Saltar a contenido

Creación/modificación de las reglas de importación

Una regla de importación escribe las acciones (creación, modificación, eliminación) que se deben realizar y que se encuentran en la imagen DELTA.

Los umbrales de seguridad deben ser definidos para que las importaciones se realicen. Estos umbrales también permiten que se levanten errores potenciales y, por lo tanto, se bloqueen las escrituras. Una importación bloqueada por umbrales puede ser vista y se pueden tomar medidas para validar o rechazar la importación.

Dependiendo del tipo de repositorio objetivo, las reglas de importación que se configuran son diferentes.

Importación de datos en un repositorio de tipo directorio (LDAP, AD, AD/LDS, OpenLDAP, etc.)

  • atributo DN: especificar el nombre del atributo de asignación que contiene la información DN (Nombre Distinguido)
  • Clase de objeto: define el tipo de objeto a crear/modificar/borrar. Sólo es posible un tipo de objeto por importación.
  • Opción para crear un grupo de seguridad si no existe: esta opción puede activarse si es necesario (es posible que los grupos de seguridad no existan en el momento de la provisión).
    • Especifique la UO de destino para los grupos de seguridad. Tenga en cuenta que sólo se puede especificar una UO, por lo que todos los grupos se crearán en la misma ubicación.
  • Opción para añadir operaciones que se realizarán después de una acción de creación o modificación o en caso de supresión. (Ejemplo, mover un objeto a otra UO en caso de supresión)
    • Operaciones posibles en las creaciones/modificaciones/eliminaciones:
      • EXEC: se ejecutará después de la acción de creación/modificación/eliminación
    • Operaciones posibles en las supresiones:
      • DELETE: por defecto, los objetos no se eliminan realmente del directorio. Para eliminar físicamente el objeto, se debe agregar la operación DELETE.
      • MOVE: Permite mover el objeto a otra UO. La UO de destino debe especificarse en la expresión.
      • MOVESUB: Permite que los objetos hijos del objeto que se evalúa se muevan a otra UO. La UO de destino debe especificarse en la expresión.
  • Opciones para un conector con la solución de Systancia Access:
    • Escriptos que se ejecutarán cuando se modifique un acceso
    • Se especificará el perfil de acceso (DN) si está habilitada la opción de crear un contenedor
    • El tipo de objeto que se creará en el contenedor si la opción de crear un contenedor está habilitada
  • Agregar objeto SID
  • Filtro para los grupos que se gestionarán o excluirán en las acciones de eliminación:
    • Si se marca la opción "Excluir grupo de la lista": la lista de grupos indica los que no deben eliminarse
    • Si la opción "Excluir grupo de la lista" no está marcada: la lista de grupos indica los que pueden eliminarse

Importar datos en un repositorio de archivos planos (CSV)

  • Columnas: lista de atributos que se añadirán al archivo de destino. Debe utilizar la operación COPY para añadir el valor del atributo a la columna de archivo. El separador de columnas y multivalores está definido en el repositorio.

Importar datos en un repositorio de bases de datos (SQL Server, Oracle, etc.)

Para cada acción (Creación, Modificación y Eliminación), es posible definir uno o más comandos que se ejecutarán en la base de datos de destino.

Para cada comando, se deberá definir una de las siguientes operaciones:

  • EXEC: permite ejecutar un comando de ejecución (batch, PowerShell, etc.)
  • FOREACH: permite realizar una consulta sobre varios atributos.
    • Lista de atributos: especifique los códigos de atributo que se actualizarán. Tenga en cuenta que los códigos deben corresponder tanto al nombre de la columna en la base de datos de destino como al nombre del atributo en el archivo DELTA. Cada atributo debe estar separado por el carácter
    • Cuestión SQL: consulta que se aplicará a cada atributo definido en la lista. Utilice la cadena <uid>, que será sustituida por los nombres de los atributos.
  • FOREACHVALUES: permite gestionar un atributo de varios valores creando/modificando tantas líneas como valores contenidos en el atributo.
    • La condición de ejecución es obligatoria y debe contener el nombre del atributo multivalor (del repositorio de destino) en el que se ejecutará un bucle.
    • La expresión es obligatoria y debe contener la consulta a ejecutar. El atributo de varios valores en el que se ejecuta el bucle (especificado en la condición de ejecución) debe reemplazarse en la consulta con la cadena <param:uid_value>.

Ejemplo de consulta:

1
2
3
4
5
6
INSERT INTO WikiApp 
(Login, Password, Nom, 
Prenom, Matricule, droit) 
VALUES 
('<SyncAttSrc:login>', '<SyncAttSrc:password>', '<SyncAttSrc:nom>', 
'<SyncAttSrc:prenom>', '<SyncAttSrc:matricule>', '<param:uid_value>')

En el ejemplo, si el atributo contiene 3 valores, entonces se crearán 3 líneas. Los atributos de inicio de sesión, contraseña, nombre, apellido y matriz tendrán valores idénticos. El atributo correcto tendrá un valor diferente en cada línea.

Tenga en cuenta que sólo se puede definir un atributo multivalor por operación.

  • SELECT: Permite recuperar valores adicionales para mejorar el objeto actual.
    • La condición de ejecución es obligatoria. Puede contener una fórmula que devuelve 0 si es falsa o 1 si es verdadera. Debe introducir 1 si no desea establecer una condición.
    • Cuestionario SQL: es obligatorio una consulta de tipo SELECT. Los atributos seleccionados en la consulta se añadirán automáticamente al objeto actual con los resultados de la consulta como valores.
  • SQL. Le permite ejecutar una consulta UPDATE o DELETE especificando una condición de ejecución.
    • La condición de ejecución es obligatoria. Puede contener una fórmula que devuelve 0 si es falsa o 1 si es verdadera. Debe introducir 1 si no desea establecer una condición.
  • Cuestión SQL: Cuestión UPDATE o DELETE. Los atributos presentes en el delta deben pasarse con la palabra clave <syncattrsrc>.

Datos de importación en el sistema de tratamiento de Systancia Identity

  • Tipo de objeto a importar: especifique el tipo de importación de la siguiente lista:
    • CONTA: sólo permite actualizaciones de los atributos de cuenta existentes en Identity.
    • ENUM_ACCOUNT: para importar los valores de enumeración de los atributos del tipo de cuenta.
    • ENUM_PERSON: para importar valores de enumeración para los atributos de tipo de identidad.
    • ENUM_RESOURCE: para importar los valores de enumeración de los atributos del tipo de asignación.
    • ENUM_STRUCTURE: para importar valores de enumeración para los atributos de tipo de estructura.
    • MATCHINGTABLE: para importar valores en las tablas de coincidencia.
    • PERSONA: para importar las identidades.
    • PERSONACCE: no está soportado para la importación.
    • Recursos: para las asignaciones de importación.
    • DERECHOS: para obtener las autorizaciones de importación.
    • ROLE: para importar las funciones.
    • STATUS: para importar estados de provisión de cuentas, roles o autorizaciones.
      • Especifique el repositorio, debe ser único.
    • La estructura: para importar estructuras.
    • HABILITATIONCALC: permite lanzar un recálculo masivo de la autorización y las reglas de SoD para todos.
    • PERSON_ROLES: para importar los enlaces de identidad y rol.
    • PERSON_RIGHTS: para importar los enlaces de identidad-papel-autorización.
    • ACCOUNTCALC: permite recalcular las cuentas en el repositorio afectado.

Al importar objetos como identidades, estructuras o asignaciones, existe una opción para desactivar el cálculo de las reglas de autorización y SoD sobre la marcha. Debe marcar la casilla en todos los conectores de aprovisionamiento de aguas arriba afectados por la sincronización diaria para desactivar los cálculos.

Si esta opción ha sido marcada, deberá iniciar una importación para recalcular las reglas al final de los conectores de aprovisionamiento de aguas arriba para iniciar el cálculo de lote.

Cálculos de las cuentas de inhabilitación

Desde la SP3 de cyberelementos Identity 7.0, se dispone de una nueva opción en las importaciones de conectores en aguas superiores para las personas, las estructuras, las asignaciones y las normas de autorización.

Esta opción le permite desactivar los cálculos de cuenta sobre la marcha al crear, modificar o eliminar objetos que puedan tener un impacto en las cuentas.

Se recomienda que se marque esta opción si hay grandes volúmenes que deben procesarse por la secuencia de aprovisionamiento.

Si selecciona esta opción, debe ejecutar una importación para calcular los tipos de cuenta especificados en la configuración al final de las importaciones en cyberelementos Identity para tener datos correctos.