Vai al contenuto

Creazione/modifica di regole di importazione

Una regola di importazione scrive le azioni (creazione, modifica, cancellazione) da eseguire che si trovano nell'immagine DELTA.

Per le importazioni devono essere definite delle soglie di sicurezza, che consentono di accertare eventuali errori e quindi di bloccare le scritture.

A seconda del tipo di repository di destinazione, le regole di importazione da configurare sono diverse.

Importazione di dati in un repository di tipo directory (LDAP, AD, AD/LDS, OpenLDAP, ecc.)

  • attributo DN: specificare il nome dell'attributo di mappatura che contiene le informazioni DN (Distinguished Name)
  • Classe di oggetto: definisce il tipo di oggetto da creare/modificare/cancellare. Per importazione è possibile un solo tipo di oggetto.
  • Oppzione per creare un gruppo di sicurezza se non esiste: questa opzione può essere attivata se necessario (è possibile che i gruppi di sicurezza non esistano al momento del provisioning).
    • Specificare l'unità operativa di destinazione per i gruppi di sicurezza. Si noti che può essere specificata solo un'unità operativa, quindi tutti i gruppi verranno creati nella stessa posizione.
  • Opzione per aggiungere operazioni da eseguire dopo un'azione di creazione o modifica o in caso di cancellazione (ad esempio, spostare un oggetto in un'altra OU in caso di cancellazione)
    • Operazioni possibili relative a creazioni/modifiche/eliminazioni:
      • EXEC: verrà eseguito dopo l'azione di creazione/modifica/eliminazione
    • Operazioni possibili sulle cancellazioni:
      • DELETE: di default, gli oggetti non vengono effettivamente eliminati dalla directory. Per eliminare fisicamente l'oggetto, è necessario aggiungere l'operazione DELETE.
      • MOVE: consente di spostare l'oggetto in un'altra OU. L'OU di destinazione deve essere specificata nell'espressione.
      • MOVESUB: consente di spostare gli oggetti figli dell'oggetto in fase di valutazione in un'altra OU. L'OU di destinazione deve essere specificata nell'espressione.
  • Opzioni per un connettore con la soluzione Systancia Access:
    • Scripto da eseguire quando un accesso viene modificato
    • Perfil di accesso (DN) da specificare se è abilitata l'opzione di creare un container
    • Tippo di oggetto da creare nel contenitore se l'opzione di creare un contenitore è abilitata
  • Aggiungere oggetto SID
  • Filtri per i gruppi da gestire o escludere nelle azioni di cancellazione:
    • Se l'opzione "Escludere dal elenco" è selezionata: l'elenco dei gruppi indica quelli che non devono essere eliminati
    • Se l'opzione "Escludere il gruppo dall'elenco" non è selezionata: l'elenco dei gruppi indica quelli che possono essere eliminati

Importazione di dati in un repository di file piatti (CSV)

  • Colonne: elenco di attributi da aggiungere al file di destinazione. Per aggiungere il valore dell'attributo alla colonna del file è necessario usare l'operazione COPY. Il separatore di colonne e di valori multipli è definito nel repository.

Importazione di dati in un repository di database (SQL Server, Oracle, ecc.)

Per ogni azione (Creazione, Modifica e Eliminazione) è possibile definire uno o più comandi da eseguire nel database di destinazione.

Per ogni comando deve essere definita una delle seguenti operazioni:

  • EXEC: consente di avviare un comando di esecuzione (batch, PowerShell, ecc.)
  • FOREACH: consente di eseguire una query su più attributi.
    • Lista di attributi: specificare i codici degli attributi da aggiornare. Si prega di notare che i codici devono corrispondere sia al nome della colonna nel database di destinazione sia al nome dell'attributo nel file DELTA. Ogni attributo deve essere separato dal carattere
    • query SQL: query da applicare ad ogni attributo definito nell'elenco. Utilizzare la stringa <uid>, che verrà sostituita dai nomi degli attributi.
  • FOREACHVALUES: consente di gestire un attributo a valori multipli creando/modificando quante righe ci siano valori contenuti nell'attributo.
    • La condizione di esecuzione è obbligatoria e deve contenere il nome dell'attributo multivalore (del repository di destinazione) su cui verrà eseguito un ciclo.
    • L'espressione è obbligatoria e deve contenere la query da eseguire. L'attributo multivalore su cui viene eseguito il ciclo (specificato nella condizione di esecuzione) deve essere sostituito nella query con la stringa <param:uid_value>.

Esempio di query:

1
2
3
4
5
6
INSERT INTO WikiApp 
(Login, Password, Nom, 
Prenom, Matricule, droit) 
VALUES 
('<SyncAttSrc:login>', '<SyncAttSrc:password>', '<SyncAttSrc:nom>', 
'<SyncAttSrc:prenom>', '<SyncAttSrc:matricule>', '<param:uid_value>')

Nell'esempio, se l'attributo contiene 3 valori, verranno create 3 righe. gli attributi login, password, nom, prenom e matricola avranno valori identici. l'attributo giusto avrà un valore diverso in ogni riga.

Si prega di notare che per operazione può essere definito solo un attributo multivalore.

  • SELECT: consente di recuperare valori aggiuntivi per migliorare l'oggetto corrente.
    • La condizione di esecuzione è obbligatoria. Può contenere una formula che restituisce 0 se false o 1 se true. È necessario immettere 1 se non si desidera impostare una condizione.
    • Domanda SQL: è obbligatoria una query di tipo SELECT. Gli attributi selezionati nella query verranno automaticamente aggiunti all'oggetto corrente con i risultati della query come valori.
  • SQL. Consente di eseguire una query UPDATE o DELETE specificando una condizione di esecuzione.
    • La condizione di esecuzione è obbligatoria. Può contenere una formula che restituisce 0 se false o 1 se true. È necessario immettere 1 se non si desidera impostare una condizione.
  • query SQL: query UPDATE o DELETE. Gli attributi presenti nel delta devono essere passati con la parola chiave <syncattrsrc>.

Dati di importazione in Systancia Identity

  • Tipo di oggetto da importare: specificare il tipo di importazione nell'elenco seguente:
    • ACCOUNT: consente solo gli aggiornamenti degli attributi di account esistenti in Identity.
    • ENUM_ACCOUNT: per importare i valori di enumerazione degli attributi del tipo di conto.
    • ENUM_PERSON: per importare i valori di enumerazione degli attributi di tipo di identità.
    • ENUM_RESOURCE: per importare i valori di enumerazione degli attributi di tipo di assegnazione.
    • ENUM_STRUCTURE: per importare i valori di enumerazione degli attributi di tipo struttura.
    • MATCHINGTABLE: per importare valori in tabelle di corrispondenza.
    • PERSONE: per importare le identità.
    • PERSONACCE: non supportato per l'importazione.
    • RISORSE: allocazione delle quote di importazione.
    • DIRITTO: autorizzare l'importazione.
    • ROLE: per importare i ruoli.
    • STATUS: per importare gli stati di provisioning di account, ruolo o autorizzazione.
      • Specificare il repository. Deve essere unico.
    • STRUTTURA: importare strutture.
    • HABILITATIONCALC: consente di avviare un ricalcolo di massa delle autorizzazioni e delle regole SoD per tutti.
    • PERSON_ROLES: per importare i collegamenti identità-ruolo.
    • PERSON_RIGHTS: per importare i collegamenti identità-ruolo-autorizzazione.
    • ACCOUNTCALC: consente di ricalcolare i conti nel repository interessato.

Quando si importano oggetti come identità, strutture o allocazioni, è possibile disabilitare il calcolo delle regole di autorizzazione e SoD in tempo reale.

Se questa opzione è stata selezionata, è necessario avviare un'importazione per ricalcolare le regole alla fine dei connettori di approvvigionamento a monte per avviare il calcolo del lotto.

Calcoli del conto disabili

Dal momento che la SP3 di cyberelements Identity 7.0 è disponibile una nuova opzione per le importazioni di connettori a monte per le persone, le strutture, le assegnazioni e le norme di autorizzazione.

Questa opzione consente di disabilitare i calcoli degli account in tempo reale quando si creano, modificano o eliminano oggetti che possono avere un impatto sugli account.

Si raccomanda di selezionare questa opzione se la sequenza di provisioning deve trattare volumi elevati.

Se si seleziona questa opzione, è necessario eseguire un'importazione per calcolare i tipi di account specificati nella configurazione alla fine delle importazioni in cyberelements Identity al fine di avere dati corretti.