Objet JSON cloud-bridge

Modifier en ligne

Le fichier de configuration de l'objet JSON cloud-bridge utilise les attributs et définitions ci-après.

Entrées d'option et, si facultatives, valeurs par défaut

"ldap-search-filter"
Permet de sélectionner les entrées d'utilisateur et de groupe dans Active Directory à répliquer dans l'annuaire Verify-SCIM. Ce paramètre est obligatoire. Cette valeur ne doit pas être modifiée entre deux exécutions de IcbLdapSync.exe de sorte que l'ensemble de résultats pour l'entrée correspondante change. Le filtre ne peut pas faire référence aux attributs qui changent pendant la durée de vie de chaque entrée de l'ensemble de résultats qui inclut l'attribut référencé. Les attributs référencés doivent exister lors de la création de l'entrée à synchroniser. Par conséquent, pour les entrées utilisateur, les attributs d'appartenance à un groupe tels que memberOf pour Active Directoryou ibm-allGroups pour IBM® Directory Server ne sont pas définis lors de la création initiale des entrées utilisateur.
"user-sync-filter"
Cette option permet aux utilisateurs d'être créés ou supprimés dynamiquement dans Verify Cloud Directory si leur entrée d'utilisateur AD ou LDAP correspondante correspond ou non à la logique de filtrage. Définissez cette option pour la première synchronisation uniquement. Ne la modifiez pas par la suite car elle ne corrige pas automatiquement l'ensemble d'utilisateurs existant en l'associant au nouvel ensemble d'utilisateurs correspondant. Si cette option doit être modifiée après la première synchronisation, le service Directory Sync doit être arrêté. Ensuite, exécutez le programme une fois manuellement en tant qu'administrateur. Utilisez IcbLdapSync -rebuild dans le répertoire d'installation pour réajuster l'ensemble d'utilisateurs correspondant qui sont activement synchronisés.

Si cette option n'est pas utilisée, après le premier passage de la configuration, un utilisateur est créé ou supprimé dans Verify Cloud Directory uniquement lorsque l'utilisateur AD ou LDAP correspondant est créé ou supprimé. Elle se produit uniquement lorsque l'utilisateur créé dans AD ou LDAP correspond à ldap-search-filter. Si l'utilisateur n'est pas créé dans Verify Cloud Directory, Directory Sync l'ignore toujours. Même si par la suite l'utilisateur AD ou LDAP existant a été modifié pour correspondre à ldap-search-filter, Directory Sync l'ignore toujours. Ce comportement est important pour les administrateurs, qui souhaitent synchroniser les utilisateurs en fonction de l'appartenance à un groupe. Lorsque des utilisateurs dans AD ou LDAP sont créés, ils ne sont membres d'aucun groupe. Par conséquent, ils ne correspondent jamais au ldap-search-filter lors de la création et ne sont pas créés et synchronisés.

Avec cette option user-sync-filter , si un utilisateur AD ou LDAP est modifié pour correspondre à user-sync-filter, Directory Sync extrait les détails en cours de l'utilisateur d'AD ou LDAP. Si l'utilisateur n'existe pas, il crée l'utilisateur correspondant dans Verify Cloud Directory. L'utilisateur reste synchronisé avec AD ou LDAP. Lorsqu'un utilisateur AD ou LDAP est modifié de sorte qu'il ne corresponde plus à user-sync-filter, si l'utilisateur existe, Directory Sync supprime l'utilisateur de Verify Cloud Directory.

La création et la suppression de l'utilisateur en fonction de la correspondance user-sync-filter ont lieu de manière dynamique. La synchronisation d'annuaires surveille les modifications apportées aux attributs et aux groupes qui sont référencés dans le filtre et réévalue le filtre pour les utilisateurs associés.

Les options ldap-search-filter, ldap-base-dnet ignore-suffixes sont toujours en vigueur. Ils doivent donc être définis de manière suffisamment large pour couvrir tous les utilisateurs surveillés par user-sync-filter.

L'option do-not-sync-delete ne s'applique pas aux suppressions user-sync-filter . Toutefois, elle s'applique à toutes les suppressions d'utilisateurs signalées par AD ou LDAP.

Le format de user-sync-filter est un sous-ensemble de la spécification de filtre de recherche LDAP. Ce filtre n'est jamais transmis à LDAP ou AD. Directory Sync évalue le filtre en interne lorsqu'il remarque les modifications apportées aux attributs et aux groupes référencés dans le filtre. Ce filtre ne prend pas en charge les opérations de filtrage LDAP >=, <=, la plupart des règles de correspondance extensibles et des sous-chaînes. Les noms d'attribut ne peuvent pas utiliser d'ID objet.

Seules les règles de correspondance extensibles suivantes sont prises en charge pour user-sync-filter.
Nom de la fonction OID
LDAP_MATCHING_RULE_BIT_ET 1.2.840.113556.1.4.803
RÈGLE_DE_CORRESPONDANCE_LDAP_BIT_OU 1.2.840.113556.1.4.804 
ABNF notation:

        filter     = "(" filtercomp ")"
        filtercomp = and / or / not / item
        and        = "&" filterlist
        or         = "|" filterlist
        not        = "!" filter
        filterlist = 1*filter
        item       = simple / present
        simple     = attr equal value
        equal      = "="
        present    = attr "=*"
        attr       = [ "memberOf" | "ibm-allGroups" ] / attributename
        value      = escapedText
        
The evaluation of "equal" is a case insensitive string match.

If a value should contain any of the following characters

           Character       ASCII value
           ---------------------------
           *               0x2a
           (               0x28
           )               0x29
           \               0x5c
           NUL             0x00

the character must be encoded as the backslash '\' character (ASCII
0x5c) followed by the two hexadecimal digits representing the ASCII
value of the encoded character. The case of the two hexadecimal
digits is not significant.

Other characters besides the ones listed above may be escaped using
this mechanism, for example, non-printing characters.
Remarque :
  • Soyez particulièrement attentif à l'utilisation de \ dans la valeur JSON. Il doit être doublé, \\, car il s'agit d'un caractère d'échappement utilisé par JSON.
  • Le caractère NUL (0x00) n'est pas pris en charge et seuls les caractères de la valeur antérieure à la valeur NUL sont utilisés.
  • La mise en correspondance de groupes imbriqués sur AD n'est pas prise en charge.
  • Utilisez uniquement memberOf pour la vérification de l'appartenance à un groupe sur AD et AD-LDS.
  • Utilisez uniquement ibm-allGroups pour la vérification de l'appartenance à un groupe dans l'annuaire IBM Verify .
Dans l'exemple suivant user-sync-filter, l'administrateur a choisi qu'un utilisateur doit avoir l'attribut department avec la valeur abcd123 et (&) être membre du groupe "testgroupX". Le groupe est spécifié à l'aide de son nom distinctif (DN):
"user-sync-filter": "(&(department=abcd123)(memberOf=CN=testgroupX,CN=Users,DC=mydom,DC=com))",
"ldap-base-dn"
Tous les utilisateurs et les groupes répliqués doivent avoir ce nom distinctif comme parent, sinon, ils sont ignorés. Pour AD, cette valeur correspond par défaut à la valeur defaultNamingContext. Pour ISDS LDAP, cette valeur est définie par défaut sur la première valeur namingContexts non système. Cette valeur ne peut pas être modifiée entre deux exécutions de IcbLdapSync.exe de sorte que l'ensemble de résultats pour l'entrée correspondante change.
"ignore-suffixes"
Cet attribut identifie un tableau de noms distinctifs (DN) dans le LDAP source. Les entrées enfant et l'entrée elle-même sous chacun de ces noms distinctifs sont ignorées et ne sont pas synchronisées. La valeur par défaut est []. Autre exemple :
[ “cn=branch1,o=ibm,c=us”, “cn=branch3,o=ibm,c=us” ]
"ldap-external-id-attr"
Cet attribut est utilisé pour identifier de manière unique une entrée Active Directory . L'attribut est stocké dans l'annuaire Verify-SCIM afin de maintenir une connexion entre les deux registres pour l'entrée particulière. Cet attribut ne doit pas être modifié à partir de la valeur fournie dans les exemples de fichier pour chaque serveur Active Directory spécifique.
"ldap-dn-to-ascii-lower":false
Si la valeur est true, toutes les valeurs de nom distinctif Active Directory ont les caractères'A'→'Z'convertis en'a'→'z'par pliage en minuscules anglais. Aucun autre caractère UTF-8 n'est modifié. Cet attribut est principalement utilisé avec la synchronisation ISDS car les valeurs de nom distinctif sont utilisées pour connecter des entités Active Directory à des entités Verify-SCIM. Cette conversion peut entraîner des problèmes dans d'autres environnement locaux tels que le turc avec le pliage "I"-to-"i". Il peut également ne pas être suffisant, si plusieurs attributs de nom distinctif qui font référence à la même entrée Active Directory présentent des différences de casse avec des caractères en dehors de'A'→'Z'.
“trace-file”
S'il est défini, cet attribut active le traçage des opérations d'API d'authentification IBM (opérations JSON SCIM) et des opérations Active Directory dans un fichier. Le fichier n'est pas remis à zéro et il n'est pas limité en taille par l'application IcbLdapSync.exe. Assurez-vous qu'il n'utilise pas trop de ressources du système de fichiers.
“ldap-poll-time”:4
Cet attribut détermine la fréquence à laquelle IcbLdapSync.exe exécute une opération de recherche de répertoire sur le serveur LDAP pour trouver les nouvelles modifications apportées aux utilisateurs et aux groupes du répertoire. La valeur est définie en secondes. Par défaut, elle est de 4 secondes.
"enable-op-log":false
S'il est défini sur true, cet attribut active la consignation de chaque opération POST, PUT, PATCH et DELETE effectuée sur les utilisateurs et les groupes de l'annuaire Verify-SCIM. POST == create, PUT == update full object, PATCH == modify attribute[s] of object, DELETE = delete entry. Le format de fichier se compose de lignes d'opérations, chaque ligne contient des valeurs séparées par des virgules de:
{utc-date},{operation},{ldap-dn},{Verify-scim-id},{status}
Par exemple :
"Mon Jun 24 20:33:24 2019","POST","cn=testuser,o=ibm","600000GF7B","201" 
"Mon Jun 24 20:33:55 2019","PATCH","cn=testuser,o=ibm","600000GF7B","204"
{utc-date} est l'heure à laquelle l'opération a débuté. L'heure de fin n'est pas enregistrée.
"op-log-file": “{install-directory} [/{instance}]/op_log/op_log.csv”
Nom du fichier dans lequel consigner les opérations Verify-SCIM.
Remarque: “{install-directory}”et “{instance}” sont des variables. Ces variables représentent le chemin d'accès au répertoire d'installation et le nom d'instance facultatif de l'application pour cette description.
"op-log-rollover":2097152
Taille maximale approximative du fichier op_log avant sa remise à zéro. Lorsqu'une remise à zéro se produit, le fichier op_log est renommé. L'horodatage UTCtimestamp en cours exprimé en secondes est ajouté au nom de ce fichier. Les opérations suivantes sont alors consignées dans un nouveau fichier op_log.
Remarque: En raison du traitement multitâche, l'ordre des dates peut ne pas être conservé pour les entrées de ce fichier.
"cookie-file": “{install-directory} [/{instance}]/cookie.bin
Fichier dans lequel stocker le cookie d'état de réplication. Cet attribut permet à l'application de redémarrer tout en maintenant son stade de réplication. Un extension “.bkp” du cookie est créée à chaque fois qu'un nouvel état est atteint.
Remarque: “{install-directory}”et “{instance}” sont des variables. Il ne s'agit pas de valeurs valides à utiliser. Ces valeurs représentent le chemin d'accès au répertoire d'installation et le nom d'instance facultatif de l'application pour cette description.
"ldap-conn-idle-timeout": 30
Si la connexion au répertoire reste inutilisée plus longtemps que cette durée, elle est fermée la prochaine fois qu'elle est demandée. Une nouvelle connexion de répertoire est créée. Cet attribut est utilisé pour éviter des dépassements de délai d'attente avec des pare-feux.
"ldap-conn-max-timeout": 300
Durée maximale d'utilisation d'une connexion de répertoire avant sa fermeture et l'établissement d'une nouvelle connexion. Cet attribut est utilisé pour éviter des limites configurées pour des connexions avec le serveur d'annuaire.
"nested-groups" : false
Désactive ou active la prise en charge des groupes en tant que membres de groupes. Si la valeur est true, les membres de groupe qui sont des groupes sont reconnus et répliqués dans le répertoire cloud. Si la valeur est false, ils sont ignorés.
"status-port" : 1234
Si cette entrée est définie dans le fichier de configuration, elle active le processus IcbLdapSync.exe pour écouter sur le port spécifié les connexions sur l'interface de bouclage (EG 127.0.0.1). Une fois la connexion établie, toutes les entrées de journal d'événements sont envoyées sur la connexion.
"ldap-use-paging" : false
Désactive ou active l'utilisation du protocole de pagination LDAP. L'utilisation du contrôle de pagination LDAP permet d'obtenir des jeux de résultats de recherche plus importants. Cependant, il peut s'agir d'une ressource limitée et nécessiter des droits particuliers de l'annuaire LDAP. Un jeu de résultats de recherche important est courant pour le premier passage si le répertoire est volumineux.
"do-not-sync-delete" : false
Si la valeur est définie sur true, les opérations de suppression ne sont pas synchronisées entre le répertoire LDAP et le répertoire cloud.
"scim-threads": 1
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 1. Cette option de performance permet d'appliquer plusieurs modifications LDAP à Cloud Directory en parallèle, mais uniquement si les opérations concernent des entrées non liées. Un petit nombre d'opérations parallèles permet un débit de modifications plus important dans Cloud Directory. N'utilisez pas cette option avec des versions antérieures du produit.
"do-not-sync-groups": false
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est false. S'il est défini sur true, Directory Sync ne synchronise pas les objets de groupe.
"changelog-size-limit": 300
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 300. Pour IBM Directory Server uniquement. Lorsque Directory Sync recherche des entrées changelog, il limite le nombre d'entrées extraites dans chaque passe.
"ci-retries": 12
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 12. Lorsque Directory Sync applique les modifications à Cloud Directory, il utilise l'interface REST SCIM Cloud Directory. Si un incident se produit lors du démarrage d'un appel REST SCIM, Directory Sync relance l'opération jusqu'à "ci-retries" fois pour tenter de résoudre les incidents temporaires. Définissez cette valeur sur 0 pour désactiver les nouvelles tentatives. De nouvelles tentatives sont effectuées pour toutes les erreurs HTTP 5xx et certaines erreurs HTTP 4xx, mais uniquement si le corps de réponse n'a pas le type de contenu "application/scim+json" et que la connexion au noeud final REST SCIM ne peut pas être créée ou terminée.
"ci-retry-pause": 5
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 5. Cet attribut spécifie le nombre de secondes pendant lequel Directory Sync attend entre les relances pour les appels REST SCIM ayant échoué. Les valeurs valides sont comprises entre 1 et 100. Les valeurs en dehors de cette plage sont automatiquement ramenées dans cette plage.
"end-on-ci-retry-failure": false
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est false. Si cette option est définie sur true, le processus Directory Sync se termine après la première erreur irrémédiable.
"end-on-seq-failures": 0
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 0. Si cette option est définie sur une valeur supérieure à 0, le processus Directory Sync se termine après l'exécution du nombre spécifié d'erreurs irrémédiables sans intervention réussie.
"changelog-ignore-suffixes": [ "ou=other1,o=ibm,c=us", "ou=other2,o=ibm,c=us" ]
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est définie sur un tableau vide. Pour IBM Directory Server uniquement. Cette option de performance permet à Directory Sync d'ignorer immédiatement les entrées changelog ayant un élément targetdn qui est un enfant de sous-enfant de l'un des suffixes spécifiés. En général, les entrées Changelog ne possèdent pas l'attribut objectClass. Directory Sync doit effectuer une recherche dans Cloud Directory pour déterminer s'il existe une entrée synchronisée correspondante pour la modification. Si la modification n'est pas destinée à une entrée synchronisée Cloud Directory, la recherche réduit les performances. Si l'on évite ces recherches pour les branches importantes de l'arborescence des annuaires IBM Directory Server qui ont des entrées non synchronisées, les performances peuvent être améliorées.
"trace-rollover": 0
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est 0. Si la valeur est définie sur 0 octets, le "trace-file" (fichier de trace) n'effectue pas de récupération aval et continue de croître avec l'activité de synchronisation d'annuaire. S'il est défini sur une valeur supérieure à 0, lorsque le fichier dépasse la valeur en raison d'un bloc de trace, le fichier de trace est renommé et un nouveau fichier de trace est démarré. La valeur d'horodatage UNIX en cours est ajoutée au fichier de trace remis à zéro et renommé.
"op-log-add-skipped": false
Cet attribut est facultatif. S'il n'est pas spécifié, la valeur par défaut est false. Si Directory Sync détermine qu'une modification LDAP n'est pas pertinente pour la synchronisation, il l'ignore sans créer d'enregistrement. Si cette option est définie sur true, elle génère une entrée dans op_log avec le LDAP DN approprié afin que les administrateurs puissent surveiller les opérations qui sont ignorées.
"log-stats-interval": 0
Le paramètre par défaut est de 0 secondes. S'il est défini sur un entier supérieur à 0, il active une fonction permettant de consigner périodiquement des événements Info level dans Windows Event Log chaque intervalle avec des statistiques opérationnelles. Les événements se présentent sous la forme suivante.
LE=%1 CE=%2 CU=%3 CG=%4 MU=%5 MG=%6 DU=%7 DG=%8
  • LE=Nombre d'erreurs AD/LDAP
  • CE=Nombre d'erreurs d'API Verify (communication au titulaire)
  • CU=Nombre de créations d'utilisateur
  • CG=Nombre de créations de groupe
  • MU=Nombre d'opérations de modification d'utilisateur
  • MG=Nombre d'opérations de modification de groupe
  • DU=Nombre d'opérations de suppression d'utilisateur
  • DG=Nombre d'opérations de suppression de groupe