US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

Swedish
US English (US)
FR French
DE German
PL Polish
SE Swedish
FI Finnish
  • Log in
  • Home
  • Identitetsstyrning och administration ( IGA )
  • IGA lösningsbibliotek
  • Instruktioner och uid
  • Konfigurera kontakter

OpenLDAP anslutning

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Tjänstehantering
    Matrix42 Professional Lösning Matrix42 Core lösning Hantering av företagstjänster Matrix42 Intelligens
  • Identitetsstyrning och administration ( IGA )
    IGA översikt IGA lösningsbibliotek
  • Plattform
    ESM ESS2 ESS Efecte Chat för tjänstehantering Efecte-integrationer Tillägg
  • Versionsinformation för M42 Core & Pro , IGA , konversations-AI
    2025.3 2025.2 2025.1 2024.2 2024.1 2023.4 2023.3 2023.2 2023.1 2022.4 2022.3 Publiceringsinformation och policyer
  • Annat material
    Villkor och uid Tillgänglighetspolicyer
  • Tjänster
+ More

    • Tjänstehantering

    • Identitetsstyrning och administration ( IGA )

    • Plattform

    • Versionsinformation för M42 Core & Pro , IGA , konversations-AI

    • Annat material

    • Tjänster

OpenLDAP anslutning

OpenLDAP anslutning

OpenLDAP anslutningen är en del av Pro Engine, inbyggda anslutningar, och används för att läsa och skriva data till/från kundernas OpenLDAP -katalog. Den kan användas för alla Matrix42 Core , Pro and IGA -lösningar som använder Pro Engine.

OpenLDAP anslutningen kräver konfiguration enligt kundens användningsfall, och i princip har konfigurationen tre (3) steg:

  1. Konfigurera anslutning - gör det möjligt för anslutningen att upprätta en anslutning till katalogen
  2. Konfigurera schemalagd uppgift - används när data läses från katalogen
  3. Konfigurera händelseuppgift - används när data skrivs till katalogen
    1. Även arbetsflödesorkestreringsnoder måste konfigureras

Policy för rättvis användning

Anslutningen kan användas utan begränsningar under normala driftsförhållanden. Om användningen resulterar i en avsevärt ökad belastning som kräver ytterligare molnresurser (t.ex. minne eller processorkapacitet) kan ytterligare avgifter tillkomma.

Att använda den här anslutningen för att skapa, uppdatera eller ta bort användarkonton eller gruppobjekt kräver en aktiv IGA licens.

Instruktioner för 2024.2 och senare versioner

Allmänna funktioner

Kontakter - allmänna funktioner

Kontakter - allmänna funktioner

I den här artikeln beskrivs allmänna funktioner för att hantera nativa kopplingar i lösningen. Alla nativa kopplingar hanteras från samma gränssnitt för kopplingshantering.

Observera att det finns separata beskrivningar för varje kontakt, där kontaktspecifika funktioner och konfigurationsinstruktioner beskrivs i detalj.

För att kunna komma åt hantering av anslutningar måste användaren ha administratörsbehörighet till kundens plattformskonfiguration. När åtkomst beviljas korrekt visas fliken för anslutningar och användaren kan hantera anslutningar.

Vänstermeny

Hantering av kopplingar är indelat i fyra flikar:

  • Översikt – för att skapa och uppdatera Native Connectors. Administratörsanvändaren kan se sin status, typ och hur många schemalagda uppgifter eller händelseuppgifter som är kopplade till dem.
  • Autentisering – för att skapa och uppdatera autentiseringsuppgifter. Pro tillhandahållandeuppgift för autentisering behövs för att Secure Access ska kunna definiera vilka kunders slutanvändare som har åtkomst till Matrix42 Core , Pro and IGA inloggningssidorna.
  • Loggar – för att ladda ner Native Connector- och Secure Access loggar från användargränssnittet.
  • Inställningar – allmänna inställningar för Native Connectors och Secure Access , inklusive miljötyp för loggning och övervakning.

Fliken Översikt över kontakter

Från översiktssidan kan användaren enkelt och snabbt se status för alla kopplingar.

Övre fältet:

  • Status för inbyggda kopplingar (EPE)
    • Grön text indikerar att Native Connectors är online. Alla nödvändiga tjänster är igång.
    • Röd text indikerar att det är ett problem med Native Connectors, att alla tjänster inte körs.
  • Status för Secure Access ( ESA )
    • Grön text indikerar att Secure Access är online. Alla nödvändiga tjänster är igång.
    • Röd text indikerar att det är ett problem med Secure Access , att alla tjänster inte körs.
  • Versionsnumret för Native Connectors visas i det övre högra hörnet

Övre fältet för listvy:

  • Ny koppling – öppnar ett nytt fönster för att lägga till och konfigurera en ny koppling
  • Ta bort koppling(ar) – arbetsflödesreferenser beräknas och ett popup-fönster visas för att bekräfta borttagningen (observera att beräkningen av referenser kan ta flera sekunder)
  • Exportera – Administratören kan exportera en eller flera kopplingar (och uppgifter) från miljön. Används vanligtvis för att exportera kopplingar och kopplingar (och uppgifter) från test till produkt. Hemlig information om inbyggda kopplingar är lösenordsskyddad.
  • Importera – Administratören kan importera en eller flera kopplingar (och uppgifter) till miljön. Används vanligtvis för att importera kopplingar (och uppgifter) från test till prod.
    • Administratören kan inte importera från det gamla EPE-gränssnittet (äldre än 2024.1) till det nya. Käll- och målmiljöer måste ha samma version.
    • Importen misslyckas om konfigurationen (mallar, attribut) inte är densamma - till exempel när något attribut saknas.
    • Om du importerar något med samma kopplingsdetaljer kommer det att slås samman under befintlig koppling
  • Uppdatera – Administratören kan uppdatera kopplingsvyn genom att klicka på knappen .
Din webbläsare stöder inte HTML5-video.

Listvy för översikt,

  • Välj kontakt(er) - Välj en kontakt genom att klicka på kryssrutan framför kontaktraden eller genom att klicka på kryssrutan i rubrikraden markeras alla kontakter.
  • Id - Automatiskt genererat unikt ID för kopplingen. Kan inte redigeras eller ändras.
  • Status - indikerar status för schemalagd uppgift
    • Grön bockmarkering - Uppgiften utförs utan fel
    • Röda korset - Uppgiften är utförd, men det har uppstått fel
    • Grå klocka - Uppgiften är inte utförd än, väntar på schemaläggning
    • Orange - en av uppgifterna har ett problem
    • Inget värde - Schemalagd uppgift saknas
  • Namn - Anslutningsnamn tillagt i anslutningsinställningar. Unikt namn på anslutningskonfigurationen för en datakälla.
  • Typ - indikerar mål-/källsystem
  • Schemalagd – informerar hur många schemalagda uppgifter som är konfigurerade
  • Händelse - informerar hur många händelseuppgifter som är konfigurerade
  • Hantera
    • Pennikon – öppnar kopplingsinställningar (dubbelklicka på kopplingsraden, även inställningarna öppnas)
    • Pappersikon – kopierar kopplingen
    • Stopp - arbetsflödesreferenser beräknas och ett popup-fönster visas för att bekräfta borttagningen.
  • Sök – Användaren kan söka efter kopplingar genom att ange söktermen i motsvarande fält. Fälten Id, Status, Namn, Typ, Schemalagd och Händelse kan sökas.
Din webbläsare stöder inte HTML5-video.

Information om schemalagda uppgifter (klicka på pilen framför kopplingen)

När du klickar på pilen i början av kopplingsraden visas alla relaterade schemalagda uppgifter och händelseuppgifter.

Övre fältet för schemalagda uppgifter

  • Ny uppgift – öppnar konfigurationssidan för ny uppgift
  • Ta bort uppgift(er) – tar bort den/de valda uppgiften/uppgiftarna från systemet och de kan inte längre återställas.
  • Uppdatera - uppdatera vyn över schemalagda uppgifter
  • Sök – användaren kan söka efter uppgiften genom att ange söktermen i motsvarande fält för Id, namn, aktiverad, extraktions-/laddningsstatus.

Listvy för schemalagda uppgifter

  • Välj uppgift(er) – Markera den uppgift som ska tas bort från listvyn genom att markera.
  • Id - Unikt ID för uppgiften. Genereras automatiskt och kan inte ändras.
  • Namn - Uppgiftsnamn som läggs till i uppgiftsinställningarna, unikt namn för uppgiften.
  • Aktiverad - Visar om uppgiften är schemalagd eller inte
    • Grön bockmarkering – Uppgiften är schemalagd
    • Röda korset - Uppgiften är inte schemalagd
  • Extraheringsstatus – Visar status för dataextrahering från målkatalogen/systemet
    • Grön bockmarkering - data har extraherats
    • Röda korset - data extraheras med fel eller extraheringen misslyckades
    • Klocka - Uppgiften väntar på körning
  • Laddningsstatus - Visar status för dataexport från json-fil till kundens lösning
    • Grön bockmarkering - data har importerats till kundens lösning
    • Rött kors - data importeras med fel eller importen misslyckades
  • Hantera
    • Pennikon – öppnar aktivitetsinställningar i ett eget fönster (dubbelklick på aktivitetsraden öppnar även aktivitetsinställningar)
    • Pappersikon - kopierar uppgiften
    • Klockikon – öppnar vyn för uppgiftshistorik
    • Stopp - ta bort uppgift, popup-fönster öppnas för att bekräfta borttagningen

Vy över schemalagd uppgiftshistorik

Genom att klicka på klockikonen i raden för schemalagda uppgifter visas historiken för schemaläggningen.

Övre fältet för visningshistorik

  • Uppdatera – uppdaterar statusen för schemalagda uppgifter. Detta påverkar inte uppgiften, det uppdaterar bara användargränssnittet för att visa den senaste informationen om den körda uppgiften.

Listvy för historik över schemalagda uppgifter

  • Radens färg anger status
    • Grön - uppgiften har utförts
    • Röd - fel uppstod under körning
  • Körnings-ID - unikt ID för den schemalagda uppgiftsraden
  • Planerad extraktionstid - när nästa extraktion från katalogen/applikationen är schemalagd att ske
  • Utdragets slutförande tid - när utdraget slutfördes
  • Extraheringsstatus - status för att hämta data från katalogen/applikationen
  • Starttid för laddning – när nästa laddning till kundens lösning är schemalagd
  • Lastningstid - när lastningen var klar
  • Laddningsstatus - status för laddning av information till kundens lösning

Listvy för status för schemalagd uppgift

  • Faktisk starttid - tidsstämpel för faktisk start
  • Användarfil - JSON-fil som innehåller användarinformation läst från katalogen/applikationen
  • Gruppfil - JSON-fil som innehåller gruppinformation läst från katalogen/applikationen
  • Generisk fil - JSON-fil som innehåller generisk information läst från katalogen/applikationen
  • Extrahera information - detaljerad information om att läsa information från katalogen/applikationen
  • Ladda information - detaljerad information om hur informationen laddas till kundernas Matrix42 Core , Pro and IGA -lösningar

Redigera fönster för schemalagd uppgift

Konfigurationen för schemalagd uppgift kan öppnas genom att klicka på pennikonen eller dubbelklicka på uppgiftsraden.

Vänstermeny och attribut varierar beroende på valda alternativ och därför kan mer detaljerade instruktioner för att redigera uppgifter hittas i kopplingens beskrivning, men det finns gemensamma funktioner för alla schemalagda uppgifter som beskrivs nedan.

Sparar uppgiften

Om obligatorisk information saknas i uppgiften, kommer muspekaren över spara-knappen att visa vilka attribut som fortfarande är tomma.

Övre fältet för att redigera schemalagd uppgift

  • Kör uppgift manuellt – administratören kan köra uppgiften manuellt utanför den definierade schemaläggningen
  • Stoppa uppgift – administratören kan stoppa en schemalagd uppgift som för närvarande körs. Uppgiften stoppas och statusen ändras till stoppad. Den väntar i detta tillstånd tills nästa tidpunkt inträffar.
  • Rensa datacachen – Datacachen för nästa provisionering av användare och grupper kommer att rensas. Det betyder att nästa körning körs som förstagångskörning.
    • Som standard rensar vi cachen varje dag klockan 00:00 UTC
    • Om du vill rensa cachen vid en annan tidpunkt måste du ange ett annat värde i värdfilen 'custom.properties'.
    • EPE-cachen rensas också när EPE startas om, hela miljön startas om och EPE-mappningar har ändrats.

Information om händelseuppgift

När du klickar på pilen i början av kopplingsraden visas alla relaterade schemalagda uppgifter och händelseuppgifter.

Översta fältet för händelseuppgifter

  • Ny uppgift – öppnar konfigurationssidan för ny händelseuppgift
  • Ta bort uppgift(er) - tar bort markerade uppgifter, ett popup-fönster visas för att bekräfta borttagningen.
  • Uppdatera - uppdaterar vyn för händelseuppgifter
  • Visa arbetsflödesreferenser – beräknar arbetsflödesrelationer och statusar för uppgifter. Detta är mycket användbart om du inte vet från vilka arbetsflöden händelsebaserade uppgifter används.

Listvy för händelseuppgifter

  • Välj uppgift(er) – Markera den uppgift som ska tas bort från listvyn genom att markera.
  • Id - Unikt ID för uppgiften. Genereras automatiskt och kan inte ändras.
  • Namn - Uppgiftsnamn som läggs till i uppgiftsinställningarna, unikt namn för uppgiften.
  • Arbetsflödesrelationer
    • Frågetecknet visar ett popup-fönster med detaljerad information om referensen
  • Arbetsflödesstatus
    • Används inte - Inga relationer till arbetsflödet
    • Används - Arbetsflöde(n) kopplade till uppgift, uppgiften kan inte tas bort
  • Hantera
    • Pennikon - öppnar aktivitetsinställningar i eget fönster
    • Pappersikon - kopierar uppgiften
    • Stoppikon – tar bort uppgiften, ett popup-fönster visas för att bekräfta borttagningen

Redigera fönster för händelseuppgift

Konfigurationen för händelseuppgiften kan öppnas genom att klicka på pennikonen eller dubbelklicka på uppgiftsraden.

Vänstermeny och attribut varierar beroende på valda alternativ och därför kan mer detaljerade instruktioner för redigering av uppgifter hittas i kopplingbeskrivningen, men det finns gemensamma funktioner för alla händelseuppgifter som beskrivs nedan.

Redigera händelseuppgiftsfönstret

  • Uppgiftsanvändning, redigerbar? – detta visas när du redigerar en befintlig uppgift och ändrar uppgiftsanvändningstypen kommer att avbryta arbetsflöden
  • Mappningstyp, redigerbar? - detta visas när du redigerar en befintlig uppgift och ändring av mappningstypen kommer att avbryta arbetsflöden.

Sparar uppgiften

Om obligatorisk information saknas i uppgiften, kommer muspekaren över spara-knappen att visa vilka attribut som fortfarande är tomma.

Fliken Autentisering

Autentisering för Matrix42 Core , Pro and IGA -lösningar konfigureras från fliken autentisering. Observera att endast vissa av kopplingarna (katalogkopplingar) stöder autentisering, så det är inte möjligt att skapa autentiseringsuppgifter för alla tillgängliga kopplingar.

Övre fältet för autentisering

  • Ny koppling – öppnar ett nytt fönster för att konfigurera den nya kopplingen (observera att inte alla kopplingar stöder autentisering)
  • Ta bort koppling(ar) – tar bort markerade uppgifter, ett popup-fönster visas för att bekräfta borttagningen.
  • Exportera - användaren kan exportera en eller flera uppgifter från miljön. Används vanligtvis för att exportera uppgifter från test till prod. EPE-kontakter är lösenordsskyddade.
    • Observera att Realm för autentiseringsuppgifter inte exporteras, du måste ställa in det manuellt efter importen.
  • Importera - användaren kan importera en eller flera uppgifter till miljön. Används vanligtvis för att importera uppgifter från test till prod.
  • Uppdatera - uppdaterar vyn för autentiseringsuppgifter

Listvy för autentiseringsöversikt

  • Välj kontakt(er) - Välj en kontakt genom att klicka på kryssrutan framför kontaktraden eller genom att klicka på kryssrutan i rubrikraden markeras alla kontakter.
  • Id - Automatiskt genererat unikt ID för kopplingen. Kan inte redigeras eller ändras.
  • Namn - Anslutningsnamn tillagt i anslutningsinställningar. Unikt namn på anslutningskonfigurationen för en datakälla.
  • Typ - indikerar mål-/källsystem
  • Antal – anger hur många autentiseringsuppgifter som är konfigurerade
  • Hantera
    • Pennikon - öppnar inställningen för autentiseringsuppgift i ett eget fönster
    • Pappersikon - kopierar uppgiften
    • Stoppikon – tar bort vald uppgift

Information om autentiseringsuppgift

När du klickar på pilen i början av kopplingsraden visas alla relaterade schemalagda uppgifter och händelseuppgifter.

Översta fältet för autentiseringsöversikt

  • Skapa ny uppgift – öppnar konfigurationssidan för ny autentiseringsuppgift
  • Ta bort uppgift(er) - tar bort markerade uppgifter, ett popup-fönster visas för att bekräfta borttagningen.
  • Uppdatera - uppdaterar vyn för autentiseringsuppgifter

Listvy för autentiseringsöversikt,

  • Välj uppgift(er) – Markera den uppgift som ska tas bort från listvyn genom att markera.
  • Id - Unikt ID för uppgiften. Genereras automatiskt och kan inte ändras.
  • Namn - Uppgiftsnamn som läggs till i uppgiftsinställningarna, unikt namn för uppgiften.
  • Hantera
    • Pennikon – öppnar aktivitetsinställningar i ett eget fönster (dubbelklicka på aktivitetsraden, öppnar även inställningsfönstret)
    • Pappersikon - kopierar uppgiften
    • Stoppikon – tar bort uppgiften, ett popup-fönster visas för att bekräfta borttagningen

Fliken Loggar

Fliken Loggar är för att ladda ner loggar för Native Connector och Secure Access från användargränssnittet för detaljerad felsökning.

  • epe-master- loggar - innehåller varnings-, felsöknings- och felnivåmeddelanden om Native Connectors och information om hur länge uppgiftsåtgärder har vidtagits.
  • epe-worker-ad -loggar - innehåller extraheringsdata för Active Directory anslutningen (vad Native Connector laddar till kundernas Matrix42 Core , Pro and IGA lösningar). Om valet är tomt betyder det att katalogen inte används i den här miljön.
  • epe-worker-azure -loggar – innehåller extraheringsdatastatus för Entra ID (vad Native Connector laddar till kundernas Matrix42 Core , Pro and IGA lösningar). Om valet är tomt betyder det att katalogen inte används i den här miljön.
  • epe-worker-ldap- loggar - innehåller extraheringsdata för LDAP (vad Native Connector laddar till kundernas Matrix42 Core , Pro and IGA lösningar). Om valet är tomt betyder det att katalogen inte används i den här miljön.
  • epe-launcher- loggar - innehåller information om EPE-uppskjutningar
  • datapump-itsm l ogs - Innehåller information om dataexport till kunders Matrix42 Core , Pro and IGA lösningar.
  • esa -loggar – Innehåller information om Secure Access åtkomstautentisering.

Inställningsfliken

Inställningsflikar används för att övervaka miljöer med kopplingar.

  • Miljötyp - är obligatorisk att vara vald och information används till exempel för att definiera varningar kritiskt.
    • Test – välj detta när din miljö används som testmiljö
    • Pro d – välj detta när din miljö används som produktionsmiljö
    • Demo – välj detta när din miljö används som demo- eller utbildningsmiljö
    • Utvecklare – välj detta när din miljö används som utvecklingsmiljö

Vad övervakar vi?

  • Fel i schemalagd provisionering (extrahering av data, export av data till ESM, föråldrade certifikat, felaktiga lösenord, felaktig sökbas/filter, felaktiga mappningar etc.)
  • Fel i händelsebaserad provisionering (misslyckades med att skriva till AD / Azure , etc.)
  • Händelsebaserad provisionering – vilka kopplingar används för att skriva data till program/kataloger.
  • ESA fler än tio misslyckade inloggningsförsök till en användare under de senaste 3 dagarna
  • Miljötyp - är obligatorisk att vara vald och information används till exempel för att definiera varningar kritiskt.

Datamigreringar

Klicka inte på ”Migrera attributmappningar” eller ”Migrera arbetsflöden” om du inte begär det av Matrix42 .

Konfigurera OpenLDAP anslutning

Hur man skapar en ny OpenLDAP anslutning

För att konfigurera provisionering behöver du åtkomst till plattformskonfigurationskonsolen.

1. Öppna administrationsområdet (en kugghjulssymbol).
2. Öppna vyn Kontakter.
3. Välj Ny koppling

4. Välj datakälltypen OpenLDAP

5. Ange ett namn för kontakten och lägg till anslutningsinställningar

6. Välj Web API användare och ange lösenordet och spara ändringarna

7. Tryck på knapparna Testa anslutning och Testa autentisering för att bekräfta att anslutningen och inloggningsuppgifterna fungerar.

Allmän uid för schemalagda uppgifter

General g uid ance for scheduled tasks

How to Create New Scheduled Task to import data

For configuring scheduled-based provisioning task, you will need access to Administration / Connectors tab.

1. Open the Administration area (a cogwheel symbol).

2. Open Connectors view.

3. Choose Connector for Scheduled-based task and select New Task
   Note! If connector is not created, you have to choose first New connector and after that New task.

 

4. Continue with connector specific instructions: Native Connectors

 
 

Should I use Incremental, Full or Both?

Scheduled task can be either Incremental or Full -type.

Do not import permissions with AD and LDAP incremental task

Incremental task has issue with permissions importing. At the moment it is recommended not to import group memberships with incremental scheduled task.

On Microsoft Active Directory and OpenLDAP connectors, remove this mapping on incremental task:
 

 

 

Setting on Scheduled tasks:

Incremental type is supported only for Microsoft Active Directory, LDAP and Microsoft Graph API (formerly known as Entra ID) Connectors.

Incremental type means, that Native Connectors (EPE) fetches data from source system, using changed timestamp information, so it fetches only data which is changed or added after previous incremental task run.

When Incremental type task is run for very first time, it does a full fetch (and it marks the current timestamp to EPE database),  thereafter, task uses that timestamp to ask the data source for data that changed since that timestamp (and then EPE updates the timestamp to EPE database for next task run). Clearing task cache doesn't affect this timestamp, so Incremental task is always incremental after first run.
 

Full type is supported for all Connectors.

Full type import fetches always all data (it's configured to fetch) from source system, on every run. 
 

Both Full and Incremental type tasks use also Task cache in EPE, which makes certain imports faster and lighter for M42 system.

By default that task cache is cleared ad midnight UTC time. When cache is cleared, next import after that is run without caching used to reason if data fetched should be pushed to ESM, all fetched data is pushed to ESM. But after that, next task runs until next time cache is cleared, are using EPE cache to determine if fetched data needs to be pushed to ESM or not.

You can configure at what time of day task cache is emptied, by changing global setting in EPE datapump configuration: 

/opt/epe/datapump-itsm/config/custom.properties

which is by default set to: clearCacheHours24HourFormat=0

You can also clear cache many times a day, but that needs to be thinked carefully, as it has impact on overall performance as EPE will push changes to ESM, that probably are already there, example(do not add spaces to attribute value): clearCacheHours24HourFormat=6,12

After changing this value, reboot EPE datapump container to take change into use.

Recommendations:

Have always by default Full type scheduled task.

If you want to fetch changes to data fetched already by full task, more frequently than you can run full task, add also incremental task. Usually incremental task is not needed.

 
 

Recommended Scheduling Sequence

Recommended scheduling sequence, depends how much data is read from Customers system/directory to the Matrix42 Core, Pro or IGA solution and is import Incremental or Full. 

Examples for scheduling, 

Total amount of users  Total amount of groups Full load sequence Incremental load sequence
< 500 < 1000 Every 30 minutes if partial load is not used
Four (4) times a day if partial load is used 		Every 10 minutes
< 2000 < 2000 Every 60 minutes, if partial load is not used
Four (4) times a day if partial load is used 		Every 15 minutes
< 5000 < 3000 Every four (4) hours, if partial load is not used
Twice a day if partial load is used 		Every 15 minutes
< 10 000 < 5000 Maximum imports twice a day, no matter if partial load is or is not used Every 30 minutes
< 50 000 < 7000 Maximum import once a day, no matter if partial load is or is not used Every 60 minutes
Over 50 000 Over 7000 There might be a need for another EPE-worker, please contact Product Owner Separately evaluated


Please note that if there are several tasks running at the same time you may need more EPE-workers. The tasks should be scheduled at different times and can be completed according to the table above. However, if there are more than 6 tasks running at the same time, the number of epeworkers should be increased. It's best practice not to schedule tasks to run at same time, if possible.

Recommendations related to performance
If the amount fo data to be imported is over 10000 concider these things:
Adjust log level of ESM and DATAPUMP to ERROR-level, to lowe the amount of logging during task run
Have as few as possible automations starting immediately for imported datacards (listeners, handlers, workflows), as those make ESM to take longer time handling new datacards.

 
 

Set removed accounts and entitlements status removed/disabled

With this functionality, you can mark account and entitlement status to e.g. Deleted or Disabled, when account or entitlement is removed from source system. Starting from version 2025.3 you can also set status to generic objects (not only to accounts/identities and entitlements/groups). 

For version 2025.3 and newer

In version 2025.3 these settings are moved from properties files to Task UI. Also you can now set these settings for Generic objects, which have not been possible before this version.

There is separate configuration for each scheduled task, and for all mapping types. Here is example of this config on task:

For version 2025.2 and older

This functionality is available for “full” type scheduled tasks.

Settings are on datapump dockers configuration file. To change those parameter values, you need to set those in /opt/epe/datapump-itsm/config/custom.properties file.

Configuration

To enable disabling functionality, datapump config should have these parameters set to true:

disable.unknown.esm.users=true
disable.unknown.esm.groups=true

Those 2 parameters are false by default in 2024.2 and 2025.1 versions. In 2025.2 and newer version those are true by default.

 

Next are these parameters:

personTemplateStatusCodeAttributeKey=accountStatus
personTemplateStatusAttributeDisabledValueKey=Deleted
groupTemplateStatusCodeAttributeKey=status
groupTemplateStatusAttributeDisabledValueKey=5 - Removed

First two attributes should point to the DatacardHiddenState attribute in the User template, and tell which value should be send there when the user is deleted.

By default its accountStatus and Value 5 - Removed on IGA Account template.

All these needs to match with the attribute configuration:

 

1.PNG

Same thing applies for the next two paramaters, but its for Groups.'

If you need to change those parameters in properties file, do changes in Datapump container to file: /opt/epe/datapump-itsm/config/custom.properties and those changes will then survive over container reboot and will be copied on reboot to /opt/epe/datapump-itsm/config/application.properties.

Description

Tasks save their __taskid__ shown as Task Id mapping in the UI to the datacards, its then used to determine if the datacard was added by this task. In case there are multiple tasks with different sets of users.

This field was previously used as datasourceid, but since we moved to the model where connector can have multiple tasks its identifier cannot be used anymore, thats why the field was repurposed as taskid instead.

 

Taking users as an example, when task runs ESM is asked for the list of users that have its taskid in Task Id mapping field, and doesn't have a personTemplateStatusAttributeDisabledValueKey value in the personTemplateStatusCodeAttributeKey

This result is then compared to what the task fetched, and the datacards of users that were not fetched have their personTemplateStatusattribute set to value specified in the config - 5 - Removedby default.

Example log below shows described process and informs that one user was removed.

 

2.PNG

Same thing applies to groups but groupTemplateStatusattributes are used instead.

Notes

  • Feature works only with full fetch scheduled tasks..
  • No support for generic templates yet, only identity and access
  • When migrating from the previous versions where datasourceid was still used it needs to run at least once to set its taskid’s in the datacards first.
  • EPE identifies Disabled users or groups as the ones that were removed from the AD, at the present we do not support statuses related to the entity beign active or not.
  • EPE does not enable users back on its own.
  • If more than one tasks fetches the same users or groups it may overwrite the taskid in the datacard depending on which task ran last. It is suggested that many full type tasks are not fetching same user or group.
  • Always do configuration file changes to custom.properties, do not change only application.properties as those changes are lost on container reboot if you have not done same changes to custom.properties.
 
 

 

Konfigurera schemalagd uppgift för att läsa data

OpenLDAP anslutningen används för att läsa användar- och gruppinformation från kundkatalogen och konfigureras från plattformen genom att skapa schemalagda provisioneringsuppgifter.

Hur man skapar en ny uppgift för schemalagd Pro

För att konfigurera schemalagda provisioneringsuppgifter behöver du åtkomst till plattformskonfigurationskonsolen. Obs! Om ingen koppling har skapats måste du först skapa en "ny koppling" och därefter kan du skapa nya uppgifter.

1. Öppna konfigurationsvyn för plattformen (en kugghjulssymbol).
2. Öppna vyn Kontakter.
3. Välj Anslutning för schemalagd uppgift och välj ny uppgift


4. Definiera schemaläggning för uppgiften (om och hur schemalagda uppgifter ska köras regelbundet). Välj schemaläggningssekvens, vilket beror på hur mycket data som läses till lösningen.

Rekommenderad schemaläggningssekvens beror på hur mycket data som läses från kundens katalog till lösningen och importeras vid delvis eller fullständig belastning. Exempel på schemaläggning för läsgrupper och användarkonton.

Totalt antal användare Totalt antal grupper Full lastsekvens Delvis lastsekvens
< 500 < 1000 Var 30:e minut om dellast inte används
Fyra (4) gånger per dag vid dellast 		Var 10:e minut
< 2000 < 2000 Var 60:e minut, om dellast inte används
Fyra (4) gånger per dag vid dellast 		Var 15:e minut
< 5000 < 3000 Var fjärde (4:e) timme, om dellast inte används
Två gånger om dagen vid dellast 		Var 15:e minut
< 10 000 < 5000 Maximal import två gånger per dag, oavsett om dellast används eller inte Var 30:e minut
< 50 000 < 7000 Maximal import en gång per dag, oavsett om dellast används eller inte Var 60:e minut
Över 50 000 Över 7000 Det kan finnas behov av ytterligare en EPE-arbetare, vänligen kontakta Pro . Separat utvärderad

5. Fyll i uppgiftsuppgifter

  • Fyll i ett unikt uppgiftsnamn för den schemalagda uppgiften. Observera att namnet inte kan ändras i efterhand.
  • Uppgiftsanvändningen indikerar att det är uppgiften som används för att läsa data, skriva data eller för autentisering. Observera att om händelsetypen ändras i efterhand kan det avbryta arbetsflödena.
  • Mappningstypen beror på vilken typ av information som läses från katalogen
    • Identitets- och åtkomsträttigheter – används när information om användarkonton och grupp läses från katalogen.
    • Enkel (endast identitet) – används när endast användarkontoinformation läses från katalogen
    • Enkel (endast åtkomsträttigheter) – används när endast gruppinformation läses från katalogen
    • Generisk (en mall) - används när generisk information läses från katalogen, vanligtvis annan än Användare/Grupper

Fyll i filteruppgifter,

  • Hämta data
    • Fullständig - all information läses enligt definierad filtrering
    • Stegvis - endast ändrad information levereras till lösningen
  • Hämta data från LDAP-trädroten - Valfri inställning. Gör det möjligt att hämta användare och grupper från LDAP-trädroten i utbyte mot provisioneringshastighet.

Filtrering baserat på OU

Filternamn: OpenLDAP userBase / OpenLDAP userFilter

Det här filtret ställs vanligtvis in med OU-sökvägen, där användare läses från och det inkluderar även alla under-OU:er i importen, men det möjliggör också flera andra filtreringsmöjligheter,

Exempel på andra vanliga användarfilterexempel:

  • Följande exempel hittar användarobjekt: (&(objectCategory=person)(objectClass=user))
  • Följande exempel hittar användar-, dator- och kontaktobjekt: (objektklass=person)
  • Följande exempel hittar användar- och kontaktobjekt: (objektkategori=person)


Filtrering av OU, varifrån användare läses

Filternamn: OpenLDAP ignoredOusForUsers

Med det här filtret är det möjligt att exkludera vissa under-OU:er från importen (som till exempel OU=Sales,DC=adtest,DC=local). Användare kommer att ignoreras om de finns direkt i en av de definierade <OU> och/eller om de finns i ett underträd till en av de definierade OU:erna.

Filtrering baserat på enskilda användare

Filternamn: Uteslutna användare

Med det här filtret är det möjligt att exkludera specifika användare från importen. För ldap, använd Distinguished Names of the Groups (avgränsade med radbrytningar).

Filtrering av grupper

Filternamn: OpenLDAP groupBase / LDAP groupFilter

Detta filter är vanligtvis inställt på OU-sökvägen, där grupper läses från. Alla under-OU:er kommer att inkluderas i importen (exempel: OU=Finance,DC=adtest,DC=local). Användare kommer att ignoreras om de finns direkt i en av de definierade <OU> och även om de finns i ett underträd till en av de redan definierade <OU>.

Exempel på andra vanligt förekommande gruppfilter:

  • Följande exempel hittar gruppobjekt:
    (objektkategori=grupp)
  • Följande exempel hittar gruppobjekt som har värde i cn:
    (&(objektkategori=grupp)(cn=*))
  • Följande exempel hittar gruppobjekt som har värde i sin beskrivning:
    (&(objektkategori=grupp)(beskrivning=*))

Filtrering av OU:er, där grupper inte läses från

Filternamn: OpenLDAP ignoredOusForGroups

Detta filter är vanligtvis inställt på OU-sökvägen, där grupper läses från. Alla under-OU:er kommer att inkluderas i importen (exempel: OU=Finance,DC=adtest,DC=local). Användare kommer att ignoreras om de finns direkt i en av de definierade <OU> och även om de finns i ett underträd till en av de redan definierade <OU>.


Filtrera enskilda grupper

Filternamn: Uteslutna grupper

Med det här filtret är det möjligt att exkludera specifika grupper från importen. För ldap, använd Distinguished Names of the Groups to exclus (avgränsade med radbrytningar).

Filtrera användare baserat på gruppmedlemskap

Filternamn: Exkludera användare med specifika grupper

Med det här filtret är det möjligt att exkludera specifika användare från importen baserat på gruppmedlemskap. För ldap, använd unika namn för de grupper som ska exkluderas (avgränsade med radbrytningar).

Fyll i felinformation

Valfria inställningar för felhantering. Om en schemalagd uppgift misslyckas kan ett datakort skapas som visar felet. Om felinställningar har definierats behöver administratören inte manuellt kontrollera statusen för schemalagda uppgifter.

  • Felmall – Välj en mall för datakort som skapas vid fel under etableringen (anslutning till datakällor, timeouts etc.)
  • Felmapp – Välj mapp där feldatakortet lagras.
  • Felattribut – Välj ett attribut där i felmallen felinformationen ska lagras. Välj texttypsattribut.

6. Fyll i identitetsmappningar

Användare importeras till IGA -kontomallen och det är obligatoriskt att ange målmapp, datakälla-id och unika värden som används för att identifiera användare mellan kundernas OpenLDAP och den här lösningen. Till exempel.

  • Målmall – Välj en mall för att definiera attributmappningar
    Välj en mall för att definiera attributmappningar
  • Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
  • Attributmappningar
    1. Externt attribut - vilket attribut från katalogen/systemet mappas
    2. Lokalt attribut - till vilket attribut i mallattributet mappas
  • Det är möjligt att ange ytterligare attribut, som läses från användarkonton i katalogen, genom att välja Nytt attribut

8. Fyll i mappningar för åtkomsträttigheter

Grupper läses till IGA berättigandemallen och det är obligatoriskt att ange målmapp, datasource-id och unika värden som används för att identifiera användare mellan kundkatalogen och den här lösningen.

  • Målmall – Välj en mall för att definiera attributmappningar
    Välj en mall för att definiera attributmappningar
  • Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
  • Attributmappningar
    1. Externt attribut - vilket attribut från katalogen/systemet mappas
    2. Lokalt attribut - till vilket attribut i mallattributet mappas
  • Det är möjligt att ange ytterligare attribut, som läses från användarkonton i katalogen, genom att välja Nytt attribut

9. Mappningar för generisk mall

Generiska data läses till valfri mall som användarna önskar och det är obligatoriskt att ange målmapp, datakälla-ID och unika värden som används för att identifiera data mellan kundernas AD och denna lösning.

  • Målmall – Välj en mall för att definiera attributmappningar
    Välj en mall för att definiera attributmappningar
  • Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
  • Attributmappningar
    1. Externt attribut - vilket attribut från katalogen/systemet mappas
    2. Lokalt attribut - till vilket attribut i mallattributet mappas
  • Det är möjligt att ange ytterligare attribut, som läses från användarkonton i katalogen, genom att välja Nytt attribut

10. Spara provisioneringsuppgiften från knappen Spara. Om vissa obligatoriska attribut saknas visas knappen Spara i grått och visar vad som saknas i inställningarna.

11. Du har nu konfigurerat schemalagd kopplingsuppgift för OpenLDAP dataläsning.

Administratörsåtgärder från uppgiftsinställningar

  • Kör uppgiften manuellt – genom att klicka på knappen konfigureras uppgiften för att schemaläggas att starta omedelbart. Vanligtvis för testkörningar eller om du inte vill ändra schemainställningarna, men vill köra uppgiften nu.
  • Stoppa uppgift – Schemalagd uppgift kan stoppas genom att klicka på knappen. Uppgiftens status har ändrats till stoppad och den kommer att vänta på nästa manuella eller schemalagda körning.
  • Rensa cache - genom att klicka på knappen rensas datacachen för NÄSTA provisionering av användare och grupper. Nästa gång körs uppgiften som första gången.

Exempel på startmeddelande för manuell körning av uppgift:

Om uppgiften körs manuellt (Kör uppgift ) eller om den körs enligt schemaläggning kan uppgiftens status granskas från Visa historik:

Exempel på vy över schemalagd uppgiftshistorik:

Administratörsanvändare kan också komma åt kopplingsloggar från sidan med kopplingsloggar,

När felinformationen är korrekt inställd skapar kopplingen ett datakort, som kan ha sin egen process.

Exempel på IGA -administratörsuppgift, som också uid administratören om hur man löser problemet,

Konfigurera händelsebaserad uppgift för att skriva data

Händelseuppgift används vid skrivning av data till kunders OpenLDAP . Dessa Pro Engine-funktioner för konton, grupper och behörigheter är endast tillgängliga för Matrix42 IGA lösningen och IGA -licens krävs om dessa används.

All konfiguration relaterad till Pro och händelsebaserade provisioneringsuppgifter konfigureras i plattformens anslutningsvy.

  1. Öppna konfigurationsvyn för plattformen (en kugghjulssymbol).
  2. Öppna kopplingsvyn
  3. Välj koppling som ska använda händelseuppgiften
  4. Välj "ny uppgift" under rätt anslutning


  5. Fyll i uppgiftsuppgifter
    1. Uppgiftsnamn - Ange ett namn för uppgiften, det kommer att visas i kopplingsvyn.
      • Det är god praxis att namnge en uppgift på ett sätt som beskriver dess syfte, till exempel [Mallnamn]:[Aktivitet] IGA -tjänstförfrågan:Verifiera användare
      • Uppgiftsanvändningen indikerade att det är den uppgift som används för att läsa data eller skriva data. Kan ändras i efterhand, men det rekommenderas inte om händelseuppgiften används. Det kommer att störa arbetsflöden.
      • Mappningstypen beror på vilken typ av information som läses från katalogen. Val av identitetsmappningar visas baserat på den här inställningen.
        • Identitets- och åtkomsträttigheter – används när användarkonto- och gruppinformation läses från (eller skrivs till) katalogen
        • Enkel (endast identitet) – används när endast användarkontoinformation läses från (eller skrivs till) katalogen
        • Enkel (endast åtkomsträttighet) – används när endast gruppinformation läses från (eller skrivs till) katalogen
        • Generisk (en mall) – används när generisk information läses från (eller skrivs till) katalogen. Vanligtvis annan data än användar- eller gruppinformation.




6. Fyll i säkerhetsinformation

Denna information behövs om processen för att skapa användare i arbetsflödet är kopplad till uppgiften.

  • Lösenord för första inloggning – Standardlösenord som är detsamma för alla användare. Ett slumpmässigt lösenord genereras i arbetsflödet och är vanligtvis unikt.
    • Standardlösenord / skriv i rutan nedan
      • Standardlösenord – Skriv ett standardlösenord som är samma för alla användare och som matchar katalogens krav för lösenordet. Observera att antalet tecken inte representerar lösenordets faktiska längd.
      • Det rekommenderas inte att använda samma lösenord för alla konton i produktionsmiljön.
    • Slumpmässigt lösenord / generera i arbetsflödet
      • Genererat lösenord

7. Definiera identitetsmappningar

  • Målmall – Välj en mall för att definiera attributmappningar
    Välj en mall för att definiera attributmappningar
  • Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
  • Attributmappningar
    1. Externt attribut - vilket attribut från katalogen/systemet mappas
    2. Lokalt attribut - till vilket attribut i mallattributet mappas
  • Lägg till nytt attribut – Det är möjligt att ange ytterligare attribut, som läses från användarkonton i AD , genom att välja knappen Nytt attribut.

7. Definiera mappningar för åtkomsträttigheter

  • Målmall – Välj en mall för att definiera mappningar av åtkomsträttigheter
    Välj en mall för att definiera attributmappningar
  • Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
  • Attributmappningar
    1. Externt attribut - vilket attribut från katalogen/systemet mappas
    2. Lokalt attribut - till vilket attribut i mallattributet mappas
  • Lägg till nytt attribut – Det är möjligt att ange ytterligare attribut, som läses från grupper i AD , genom att välja knappen Nytt attribut.

Valfritt om generiska mappningar används: Definiera generiska mappningar

  • Målmall – Välj en mall för att definiera attributmappningar
    Välj en mall för att definiera attributmappningar
  • Målmapp – Välj en mapp från en lista med mappar. Listan begränsas för att matcha kompatibilitet med vald mall.
  • Attributmappningar
    1. Externt attribut - vilket attribut från katalogen/systemet mappas
    2. Lokalt attribut - till vilket attribut i mallattributet mappas
  • Lägg till nytt attribut - Det är möjligt att ange ytterligare attribut, som läses från AD , genom att välja knappen Nytt attribut.

8. Spara provisioneringsuppgiften med knappen "spara". Om obligatorisk information saknas kan du inte spara uppgiften och knappen "spara" visar information som saknas.

9. Nästa steg är att konfigurera arbetsflödesorkestreringsnoden för att använda denna händelsebaserade uppgift. Från arbetsflödesmotorn i plattformen är det möjligt att utföra provisioneringsaktiviteter mot kundkatalogtjänster. Det innebär att vilken som helst av de tillgängliga orkestreringsnodernas aktiviteter kan köras när som helst i arbetsflödet.

Arbetsflödesreferenser visas på översiktssidan för kopplingar:

Konfigurera autentiseringsuppgift

Hur skapar man en ny uppgift för autentisering?

Det finns två alternativ för att skapa en ny autentiseringsuppgift. Alternativ ett är att kopiera en befintlig provisioneringsuppgift till autentiseringsuppgiften, om autentiseringsmetoden använder samma inställningar. Alternativ två är att skapa en ny autentiseringsuppgift.

Obs! Synkronisering av autentiseringsuppgifter till Security Access fungerar inte på versioner före 2025.2, så det rekommenderas att inte skapa dessa till äldre versioner. Logga istället in på Secure Access ( ESA ) administratörskonsol och skapa Identity Pro direkt där .

Alternativ 1: Skapa en ny autentiseringsuppgift från provisioneringsuppgiften

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj fliken Kopplingar, kopiera önskad uppgift från klonknappen

3. Ange namn för den nya autentiseringsuppgiften och ändra uppgiftsanvändningen till Autentisering

4. Fyll i de obligatoriska fälten och spara uppgiften

Alternativ 2: Skapa ny autentiseringsuppgift

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj modulen Kontakter
3. Välj fliken Autentisering
4. Välj koppling och skapa ny uppgift

5. Fyll i obligatorisk information
6. Definiera filter för användare och grupper

7. Välj Autentiseringsdomän. Domän för vilken autentiseringskonfigurationen ska skapas i ESA

8. Spara uppgiften och kör ESA Sync

9. Gå till konfigurationsinstruktionerna Efecte Secure Access enligt autentiseringsprotokollet

Instruktioner för 2024.1 och äldre versioner

Konfigurera schemalagd uppgift

Efecte Provisioning Engine används för att läsa användar- och gruppinformation från kundernas OpenLDAP -katalog och konfigureras från Efecte Service Management-plattformen genom att skapa schemalagda provisioneringsuppgifter.

Rekommenderad schemaläggningssekvens beror på hur mycket data som läses från kundkatalogen till Efecte-lösningen och om importen är delvis eller fullständig.

Totalt antal användare Totalt antal grupper Full lastsekvens Delvis lastsekvens
< 500 < 1000 Var 30:e minut om dellast inte används
Fyra (4) gånger per dag vid dellast 		Var 10:e minut
< 2000 < 2000 Var 60:e minut, om dellast inte används
Fyra (4) gånger per dag vid dellast 		Var 15:e minut
< 5000 < 3000 Var fjärde (4:e) timme, om dellast inte används
Två gånger om dagen vid dellast 		Var 15:e minut
< 10 000 < 5000 Maximal import två gånger per dag, oavsett om dellast används eller inte Var 30:e minut
< 50 000 < 7000 Maximal import en gång per dag, oavsett om dellast används eller inte Var 60:e minut
Över 50 000 Över 7000 Det kan finnas behov av ytterligare en EPE-arbetare, vänligen kontakta Pro . Separat utvärderad

Hur man skapar en ny uppgift för schemalagd Pro

För att konfigurera schemalagda provisioneringsuppgifter behöver du åtkomst till Efecte Platform-konfigurationskonsolen.

1. Öppna området Efecte-administration (en kugghjulssymbol).
2. Öppna IGA vyn
3. Välj Lägg till en ny uppgift för schemalagd Pro

4. Välj OpenLDAP från listan Lägg till en ny uppgift
5. Fyll i ett unikt namn för provisioneringsuppgiften
6. Välj Web API användare och ange lösenordet
7. Välj en felmall för datakortet som skapas i händelse av fel under provisioneringen (anslutning till datakällor, timeouts etc.)

8. Välj schemaläggningssekvens, vilken beror på hur mycket data som läses till kundernas Efecte-lösning

9. Fyll i avsnittet Pro , där information för anslutningen definieras och filter för att läsa användar- och gruppinformation från kundernas OpenLDAP .

10. Användare importeras till IGA -kontomallen och det är obligatoriskt att ange målmapp, datakälla-ID och unika värden som används för att identifiera användare mellan kundernas OpenLDAP och Efecte-lösningen. Det är möjligt att ange ytterligare attribut, som läses från användarkonton i OpenLDAP , genom att välja Lägg till egenskap.

12. Grupper läses till IGA Entitlement-mallen och det är obligatoriskt att ange målmapp, datasource-id och unika värden som används för att identifiera användare mellan kundernas OpenLDAP och Efecte-lösningen. Det är möjligt att ange ytterligare attribut, som läses från användarkonton i OpenLDAP , genom att välja Lägg till egenskap.

14. Spara provisioneringsuppgiften från den översta fältet

15. Du har nu konfigurerat schemalagd provisionering och du kan

  • Testanslutning
  • Testautentisering
  • Kör uppgiften manuellt

16. Om uppgiften körs manuellt (kör uppgiften manuellt) eller om den körs enligt schemaläggning kan uppgiftens status granskas under fliken Extrahera/Läs in status.

Konfigurera händelsebaserad uppgift

Händelsebaserad Pro används när data skrivs mot OpenLDAP . Dessa Efecte Provisioning Engine funktioner är endast tillgängliga för Efecte IGA lösningar och IGA -licens krävs om dessa används.

All konfiguration relaterad till Efecte Provisioning Engine och händelsebaserade provisioneringsuppgifter konfigureras i Efecte Service Management-plattformen.

1. Välj OpenLDAP från listan Lägg till en ny uppgift
2. Välj Pro Händelsebaserad provisionering 
3. Välj mappningstyp
4. Fyll i namn och unikt namn för provisioneringsuppgiften (t.ex. [Mallnamn]:[Aktivitet] IGA tjänstförfrågan:Verifiera användare )

5. Fyll i avsnittet Pro , där information för anslutningen definieras och filtrerar för användar- och gruppinformation från kundernas OpenLDAP . Obs! Det rekommenderas alltid att anslutningen mellan Efecte Provisioning Engine och katalogtjänsterna är säkrad.


6. Definiera attributmappningar.

  • Det är möjligt att ange ytterligare attribut genom att välja Lägg till anpassad egenskap.
  • I den händelsebaserade provisioneringsuppgiften är det möjligt att definiera vilken attributinformation i IGA lösningen som skrivs till katalogen.
  • Det kan finnas flera provisioneringsuppgifter för olika syften, som en för att skapa användare och en för att ta bort användare från katalogen.

7. Spara provisioneringsuppgiften från den översta fältet

8. Du har nu konfigurerat händelsebaserad provisioneringsuppgift och du kan testa anslutning och autentisering.

9. Nästa steg är att konfigurera arbetsflödet för att använda denna händelsebaserade uppgift. Från arbetsflödesmotorn i Efecte Service Management-plattformen är det möjligt att utföra provisioneringsaktiviteter mot kundkatalogtjänster. Det betyder att vilken som helst av de tillgängliga aktiviteterna kan köras när som helst i arbetsflödet.

Konfigurera autentiseringsuppgift

Det finns två alternativ för att skapa en ny autentiseringsuppgift. Alternativ ett är att kopiera en befintlig provisioneringsuppgift till autentiseringsuppgiften, om autentiseringsmetoden använder samma inställningar. Alternativ två är att skapa en ny autentiseringsuppgift.

Alternativ 1: Skapa en ny autentiseringsuppgift från provisioneringsuppgiften

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj fliken IGA , kopiera önskad uppgift från klonknappen

3. Ange namn för den nya autentiseringsuppgiften

4. Ändra provisioneringstypen för den autentisering som ska användas efter att du har sparat

5. Fyll i de obligatoriska fälten och spara uppgiften

Alternativ 2: Skapa ny autentiseringsuppgift

1. Öppna administrationsområdet (kugghjulssymbolen)
2. Välj fliken IGA
3. Välj Lägg till en ny uppgift och rätt katalog
4. Ställ in provisioneringstypen till Autentisering

5. Fyll i obligatorisk information
6. Definiera filter för användare och grupper
7. Spara uppgiften och kör synkroniseringen till ESA

8. Gå till konfigurationsinstruktionerna Efecte Secure Access enligt autentiseringsprotokollet.

Arbetsflödesaktiviteter

Pro Engine (EPE) ger möjlighet att orkestrera följande aktiviteter till OpenLDAP .

Aktivera/avaktivera användare

I illustrationen ovan har administratörer valt rätt OpenLDAP "mål" och kan se identitetsmappningarna som är konfigurerade för valda OpenLDAP -uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, de presenteras endast som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Inuti samma nod kan administratörer välja vilken åtgärd de föredrar att använda, ” Aktivera ” eller ” Inaktivera ”.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

 

Lägg till användare i grupp

I illustrationen ovan ska konfigurationen av personattributet peka på mallen där orkestreringsnoden hittar användarens data (vanligtvis IGA kontot). Attributet roll måste konfigureras för att definiera var orkestreringsnoden hittar de tillgängliga rollerna (kataloggrupper där användaren ska tas bort). Det kan finnas en eller flera attributgrupper konfigurerade i ett "rollattribut". Listan över tillgängliga registrerade kataloguppgifter hämtas från EPE-mastern.

Det är nödvändigt att välja kataloguppgiften, eftersom Pro Engine-orkestreringsnoden använder mappning av identitets- och åtkomsträttighetsfält för att veta under vilken attributkod, användarens och kataloggruppens unika namn lagras.

Undantagshantering:

  • Resultatet för en nod kommer endast att ha tillståndet "Slutfört" om alla användares gruppmedlemskap har uppdaterats. Om användaren till exempel har tagits bort från 5 av 6 grupper kommer resultatet för en nod att ha tillståndet "Undantag".
  • Därför krävs mappning för JSON-fältet distinguishedName, för både identitet och åtkomsträttighet. Om mappningen inte hittas kommer orkestreringsnoden att resultera i ett "undantag"-tillstånd.
  • Försöket att ta bort en användare från en grupp som de inte tillhör kommer att misslyckas.
  • Försöket att lägga till en användare i en grupp som hen redan tillhör kommer att misslyckas.
  • Detaljer om lyckade/misslyckade uppdateringar av användarens gruppmedlemskap finns i loggarna.
  • Undantag Pro etablering och gruppmedlemskap är valfria egenskaper på den här arbetsflödesnoden. Administratörer kan konfigurera dessa egenskaper som används, där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Skapa användare

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt katalog"mål" och kan se identitetsmappningarna som är konfigurerade för valda kataloguppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

Den nya orkestreringsnoden för användare som skapas läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP . Det är viktigt att se till att identitetsmappningen, som används i orkestreringsnoden Create User, innehåller minst två ytterligare Active Directory mappningar: för attributen "cn" och "sAMAccountName". Om dessa två mappningar saknas i en given konfiguration kommer de inte att visas i en rullgardinsmeny.

Skapa nya aktivitetsanteckningar för användare:

  • Det finns två sätt att skapa lösenordet för en ny användare för deras första inloggning.
    • Definiera standardlösenordet i konfigurationsvyn för Pro
      • Det lösenordet kommer endast att användas av användare när de loggar in i systemet för första gången.
    • Generera slumpmässigt lösenord i arbetsflödet och välj till vilket attribut på identitetsmappningsdatakortet det skrevs till
    • Möjlighet att välja om lösenordet måste ändras vid första inloggningen eller inte. Administratörer kan göra detta val direkt från arbetsflödets orkestreringsnod för användarskapande.
  • Det finns olika sätt att tillhandahålla lösenord för den första inloggningen för slutanvändaren. Beroende på kundens behov är det möjligt att använda arbetsflödesfunktioner för att skicka lösenordet direkt till slutanvändaren via e-post eller sms. Ett annat alternativ är att skicka lösenordet för första inloggningen till chefen, som kommer att tillhandahålla det för slutanvändaren. EPE:s orkestreringsnod i sig tillhandahåller INTE den funktionen, den måste definieras någon annanstans.
  • Konfigurationen av "Target" görs i konfigurationsvyn för provisioneringsuppgifter. För att skapa nya användare måste administratörer se till att det bara finns en LDAP-användarbas/LDAP-användarfilter för att undvika konflikter i arbetsflödet.
  • Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Skapa grupp


I illustrationen ovan fylls attributmappningarna för åtkomsträttigheter i från Pro . Administratörer väljer rätt OpenLDAP "mål" och kan se de åtkomsträttighetsmappningar som är konfigurerade för valda OpenLDAP -uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn Pro .

Den nya användarorkestreringsnoden som skapar läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

Det är viktigt att se till att mappningen av åtkomsträttigheter, som används i orkestreringsnoden Create Group, innehåller minst två ytterligare OpenLDAP mappningar: för attributen "cn" och "sAMAccountName".

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Ta bort grupp

I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Orkestreringsnoden för borttagning av grupp läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

För LDAP-baserade konfigurationer bör 'Role group attribute' innehålla gruppens distinguishedName-namn.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Ta bort användare


I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Den borttagna användarorkestreringsnoden läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

För Active Directory -baserade konfigurationer bör 'Person Attribute' innehålla användarens distinguishedName-namn.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Ta bort användarattribut


I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Orkestreringsnoden för att ta bort användarattribut läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP . I egenskapen "Attribut(er) att ta bort" kan administratören definiera attributet som ska tas bort från katalogen. NAMN det du vill ta bort. En sträng kan innehålla attribut med flera värden, som "Stad, Kostnadscenter, mobil".

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Ta bort användare från gruppen


I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Orkestreringsnoden för att ta bort användarattribut läser attribut från aktuella datakort och kör LDAP-kommandot till katalogen. I egenskapen "Attribut att ta bort" kan administratören definiera attributet som ska tas bort från katalogen.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Återställ användarlösenord

I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Orkestreringsnoden Återställ användarlösenord läser attribut från aktuella datakort och kör LDAP-kommandot till katalogen. Attributen Person och Lösenord ska peka på mallen där orkestreringsnoden hittar användarens data.

Administratören kan välja om lösenordet måste ändras vid första inloggningen eller inte. Administratörer kan göra detta val direkt från arbetsflödets orkestreringsnod "Återställ användarens lösenord".

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Lås upp användaren

I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Den upplåsta användarorkestreringsnoden läser attribut från aktuella datakort och kör LDAP-kommandot till katalogen.

Det är viktigt att ta hänsyn till i konfigurationerna att 'Personattribut' ska innehålla användarens distinguishedName-namn.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Uppdatera grupp


I illustrationen ovan fylls attributmappningarna för åtkomsträttigheter i från Pro . Administratörer väljer rätt OpenLDAP "mål" och kan se de åtkomsträttighetsmappningar som är konfigurerade för valda OpenLDAP -uppgifter.

I den här orkestreringsvyn får administratörer inte ändra några mappningar, de visas endast som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa utföras i konfigurationsvyn för Pro .

Orkestreringsnoden för uppdateringsgruppen läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

Konfigurationen av "Target" görs i konfigurationsvyn för provisioneringsuppgifter. För att uppdatera grupper måste administratörer se till att det bara finns en OpenLDAP gruppbas / LDAP-gruppfilter för att undvika konflikter i arbetsflödet.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.



Uppdatera användare

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt OpenLDAP "mål" och kan se identitetsmappningarna som är konfigurerade för valda OpenLDAP -uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, de presenteras endast som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn Pro .

Uppdateringsnoden för användarorkestrering läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

Observera att uppdatering av användarlösenord inte stöds för den här orkestreringsaktiviteten.

Konfigurationen av "Target" görs i konfigurationsvyn för provisioneringsuppgifter. För att uppdatera användare måste administratörer se till att det bara finns en OpenLDAP användarbas / LDAP-användarfilter för att undvika konflikter i arbetsflödet.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Uppdatera värdet för användarnamn

I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål". Orkestreringsnoden Update user Distinguished Name Value läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

I fältet ”Aktuellt värde för unikt namn*” måste administratören välja från vilket attribut på given mall/datakort det "gamla" namnet på OpenLDAP -platsen ska läsas. Fältet ”Nytt värde för unikt namn*” väljer attribut från given mall/datakort, vilket ska användas som namn på den nya OpenLDAP -platsen.

Med den här aktiviteten kan administratörer till exempel begränsa uppdateringsåtgärden till attributet 'commonname', men det krävs att hela Distinguished-värdet anges, till exempel:

Nuvarande värde för unikt namn: CN=DemoAccount,OU=DemoUsers,DC=testad,DC=local

Nytt värde för unikt namn: CN= DemoAccount, OU=OldDemoUsers, DC=testad, DC=lokal

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Verifiera grupp

I illustrationen ovan fylls attributmappningarna för åtkomsträttigheter i från Pro . Administratörer väljer rätt OpenLDAP från "Target" och kan se vilka åtkomsträttighetsmappningar som är konfigurerade för den valda OpenLDAP uppgiften. I den här orkestreringsvyn får du inte ändra några mappningar, de presenteras endast som ett visuellt hjälpmedel. Om det finns behov av att ändra attributmappningarna måste dessa attribut definieras i konfigurationsvyn för provisioneringsuppgiften för att de ska kunna ändras i orkestreringsnoden.

Inom administratörspanelen för Access Rights Mappings kan administratörer ange ett "OM"-uttryck, vilket skapar en LDAP-fråga för att verifiera om gruppen finns. Det är möjligt att välja så många attribut från datakortet som behövs för att bekräfta en grupps unikhet. När en åtgärd utförs kommer dessa attribut att läsas från det aktuella datakortet och jämföras med lämpliga OpenLDAP attribut enligt OpenLDAP -konfigurationen "Mål*". Administratörer kan också välja att använda "lika med" eller "inte lika med" för motsvarande OpenLDAP attribut genom att ändra uttrycket "OM". Fältet "Spara resultat*" används för att definiera var de lyckade LDAP-frågeresultaten sparas, "sant" om gruppen hittades eller "falskt" annars.

Administratörer har möjlighet att "kontrollera" egenskapen Include OU subtree på denna orkestreringsnod för att verifiera om gruppen finns i det definierade organisationsenhetens underträd. Om administratören inte väljer det här alternativet kommer orkestreringsnoden endast att kontrollera den specifika OU som definierats i konfigurationen.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Verifiera gruppmedlemskap

I illustrationen ovan väljer administratörer rätt OpenLDAP från "Target" och kan se vilka identitetsmappningar som är konfigurerade för den valda uppgiften.

Fältet ”Spara resultat*” används för att definiera var de lyckade LDAP-frågeresultaten sparas, ”sant” om användaren hittades eller ”falskt” annars.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Verifiera användare

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt OpenLDAP från "Target" och kan se vilka identitetsmappningar som är konfigurerade för den valda OpenLDAP uppgiften. I den här orkestreringsvyn får du inte ändra några mappningar, de presenteras endast som ett visuellt hjälpmedel. Om det finns behov av att ändra attributmappningarna måste dessa attribut definieras i konfigurationsvyn för provisioneringsuppgiften för att de ska kunna ändras i orkestreringsnoden.

Inom administratörspanelen för identitetsmappningar kan administratörer ange ett "OM"-uttryck, vilket skapar en LDAP-fråga för att verifiera om användaren existerar. Det är möjligt att välja så många attribut från datakortet som behövs för att bekräfta en användares unikhet. När en åtgärd utförs kommer dessa attribut att läsas från det aktuella datakortet och jämföras med lämpliga OpenLDAP attribut enligt OpenLDAP -konfigurationen "Mål*". Administratörer kan också välja att använda "lika med" eller "inte lika med" för motsvarande OpenLDAP attribut genom att ändra uttrycket "OM". Fältet "Spara resultat*" används för att definiera var de lyckade LDAP-frågeresultaten sparas, "sant" om användaren hittades eller "falskt" annars.

En viktig punkt för att förstå den här nodens mekanik är att administratören måste använda mallens attribut när de skapar IF-uttryck, men i själva verket kommer värden som läses från dem att översättas (mappas) till rätt katalogattribut, enligt identitetsmappningskonfigurationen och skickas till OpenLDAP som en sökfråga.

Administratörer har möjlighet att "kontrollera" egenskapen Include OU subtree på denna orkestreringsnod för att verifiera om användaren finns i det definierade organisationsenhetens underträd. Om administratören inte väljer det här alternativet kommer orkestreringsnoden endast att kontrollera den specifika OU som definierats i konfigurationen.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.


Skapa anpassat objekt

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratören har valt rätt katalog OpenLDAP som "Mål" och kan se identitetsmappningarna som är konfigurerade för valda kataloguppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro . En anpassad objektklass definierar vilket objekt EPE skapar, i det här exemplet är det organisationen, den läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

Den nya orkestreringsnoden för anpassade objekt läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP . Det är viktigt att se till att identitetsmappning används i orkestreringsnoden för anpassade objekt.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Uppdatera anpassat objekt

I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål", det läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

I den här orkestreringsvyn får du inte ändra några mappningar, de visas endast som ett visuellt hjälpmedel. Om det finns behov av att ändra attributmappningarna måste dessa attribut definieras i konfigurationsvyn för provisioneringsuppgiften för att de ska kunna ändras i orkestreringsnoden.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Ta bort anpassat objekt

I illustrationen ovan kan administratörer välja rätt OpenLDAP "mål", det läser attribut från aktuella datakort och kör LDAP-kommandot till OpenLDAP .

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Läs användarens data

I illustrationen ovan fylls identitetsattributmappningarna i från Pro . Administratörer väljer rätt OpenLDAP "mål" och kan se mappningarna som är konfigurerade för valda OpenLDAP -uppgifter. I den här orkestreringsvyn får administratörer inte ändra några mappningar, dessa presenteras som ett visuellt hjälpmedel. Om några ändringar av mappningarna behövs måste dessa behov utföras i konfigurationsvyn för Pro .

'Personattribut' ska innehålla användarens distinguishedName-namn eller ett annat unikt attribut.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Kör provisioneringsuppgift

I illustrationen ovan kan administratörer välja rätt katalog "Mål". Kör provisioneringsuppgiftens orkestreringsnod och läs attribut från OpenLDAP till IGA -konton.

Krav för EPE-uppgiften "Target" är:

  • Uppgiften måste vara av typen "Schemaläggbar uppgift", inte händelsebaserad
  • Arbetsflödets mall måste vara densamma som identitetsmappningsmallen
  • Uppgiften måste schemaläggas vid någon tidpunkt - den markerar en uppgift som "aktiverad" då
  • Mappningarna måste vara distinkta, inga duplicerade mappningar i uppgiften

I den här orkestreringsvyn får du inte ändra några mappningar, de visas endast som ett visuellt hjälpmedel. Om det finns behov av att ändra attributmappningarna måste dessa attribut definieras i konfigurationsvyn för provisioneringsuppgiften för att de ska kunna ändras i orkestreringsnoden.

Undantag Pro etablering är en valfri egenskap på den här arbetsflödesnoden. Administratörer kan konfigurera den här egenskapen där undantag kan skrivas om några undantag finns under etableringsåtgärderna.

Felsök

Om det finns några fel, vänligen kontrollera EPE-loggarna och FAQ:en

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Konfigurera: EPE Skapa datakort för att rikta in sig på ESM
  • Konfigurera: EPE Ta bort datakort från mål-ESM
  • Konfigurera: EPE Jira Cloud Connector

Copyright 2026 – Matrix42 Professional.

Matrix42 homepage


Knowledge Base Software powered by Helpjuice

0
0
Expand