Das JSON-Objekt 'cloud-bridge'

Online bearbeiten

Die Konfigurationsdatei für das JSON-Objekt 'cloud-bridge' verwendet die folgenden Attribute und Definitionen.

Optionseinträge und, sofern optional, die Standardwerte

"ldap-search-filter"
Dient zur Auswahl der Benutzer- und Gruppeneinträge in Active Directory , die in das VerifySCIM-Verzeichnis repliziert werden sollen. Dieser Parameter muss angegeben werden. Dieser Wert darf zwischen zwei Ausführungen von IcbLdapSync.exe nicht derart geändert werden, dass sich die Ergebnisliste der übereinstimmenden Einträge ändert. Der Filter kann keine Attribute referenzieren, die sich während der Lebensdauer des jeweiligen Eintrags in der Ergebnisliste, die das referenzierte Attribut umfasst, ändern. Die genannten Attribute müssen bereits vorhanden sein, wenn der zu synchronisierende Eintrag angelegt wird. Verwenden Sie daher bei Benutzereinträgen keine Attribute zur Gruppenzugehörigkeit wie memberOf für Active Directoryoder ibm-allGroups für IBM® Directory Server , da diese bei der erstmaligen Erstellung von Benutzereinträgen nicht gesetzt werden.
"user-sync-filter"
Mit dieser Option können Benutzer im Verify Cloud Directory dynamisch angelegt oder gelöscht werden, je nachdem, ob ihr entsprechender AD- oder „ LDAP “-Benutzereintrag der Filterlogik entspricht oder nicht. Aktivieren Sie diese Option nur bei der ersten Synchronisierung. Ändern Sie diese Einstellung nicht nachträglich, da die bestehenden Benutzerdaten dadurch nicht automatisch an die neuen Benutzerdaten angepasst werden. Wenn diese Option nach der ersten Synchronisierung geändert werden muss, muss der Verzeichnissynchronisierungsdienst angehalten werden. Führen Sie das Programm anschließend einmal manuell als Administrator aus. Verwenden Sie IcbLdapSync -rebuild im Installationsverzeichnis, um die Gruppe der Benutzer, die aktiv synchronisiert werden, neu anzupassen.

Wird diese Option nicht verwendet, wird nach dem ersten Einrichtungsdurchlauf ein Benutzer im Verify Cloud Directory nur dann angelegt oder gelöscht, wenn der entsprechende AD- oder LDAP -Benutzer angelegt oder gelöscht wird. ldap-search-filterDies tritt nur auf, wenn der in AD oder LDAP erstellte Benutzer mit dem übereinstimmt. Wenn der Benutzer nicht im Verify Cloud Directory angelegt ist, ignoriert die Verzeichnissynchronisierung diesen Benutzer stets. Selbst wenn der vorhandene AD- oder „ LDAP “-Benutzer später entsprechend ldap-search-filterangepasst würde, ignoriert die Verzeichnissynchronisierung dies weiterhin. Dieses Verhalten ist für Administratoren von Bedeutung, die Benutzer anhand ihrer Gruppenmitgliedschaft synchronisieren möchten. Wenn Benutzer in AD oder „ LDAP “ angelegt werden, gehören sie zunächst keiner Gruppe an. Daher stimmen sie bei der ldap-search-filter Erstellung nie überein und werden nicht erstellt und synchronisiert.

user-sync-filterWenn bei dieser user-sync-filter Option ein AD- oder „ LDAP “-Benutzer so geändert wird, dass er mit den Daten übereinstimmt, ruft „Directory Sync“ die aktuellen Daten des Benutzers aus AD oder „ LDAP “ ab. Wenn der Benutzer nicht existiert, wird der entsprechende Benutzer im Verify Cloud Directory angelegt. Der Benutzer wird mit AD oder LDAP synchronisiert. user-sync-filterWenn ein AD- oder „ LDAP “-Benutzer so geändert wird, dass er nicht mehr mit dem übereinstimmt, löscht „Directory Sync“ den Benutzer aus dem Verify Cloud-Verzeichnis, sofern dieser existiert.

Das Anlegen und Löschen von Benutzern auf der Grundlage der user-sync-filter Übereinstimmung erfolgt dynamisch. Die Verzeichnissynchronisierung überwacht Änderungen an Attributen und Gruppen, auf die im Filter verwiesen wird, und wertet den Filter für die zugehörigen Benutzer neu aus.

ldap-search-filterDie Optionen, ldap-base-dn, und ignore-suffixes sind weiterhin aktiv. Sie müssen also so weit gefasst sein, dass sie alle Nutzer abdecken, die von dem user-sync-filter... überwacht werden.

Diese Option do-not-sync-delete gilt nicht für user-sync-filter Löschvorgänge. Dies gilt jedoch für alle Benutzerlöschungen, die von AD oder LDAP gemeldet werden.

Das Format von user-sync-filter ist eine Teilmenge der Suchfilterspezifikation „ LDAP “. Dieser Filter wird niemals an „ LDAP “ oder AD weitergeleitet. Die Verzeichnissynchronisierung wertet den Filter intern aus, sobald sie Änderungen an Attributen und Gruppen feststellt, auf die im Filter verwiesen wird. <=Dieser Filter unterstützt die Filteroperationen „ LDAP >=“, die meisten erweiterbaren Übereinstimmungsregeln sowie Teilzeichenfolgen nicht. Attributnamen dürfen keine OIDs enthalten.

Für user-sync-filter. werden nur die folgenden erweiterbaren Übereinstimmungsregeln unterstützt.
Bezeichnung der Funktion OID
LDAP_MATCHING_RULE_BIT_AND 1.2.840.113556.1.4.803
LDAP_MATCHING_RULE_BIT_OR 1.2.840.113556.1.4.804 
ABNF notation:

        filter     = "(" filtercomp ")"
        filtercomp = and / or / not / item
        and        = "&" filterlist
        or         = "|" filterlist
        not        = "!" filter
        filterlist = 1*filter
        item       = simple / present
        simple     = attr equal value
        equal      = "="
        present    = attr "=*"
        attr       = [ "memberOf" | "ibm-allGroups" ] / attributename
        value      = escapedText
        
The evaluation of "equal" is a case insensitive string match.

If a value should contain any of the following characters

           Character       ASCII value
           ---------------------------
           *               0x2a
           (               0x28
           )               0x29
           \               0x5c
           NUL             0x00

the character must be encoded as the backslash '\' character (ASCII
0x5c) followed by the two hexadecimal digits representing the ASCII
value of the encoded character. The case of the two hexadecimal
digits is not significant.

Other characters besides the ones listed above may be escaped using
this mechanism, for example, non-printing characters.
Hinweis:
  • Achten Sie besonders auf die Verwendung von \ innerhalb des JSON-Werts; es muss doppelt geschrieben werden, \\, da es sich um ein Escape-Zeichen handelt, das von JSON verwendet wird.
  • Das NUL (0x00) Zeichen wird nicht unterstützt, und es werden nur die Zeichen im Wert vor dem NUL-Zeichen verwendet.
  • Das Abgleichen verschachtelter Gruppen in AD wird nicht unterstützt.
  • Verwenden memberOf Sie dies ausschließlich zur Überprüfung der Gruppenmitgliedschaft in AD und AD-LDS.
  • Verwenden ibm-allGroups Sie dies ausschließlich zur Überprüfung der Gruppenmitgliedschaft im Verzeichnis „ IBM Verify “.
Im folgenden user-sync-filter Beispiel hat der Administrator festgelegt, dass ein Benutzer das Attribut department mit dem Wert abcd123 besitzen und (&) Mitglied der Gruppe „ "testgroupX" “ sein muss. Die Gruppe wird anhand ihres Distinguished Name (DN) angegeben:
"user-sync-filter": "(&(department=abcd123)(memberOf=CN=testgroupX,CN=Users,DC=mydom,DC=com))",
"ldap-base-dn"
Alle replizierten Benutzer und Gruppen müssen diesen definierten Namen (DN) als übergeordnetes Element enthalten; andernfalls werden sie ignoriert. Bei AD wird für diesen Wert standardmäßig der Wert defaultNamingContext angenommen. Bei ISDS-LDAP wird für diesen Wert standardmäßig der erste Wert namingContexts, der kein Systemwert ist, angenommen. Dieser Wert kann zwischen zwei Ausführungen von IcbLdapSync.exe nicht derart geändert werden, dass sich die Ergebnisliste der übereinstimmenden Einträge ändert.
"ignore-suffixes"
Dieses Attribut gibt ein Array von definierten Namen (DNs) im Quellen-LDAP an. Die untergeordneten Einträge, einschließlich 'self', unter diesen DNs werden ignoriert und nicht synchronisiert. Der Standardwert lautet []. Ein anderes Beispiel ist:
[ “cn=branch1,o=ibm,c=us”, “cn=branch3,o=ibm,c=us” ]
"ldap-external-id-attr"
Dieses Attribut dient zur eindeutigen Identifizierung eines Active Directory-Eintrags. Das Attribut wird im Verzeichnis Verify-SCIM gespeichert, um für den jeweiligen Eintrag eine Verbindung zwischen den beiden Verzeichnissen aufrechtzuerhalten. Dieser Wert darf nicht von dem Wert abweichen, der in den Beispieldateien für den jeweiligen Active Directory Server angegeben ist.
"ldap-dn-to-ascii-lower":false
Wenn dieser Wert auf „true“ gesetzt ist, werden bei allen Active Directory DN-Werten die Zeichen „A“ bis „Z“ gemäß der englischen Kleinbuchstabenumwandlung in „a“ bis „z“ umgewandelt. Es werden keine anderen UTF-8-Zeichen geändert. Dieses Attribut wird in erster Linie bei der ISDS-Synchronisation verwendet, da DN-Werte dazu dienen, Entitäten mit VerifySCIM-Entitäten zu verknüpfen Active Directory . Diese Konvertierung kann bei anderen Ländereinstellungen, wie beispielsweise Türkisch, bei der "I"-in-"i"-Umsetzung Probleme zur Folge haben. Es könnte auch sein, dass dies nicht ausreicht, wenn mehrere DN-Attribute, die sich auf denselben Active Directory Eintrag beziehen, Unterschiede in der Groß-/Kleinschreibung mit Zeichen außerhalb des Bereichs „A“ bis „Z“ aufweisen.
“trace-file”
Wenn dieses Attribut gesetzt ist, ermöglicht es die Protokollierung der Vorgänge der Auth-API von Active Directory IBM (SCIM-JSON-Vorgänge) in einer Datei. Für die Datei erfolgt kein Überlauf und die Dateigröße wird nicht durch die Anwendung IcbLdapSync.exe begrenzt. Stellen Sie sicher, dass nicht zu viele Dateisystemressourcen verwendet werden.
“ldap-poll-time”:4
Dieses Attribut legt fest, wie häufig IcbLdapSync.exe eine Verzeichnissuchoperation auf dem LDAP-Server ausführt, um neue Änderungen zu finden, die an den Verzeichnisbenutzern und -gruppen durchgeführt wurden. Der Wert wird in Sekunden festgelegt. Die Standardeinstellung ist 4 Sekunden.
"enable-op-log":false
VerifytrueWenn dieses Attribut auf gesetzt ist, wird die Protokollierung aller POST-, PUT-, PATCH- und DELETE-Operationen aktiviert, die auf Benutzer und Gruppen im Verzeichnis -SCIM durchgeführt werden. POST == create, PUT == update full object, PATCH == modify attribute[s] of object, DELETE = delete entry. Das Dateiformat besteht aus Zeilen mit Operationen, wobei jede Zeile durch Kommas getrennte Werte enthält:
{utc-date},{operation},{ldap-dn},{Verify-scim-id},{status}
Beispiel:
"Mon Jun 24 20:33:24 2019","POST","cn=testuser,o=ibm","600000GF7B","201" 
"Mon Jun 24 20:33:55 2019","PATCH","cn=testuser,o=ibm","600000GF7B","204"
Dies {utc-date} ist der Zeitpunkt, zu dem der Vorgang gestartet wird. Die Fertigstellungszeit wird nicht aufgezeichnet.
"op-log-file": “{install-directory} [/{instance}]/op_log/op_log.csv”
VerifyDer Name der Datei, in der SCIM-Vorgänge protokolliert werden sollen.
Hinweis: “{install-directory}”, und “{instance}” sind Variablen. Diese Variablen stellen den Installationsverzeichnispfad und den optionalen Instanznamen der Anwendung für diese Beschreibung dar.
"op-log-rollover":2097152
Die näherungsweise berechnete maximale Größe der Datei op_log vor ihrem Überlauf. Wenn ein Überlauf erfolgt, wird die Datei op_log umbenannt, indem die aktuelle UTC-Zeitmarke in Dezimalsekunden an ihren Namen angefügt wird. Nachfolgende Operationen werden dann in einer neuen Datei op_log protokolliert.
Hinweis: Aufgrund von Multithreading bleibt die datumsbezogene Reihenfolge der Einträge in dieser Datei möglicherweise nicht erhalten.
"cookie-file": “{install-directory} [/{instance}]/cookie.bin
Die Datei, in der das Replikationsstatuscookie gespeichert werden soll. Dieses Attribut ermöglicht den Neustart der Anwendung bei gleichzeitiger Beibehaltung des aktuellen Replikationsstatus. Jedes Mal, wenn ein neuer Zustand erreicht wird, wird ein “.bkp” Cookie erstellt.
Hinweis: “{install-directory}”, und “{instance}” sind Variablen. Sie sind keine gültigen verwendbaren Werte. Diese Werte stellen den Installationsverzeichnispfad und den optionalen Instanznamen der Anwendung für diese Beschreibung dar.
"ldap-conn-idle-timeout": 30
Wenn die Verzeichnisverbindung länger als diese Zeitspanne ungenutzt bleibt, wird sie bei der nächsten Anforderung geschlossen. Es wird eine neue Verzeichnisverbindung hergestellt. Dieses Attribut wird verwendet, um Zeitlimitüberschreitungen bei Firewalls zu verhindern.
"ldap-conn-max-timeout": 300
Die maximale Zeit, die eine Verzeichnisverbindung genutzt wird, bevor sie geschlossen und eine neue Verbindung hergestellt wird. Dieses Attribut wird verwendet, um konfigurierte Grenzwerte für Verbindungen mit dem Verzeichnisserver zu verhindern.
"nested-groups" : false
Inaktiviert oder aktiviert die Unterstützung für Gruppen als Mitglieder von Gruppen. Falls auf true gesetzt, werden Gruppenmitglieder, die Gruppen sind, erkannt und in Cloud Directory repliziert. Falls auf false gesetzt, werden sie ignoriert.
"status-port" : 1234
Falls dieser Eintrag in der Konfigurationsdatei festgelegt ist, ermöglicht er dem Prozess IcbLdapSync.exe an dem angegebenen Port für Verbindungen in der Loopback-Schnittstelle (EG 127.0.0.1) empfangsbereit zu sein. Nachdem eine Verbindung hergestellt wurde, werden alle Ereignisprotokolleinträge über die Verbindung gesendet.
"ldap-use-paging" : false
Inaktiviert oder aktiviert die Verwendung der LDAP-Pagingsteuerung. Die Verwendung der LDAP-Pagingsteuerung ermöglicht eine umfangreichere Rückgabe bei der Suche. Es kann sich jedoch um eine eingeschränkte Ressource handeln, die bestimmte Berechtigungen des LDAP-Verzeichnisses erfordert. Eine umfangreiche Rückgabe bei der Suche ist typisch für den ersten Durchlauf, wenn das Verzeichnis groß ist.
"do-not-sync-delete" : false
Falls auf true gesetzt, werden die Löschoperationen im LDAP-Verzeichnis nicht mit denen im Cloudverzeichnis synchronisiert.
"scim-threads": 1
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf 1 gesetzt. Diese Leistungsoption ermöglicht es, mehrere LDAP-Änderungen parallel auf Cloud Directory anzuwenden, jedoch nur, wenn die Operationen für Einträge gelten, die nicht zusammengehören. Einige wenige parallele Operationen ermöglichen einen größeren Durchsatz von Änderungen an Cloud Directory. Diese Option darf nicht mit früheren Versionen des Produkts verwendet werden.
"do-not-sync-groups": false
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf false gesetzt. Wenn diese Option auf 'true' gesetzt wird, synchronisiert Directory Sync keine Gruppenobjekte.
"changelog-size-limit": 300
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf 300 gesetzt. Nur für IBM Directory Server . Wenn Directory Sync nach changelog-Einträgen sucht, ist die Anzahl Einträge, die in jedem Durchlauf abgerufen werden, begrenzt.
"ci-retries": 12
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf 12 gesetzt. Wenn Directory Sync die Änderungen auf Cloud Directory anwendet, wird die Cloud Directory-SCIM-REST-Schnittstelle verwendet. Wenn beim Starten eines SCIM-REST-Aufrufs ein Fehler auftritt, versucht Directory Sync bis zu "ci-retries" Mal, die Operation auszuführen, um temporäre Fehler gegebenenfalls zu lösen. Wenn dieser Wert auf 0 gesetzt wird, werden Wiederholungen inaktiviert. "application/scim+json"Wiederholungsversuche finden bei allen Fehlern vom Typ „ HTTP “ ( 5xx ) und bei ausgewählten Fehlern vom Typ „ HTTP “ ( 4xx ) statt, jedoch nur, wenn der Antworttext keinen Content-Type aufweist und wenn die Verbindung zum SCIM-REST-Endpunkt nicht hergestellt oder abgeschlossen werden kann.
"ci-retry-pause": 5
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf 5 gesetzt. Dieses Attribut gibt die Anzahl Sekunden an, die Directory Sync zwischen Wiederholungen fehlgeschlagener SCIM-REST-Aufrufe wartet. Gültige Werte liegen im Bereich von 1-100. Werte außerhalb dieses Bereichs werden automatisch auf diesen Bereich beschränkt.
"end-on-ci-retry-failure": false
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf false gesetzt. Wenn diese Option auf 'true' gesetzt wird, endet der Directory Sync-Prozess nach dem ersten nicht behebbaren Fehler.
"end-on-seq-failures": 0
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf 0 gesetzt. Wenn diese Option auf einen Wert größer als 0 gesetzt wird, wird der Directory Sync-Prozess nach der Ausführung der angegebenen Anzahl nicht behebbarer Fehler ohne dazwischenliegende erfolgreiche Operationen beendet.
"changelog-ignore-suffixes": [ "ou=other1,o=ibm,c=us", "ou=other2,o=ibm,c=us" ]
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf ein leeres Array gesetzt. Nur für IBM Directory Server . Diese Leistungsoption ermöglicht es Directory Sync, changelog-Einträge mit einem targetdn, der ein untergeordnetes Element des übergeordneten Elements eines der angegebenen Suffixe ist, sofort zu ignorieren. Changelog Einträge verfügen in der Regel nicht über das objectClass Attribut. Directory Sync muss Cloud Directory durchsuchen, um zu bestimmen, ob ein übereinstimmender synchronisierter Eintrag für die Änderung vorhanden ist. Wenn die Änderung keinen synchronisierten Cloud Directory-Eintrag betrifft, verschlechtert sich die Leistung aufgrund der Suche. Wenn diese Suchvorgänge für wesentliche Zweige der IBM Directory Server-Verzeichnisbaumstruktur mit nicht synchronisierten Eingaben vermieden werden, kann die Leistung verbessert werden.
"trace-rollover": 0
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf 0 gesetzt. Wenn der Wert auf 0 Byte gesetzt wird, erfolgt für die Tracedatei ("trace-file") kein Überlauf und die Datei wächst kontinuierlich zusammen mit der Directory Sync-Aktivität. Wenn diese Option auf einen Wert größer als 0 gesetzt wird, wird die Datei umbenannt, wenn ein Traceblock zur Folge hat, dass der Wert für die Datei überschritten wird, und es wird eine neue Tracedatei erstellt. Der aktuelle UNIX-Zeitmarkenwert wird der umbenannten Tracedatei, für die der Überlauf erfolgt ist, hinzugefügt.
"op-log-add-skipped": false
Dieses Attribut ist optional. Falls nicht angegeben, wird der Standardwert auf false gesetzt. Wenn Directory Sync feststellt, dass eine LDAP-Änderung für die Synchronisation nicht relevant ist, wird die Änderung übersprungen, ohne dass ein Eintrag aufgezeichnet wird. Wenn diese Option auf true gesetzt wird, wird ein Eintrag mit dem relevanten LDAP DN in op_log ausgegeben, sodass Administratoren Operationen, die übersprungen werden, überwachen können.
"log-stats-interval": 0
Die Standardeinstellung ist 0 Sekunden. Wird hier ein ganzzahliger Wert größer als 0 eingestellt, wird eine Funktion aktiviert, die in jedem Intervall Windows Event Log regelmäßig Ereignisse zusammen mit bestimmten Betriebsstatistiken protokolliert Info level . Die Ereignisse haben das folgende Format.
LE=%1 CE=%2 CU=%3 CG=%4 MU=%5 MG=%6 DU=%7 DG=%8
Wo
  • LE=Anzahl der AD/LDAP-Fehler
  • CE=Anzahl der Verify-API-Fehler (Kommunikation mit Tenant)
  • CU=Anzahl der Benutzererstellungen
  • CG=Anzahl der Gruppenerstellungen
  • MU=Anzahl der Operationen zum Ändern von Benutzern
  • MG=Anzahl der Operationen zum Ändern von Gruppen
  • DU=Anzahl der Operationen zum Löschen von Benutzern
  • DG=Anzahl der Operationen zum Löschen von Gruppen