Objet JSON cloud-bridge

Le fichier de configuration de l'objet JSON cloud-bridge utilise les attributs et définitions ci-après.

Entrées d'option et, si facultatives, valeurs par défaut

"ldap-search-filter"
VerifyPermet de sélectionner les entrées d'utilisateurs et de Active Directory groupes qui doivent être répliquées vers le répertoire SCIM. Ce paramètre est obligatoire. Cette valeur ne doit pas être modifiée entre deux exécutions de IcbLdapSync.exe de sorte que l'ensemble de résultats pour l'entrée correspondante change. Le filtre ne peut pas faire référence aux attributs qui changent pendant la durée de vie de chaque entrée de l'ensemble de résultats qui inclut l'attribut référencé. Les attributs mentionnés doivent exister au moment de la création de l'entrée à synchroniser; par conséquent, pour les entrées utilisateur, n'utilisez pas d'attributs d'appartenance à un groupe tels que memberOf pour Active Directory, ou ibm-allGroups pour IBM® Directory Server , car ceux-ci ne sont pas définis lors de la création initiale des entrées utilisateur.
"user-sync-filter"
Cette option permet de créer ou de supprimer dynamiquement des utilisateurs dans Verify Cloud Directory selon que leur entrée correspondante dans Active Directory ou LDAP est conforme ou non à la logique de filtrage. N'activez cette option que pour la première synchronisation. Ne modifiez pas ce paramètre par la suite, car cela ne corrige pas automatiquement la liste d'utilisateurs existante pour l'adapter à la nouvelle liste d'utilisateurs correspondante. Si cette option doit être modifiée après la première synchronisation, le service Directory Sync doit être arrêté. Ensuite, lancez le programme une fois manuellement en tant qu'administrateur. Utilisez IcbLdapSync -rebuild dans le répertoire d'installation pour réajuster l'ensemble des utilisateurs concernés qui font l'objet d'une synchronisation active.

Si cette option n'est pas utilisée, après la première phase de configuration, un utilisateur n'est créé ou supprimé dans Verify Cloud Directory que lorsque l'utilisateur AD ou LDAP correspondant est créé ou supprimé. Cela ne se produit que lorsque l'utilisateur créé dans AD ou LDAP correspond à ldap-search-filter. Si l'utilisateur n'est pas créé dans Verify Cloud Directory, Directory Sync ignore systématiquement cet utilisateur. Même si, par la suite, l'utilisateur AD ou LDAP existant était modifié pour correspondre à celui-ci ldap-search-filter, Directory Sync continuerait de l'ignorer. Ce comportement est important pour les administrateurs, qui souhaitent synchroniser les utilisateurs en fonction de leur appartenance à des groupes. Lorsqu'un utilisateur est créé dans Active Directory ou dans l' LDAP, il n'appartient à aucun groupe. Par conséquent, ils ne correspondent jamais à l'état ldap-search-filter initial et ne sont ni créés ni synchronisés.

user-sync-filterAvec cette user-sync-filter option, si un utilisateur AD ou LDAP est modifié pour correspondre à la configuration, Directory Sync récupère les informations actuelles de l'utilisateur depuis AD ou LDAP. Si l'utilisateur n'existe pas, le système crée l'utilisateur correspondant dans Verify Cloud Directory. L'utilisateur est synchronisé avec AD ou LDAP. user-sync-filterLorsqu'un utilisateur AD ou d' LDAP est modifié de telle sorte qu'il ne correspond plus au répertoire, si cet utilisateur existe, Directory Sync le supprime du répertoire Verify cloud.

La création et la suppression d'utilisateurs en fonction de la user-sync-filter correspondance s'effectuent de manière dynamique. La synchronisation d'annuaire surveille les modifications apportées aux attributs et aux groupes mentionnés dans le filtre, puis réévalue le filtre pour les utilisateurs concernés.

ldap-search-filterLes options, ldap-base-dn, et ignore-suffixes sont toujours actives. Ils doivent donc être suffisamment larges pour englober tous les utilisateurs surveillés par le user-sync-filter.

Cette option do-not-sync-delete ne s'applique pas aux user-sync-filter suppressions. Toutefois, cela s'applique à toutes les suppressions d'utilisateurs signalées par AD ou LDAP.

Le format de user-sync-filter constitue un sous-ensemble de la spécification du filtre de recherche « LDAP ». Ce filtre n'est jamais transmis à LDAP ou à AD. Directory Sync évalue le filtre en interne dès qu'il détecte des modifications au niveau des attributs et des groupes référencés dans ce filtre. <=Ce filtre ne prend pas en charge les opérations de filtrage « LDAP >= », la plupart des règles de correspondance extensibles, ni la recherche de sous-chaînes. Les noms d'attributs ne peuvent pas contenir d'OID.

Seules les règles de correspondance extensibles suivantes sont prises en charge pour user-sync-filter.
Nom de la fonctionnalité OID
LDAP_MATCHING_RULE_BIT_AND 1.2.840.113556.1.4.803
LDAP_MATCHING_RULE_BIT_OR 1.2.840.113556.1.4.804
ABNF notation:

        filter     = "(" filtercomp ")"
        filtercomp = and / or / not / item
        and        = "&" filterlist
        or         = "|" filterlist
        not        = "!" filter
        filterlist = 1*filter
        item       = simple / present
        simple     = attr equal value
        equal      = "="
        present    = attr "=*"
        attr       = [ "memberOf" | "ibm-allGroups" ] / attributename
        value      = escapedText
        
The evaluation of "equal" is a case insensitive string match.

If a value should contain any of the following characters

           Character       ASCII value
           ---------------------------
           *               0x2a
           (               0x28
           )               0x29
           \               0x5c
           NUL             0x00

the character must be encoded as the backslash '\' character (ASCII
0x5c) followed by the two hexadecimal digits representing the ASCII
value of the encoded character. The case of the two hexadecimal
digits is not significant.

Other characters besides the ones listed above may be escaped using
this mechanism, for example, non-printing characters.
Remarque :
  • \\Faites particulièrement attention à l'utilisation de \ dans la valeur JSON : il faut le doubler (,,) car il s'agit d'un caractère d'échappement utilisé par JSON.
  • Ce NUL (0x00) caractère n'est pas pris en charge; seuls les caractères de la valeur situés avant le caractère NUL sont utilisés.
  • La mise en correspondance de groupes imbriqués sur AD n'est pas prise en charge.
  • À utiliser memberOf uniquement pour la vérification de l'appartenance à un groupe sur AD et AD-LDS.
  • À utiliser ibm-allGroups uniquement pour vérifier l'appartenance à un groupe dans l'annuaire d' IBM Verify.
Dans l'exemple suivant user-sync-filter , l'administrateur a défini qu'un utilisateur doit posséder l'attribut department avec la valeur abcd123 et (&) être membre du groupe "testgroupX". Le groupe est identifié à l'aide de son nom distinctif (DN) :
"user-sync-filter": "(&(department=abcd123)(memberOf=CN=testgroupX,CN=Users,DC=mydom,DC=com))",
"ldap-base-dn"
Tous les utilisateurs et les groupes répliqués doivent avoir ce nom distinctif comme parent, sinon, ils sont ignorés. Pour AD, cette valeur correspond par défaut à la valeur defaultNamingContext. Pour ISDS LDAP, cette valeur est définie par défaut sur la première valeur namingContexts non système. Cette valeur ne peut pas être modifiée entre deux exécutions de IcbLdapSync.exe de sorte que l'ensemble de résultats pour l'entrée correspondante change.
"ignore-suffixes"
Cet attribut identifie un tableau de noms distinctifs (DN) dans le LDAP source. Les entrées enfant et l'entrée elle-même sous chacun de ces noms distinctifs sont ignorées et ne sont pas synchronisées. La valeur par défaut est []. Autre exemple :
[ “cn=branch1,o=ibm,c=us”, “cn=branch3,o=ibm,c=us” ]
"ldap-external-id-attr"
Cet attribut sert à identifier de manière unique une Active Directory entrée. VerifyCet attribut est stocké dans le répertoire -SCIM afin de maintenir une connexion entre les deux registres pour cette entrée spécifique. Cet attribut ne doit pas être modifié par rapport à la valeur fournie dans les fichiers d'exemple pour chaque serveur spécifique Active Directory .
"ldap-dn-to-ascii-lower":false
Si cette option est définie sur « true », tous Active Directory les caractères « A » à « Z » des valeurs DN sont convertis en « a » à « z », conformément à la normalisation en minuscules de l'alphabet anglais. Aucun autre caractère UTF-8 n'est modifié. VerifyCet attribut est principalement utilisé dans le cadre de la synchronisation ISDS, car les valeurs DN servent à relier Active Directory les entités aux entités SCIM. Cette conversion peut entraîner des problèmes dans d'autres environnement locaux tels que le turc avec le pliage "I"-to-"i". Cela pourrait également s'avérer insuffisant si plusieurs attributs DN faisant référence à la même Active Directory entrée comportent des différences de casse avec des caractères autres que ceux compris entre « A » et « Z ».
“trace-file”
Si cet attribut est défini, il permet d'enregistrer dans un fichier les opérations de l'API d'authentification d' IBM (opérations SCIM JSON) et Active Directory les opérations associées. Le fichier n'est pas remis à zéro et il n'est pas limité en taille par l'application IcbLdapSync.exe. Assurez-vous qu'il n'utilise pas trop de ressources du système de fichiers.
“ldap-poll-time”:4
Cet attribut détermine la fréquence à laquelle IcbLdapSync.exe exécute une opération de recherche de répertoire sur le serveur LDAP pour trouver les nouvelles modifications apportées aux utilisateurs et aux groupes du répertoire. La valeur est définie en secondes. Par défaut, elle est de 4 secondes.
"enable-op-log":false
VerifySi cet attribut est défini sur true, il active la journalisation de chaque opération POST, PUT, PATCH et DELETE effectuée sur les utilisateurs et les groupes du répertoire SCIM. POST == create, PUT == update full object, PATCH == modify attribute[s] of object, DELETE = delete entry. Le format du fichier se compose de lignes d'opérations; chaque ligne contient des valeurs séparées par des virgules :
{utc-date},{operation},{ldap-dn},{Verify-scim-id},{status}
Par exemple :
"Mon Jun 24 20:33:24 2019","POST","cn=testuser,o=ibm","600000GF7B","201" 
"Mon Jun 24 20:33:55 2019","PATCH","cn=testuser,o=ibm","600000GF7B","204"
{utc-date} est l'heure à laquelle l'opération a débuté. L'heure de fin n'est pas enregistrée.
"op-log-file": “{install-directory} [/{instance}]/op_log/op_log.csv”
VerifyNom du fichier dans lequel enregistrer les opérations SCIM.
Remarque : “{install-directory}”, et “{instance}” sont des variables. Ces variables représentent le chemin d'accès au répertoire d'installation et le nom d'instance facultatif de l'application pour cette description.
"op-log-rollover":2097152
Taille maximale approximative du fichier op_log avant sa remise à zéro. Lorsqu'une remise à zéro se produit, le fichier op_log est renommé. L'horodatage UTCtimestamp en cours exprimé en secondes est ajouté au nom de ce fichier. Les opérations suivantes sont alors consignées dans un nouveau fichier op_log.
Remarque : en raison du multithreading, l'ordre chronologique des entrées de ce fichier pourrait ne pas être respecté.
"cookie-file": “{install-directory} [/{instance}]/cookie.bin
Fichier dans lequel stocker le cookie d'état de réplication. Cet attribut permet à l'application de redémarrer tout en maintenant son stade de réplication. Un extension “.bkp” du cookie est créée à chaque fois qu'un nouvel état est atteint.
Remarque : “{install-directory}”, et “{instance}” sont des variables. Il ne s'agit pas de valeurs valides à utiliser. Ces valeurs représentent le chemin d'accès au répertoire d'installation et le nom d'instance facultatif de l'application pour cette description.
"ldap-conn-idle-timeout": 30
Si la connexion au répertoire reste inactive pendant plus longtemps que ce délai, elle est fermée lors de la prochaine requête. Une nouvelle connexion au répertoire est créée. Cet attribut est utilisé pour éviter des dépassements de délai d'attente avec des pare-feux.
"ldap-conn-max-timeout": 300
Durée maximale pendant laquelle une connexion au répertoire reste active avant d'être fermée et qu'une nouvelle connexion est établie. Cet attribut est utilisé pour éviter des limites configurées pour des connexions avec le serveur d'annuaire.
"nested-groups" : false
Désactive ou active la prise en charge des groupes en tant que membres de groupes. Si la valeur est true, les membres de groupe qui sont des groupes sont reconnus et répliqués dans le répertoire cloud. Si la valeur est false, ils sont ignorés.
"status-port" : 1234
Si cette entrée est définie dans le fichier de configuration, elle active le processus IcbLdapSync.exe pour écouter sur le port spécifié les connexions sur l'interface de bouclage (EG 127.0.0.1). Une fois la connexion établie, toutes les entrées de journal d'événements sont envoyées sur la connexion.
"ldap-use-paging" : false
Désactive ou active l'utilisation du protocole de pagination LDAP. L'utilisation du contrôle de pagination LDAP permet d'obtenir des jeux de résultats de recherche plus importants. Cependant, il peut s'agir d'une ressource limitée et nécessiter des droits particuliers de l'annuaire LDAP. Un jeu de résultats de recherche important est courant pour le premier passage si le répertoire est volumineux.
"do-not-sync-delete" : false
Si la valeur est définie sur true, les opérations de suppression ne sont pas synchronisées entre le répertoire LDAP et le répertoire cloud.
"scim-threads": 1
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 1. Cette option de performance permet d'appliquer plusieurs modifications LDAP à Cloud Directory en parallèle, mais uniquement si les opérations concernent des entrées non liées. Un petit nombre d'opérations parallèles permet un débit de modifications plus important dans Cloud Directory. N'utilisez pas cette option avec des versions antérieures du produit.
"do-not-sync-groups": false
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est false. S'il est défini sur true, Directory Sync ne synchronise pas les objets de groupe.
"changelog-size-limit": 300
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 300. Pour IBM Directory Server seulement. Lorsque Directory Sync recherche des entrées changelog, il limite le nombre d'entrées extraites dans chaque passe.
"ci-retries": 12
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 12. Lorsque Directory Sync applique les modifications à Cloud Directory, il utilise l'interface REST SCIM Cloud Directory. Si un incident se produit lors du démarrage d'un appel REST SCIM, Directory Sync relance l'opération jusqu'à "ci-retries" fois pour tenter de résoudre les incidents temporaires. Définissez cette valeur sur 0 pour désactiver les nouvelles tentatives. De nouvelles tentatives sont effectuées pour toutes les erreurs HTTP 5xx et certaines erreurs HTTP 4xx, mais uniquement si le corps de réponse n'a pas le type de contenu "application/scim+json" et que la connexion au noeud final REST SCIM ne peut pas être créée ou terminée.
"ci-retry-pause": 5
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 5. Cet attribut spécifie le nombre de secondes pendant lequel Directory Sync attend entre les relances pour les appels REST SCIM ayant échoué. Les valeurs valides sont comprises entre 1 et 100. Les valeurs en dehors de cette plage sont automatiquement ramenées dans cette plage.
"end-on-ci-retry-failure": false
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est false. Si cette option est définie sur true, le processus Directory Sync se termine après la première erreur irrémédiable.
"end-on-seq-failures": 0
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 0. Si cette option est définie sur une valeur supérieure à 0, le processus Directory Sync se termine après l'exécution du nombre spécifié d'erreurs irrémédiables sans intervention réussie.
"changelog-ignore-suffixes": [ "ou=other1,o=ibm,c=us", "ou=other2,o=ibm,c=us" ]
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est définie sur un tableau vide. Pour IBM Directory Server seulement. Cette option de performance permet à Directory Sync d'ignorer immédiatement les entrées changelog ayant un élément targetdn qui est un enfant de sous-enfant de l'un des suffixes spécifiés. En général, les entrées Changelog ne possèdent pas l'attribut objectClass. Directory Sync doit effectuer une recherche dans Cloud Directory pour déterminer s'il existe une entrée synchronisée correspondante pour la modification. Si la modification n'est pas destinée à une entrée synchronisée Cloud Directory, la recherche réduit les performances. Si l'on évite ces recherches pour les branches importantes de l'arborescence des annuaires IBM Directory Server qui ont des entrées non synchronisées, les performances peuvent être améliorées.
"trace-rollover": 0
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 0. Si la valeur est définie sur 0 octets, le "trace-file" (fichier de trace) n'effectue pas de récupération aval et continue de croître avec l'activité de synchronisation d'annuaire. S'il est défini sur une valeur supérieure à 0, lorsque le fichier dépasse la valeur en raison d'un bloc de trace, le fichier de trace est renommé et un nouveau fichier de trace est démarré. La valeur d'horodatage UNIX en cours est ajoutée au fichier de trace remis à zéro et renommé.
"op-log-add-skipped": false
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est false. Si Directory Sync détermine qu'une modification LDAP n'est pas pertinente pour la synchronisation, il l'ignore sans créer d'enregistrement. trueSi cette option est activée, elle génère une entrée dans le fichier op_log avec les informations pertinentes LDAP DN , afin que les administrateurs puissent suivre les opérations qui ont été ignorées.
"log-stats-interval": 0
Le paramètre par défaut est de 0 secondes. Si cette valeur est définie sur un nombre entier supérieur à 0, cela active une fonctionnalité permettant d'enregistrer Info level périodiquement des événements à chaque intervalle Windows Event Log , accompagnés de certaines statistiques opérationnelles. Les événements se présentent sous la forme suivante.
LE=%1 CE=%2 CU=%3 CG=%4 MU=%5 MG=%6 DU=%7 DG=%8
  • LE=Nombre d'erreurs AD/LDAP
  • CE=Nombre d'erreurs d'API Verify (communication au titulaire)
  • CU=Nombre de créations d'utilisateur
  • CG=Nombre de créations de groupe
  • MU=Nombre d'opérations de modification d'utilisateur
  • MG=Nombre d'opérations de modification de groupe
  • DU=Nombre d'opérations de suppression d'utilisateur
  • DG=Nombre d'opérations de suppression de groupe