Vai al contenuto

Esecuzione del connettore

Esistono diversi metodi per eseguire una sequenza di provisioning:

  • Utilizzando file Batch o PowerShell con righe di comando che chiamano l'esecutivo HPPRunCli
  • Utilizzo dell'interfaccia di gestione dei lavori
  • Utilizzazione dei servizi web SIP

Esecuzione di sequenze di provisioning con HPPRUNCLI.exe

In un file Batch o PowerShell, è necessario chiamare l'eseguibile HppRunClie.exe seguito dalle seguenti opzioni:

Opzioni Funzione Obbligatorio (Sì/No)
-sec [Nome della sequenza] Optativa per specificare la sequenza da eseguire. Y
-cfg [Config_file_name] Optativa per specificare il file di configurazione da utilizzare. N. Per impostazione predefinita, viene utilizzato il file hpp.ini.
-obj [Val_attribute1deVal_attribute2de...] Optativa di specificare il valore dell'attributo corrispondente per eseguire la sequenza come unità. Se devono essere specificati più valori di attributo, essi devono essere elencati nell'ordine in cui devono essere eseguite le esportazioni. N. di
-seq [Directory_nm] Opzione per specificare il nome della directory di output per i file di log. N. di

Esegui sequenze di provisioning tramite l'interfaccia di gestione dei lavori

Dalla pagina di visualizzazione dell'istanza di sequenza di provisioning, è possibile eseguire un lavoro singolarmente o in massa.

Per avviare un lavoro in massa, fare clic sul pulsante type:inline.

Selezionare il lavoro desiderato, quindi fare clic su Validare per inserire i lavori in coda.

Per avviare un lavoro individualmente, clicca sul pulsante type:inline.

Selezionare il lavoro desiderato, quindi inserire il valore per selezionare l'oggetto su cui si desidera eseguire il lavoro.

Avvertimento: Attualmente, se il tuo lavoro contiene più sequenze, per eseguire un lavoro in modalità unità, l'attributo di corrispondenza deve avere lo stesso valore per tutte le sequenze.

Esegui sequenze di provisioning tramite servizi web SIP

Esempio di script per l'esecuzione di un lavoro di provisioning tramite uno script di PowerShell:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
$urlGenToken = "https://[URL_serveur_SID]:44350/connect/token"
$BodyJsonPostToken = "grant_type=password&client_id=sip&client_secret=sip&username=[login_cpt]&password=[mot_de_passe_compte]"
$MonHeader = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "[URL_serveur_SID]:44350"
    }

$MonHeaderReq = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "[URL_serveur_SID]:44350"
        "Authorization" = "Bearer $($token_gen)" 
    }

try {

    $result = Invoke-RestMethod -Uri $urlGenToken -Method Post -Headers $MonHeader -Body $BodyJsonPostToken 
    $token_gen = $result.access_token
    #ajouter logs
}
catch {
    $token_gen = ""
    #ajouter logs
}

if ($token_gen -ne "")
{
    $job_code = [code_du_job_à_exécuter]
    $MonHeaderReq = @{
        "Content-Type" = "application/x-www-form-urlencoded"
        "accept" = "Application/Json"
        "Host" = "sid.iam-test.ght49.intra:44355"
        "Authorization" = "Bearer $($token_gen)"
    }
    $urlExecutionJob="https://sid.iam-test.ght49.intra:44355/scim/v2/job/run/$job_code"

    try {
        $res = Invoke-RestMethod -Uri $urlExecutionJob -Method Post -Headers $MonHeaderReq  
        #ajouter logs
    }
    catch {
        #ajouter logs et traitement
    }
}

Allo stesso modo, per riavviare un lavoro di provisioning che è stato interrotto a causa di una soglia di importazione utilizzando uno script PowerShell, è necessario recuperare l'ID di istanza di lavoro chiamando il percorso /scim/v2/job-instance/ (metodo GET).

Per ulteriori informazioni, vedere la documentazione Swagger: https://[SIP_Server_URL]:44355/swagger/

In funzione il nuovo connettore di alimentazione a monte (a partire da 7.0 SP3)

A partire dalla versione 7.0 SP3 è possibile assegnare ruoli e/o autorizzazioni alle identità tramite un nuovo connettore di alimentazione a monte.

I link Identities Roles e Identities/Roles Authorizations creati e/o eliminati da una fonte autorevole sono gestiti da un nuovo tipo di link nel database. Identity Il repository restituirà solo i ruoli e le autorizzazioni assegnati da SIP.

Per configurare un connettore di collegamento Identities - Roles, è necessario creare almeno:

  • Un'esportazione da una fonte autorevole che deve contenere le seguenti informazioni:
  • Identificazione UID (obbligatorio)
    • Codice di ruolo da assegnare (obbligatorio) valore singolo.
    • Data di inizio del ruolo (facoltativo)
    • Data di fine ruolo (facoltativo)
  • Esportazione del repository Identity di tipo PERSON_ROLES in cui è necessario specificare i tipi di persone e i codici dei repository per i quali si desidera creare collegamenti identità-ruolo.
  • Una regola di sincronizzazione per definire le operazioni di corrispondenza, creazione, modifica e cancellazione
    • Nella regola di corrispondenza, confrontare l'identità uid e il codice di ruolo
    • Nella regola di creazione è obbligatorio specificare l'identificatore e il codice di ruolo.
    • Nella regola di modifica, è obbligatorio specificare l'ID del collegamento persona-ruolo, recuperato dall'esportazione del repository Identity. Solo le date possono essere modificate
    • Nella regola di cancellazione, è obbligatorio specificare l'ID del collegamento persona-ruolo, recuperato dall'esportazione del repository Identity.
    • Sintassi di Identity codici da utilizzare nelle regole di sincronizzazione:
      • persona = UID dell'identità
      • role = codice di ruolo
      • data di inizio = data di inizio del ruolo
      • data di fine = data di fine del ruolo
      • id = ID del collegamento identità-ruolo (campo id nella tabella sid.PersonRoles)
  • Un'importazione nel repository Identity del tipo PERSON_ROLES. È possibile selezionare l'opzione per disabilitare il calcolo degli account on-the-fly per gestire il tempo di importazione in caso di grandi volumi. Se l'opzione è stata abilitata, è necessario eseguire un'importazione ACCOUNTCALC per ricalcolare gli account nel repository interessato.
  • Un'esportazione da una fonte autorevole che deve contenere le seguenti informazioni:
    • Identificazione UID (obbligatorio)
    • Codice del ruolo (obbligatorio) valore singolo.
    • Codice di autorizzazione da assegnare al collegamento identità/ruolo (obbligatorio) valore singolo
    • Data di inizio dell'autorizzazione (facoltativo)
    • Data di scadenza dell'autorizzazione (facoltativo)

Attenzione

Le lien Identités/Rôles doit préalablement exister pour un bon fonctionnement du connecteur de lien Identité/Rôle Abilitazioni

  • Un'esportazione del Identity repository di tipo PERSON_RIGHTS in cui è necessario specificare i tipi di persone e i codici dei repository per i quali si desidera creare collegamenti di identità/ruolo-autorizzazione.
  • Una regola di sincronizzazione per definire le operazioni di corrispondenza, creazione, modifica e cancellazione
    • Nella regola di corrispondenza, confrontare l'identità uid, il codice di ruolo e il codice di autorizzazione.
    • Nella regola di creazione è obbligatorio specificare l'identificatore di identità, il codice di ruolo e il codice di autorizzazione.
    • Nella regola di modifica è obbligatorio specificare l'ID del collegamento persona/ruolo - autorizzazione, recuperato dall'esportazione del repository Identity.
    • Nella regola di cancellazione, è obbligatorio specificare l'ID del collegamento persona/ruolo - autorizzazione, recuperato dall'esportazione del repository Identity.
    • Sintassi di Identity codici da utilizzare nelle regole di sincronizzazione:
    • persona = UID dell'identità
      • role = codice di ruolo
      • destra = codice di autorizzazione
      • data di inizio = data di inizio dell'autorizzazione
      • data di scadenza = data di scadenza dell'autorizzazione
    • id = identità-ruolo-diritto ID del collegamento (campo id nella tabella sid.PersonRights)
  • Un'importazione nel repository Identity di tipo PERSON_RIGHTS. È possibile selezionare l'opzione per disabilitare il calcolo dell'account on-the-fly per gestire il tempo di importazione in caso di grandi volumi. Se l'opzione è stata abilitata, è necessario eseguire un'importazione ACCOUNTCALC per ricalcolare gli account nel repository interessato.