Aller au contenu

Créer / Modifier les règles d'import

Une règle d’import réalise l’écriture des actions (création, modification, suppression) à réaliser qui se trouvent dans l’image DELTA.

Des seuils de sécurité doivent être obligatoirement définis pour que les imports se réalisent. Ces seuils permettent aussi de lever des erreurs potentielles et donc de bloquer des écritures. Un import bloqué par des seuils peut être consulté et il est possible d’agir dessus afin de valider ou rejeter l’import.

Selon le type de référentiel cible, les règles d’import à configurer sont différentes.

Importer les données dans un référentiel de type Annuaire (LDAP, AD, AD/LDS, OpenLDAP, etc.)

  • Attribut DN : préciser le nom de l’attribut de mapping qui contient l’information du DN (Dinstinguished Name)
  • Classe de l’objet : définir le type de l’objet qui va être créer/modifier/supprimer. Un seul type d’objet est possible par import.
  • Option de création de groupe de sécurité s’il n’existe pas : possible d’activer cette option si nécessaire (il est possible que les groupes de sécurité préalables n’existent pas lors du provisioning).
    • Précision de l’OU de destination des groupes de sécurité. Attention, il n’est possible de préciser qu’une seule OU, donc tous les groupes seront créés au même endroit.
  • Possibilité d’ajouter des opérations à réaliser après une action de création ou modification ou à réaliser en cas de suppression. (Exemple, déplacer un objet dans une autre OU en cas de suppression)
    • Opération possible sur les créations / modifications / suppressions :
      • EXEC : sera exécuter après l’action de création / modification / suppression
    • Opérations possibles sur les suppressions :
      • DELETE : par défaut, les objets ne sont pas réellement supprimés de l’annuaire. Pour supprimer physiquement l’objet, il faut ajouter l’opération DELETE.
      • MOVE : Permet de déplacer l’objet dans une autre OU. L’OU de destination est à préciser dans l’expression.
      • MOVESUB : Permet de déplacer les objets enfants de l’objet en cours d’évaluation dans une autre OU. L’OU de destination est à préciser dans l’expression.
  • Options pour un connecteur avec la solution Systancia Access :
    • Script à exécuter sur la modification d’un accès
    • Profile Access (DN) à préciser si l’option de création d’un container est activée
    • Le type d’objet à créer dans le container si l’option de création d’un container est activée
  • Ajout d’objet SID
  • Filtres des groupes à gérer ou exclure dans les actions de suppression :
    • Si option ‘Exlude groupe from list’ cochée : la liste des groupes indique ceux qui ne doivent pas être supprimés
    • Si option ‘Exlude groupe from list’ non cochée : la liste des groupes indique ceux qui peuvent être supprimés

Importer les données dans un référentiel de type fichier plat (CSV)

  • Colonnes : liste des attributs à ajouter dans le fichier de destination. Il est obligatoire d’utiliser l’opération COPY pour ajouter la valeur de l’attribut dans la colonne du fichier. Le séparateur de colonnes et de valeurs multivalué est définit dans le référentiel.

Importer les données dans un référentiel de type base de données (SQL Serveur, Oracle, etc.)

Pour chaque actions (Création, Modification et Suppression), il est possible de définir une ou plusieurs de commandes à réaliser dans la base de données de destination.

Pour chaque commande, il faut définir une des opérations suivantes :

  • EXEC : permet lancer une commande d’exécution (batch, PowerShell, etc.)
  • FOREACH : permet de réaliser une requête sur plusieurs attributs.
    • Liste des attributs : spécifiez les codes d’attributs à mettre à jour. Attention, les codes doivent correspondre à la fois au nom de la colonne de la BDD de destination et au nom d’attribut présent dans le fichier DELTA. Chaque attribut doit être séparé par le caractère ‘|’.
    • Requête SQL : requête à appliquer pour chaque attribut défini dans la liste. Il faut utiliser la chaîne <uid> qui sera remplacée par le nom des attributs.
  • FOREACHVALUES : permet de gérer un attribut multivalué en créant / modifiant autant de lignes que le nombre de valeurs contenues par l’attribut.
    • La condition d’exécution est obligatoire et doit contenir le nom de l’attribut (du référentiel de destination) multivalué sur lequel une boucle sera effectuée.
    • L’expression est obligatoire et doit contenir la requête à exécuter. L’attribut multivalué sur lequel la boucle est effectuée (indiqué dans la condition d’exécution) doit être remplacé dans la requête par la chaîne « <param:uid_value> ».

Exemple de requête : 

1
2
3
4
5
6
INSERT INTO WikiApp 
(Login, Password, Nom, 
Prenom, Matricule, droit) 
VALUES 
('<SyncAttSrc:login>', '<SyncAttSrc:password>', '<SyncAttSrc:nom>', 
'<SyncAttSrc:prenom>', '<SyncAttSrc:matricule>', '<param:uid_value>')
Dans l’exemple, si l’attribut contient 3 valeurs, alors 3 lignes seront créées. Les attributs login, password, nom, prenom et matricule auront une valeur identique. L’attribut droit aura une valeur différente dans chaque ligne.

Attention, il n'est possible de définir qu’un seul attribut multivalué par opération.

  • SELECT : Permet d’aller chercher des valeurs complémentaires pour agrémenter l’objet en cours.
    • La condition d’exécution est obligatoire. Elle peut contenir une formule renvoyant 0 si faux ou 1 si vrai. Il faut mettre 1 si on ne veut pas mettre de condition.
    • Requête SQL : requête de type SELECT obligatoirement. Les attributs sélectionnés dans la requête seront automatiquement ajoutés à l’objet en cours avec pour valeurs les résultats de la requête.
  • SQL. Permet d’exécuter une requête de type UPDATE ou DELETE en spécifiant une condition d’exécution.
    • La condition d’exécution est obligatoire. Elle peut contenir une formule renvoyant 0 si faux ou 1 si vrai. Il faut mettre 1 si on ne veut pas mettre de condition.
  • Requête SQL : requête de type UPDATE ou DELETE. Les attributs présents dans le delta doivent être passés avec le mot-clé <syncattrsrc>.

Importer les données dans cyberelements Identity

  • Type d’objet à importer : préciser le type de l’import parmi la liste suivante :
    • ACCOUNT : permet uniquement d’apporter des mises à jour sur les attributs de comptes existants dans Identity.
    • ENUM_ACCOUNT : pour importer des valeurs d’énumérations des attributs de type comptes.
    • ENUM_PERSON : pour importer des valeurs d’énumérations des attributs de type identités.
    • ENUM_RESOURCE : pour importer des valeurs d’énumérations des attributs de type dotations.
    • ENUM_STRUCTURE : pour importer des valeurs d’énumérations des attributs de type structure.
    • MATCHINGTABLE : pour importer des valeurs dans des tables de correspondances.
    • PERSON : pour importer des identités.
    • PERSONACCESS : non supporté dans le cadre d’un import.
    • RESOURCE : pour importer des dotations.
    • RIGHT : pour importer des habilitations.
    • ROLE : pour importer des rôles.
    • STATUS : pour importer des états de provisioning de compte, rôles ou habilitations.
      • Préciser le référentiel. Doit être unique.
    • STRUCTURE : pour importer des structures.
    • HABILITATIONCALC : permet de lancer le recalcul des règles d’habilitations et de SoD en masse pour tout le monde.
    • PERSON_ROLES : pour importer des liens identités-rôles.
    • PERSON_RIGHTS : pour importer des liens identités-rôles-habilitations.
    • ACCOUNTCALC : permet de recalculer les comptes du référentiel impacté.

Pour l’import des objets comme les identités, structures ou dotations, une option permet de désactiver le calcul des règles d’habilitations et de SoD à la volée. Il faut cocher la case sur tous les connecteurs d’alimentation amont concernés par la synchronisation quotidienne pour désactiver les calculs.

Si cette option a été cochée, il faudra lancer un import pour recalculer les règles à l’issue des connecteurs d’alimentation amont afin de lancer le calcul en masse.

Désactiver les calculs de comptes

Depuis le SP3 de cyberelements Identity 7.0, une nouvelle option est disponible dans les imports des connecteurs d'alimentation amont sur les objets personnes, structures, dotations et règles d'habilitations.

Cette option permet de désactiver le calcul de comptes à la volée lors des créations, modifications et suppressions des objets pouvant avoir un impact sur les comptes.

Il est conseillé de cocher cette option dans le cas où il y a de grosses volumétries à traiter par la séquence de provisioning.

Si vous cochez cette option, il est nécessaire d'exécuter un import pour calculer les comptes de types spécifiés dans la configuration à la fin des imports dans cyberelements Identity afin d'avoir des données correctes.