Saltar a contenido

Ejecución del conector

Hay varios métodos para ejecutar una secuencia de aprovisionamiento:

  • Utilizando los archivos de lote o PowerShell con líneas de comandos que llaman el ejecutable HPPRunCli
  • Utilizando la interfaz de gestión de tareas
  • Uso de los servicios web SIP

Ejecutar secuencias de aprovisionamiento con HPPRUNCLI.exe

En un archivo Batch o PowerShell, debe llamar al ejecutable HppRunClie.exe seguido de las siguientes opciones:

Opciones Función Obligatorio (Sí/No)
-sec [Nombre de la secuencia] Opción para especificar la secuencia que se ejecutará. Y
-cfg [Nombre del archivo de configuración] Opción para especificar el archivo de configuración a utilizar. N. Por defecto, se utiliza el archivo hpp.ini.
-obj [Val_atributo1deVal_atributo2de...] Opción para especificar el valor del atributo correspondiente para ejecutar la secuencia como una unidad. Si se deben especificar varios valores de atributo, deben figurar en el orden en que deben ejecutarse las exportaciones. N
-seq [Directorio_nm] Opción para especificar el nombre del directorio de salida para los archivos de registro. N

Ejecución de secuencias de aprovisionamiento a través de la interfaz de gestión de tareas

Desde la página de visualización de la instancia de trabajo de la secuencia de aprovisionamiento, puede ejecutar un trabajo de forma individual o en masa.

Para iniciar un trabajo en masa, haga clic en el botón type:inline.

Seleccione el trabajo deseado (s), luego haga clic en Validar para colocar los trabajos en la cola.

Para iniciar un trabajo individualmente, haga clic en el botón type:inline.

Seleccione el trabajo deseado, y luego ingrese el valor para seleccionar el objeto en el que desea ejecutar el trabajo.

Advertencia: Actualmente, si su tarea contiene múltiples secuencias, para ejecutar una tarea en modo unidad, el atributo de coincidencia debe tener el mismo valor para todas las secuencias.

Ejecución de secuencias de aprovisionamiento a través de servicios web SIP

Ejemplo de un script para ejecutar un trabajo de aprovisionamiento a través de un script de PowerShell:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
$urlGenToken = "https://[URL_serveur_SID]:44350/connect/token"
$BodyJsonPostToken = "grant_type=password&client_id=sip&client_secret=sip&username=[login_cpt]&password=[mot_de_passe_compte]"
$MonHeader = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "[URL_serveur_SID]:44350"
    }

$MonHeaderReq = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "[URL_serveur_SID]:44350"
        "Authorization" = "Bearer $($token_gen)" 
    }

try {

    $result = Invoke-RestMethod -Uri $urlGenToken -Method Post -Headers $MonHeader -Body $BodyJsonPostToken 
    $token_gen = $result.access_token
    #ajouter logs
}
catch {
    $token_gen = ""
    #ajouter logs
}

if ($token_gen -ne "")
{
    $job_code = [code_du_job_à_exécuter]
    $MonHeaderReq = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "sid.iam-test.ght49.intra:44355"
        "Authorization" = "Bearer $($token_gen)"
    }
    $urlExecutionJob="https://sid.iam-test.ght49.intra:44355/scim/v2/job/run/$job_code"

    try {
        $res = Invoke-RestMethod -Uri $urlExecutionJob -Method Post -Headers $MonHeaderReq  
        #ajouter logs
    }
    catch {
        #ajouter logs et traitement
    }
}

Del mismo modo, para reiniciar un trabajo de aprovisionamiento que se ha detenido debido a un umbral de importación utilizando un script de PowerShell, debe recuperar el ID de instancia del trabajo llamando a la ruta /scim/v2/job-instance/ (método GET).

Para más información, vea la documentación de Swagger: https://[SIP_Server_URL]:44355/swagger/

Corrección del nuevo conector de alimentación aguas arriba (desde 7.0 SP3)

A partir de la versión 7.0 SP3 en adelante, es posible asignar roles y/o permisos a las identidades a través de un nuevo conector de alimentación en sentido ascendente.

Los enlaces de Identidades Roles e Identidades/Roleas Autorizaciones creados y/o eliminados de una fuente autorizada son gestionados por un nuevo tipo de enlace en la base de datos. Por lo tanto, exportar Identidades Roles e Identidades/Roleas Autorizaciones desde el repositorio Identity solo devolverá roles y autorizaciones asignadas por SIP.

Para configurar un conector de vínculo Identidades - Roles, debe crear al menos:

  • Exportación de una fuente autorizada que debe contener la siguiente información:
  • Identidad UID (se requiere)
    • Código de función que debe asignarse (obligatorio) valor único.
    • Fecha de inicio del puesto (opcional)
    • Fecha de finalización del papel (facultativo)
  • Exportación del repositorio Identity de tipo PERSON_ROLES en el que debe especificar los tipos de personas y los códigos de los repositorios para los que desea crear vínculos de identidad-rol.
  • Una regla de sincronización para definir las operaciones de coincidencia, creación, modificación y eliminación
    • En la regla de coincidencia, comparar el uid de identidad y el código de rol
    • En la regla de creación, es obligatorio especificar el uid de identidad y el código de rol.
    • En la regla de modificación, es obligatorio especificar el ID del enlace persona-papel, obtenido de la Identity Sólo las fechas pueden ser modificadas
    • En la regla de eliminación, es obligatorio especificar el ID del enlace persona-papel, obtenido de la Identity exportación del repositorio.
    • Sintaxis de los códigos Identity que se utilizarán en las reglas de sincronización:
      • persona = UID de la identidad
      • cargo = código de trabajo
      • fecha de inicio = fecha de inicio del puesto
      • fecha de finalización = fecha de finalización del puesto
      • id = ID del enlace identidad-rol (campo de identidad en la tabla sid.PersonRoles)
  • Una importación en el repositorio Identity del tipo PERSON_ROLES. Puede marcar la opción para desactivar el cálculo de cuentas sobre la marcha para gestionar el tiempo de importación en caso de grandes volúmenes. Si la opción ha sido habilitada, debe realizar una importación ACCOUNTCALC para recalcular las cuentas en el repositorio afectado.
  • Exportación de una fuente autorizada que debe contener la siguiente información:
    • Identidad UID (se requiere)
    • Código de rol (obligatorio) valor único.
    • Código de autorización para asignar al vínculo identidad/cargo (obligatorio) valor único
    • Fecha de inicio de la autorización (facultativo)
    • Fecha de finalización de la autorización (facultativo)

Atención

El vínculo Identités/Rôles debe existir previamente para el buen funcionamiento del conector de lien Identité/Rôle Habilitaciones

  • Exportación del repositorio Identity de tipo PERSON_RIGHTS en el que debe especificar los tipos de personas y los códigos de los repositorios para los que desea crear vínculos de identidad/autorizar funciones.
  • Una regla de sincronización para definir las operaciones de coincidencia, creación, modificación y eliminación
    • En la regla de coincidencia, compare el uid de identidad, el código de rol y el código de autorización.
    • En la regla de creación, es obligatorio especificar el uid de identidad, el código de rol y el código de autorización.
    • En la regla de modificación, es obligatorio especificar el ID de la persona/rol - enlace de autorización, obtenido de la Identity Sólo las fechas pueden ser modificadas.
    • En la regla de eliminación, es obligatorio especificar el ID de la persona/rol - enlace de autorización, obtenido de la Identity exportación del repositorio.
    • Sintaxis de los códigos Identity que se utilizarán en las reglas de sincronización:
    • persona = UID de la identidad
      • cargo = código de trabajo
      • derecha = código de autorización
      • fecha de inicio = fecha de inicio de la autorización
      • fecha de finalización = fecha de finalización de la autorización
    • id = identidad-papel-derecho ID de enlace (campo de identificación en la tabla sid.PersonRights)
  • Una importación en el repositorio Identity del tipo PERSON_RIGHTS. Puede marcar la opción para desactivar el cálculo de cuentas sobre la marcha para gestionar el tiempo de importación en caso de grandes volúmenes. Si la opción ha sido habilitada, debe realizar una importación ACCOUNTCALC para recalcular las cuentas en el repositorio afectado.