Ausführung des Anschlusses¶

Es gibt mehrere Methoden, um eine Provisioning-Sequenz auszuführen:

Verwendung von Batch- oder PowerShell-Dateien mit Befehlszeilen, die HPPRunCli-Ausführbarkeit aufrufen
Verwendung der Schnittstelle zur Arbeitsverwaltung
Verwendung von SIP-Webdiensten

Ausführung von Provisioning-Sequenzen mit HPPRUNCLI.exe¶

In einer Batch- oder PowerShell-Datei müssen Sie die ausführbare Datei HppRunClie.exe aufrufen, gefolgt von den folgenden Optionen:

Optionen	Funktion	Vorschreibungspflicht (Ja/Nein)
-sec [Name der Sequenz]	Option zur Angabe der auszuführenden Sequenz.	Y
-cfg [Config_file_name]	Option zur Angabe der zu verwendenden Konfigurationsdatei.	N. Standardmäßig wird die hpp.ini-Datei verwendet.
-obj [Val_attribute1 und Val_attribute2 sind...]	Option zur Angabe des entsprechenden Attributwerts, um die Sequenz als Einheit auszuführen. Wenn mehrere Attributwerte angegeben werden müssen, müssen sie in der Reihenfolge der Ausführung der Exporte aufgeführt werden.	N
-seq [Verzeichnis_nm]	Option zur Angabe des Namens des Ausgabeverzeichnisses für Logdateien.	N

Ausführung von Bereitstellungssequenzen über die Jobmanagement-Schnittstelle¶

Auf der Seite zur Anzeige der Job-Instanz der Bereitstellungsfolge können Sie einen Job entweder einzeln oder in Massen ausführen.

Um einen Job in Massen zu starten, klicken Sie auf die Schaltfläche .

Wählen Sie die gewünschten Jobs aus, und klicken Sie dann auf Validieren, um die Jobs in die Warteschlange zu stellen.

Um einen Job einzeln zu starten, klicken Sie auf die Schaltfläche .

Wählen Sie den gewünschten Job aus und geben Sie den Wert ein, um das Objekt auszuwählen, auf dem Sie den Job ausführen möchten.

Warnung: Wenn Ihr Job mehrere Sequenzen enthält, muss das passende Attribut für alle Sequenzen den gleichen Wert haben, um einen Job im Einheitsmodus auszuführen.

Ausführung von Provisioning-Sequenzen über SIP-Webdienste¶

Beispiel eines Skripts zum Ausführen eines Provisioning-Jobs über ein PowerShell-Skript:

$urlGenToken = "https://[URL_serveur_SID]:44350/connect/token"
$BodyJsonPostToken = "grant_type=password&client_id=sip&client_secret=sip&username=[login_cpt]&password=[mot_de_passe_compte]"
$MonHeader = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "[URL_serveur_SID]:44350"
    }

$MonHeaderReq = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "[URL_serveur_SID]:44350"
        "Authorization" = "Bearer $($token_gen)" 
    }

try {

    $result = Invoke-RestMethod -Uri $urlGenToken -Method Post -Headers $MonHeader -Body $BodyJsonPostToken 
    $token_gen = $result.access_token
    #ajouter logs
}
catch {
    $token_gen = ""
    #ajouter logs
}

if ($token_gen -ne "")
{
    $job_code = [code_du_job_à_exécuter]
    $MonHeaderReq = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "sid.iam-test.ght49.intra:44355"
        "Authorization" = "Bearer $($token_gen)"
    }
    $urlExecutionJob="https://sid.iam-test.ght49.intra:44355/scim/v2/job/run/$job_code"

    try {
        $res = Invoke-RestMethod -Uri $urlExecutionJob -Method Post -Headers $MonHeaderReq  
        #ajouter logs
    }
    catch {
        #ajouter logs et traitement
    }
}

Um einen Provisioning-Job, der aufgrund eines Import-Schwellenwerts mit einem PowerShell-Skript gestoppt wurde, neu zu starten, müssen Sie die Job-Instanz-ID abrufen, indem Sie die Route /scim/v2/job-instance/ (GET-Methode) aufrufen.

Weitere Informationen finden Sie in der Swagger-Dokumentation: https://[SIP_Server_URL]:44355/swagger/

Betrieb des neuen Vorlauf-Zugleiters (ab 7.0 SP3)¶

Ab Version 7.0 SP3 ist es möglich, Rollen und/oder Berechtigungen an Identitäten über einen neuen Upstream-Feed-Anschluss zuzuweisen.

Die Datenbank wird von einer neuen Art von Link in die Datenbank übertragen, die von einer autoritativen Quelle erstellten und/oder gelöschten Links "Identitäten Rollen" und "Identitäten/Rollen Berechtigungen" verwaltet. Identity Die Datenbank wird nur die von SIP zugewiesenen Rollen und Berechtigungen zurückgeben.

Konfiguration eines Identitäten-Rollen-Verbindungskonnektors¶

Um einen Identitäten-Rollen-Verbindungskonnektor zu konfigurieren, müssen Sie mindestens Folgendes erstellen:

Eine Ausfuhr aus einer vertrauenswürdigen Quelle, die folgende Angaben enthalten muss:
Identitäts-UID (erforderlich)
- Zugeordneter Rollencode (erforderlich) einzelner Wert.
- Startdatum der Rolle (optional)
- Datum des Endes der Rolle (fakultativ)
Ein Export des Identity-Repositories vom Typ PERSON_ROLES, in dem Sie die Personentypen und die Codes der Repositories angeben müssen, für die Sie Identitäts-Rollen-Verknüpfungen erstellen möchten.
Eine Synchronisationsregel zur Definition der Operationen Abgleichung, Erstellung, Änderung und Löschung
- Vergleichen Sie in der Matching-Regel die Identitäts-Uid und den Rollencode
- In der Erstellungsregel ist es obligatorisch, die Identitäts-UID und den Rollencode anzugeben.
- In der Änderung Regel ist es obligatorisch, die ID der Person-Rolle-Verbindung anzugeben, die aus dem Identity Export-Repository abgerufen wird. Nur die Daten können geändert werden
- In der Löschregel ist es zwingend erforderlich, die ID des Person-Rolle-Links anzugeben, die aus dem Identity Exportrepository abgerufen wird.
- Syntax von Identity Codes, die in Synchronisationsregeln verwendet werden sollen:
  - person = UID der Identität
  - Rolle = Rollencode
  - Startdatum = Startdatum der Rolle
  - Enddatum = Enddatum der Rolle
  - id = ID der Identitäts-Rollen-Verbindung (ID-Feld in der Tabelle sid.PersonRoles)
Ein Import in das Identity-Repository vom Typ PERSON_ROLES. Sie können die Option zum Deaktivieren der On-the-fly-Kontoberechnung auswählen, um die Importzeit bei großen Mengen zu verwalten. Wenn die Option aktiviert ist, müssen Sie einen ACCOUNTCALC-Import durchführen, um die Konten im betroffenen Repository neu zu berechnen.

Konfiguration eines Identitäten-Rollen-Verbindungskonnektors¶

Eine Ausfuhr aus einer vertrauenswürdigen Quelle, die folgende Angaben enthalten muss:
- Identitäts-UID (erforderlich)
- Rollcode (erforderlich) einzelner Wert.
- Zulassungscode, der Identitäts-/Rollenverbindung zuweisen ist (erforderlich) einzelner Wert
- Startdatum der Zulassung (fakultativ)
- Datum des Ablaufs der Zulassung (fakultativ)

Aufmerksamkeit

Die Identitäts-/Rollenverbindung muß für ein reibungsloses Funktionieren des Verbindungsnetzes vorhanden sein Identitäts-/Rollenverbindung

Ein Export des Identity-Repositories vom Typ PERSON_RIGHTS, in dem Sie die Personentypen und die Codes der Repositories angeben müssen, für die Sie Identitäts-/Rollen-Autorisierungsverbindungen erstellen möchten.
Eine Synchronisationsregel zur Definition der Operationen Abgleichung, Erstellung, Änderung und Löschung
- Vergleichen Sie in der Matching-Regel die Identitäts-Uid, den Rollencode und den Autorisierungscode.
- In der Erstellungsregel ist es obligatorisch, die Identitäts-UID, den Rollen-Code und den Autorisierungscode anzugeben.
- In der Änderung Regel ist es obligatorisch, die ID der Person/Rolle - Autorisierungslink, aus dem Identity Export-Repository abgerufen zu geben.
- In der Löschregel ist es zwingend erforderlich, die ID des Person/Rolle - Autorisierungs-Links anzugeben, die aus dem Identity Exportrepository abgerufen wurde.
- Syntax von Identity Codes, die in Synchronisationsregeln verwendet werden sollen:
- person = UID der Identität
  - Rolle = Rollencode
  - rechts = Genehmigungscode
  - Startdatum = Beginn der Genehmigung
  - Enddatum = Datum des Endes der Genehmigung
- id = Identität-Rolle-Rechtsverbindungs-ID (Id-Feld in der Tabelle sid.PersonRights)
Ein Import in das Identity-Repository vom Typ PERSON_RIGHTS. Sie können die Option zum Deaktivieren der On-the-fly-Kontoberechnung auswählen, um die Importzeit bei großen Mengen zu verwalten. Wenn die Option aktiviert ist, müssen Sie einen ACCOUNTCALC-Import durchführen, um die Konten im betroffenen Repository neu zu berechnen.