new task - opens configuration page for new authentication task
Remove task(s) - removes selected task(s), pop-up window appears to confirm the removal
Refresh - refreshes authentication tasks view

List view for authentication overview,

Select task(s) - Select task to be deleted from the list view by ticking.
Id - Unique ID of the task. Generated automatically and cannot be changed.
Name - Task name added to task settings, unique name of the task.
Manage
- Pen icon- opens task settings in own window (double-clicking the task row, also opens settings window)
- Paper icon - copies the task
- Stop icon - removes the task, pop-up window appears to confirm the removal

Logs tab

Logs tab is for downloading Native Connector and Secure Access logs from UI for detailed troubleshooting.

epe-master logs - contains warning, debug and error level messages about Native Connectors and info how long task actions has been taken.
epe-worker-ad logs - contains extract data status of Active Directory connector (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-azure logs - contains extract data status of Entra ID (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-worker-ldap logs - contains extract data status of LDAP (what Native Connector is loading to to customers Matrix42 Core, Pro and IGA solution). If selection is empty, it means that directory is not in use in this environment.
epe-launcher logs - contains information about EPE launches
datapump-itsm logs - Contains information about data export to customers Matrix42 Core, Pro and IGA solution.
esa logs - Contains information about Secure Access authentication.

Settings tab

Settings tabs is used for monitoring environments with connectors.

Environment type - is mandatory to be in selected and information is used for example defining alert critically.
- Test - select this when your environment is used as testing environment
- Prod - select this when your environment is used as production environment
- Demo - select this when your environment is used as demo or training environment
- Dev - select this when your environment is used as development environment

What we are monitoring?

Failures in scheduled based provisioning (extracting data, exporting data to ESM, outdated certificates, incorrect passwords, incorrect search base/filter, incorrect mappings, etc.)
Failures in event based provisioning (fail to write to AD/Azure, etc.)
Event-based provisioning - which connectors are used for writing data towards applications/directories.
ESA more than ten failed login attempts to one user in past 3 days
Environment type - is mandatory to be in selected and information is used for example defining alert critically.

Data migrations

Do not click “Migrate attribute mappings” or “Migrate workflows”, if not requested to do so by Matrix42.

Allmän uid för schemalagda uppgifter

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
Note! If connector is not created, you have to choose first New connector and after that New task.

4. Continue with connector specific instructions: Native Connectors

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database), thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run.

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration:

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Examples for scheduling,

Total amount of users	Total amount of groups	Full load sequence	Incremental load sequence
< 500	< 1000	Every 30 minutes if partial load is not used Four (4) times a day if partial load is used	Every 10 minutes
< 2000	< 2000	Every 60 minutes, if partial load is not used Four (4) times a day if partial load is used	Every 15 minutes
< 5000	< 3000	Every four (4) hours, if partial load is not used Twice a day if partial load is used	Every 15 minutes
< 10 000	< 5000	Maximum imports twice a day, no matter if partial load is or is not used	Every 30 minutes
< 50 000	< 7000	Maximum import once a day, no matter if partial load is or is not used	Every 60 minutes
Over 50 000	Over 7000	There might be a need for another EPE-worker, please contact Product Owner	Separately evaluated

Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups).

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

Feature works only with full fetch scheduled tasks..
No support for generic templates yet, only identity and access
When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
EPE does not enable users back on its own.
If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.

Kundinstruktioner

Kundinstruktioner finns härifrån .

Konfigurera AD anslutning

I det här kapitlet beskrivs konfigurationsinstruktioner för hur AD anslutningen ska kunna ansluta till kundernas Active Directory ( AD ).

För att få åtkomst till kopplingshantering måste användaren ha behörighet till Efecte Platform-konfigurationen.

1. Öppna administrationsområdet för Efecte (en kugghjulssymbol).
2. Öppna kopplingsvyn.
3. Välj ny kontakt

4. Välj datakälltypen Microsoft Active Directory

5. Uppfylla information relaterad till kundernas AD

Anslutningsnamn - ge din anslutning ett vänligt namn (namnet kan ändras i efterhand)
AD värd - värdadressen som kommer att användas för att ansluta till kundernas AD
AD port - portnummer som kommer att användas för att ansluta till kundens AD
AD användarnamn - tjänstkontonamn som används för att läsa och skriva data till/från kunder AD
AD lösenord – lösenord för servicekontot

6. Uppfylla användarinformation för Web API

Web API användare - välj rätt Web API användare som används när data skrivs från kunders AD till kunders Efecte-lösning
Web API lösenord – lösenord för Web API användaren

7. Spara kontaktinformation

Tryck på testanslutning för att bekräfta att port- och värdinformationen är korrekt inställd
Tryck på testautentisering för att bekräfta att AD användar- och lösenordsinformationen (tjänstkontot) är korrekt inställd

8. Kundernas Efecte-lösning kan nu ansluta till kundernas AD

Nästa steg är att konfigurera en schemalagd uppgift för dataläsning eller en händelseuppgift för dataskrivning.

Konfigurera schemalagd uppgift för att läsa data

AD anslutningen används för att läsa användar- och gruppinformation från kunders AD och den konfigureras från Efecte-plattformen genom att skapa schemalagda uppgifter.

Hur man skapar en ny uppgift för schemalagd Pro

För att konfigurera schemalagda uppgifter behöver du åtkomst till Efecte Platform-konfigurationskonsolen.

Obs! Om ingen koppling skapas måste du först skapa en "ny koppling" och därefter kan du skapa nya uppgifter.

1. Öppna administrationsområdet för Efecte (en kugghjulssymbol).
2. Öppna kopplingsvyn.
3. Välj den anslutning som den schemalagda uppgiften är konfigurerad för.
4. Välj ny uppgift under rätt koppling

4. Definiera schemaläggning för uppgiften (om och hur schemalagda uppgifter ska köras regelbundet). Välj schemaläggningssekvens, vilket beror på hur mycket data som läses till kundens Efecte-lösning.

Rekommenderad schemaläggningssekvens beror på hur mycket data som läses från kundens katalog till Efecte-lösningen och om importen är delvis eller fullständigt inläst.

Exempel på schemaläggning för läsgrupper och användarkonton.

Totalt antal användare	Totalt antal grupper	Full lastsekvens	Delvis lastsekvens
< 500	< 1000	Var 30:e minut om dellast inte används Fyra (4) gånger per dag vid dellast	Var 10:e minut
< 2000	< 2000	Var 60:e minut, om dellast inte används Fyra (4) gånger per dag vid dellast	Var 15:e minut
< 5000	< 3000	Var fjärde (4:e) timme, om dellast inte används Två gånger om dagen vid dellast	Var 15:e minut
< 10 000	< 5000	Maximal import två gånger per dag, oavsett om dellast används eller inte	Var 30:e minut
< 50 000	< 7000	Maximal import en gång per dag, oavsett om dellast används eller inte	Var 60:e minut
Över 50 000	Över 7000	Det kan finnas behov av ytterligare en EPE-arbetare, vänligen kontakta Pro .	Separat utvärderad

5. Fyll i uppgiftsuppgifter

Fyll i ett unikt uppgiftsnamn för den schemalagda uppgiften. Observera att namnet inte kan ändras i efterhand.
Uppgiftsanvändningen indikerar att det är uppgiften som används för att läsa data, skriva data eller för autentisering. Observera att om händelsetypen ändras i efterhand kan det avbryta arbetsflödena.
Mappningstypen beror på vilken typ av information som läses från katalogen
- Identitet och åtkomsträttigheter – används när information om användarkonton och grupp läses från katalogen.
- Enkel (endast identitet) – används när endast användarkontoinformation läses från katalogen
- Enkel (endast åtkomsträttigheter) – används när endast gruppinformation läses från katalogen
- Generisk (en mall) - används när generisk information läses från katalogen, vanligtvis annan än Användare/Grupper

Fyll i filteruppgifter,

Hämta data
- Fullständig - all information läses enligt definierad filtrering
- Stegvis - endast ändrad information levereras till Efecte-lösningen
Hämta data från LDAP-trädroten - Valfri inställning. Gör det möjligt att hämta användare och grupper från LDAP-trädroten i utbyte mot provisioneringshastighet.

Filtrering baserat på OU

Filternamn: LDAP-användarbas / LDAP-användarfilter

Det här filtret ställs vanligtvis in med OU-sökvägen, där användare läses från och det inkluderar även alla under-OU:er i importen, men det möjliggör också flera andra filtreringsmöjligheter,

Exempel på andra vanliga användarfilterexempel:

Följande exempel hittar användarobjekt: (&(objectCategory=person)(objectClass=user))
Följande exempel hittar användar-, dator- och kontaktobjekt: (objektklass=person)
Följande exempel hittar användar- och kontaktobjekt: (objektkategori=person)
Följande exempel hittar alla aktiverade användarobjekt: (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Följande exempel hittar användar- och kontaktobjekt som har en e-postadress och SAMAccountName (&(objectCategory=person)(sAMAccountName=*)(mail=*))

Filtrering av OU, varifrån användare läses

Filternamn: AD ignoreOusForUsers

Med det här filtret är det möjligt att exkludera vissa under-OU:er från importen (som till exempel OU=Sales,DC=adtest,DC=local). Användare kommer att ignoreras om de finns direkt i en av de definierade <OU> och/eller om de finns i ett underträd till en av de definierade OU:erna.

Filtrering baserat på enskilda användare

Filternamn: Uteslutna användare

Med det här filtret är det möjligt att exkludera specifika användare från importen. För ldap, använd Distinguished Names of the Groups (avgränsade med radbrytningar).

Filtrering av grupper

Filternamn: AD groupBase / AD groupFilter

Detta filter är vanligtvis inställt på OU-sökvägen, där grupper läses från. Alla under-OU:er kommer att inkluderas i importen (exempel: OU=Finance,DC=adtest,DC=local). Användare kommer att ignoreras om de finns direkt i en av de definierade <OU> och även om de finns i ett underträd till en av de redan definierade <OU>.

Exempel på andra vanligt förekommande gruppfilter:

Följande exempel hittar gruppobjekt:
(objektkategori=grupp)
Följande exempel hittar gruppobjekt som har värde i cn:
(&(objektkategori=grupp)(cn=*))
Följande exempel hittar gruppobjekt som har värde i sin beskrivning:
(&(objektkategori=grupp)(beskrivning=*))
Följande exempel hittar alla säkerhetsgruppobjekt:
(grupptyp:1.2.840.113556.1.4.803:=2147483648)

Filtrering av OU:er, där grupper inte läses från

Filternamn: AD ignoredOusForGroup

Filtrera enskilda grupper

Filternamn: Uteslutna grupper

Med det här filtret är det möjligt att exkludera specifika grupper från importen. För ldap, använd Distinguished Names of the Groups to exclus (avgränsade med radbrytningar).

Filtrera användare baserat på gruppmedlemskap

Filternamn: Exkludera användare med specifika grupper

Med det här filtret är det möjligt att exkludera specifika användare från importen baserat på gruppmedlemskap. För LDAP, använd Distinguished Names (Distinguished Names) för de grupper som ska exkluderas (avgränsade med radbrytningar). För Azure -baserade uppgifter, ange objekt-ID:n för de grupper som ska exkluderas (avgränsade med radbrytningar).

Fyll i felinformation

Valfria inställningar för felhantering. Om en schemalagd uppgift misslyckas kan ett datakort skapas som visar felet. Om felinställningar har definierats behöver administratören inte manuellt kontrollera statusen för schemalagda uppgifter.

Felmall – Välj en mall för datakort som skapas vid fel under etableringen (anslutning till datakällor, timeouts etc.)
Felmapp – Välj mapp där feldatakortet lagras.
Felattribut – Välj ett attribut där i felmallen felinformationen ska lagras. Välj texttypsattribut.

Exempel på IGA -administratörsuppgift, som också kan innehålla instruktioner för hur man löser problemen,

6. Fyll i identitetsmappningar

Användare importeras till IGA -kontomallen och det är obligatoriskt att ange målmapp, datakälla-ID och unika värden som används för att identifiera användare mellan kundernas AD och Efecte-lösning. Till exempel.

Målmall – Välj en mall för att definiera attributmappningar
Välj en mall för att definiera attributmappningar
Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
Attributmappningar
1. Externt attribut - vilket attribut från katalogen/systemet mappas
2. Lokalt attribut - till vilket attribut i mallattributet mappas

7. Det är möjligt att ange ytterligare attribut, som läses från användarkonton i AD , genom att välja Nytt attribut.

Radera

Varsel

IGA kontomallen är utformad för Efecte Provisioning Engine och genom att använda den konfigureras kundens miljö korrekt och kunden får alla fördelar med komponenten.

Viktig information (namn och identifierande attribut) från användarens AD konto visas i personmallen, men informationen finns huvudsakligen tillgänglig i IGA -kontomallen.

Att läsa användarinformation direkt till personmallen rekommenderas inte och det kan finnas behov av extra konfiguration i framtiden, när kundens miljö uppdateras till en nyare version eller när kunden vill utöka sin plattform med nya Efecte-lösningar.

Det rekommenderas att läsa användare direkt till personmallen om kunden endast använder Efecte Identity Management (EIM) för autentisering.

8. Fyll i mappningar för åtkomsträttigheter

Grupper läses till IGA berättigandemallen och det är obligatoriskt att ange målmapp, datasource-id och unika värden som används för att identifiera användare mellan kundernas AD och Efecte-lösning.

Målmall – Välj en mall för att definiera attributmappningar
Välj en mall för att definiera attributmappningar
Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
Attributmappningar
1. Externt attribut - vilket attribut från katalogen/systemet mappas
2. Lokalt attribut - till vilket attribut i mallattributet mappas
Det är möjligt att ange ytterligare attribut, som läses från användarkonton i katalogen, genom att välja Nytt attribut

9. Mappningar för generisk mall

Generiska data läses till valfri mall som användarna önskar och det är obligatoriskt att ange målmapp, datakälla-ID och unika värden som används för att identifiera data mellan kundernas AD och Efecte-lösning.

Målmall – Välj en mall för att definiera attributmappningar
Välj en mall för att definiera attributmappningar
Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
Attributmappningar
1. Externt attribut - vilket attribut från katalogen/systemet mappas
2. Lokalt attribut - till vilket attribut i mallattributet mappas
Det är möjligt att ange ytterligare attribut, som läses från användarkonton i AD , genom att välja knappen Nytt attribut.

Radera

Varsel

IGA berättigandemallen är utformad för Efecte Provisioning Engine och genom att använda den konfigureras kundens miljö korrekt och kunden får alla fördelar med komponenten.

AD -gruppmallen behövs inte för Efecte Provisioning Engine , men innan du tar bort den, se till att obligatoriska granskningsuppgifter lagras.

Att läsa gruppinformation direkt till AD -gruppmallen rekommenderas inte och det kan behövas extra konfiguration i framtiden, när kundens miljö uppdateras till en nyare version eller när kunden vill utöka sin plattform med nya Efecte-lösningar.

Det rekommenderas att läsa grupper direkt till AD -gruppmallen om kunden endast använder Efecte Identity Management (EIM) för autentisering.

11. Spara provisioneringsuppgiften från knappen Spara. Om vissa obligatoriska attribut saknas visas knappen Spara i grått och visar vad som saknas i inställningarna.

12. Du har nu konfigurerat en schemalagd kopplingsuppgift för AD dataläsning.

Du kan nu vänta tills uppgiften har startats baserat på schemaläggning eller
Kör uppgiften manuellt – genom att klicka på knappen ”Kör uppgift” startar uppgiften omedelbart. Vanligtvis för testkörningar eller om du inte vill ändra schemainställningarna, men vill köra uppgiften nu.

När användaren klickar på "Kör uppgift" informeras om körningen.

Om uppgiften körs manuellt ( kör uppgift ) eller om den körs enligt schemaläggning kan uppgiftens status granskas från "Visa historik":

Konfigurera händelseuppgift för att skriva data

Händelseuppgift används vid skrivning av data till kunders Active Directory . Dessa Pro Engine-funktioner relaterade till konton, grupper och behörigheter är endast tillgängliga för IGA lösningar och IGA licens krävs om dessa används.

All konfiguration relaterad till Pro och händelsebaserade provisioneringsuppgifter konfigureras i Matrix42 Core , Pro and IGA plattformen.

Öppna konfigurationsvyn för Efecte-plattformen (en kugghjulssymbol).
Öppna kopplingsvyn
Välj koppling som ska använda händelseuppgiften
Välj "ny uppgift" under rätt anslutning

4. Fyll i uppgiftsuppgifter

Uppgiftsnamn - Ange namn för uppgiften, den kommer att visas i kopplingsvyn.
- Det är god praxis att namnge en uppgift på ett sätt som beskriver dess syfte, till exempel [Mallnamn]:[Aktivitet] IGA -tjänstförfrågan:Verifiera användare
Uppgiftsanvändningen indikerade att det är den uppgift som används för att läsa data eller skriva data. Kan ändras i efterhand, men det rekommenderas inte om händelseuppgiften används. Det kommer att störa arbetsflöden.
Mappningstypen beror på vilken typ av information som läses från katalogen. Val av identitetsmappningar visas baserat på den här inställningen.
- Identitets- och åtkomsträttigheter – används när användarkonto- och gruppinformation läses från (eller skrivs till) katalogen
- Enkel (endast identitet) – används när endast användarkontoinformation läses från (eller skrivs till) katalogen
- Enkel (endast åtkomsträttighet) – används när endast gruppinformation läses från (eller skrivs till) katalogen
- Generisk (en mall) – används när generisk information läses från (eller skrivs till) katalogen. Vanligtvis annan data än användar- eller gruppinformation.

Varning om att ändra uppgiftsanvändning eller mappningstyp när händelseuppgift används. Vanligtvis bör du inte ändra dessa efter att du har sparat dem först:

5. Fyll i säkerhetsinformation

Denna information behövs om processen för att skapa användare i arbetsflödet är kopplad till uppgiften.

Lösenord för första inloggning – Standardlösenord som är detsamma för alla användare. Ett slumpmässigt lösenord genereras i arbetsflödet och är vanligtvis unikt.
- Standardlösenord / skriv i rutan nedan
  - Standardlösenord – Skriv ett standardlösenord som är samma för alla användare och som matchar katalogens krav för lösenordet. Observera att antalet tecken inte representerar lösenordets faktiska längd.
  - Rekommenderas inte i produktionsmiljöer att ha samma lösenord för alla nya konton
- Slumpmässigt lösenord / generera i arbetsflödet
  - Genererat lösenord

Filtrering

När data skrivs till kundkatalogen behövs filtrering för att kopplingen ska veta till vilken OU-enhets information skrivs.

Filtrering av organisationsenheter där användare skrivs

Filternamn: AD -användarbas / AD -användarfilterlägesval

Läs OU-sökvägen från datakortet - kontakten läser från
Skriv sökbas / sökfilter i rutan nedan
- AD användarbas / AD användarfilter - exempel här
- AD ignorerade OusForUser - exempel här

Filternamn: AD groupBase / AD groupVal av filterläge

Läs OU-sökvägen från datakortet - kontakten läser från
Skriv sökbas / sökfilter i rutan nedan
- AD groupBase / AD userFilter - exempel här
- AD ignorerade OusForGroup - exempel här

Filtrera information om generiska mallmappningar

Filternamn: AD searchBase / AD searchFilter - exempel här

6. Definiera identitetsmappningar

Målmall – Välj en mall för att definiera attributmappningar
Välj en mall för att definiera attributmappningar
Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
Attributmappningar
1. Externt attribut - vilket attribut från katalogen/systemet mappas
2. Lokalt attribut - till vilket attribut i mallattributet mappas
Lägg till nytt attribut – Det är möjligt att ange ytterligare attribut, som läses från användarkonton i AD , genom att välja knappen Nytt attribut.

7. Definiera mappningar för åtkomsträttigheter

Målmall – Välj en mall för att definiera mappningar av åtkomsträttigheter
Välj en mall för att definiera attributmappningar
Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
Attributmappningar
1. Externt attribut - vilket attribut från katalogen/systemet mappas
2. Lokalt attribut - till vilket attribut i mallattributet mappas
Lägg till nytt attribut – Det är möjligt att ange ytterligare attribut, som läses från grupper i AD , genom att välja knappen Nytt attribut.

8. Definiera generiska mappningar

Målmall – Välj en mall för att definiera attributmappningar
Välj en mall för att definiera attributmappningar
Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
Attributmappningar
1. Externt attribut - vilket attribut från katalogen/systemet mappas
2. Lokalt attribut - till vilket attribut i mallattributet mappas
Lägg till nytt attribut - Det är möjligt att ange ytterligare attribut, som läses från AD , genom att välja knappen Nytt attribut.

8. Spara provisioneringsuppgiften från knappen ”spara”

Om någon obligatorisk information saknas kan du inte spara uppgiften och spara-knappen visar den information som saknas.

9. Nästa steg är att konfigurera arbetsflödesorkestreringsnoden för att använda denna händelsebaserade uppgift. Från arbetsflödesmotorn är det möjligt att utföra provisioneringsaktiviteter mot kundkatalogtjänster. Det innebär att vilken som helst av de tillgängliga orkestreringsnodernas aktiviteter kan köras när som helst i arbetsflödet.

Arbetsflödesreferenser visas på översiktssidan för kopplingar:

Konfigurera autentiseringsuppgift

Autentiseringsuppgift behövs när kunders AD används för att autentisera användare till kunders Efecte-lösningar.

Det finns två alternativ för att skapa en ny autentiseringsuppgift. Alternativ ett är att kopiera en befintlig provisioneringsuppgift till autentiseringsuppgiften, om autentiseringsmetoden använder samma inställningar. Alternativ två är att skapa en ny autentiseringsuppgift.

Alternativ 1: Skapa en ny autentiseringsuppgift från provisioneringsuppgiften

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj fliken Kopplingar, kopiera önskad uppgift från klonknappen

3. Ange namn för den nya autentiseringsuppgiften och ändra uppgiftsanvändningen till autentisering

4. Fyll i de obligatoriska fälten och spara uppgiften

Alternativ 2: Skapa ny autentiseringsuppgift

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj modulen Kontakter
3. Välj fliken Autentisering
4. Välj koppling och skapa ny uppgift

5. Ge din autentiseringsuppgift ett namn

6. Välj vilken uppgiftsanvändning som ska autentiseras

7. Definiera filter för användare

Vanligtvis används OU-sökvägar för AD autentisering för att definiera vem som har åtkomst till Efecte-lösningar.

8. Definiera filter för grupper

Där det behövs kan grupper läsas till Efecte-lösningen från kundens AD

7. Välj Autentiseringsområdet.

Realm för vilken autentiseringskonfigurationen kommer att skapas i ESA

8. Spara uppgiften och kör ESA Sync

Synkronisering av information kommer automatiskt att slutföra konfigurationen i Efecte Secure Access

9. Nästa steg är att gå vidare till konfigurationsinstruktionerna för Efecte Secure Access enligt den autentiseringsmetod som krävs.

Instruktioner för 2024.1 och äldre versioner

Kundinstruktioner

Kundinstruktioner finns härifrån .

Konfigurera schemalagd uppgift

Efecte Provisioning Engine används för att läsa användar- och gruppinformation från kundernas AD och konfigureras från Efecte Service Management-plattformen genom att skapa schemalagda provisioneringsuppgifter.

Rekommenderad schemaläggningssekvens beror på hur mycket data som läses från kundkatalogen till Efecte-lösningen och om importen är delvis eller fullständig.

Totalt antal användare	Totalt antal grupper	Full lastsekvens	Delvis lastsekvens
< 500	< 1000	Var 30:e minut om dellast inte används Fyra (4) gånger per dag vid dellast	Var 10:e minut
< 2000	< 2000	Var 60:e minut, om dellast inte används Fyra (4) gånger per dag vid dellast	Var 15:e minut
< 5000	< 3000	Var fjärde (4:e) timme, om dellast inte används Två gånger om dagen vid dellast	Var 15:e minut
< 10 000	< 5000	Maximal import två gånger per dag, oavsett om dellast används eller inte	Var 30:e minut
< 50 000	< 7000	Maximal import en gång per dag, oavsett om dellast används eller inte	Var 60:e minut
Över 50 000	Över 7000	Det kan finnas behov av ytterligare en EPE-arbetare, vänligen kontakta Pro .	Separat utvärderad

Hur man skapar en ny uppgift för schemalagd Pro

För att konfigurera schemalagda provisioneringsuppgifter behöver du åtkomst till Efecte Platform-konfigurationskonsolen.

1. Öppna området Efecte-administration (en kugghjulssymbol).
2. Öppna IGA vyn
3. Välj Lägg till en ny uppgift för schemalagd Pro

4. Välj Microsoft Active Directory från listan Lägg till en ny aktivitet
5. Fyll i ett unikt namn för provisioneringsuppgiften
6. Välj Web API användare och ange lösenordet
7. Välj en felmall för datakortet som skapas i händelse av fel under provisioneringen (anslutning till datakällor, timeouts etc.)

8. Välj schemaläggningssekvens, vilken beror på hur mycket data som läses till kundernas Efecte-lösning

9. Fyll i avsnittet Pro , där information för anslutningen definieras och filter för att läsa användar- och gruppinformation från kundernas AD

Vänligen kontrollera komponentbeskrivningen Efecte Provisioning Engine för detaljerad information om filter och hur de kan användas.

10. Användare importeras till IGA -kontomallen och det är obligatoriskt att ange målmapp, datakälla-ID och unika värden som används för att identifiera användare mellan kundernas AD och Efecte-lösningen.

11. Det är möjligt att ange ytterligare attribut, som läses från användarkonton i AD , genom att välja Lägg till egenskap.

I baslinjen är standardinställningen för AD

12. Grupper läses till IGA berättigandemallen och det är obligatoriskt att ange målmapp, datasource-id och unika värden som används för att identifiera användare mellan kundernas AD och Efecte-lösningen.

13. Det är möjligt att ange ytterligare attribut, som läses från användarkonton i AD , genom att välja Lägg till egenskap.

14. Spara provisioneringsuppgiften från den översta fältet

15. Du har nu konfigurerat schemalagd provisionering och du kan

Testanslutning
Testautentisering
Kör uppgiften manuellt

16. Om uppgiften körs manuellt ( kör uppgiften manuellt ) eller om den körs enligt schemaläggning kan uppgiftens status granskas under fliken Extrahera/Läs in status .

Mer information om övervakning och loggning finns i komponentbeskrivningen Efecte Provisioning Engine

Konfigurera händelsebaserad uppgift

Händelsebaserad Pro används när data skrivs till Active Directory . Dessa Efecte Provisioning Engine funktioner är endast tillgängliga för Efecte IGA lösningar och IGA -licens krävs om dessa används.

All konfiguration relaterad till Efecte Provisioning Engine och händelsebaserade provisioneringsuppgifter konfigureras i Efecte Service Management-plattformen.

1. Välj Microsoft Active Directory från listan Lägg till en ny aktivitet
2. Välj Pro Händelsebaserad provisionering
3. Välj mappningstyp: Endast en identitet, Enkel (endast åtkomsträttigheter) eller Identitet och åtkomsträttigheter.
"Endast identitet" – endast användarmappningar är tillgängliga, "Endast åtkomsträttigheter" – endast gruppers mappningar är tillgängliga.
4. Fyll i ett unikt namn för provisioneringsuppgiften (t.ex. [Mallnamn]:[Aktivitet] IGA -tjänstförfrågan:Verifiera användare )

5. Fyll i avsnittet Pro , där information för anslutningen definieras och filtrerar för användar- och gruppinformation från Customers AD .

Obs! Det rekommenderas alltid att anslutningen mellan Efecte Provisioning Engine och katalogtjänsterna är säkrad.

Exempel på anslutningsinställningar

Filtrering av användare och grupper

5.1 LDAP userBase / LDAP userFilter
I det här filtret anges vanligtvis OU-sökvägarna dit användare skrivs till.

Exempel på vanliga användarfilter:

Följande exempel hittar användarobjekt
(&(objektkategori=person)(objektklass=användare))
Följande exempel hittar objekt som användare, dator och kontakt
(objektklass=person)
Följande exempel hittar du i Användar- och Kontaktobjekt
(objektkategori=person)
Följande exempel hittar alla aktiverade användarobjekt
(&(objektkategori=person)(objektklass=användare)(!(användarkontokontroll:1.2.840.113556.1.4.803:=2)))

5.2 LDAP ignorerades av användare
Det här filtret kan endast användas i händelsebaserad provisionering med verifiera aktiviteter.

Exempelförsäljning ignoreras

5.3 LDAP groupBase / LDAP groupFilter
I det här filtret anges vanligtvis OU-sökvägen där grupper skrivs.

Exempel på gruppbas och filter

5.4 LDAP-integreradOusForGroups
Det här filtret kan endast användas i händelsebaserad provisionering med verifierade aktiviteter (som till exempel OU=Sales,DC=adtest,DC=local). Grupper ignoreras om de finns direkt i en av de definierade <OU> och även om de finns i ett underträd till en av de definierade.

Exempel på säkerhets-OU ignoreras

6. Definiera attributmappningar.

Det är möjligt att ange ytterligare attribut genom att välja Lägg till anpassad egenskap.
I den händelsebaserade provisioneringsuppgiften är det möjligt att definiera vilken attributinformation i IGA lösningen som skrivs till katalogen.
Det kan finnas flera provisioneringsuppgifter för olika syften, som en för att skapa användare och en för att ta bort användare från katalogen.

Exempelmappningar för identitetslagring

7. Spara provisioneringsuppgiften från den översta fältet

8. Du har nu konfigurerat händelsebaserad provisioneringsuppgift och du kan

Testanslutning
Testautentisering

9. Nästa steg är att konfigurera arbetsflödet för att använda denna händelsebaserade uppgift. Från arbetsflödesmotorn i Efecte Service Management-plattformen är det möjligt att utföra provisioneringsaktiviteter mot kundkatalogtjänster. Det betyder att vilken som helst av de tillgängliga aktiviteterna kan köras när som helst i arbetsflödet.

Konfigurera autentiseringsuppgift

Alternativ 1: Skapa en ny autentiseringsuppgift från provisioneringsuppgiften

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj fliken IGA , kopiera önskad uppgift från klonknappen

3. Ange namn för den nya autentiseringsuppgiften

4. Ändra provisioneringstypen för den autentisering som ska användas efter att du har sparat

5. Fyll i de obligatoriska fälten och spara uppgiften

Alternativ 2: Skapa ny autentiseringsuppgift

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj fliken IGA
3. Välj Lägg till en ny uppgift och rätt katalog
4. Ställ in provisioneringstypen till Autentisering

5. Fyll i obligatorisk information
6. Definiera filter för användare och grupper
7. Spara uppgiften och kör synkroniseringen till ESA

Varsel!

Om synkronisering måste inaktiveras från autentiseringsuppgiften kan det göras genom att ange esa-container och öppna filen /opt/esa/epe_synch.config. Ändra följande värden från sant till falskt.

synkronisera_användarfederationer=falskt
synkronisera_identitetsleverantörer=falskt

När ändringen ovan görs i filen "/opt/esa/epe_synch.config" kommer synkroniseringen alltid att vara inaktiverad.

8. Gå till konfigurationsinstruktionerna Efecte Secure Access enligt autentiseringsprotokollet.

Arbetsflödesaktiviteter (orkestreringsnoder)

Efecte Provisioning Engine (EPE) ger möjlighet att orkestrera följande aktiviteter till Microsoft Active Directory .

Aktivera/avaktivera användare

I illustrationen ovan har administratörer valt rätt Active Directory "mål" och kan se identitetsmappningarna som är konfigurerade för valda AD uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, de presenteras endast som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Inuti samma nod kan administratörer välja vilken åtgärd de föredrar att använda, " Aktivera " eller " Inaktivera ". Active Directory : Funktionen "Aktivera/Inaktivera" här hänvisar till att ställa in Active Directory -attributet "useraccountcontrol" till värdet "512/514" (Aktivera/Inaktivera).

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Lägg till användare i grupp

I illustrationen ovan ska konfigurationen av personattributet peka på mallen där orkestreringsnoden hittar användarens data (vanligtvis IGA kontot). Attributet roll måste konfigureras för att definiera var orkestreringsnoden hittar de tillgängliga rollerna (kataloggrupper där användaren ska tas bort). Det kan finnas en eller flera attributgrupper konfigurerade i ett "rollattribut". Listan över tillgängliga registrerade kataloguppgifter hämtas från EPE-mastern.

Det är nödvändigt att välja kataloguppgiften, eftersom Efecte Provisioning Engine orkestreringsnoden använder mappning av identitets- och åtkomsträttighetsfält för att veta under vilken attributkod, användarens och kataloggruppens unika namn lagras.

Undantagshantering:

Resultatet för en nod kommer endast att ha tillståndet "Slutfört" om alla användares gruppmedlemskap har uppdaterats. Om användaren till exempel har tagits bort från 5 av 6 grupper kommer resultatet för en nod att ha tillståndet "Undantag".
Därför krävs mappning för JSON-fältet distinguishedName, för både identitet och åtkomsträttighet. Om mappningen inte hittas kommer orkestreringsnoden att resultera i ett "undantag"-tillstånd.
Försöket att ta bort en användare från en grupp som de inte tillhör kommer att misslyckas.
Försöket att lägga till en användare i en grupp som hen redan tillhör kommer att misslyckas.
Detaljer om lyckade/misslyckade uppdateringar av användarens gruppmedlemskap finns i loggarna.
Undantag Pro etablering och gruppmedlemskap är valfria egenskaper på den här arbetsflödesnoden. Administratörer kan konfigurera dessa egenskaper som används, där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Skapa anpassat objekt

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratören har valt rätt katalog AD som "Mål" och kan se identitetsmappningarna som är konfigurerade för valda kataloguppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Den nya orkestreringsnoden för anpassade objekt läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . Det är viktigt att se till att identitetsmappning används i orkestreringsnoden för anpassade objekt.

Skapa användare

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt katalog"mål" och kan se identitetsmappningarna som är konfigurerade för valda kataloguppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Den nya användarorkestreringsnoden som skapar läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . Det är viktigt att se till att identitetsmappningen, som används i orkestreringsnoden Skapa användare, innehåller minst två ytterligare Active Directory mappningar: för attributen " cn " och " sAMAccountName ". Om dessa två mappningar saknas i en given konfiguration kommer de inte att visas i en rullgardinsmeny.

Skapa nya aktivitetsanteckningar för användare:

Det finns två sätt att skapa lösenordet för en ny användare för deras första inloggning.
- Definiera standardlösenordet i konfigurationsvyn för Pro
  - Det lösenordet kommer endast att användas av användare när de loggar in i systemet för första gången.
- Generera slumpmässigt lösenord i arbetsflödet och välj till vilket attribut på identitetsmappningsdatakortet det skrevs till
- I båda fallen sätts förstagångslösenordet "pwdLastSet" till noll (0) för att tvinga en användare att ändra sitt lösenord efter första inloggningen.
- Möjlighet att välja om lösenordet måste ändras vid första inloggningen eller inte. Administratörer kan göra detta val direkt från arbetsflödets orkestreringsnod för användarskapande.
Det finns olika sätt att tillhandahålla lösenord för den första inloggningen för slutanvändaren. Beroende på kundens behov är det möjligt att använda arbetsflödesfunktioner för att skicka lösenordet direkt till slutanvändaren via e-post eller sms. Ett annat alternativ är att skicka lösenordet för första inloggningen till chefen, som kommer att tillhandahålla det för slutanvändaren. EPE:s orkestreringsnod i sig tillhandahåller INTE den funktionen, den måste definieras någon annanstans.
Konfigurationen av "Target" görs i konfigurationsvyn för provisioneringsuppgifter. För att skapa nya användare måste administratörer se till att det bara finns en LDAP-användarbas/LDAP-användarfilter för att undvika konflikter i arbetsflödet.
Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Skapa grupp

I illustrationen ovan fylls attributmappningarna för åtkomsträttigheter i från Pro . Administratörer väljer rätt Active Directory "mål" och kan se de åtkomsträttighetsmappningar som är konfigurerade för valda AD uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Den nya användarorkestreringsnoden som skapar läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory .

Det är viktigt att se till att mappningen av åtkomsträttigheter, som används i orkestreringsnoden Create Group, innehåller minst två ytterligare Active Directory mappningar: för attributen "cn" och "sAMAccountName".

Ta bort anpassat objekt

I illustrationen ovan definierar attributet Objektnamn vilket objekt EPE tar bort. I det här exemplet tar EPE bort DN.

Ta bort grupp

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Noden för att ta bort grupporkestrering läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . För Active Directory -baserade konfigurationer bör "Rollgruppsattribut" innehålla gruppens distinguishedName-namn.

Ta bort användare

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Noden för borttagning av användarorkestering läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . För Active Directory -baserade konfigurationer bör "Personattribut" innehålla användarens distinguishedName-namn.

Hantera Pro xy-adresser

Det finns tre olika möjligheter: Ange, uppdatera och ta bort proxyadresser.

Ange : administratören väljer ett attribut i ESM:s arbetsflödesgränssnitt (kan vara ett attribut med ett eller flera värden) - Sedan kontaktar arbetsflödesnoden AD , hittar användarkontot och ställer in värdet i proxyAddresses (denna åtgärd används för att ställa in värdet till proxyAddresses första gången - föregående värde i AD är null).

Uppdatering : administratören väljer två attribut i ESM:s arbetsflödesgränssnitt - ett för AKTUELLT värde och det andra - det NYA värdet. Sedan kontaktar arbetsflödesnoden AD , hittar användarkontot och uppdaterar de befintliga proxyAddresserna, hittar det AKTUELLA värdet i listan och ändrar dess prefix från SMTP: till smtp: - och lägger till ett NYTT värde med prefixet SMTP: (de andra värdena finns kvar i proxyAddresses).

Vid uppdateringsåtgärden, använd attribut med ett enda värde för både den aktuella adressen och den adress som ska uppdateras, så här:

Ta bort : administratören väljer ett attribut i ESM:s arbetsflödesgränssnitt (kan vara ett attribut med ett eller flera värden) - Sedan kontaktar arbetsflödesnoden AD , hittar användarkontot och tar bort värdet från listan över proxyAddresses (de andra värdena finns kvar i proxyAddresses).

Läs användarens data

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt Active Directory "mål" och kan se mappningarna som är konfigurerade för valda AD uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Ta bort användarattribut

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Orkestreringsnoden för att ta bort användarattribut läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . I egenskapen "Attribut(er) att ta bort" kan administratören definiera attributet som ska tas bort från Active Directory . NAMN det du vill ta bort. En sträng kan innehålla attribut med flera värden, som "Stad, Kostnadscenter, mobil".

Ta bort användare från gruppen

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Orkestreringsnoden för att ta bort användarattribut läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . I egenskapen "Attribut att ta bort" kan administratören definiera attributet som ska tas bort från Active Directory .

Återställ användarlösenord

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Orkestreringsnoden Återställ användarlösenord läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory . Attributen Person och Lösenord ska peka på mallen där orkestreringsnoden hittar användarens data.

Användarlösenordsvärdet "pwdLastSet" är satt till noll (1), vilket innebär att en användare inte behöver ändra sitt lösenord vid första inloggningen. Från och med EPE version 2022.3 har vi implementerat möjligheten att välja om lösenordet måste ändras vid första inloggningen eller inte. Administratörer kan göra valet för detta direkt från arbetsflödets orkestreringsnod "Återställ användarlösenord".

Kör provisioneringsuppgift

Denna aktivitet används när all information från katalogen omedelbart behövs tillbaka.

I illustrationen ovan kan administratörer välja rätt katalog "Mål". Kör provisioneringsuppgiftens orkestreringsnod och läs attribut från Active Directory till IGA -konton.

Krav för EPE-uppgiften "Target" är:

Uppgiften måste vara av typen "Schemaläggbar uppgift", inte händelsebaserad
Arbetsflödets mall måste vara densamma som identitetsmappningsmallen
Uppgiften måste schemaläggas vid någon tidpunkt - den markerar en uppgift som "aktiverad" då
Mappningarna måste vara distinkta, inga duplicerade mappningar i uppgiften

I den här orkestreringsvyn får du inte ändra några mappningar, de visas endast som ett visuellt hjälpmedel. Om det finns behov av att ändra attributmappningarna måste dessa attribut definieras i konfigurationsvyn för provisioneringsuppgiften för att de ska kunna ändras i orkestreringsnoden.

Lås upp användaren

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Den upplåsta användarorkestreringsnoden läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory .

Det är viktigt att ta hänsyn till i konfigurationerna att 'Personattribut' ska innehålla användarens distinguishedName-namn.

Uppdatera anpassat objekt

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". En anpassad objektklass definierar vilket objekt EPE uppdaterar, i det här exemplet är det Kontakt, den läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory .

Uppdatera grupp

I den här orkestreringsvyn får administratörer inte ändra några mappningar, de visas endast som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa utföras i konfigurationsvyn för Pro .

Orkestreringsnoden för uppdateringsgruppen läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory .

Konfigurationen av "Target" görs i konfigurationsvyn för provisioneringsuppgifter. För att uppdatera grupper måste administratörer se till att det bara finns en LDAP-gruppbas / LDAP-gruppfilter för att undvika konflikter i arbetsflödet.

Uppdatera användare

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt Active Directory "mål" och kan se identitetsmappningarna som är konfigurerade för valda AD uppgifter. Uppdateringsnoden för användarorkestrering läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory .

Observera att uppdatering av användarlösenord inte stöds för den här orkestreringsaktiviteten.

Konfigurationen av "Target" görs i konfigurationsvyn för provisioneringsuppgifter. För att uppdatera användare måste administratörer se till att det bara finns en LDAP-användarbas/LDAP-användarfilter för att undvika konflikter i arbetsflödet.

Uppdatera värdet för användarnamn

I illustrationen ovan kan administratörer välja rätt Active Directory "mål". Orkestreringsnoden Update user Distinguished Name Value läser attribut från aktuella datakort och kör LDAP-kommandot till Active Directory .

I fältet ”Aktuellt värde för unikt namn*” måste administratören välja från vilket attribut på given mall/datakort det "gamla" namnet på AD -platsen ska läsas. Fältet ”Nytt värde för unikt namn*” väljer attribut från given mall/datakort, vilket ska användas som namn på den nya AD -platsen.

Med den här aktiviteten kan administratörer till exempel begränsa uppdateringsåtgärden till attributet 'commonname', men det krävs att hela Distinguished-värdet anges, till exempel:

Nuvarande värde för unikt namn: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Nytt värde för unikt namn: CN= DemoAccount, OU=OldDemoUsers, DC=testad, DC=lokal

Verifiera grupp

I illustrationen ovan fylls attributmappningarna för åtkomsträttigheter i från Pro . Administratörer väljer rätt Active Directory från "Mål" och kan se vilka åtkomsträttighetsmappningar som är konfigurerade för den valda AD uppgiften.

Inom administratörspanelen för Access Rights Mappings kan administratörer ange ett "OM"-uttryck, vilket skapar en LDAP-fråga för att verifiera om gruppen finns. Det är möjligt att välja så många attribut från datakortet som behövs för att bekräfta en grupps unikhet. När en åtgärd utförs kommer dessa attribut att läsas från det aktuella datakortet och jämföras med lämpliga AD attribut enligt Active Directory konfigurationen "Mål*". Administratörer kan också välja att använda "lika med" eller "inte lika med" för motsvarande AD attribut genom att ändra uttrycket "OM". Fältet "Spara resultat*" används för att definiera var de lyckade LDAP-frågeresultaten sparas, "sant" om gruppen hittades eller "falskt" annars.

Administratörer har möjlighet att "kontrollera" egenskapen Include OU subtree på denna orkestreringsnod för att verifiera om gruppen finns i det definierade organisationsenhetens underträd. Om administratören inte väljer det här alternativet kommer orkestreringsnoden endast att kontrollera den specifika OU som definierats i konfigurationen.

Verifiera gruppmedlemskap

Fältet ”Spara resultat*” används för att definiera var de lyckade LDAP-frågeresultaten sparas, ”sant” om användaren hittades eller ”falskt” annars.

Verifiera användare

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt Active Directory från "Target" och kan se vilka identitetsmappningar som är konfigurerade för den valda AD uppgiften. I den här orkestreringsvyn får du inte ändra några mappningar, de presenteras endast som ett visuellt hjälpmedel. Om det finns behov av att ändra attributmappningarna måste dessa attribut definieras i konfigurationsvyn för provisioneringsuppgiften för att de ska kunna ändras i orkestreringsnoden.

Inom administratörspanelen för identitetsmappningar kan administratörer ange uttrycket "OM", vilket skapar en LDAP-fråga för att verifiera om användaren existerar. Det är möjligt att välja så många attribut från persondatakortet som behövs för att bekräfta en användares unikhet. När en åtgärd utförs kommer dessa attribut att läsas från det aktuella datakortet och jämföras med lämpliga AD attribut enligt Active Directory konfigurationen "Mål*". Administratörer kan också välja att använda "lika med" eller "inte lika med" för motsvarande AD attribut genom att ändra uttrycket "OM". Fältet "Spara resultat*" används för att definiera var de lyckade LDAP-frågeresultaten sparas, "sant" om användaren hittades eller "falskt" annars.

En viktig punkt för att förstå den här nodens mekanik är att administratören måste använda mallens attribut när de skapar IF-uttryck, men i själva verket kommer värden som läses från dem att översättas (mappas) till rätt Active Directory attribut, enligt identitetsmappningskonfigurationen och skickas till Active Directory som en sökfråga.

Administratörer har möjlighet att "kontrollera" egenskapen Include OU subtree på denna orkestreringsnod för att verifiera om användaren finns i det definierade organisationsenhetens underträd. Om administratören inte väljer det här alternativet kommer orkestreringsnoden endast att kontrollera den specifika OU som definierats i konfigurationen.

Pro vision-bild

Pro vision användarfoto till katalog

Native Connectors (EPE) har kapacitet att uppdatera användarfoto till katalog. Kataloger som stöds är Active Directory och Microsoft Entra ID (tidigare känt som Azure AD ).

Skapa ny händelsebaserad provisionering för arbetsflödesaktiviteten. Attributmappningar fylls i från Pro .

Attributmappningen måste innehålla attributet för användarfoto (attributet Fileupload i ESM).
För AD och Azure AD attributet är thumbnailPhoto. Fotot som lagras i thumbnailPhoto-attributet får inte vara större än 100 kB, och den rekommenderade storleken är 96 x 96 pixlar.
Skapa en ny arbetsflödesorkestreringsnod med aktiviteten Uppdatera användare. Välj den just skapade händelsebaserade epetask som mål.

Instruktioner för installation av certifikat

Det rekommenderas starkt att kunden instrueras att skapa en process för att förnya certifikat innan de blir gamla och anslutningen bryts. Detta innebär att kundens slutanvändare inte kan logga in på Efecte Solutions och/eller att data från AD inte kan läsas eller skrivas.

Instruktioner

Felsökning

I det här kapitlet beskrivs felsökningsalternativ,

Om felmall används, kontrollera korrekt datakort
Kontrollera historiken för schemalagda uppgifter från kopplingshanteringen
Kontrollera Efecte Provisioning Engine loggar

Contact Us

Microsoft Active Directory ( AD )-anslutning

Contact Us

Tjänstehantering

Identitetsstyrning och administration ( IGA )

Plattform

Versionsinformation för M42 Core & Pro , IGA , konversations-AI

Annat material

Tjänster

Microsoft Active Directory ( AD )-anslutning

Hur man integrerar med Microsoft Active Directory

Microsoft Active Directory anslutning

Policy för rättvis användning

Instruktioner för 2024.2 och senare versioner

Allmänna funktioner

Connectors - general functionalities

Allmän uid för schemalagda uppgifter

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

Should I use Incremental, Full or Both?

Do not import permissions with AD and LDAP incremental task

Recommendations:

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full.

Set removed accounts and entitlements status removed/disabled

For version 2025.3 and newer

For version 2025.2 and older

Configuration

Description

Notes

Kundinstruktioner

Konfigurera AD anslutning

Konfigurera schemalagd uppgift för att läsa data

Hur man skapar en ny uppgift för schemalagd Pro

Varsel

Varsel

Konfigurera händelseuppgift för att skriva data

Konfigurera autentiseringsuppgift

Alternativ 1: Skapa en ny autentiseringsuppgift från provisioneringsuppgiften

Instruktioner för 2024.1 och äldre versioner

Kundinstruktioner

Konfigurera schemalagd uppgift

Hur man skapar en ny uppgift för schemalagd Pro

Konfigurera händelsebaserad uppgift

Konfigurera autentiseringsuppgift

Varsel!

Arbetsflödesaktiviteter (orkestreringsnoder)

Aktivera/avaktivera användare

Lägg till användare i grupp

Skapa anpassat objekt

Skapa användare

Skapa nya aktivitetsanteckningar för användare:

Skapa grupp

Ta bort anpassat objekt

Ta bort grupp

Ta bort användare

Hantera Pro xy-adresser

Läs användarens data

Ta bort användarattribut

Ta bort användare från gruppen

Återställ användarlösenord

Kör provisioneringsuppgift

Lås upp användaren

Uppdatera anpassat objekt

Uppdatera grupp

Uppdatera användare

Uppdatera värdet för användarnamn

Verifiera grupp

Verifiera gruppmedlemskap

Verifiera användare

Pro vision-bild

Pro vision användarfoto till katalog

Instruktioner för installation av certifikat

Felsökning

Related Articles