Configuration des attributs supplémentaires

Editer en ligne

L'adaptateur Office 365 est configuré pour prendre en charge tous les attributs de compte d'utilisateur standard fournis par le site Azure. Étant donné que la collecte d'attributs supplémentaires lors de la réconciliation peut avoir un impact négatif sur les performances, la prise en charge d'attributs supplémentaires peut être activée à l'aide d'un fichier de configuration. Ce fichier doit inclure les attributs supplémentaires requis par votre organisation.

A propos de cette tâche

Les attributs supplémentaires actuellement pris en charge doivent être ajoutés au fichier de configuration.

Procédure

  1. Un exemple de fichier Office365-Attributes.properties, dans lequel tous les attributs supplémentaires pris en charge sont spécifiés, est disponible dans le paquetage de l'adaptateur. Dans les détails du formulaire du connecteur d'adaptateur ou du service, vous pouvez trouver le chemin du fichier de configuration.
  2. Spécifiez l'emplacement du fichier dans le chemin du fichier de configuration. ()
    Par exemple, C:\Program Files\IBM\TDI\V7.2\timsol\properties\Office365\Office365-Attributes.properties.
    • Le fichier doit être au format .properties (suivre les étapes de la configuration du fichier Office365-Attributes.properties).
    • Le fichier doit être situé sur la même machine que celle sur laquelle tourne le répartiteur. Par exemple, <ITDI_HOME>\timsol\properties\Office365\Office365-Attributes.properties.
    • Vous devez indiquer le chemin complet du fichier dans la section Chemin du fichier de configuration du formulaire de service. Voir les détails du formulaire Service/Cible.
  3. Redémarrez le service du répartiteur et procédez au rapprochement.
    Note : Fichier de configuration des attributs supplémentaires
    • Le fichier de configuration des attributs supplémentaires (Office 365-Attributes.properties ) doit être une liste de valeurs séparées par des virgules.
    • Les noms des attributs sont sensibles à la casse.
    • Un message d'avertissement est généré dans le journal SDI pour les attributs qui ne peuvent pas être traités.
    • Si vous essayez de modifier un attribut supplémentaire et que l'opération est exécutée avec succès, l'attribut n'est pas modifié au niveau de la cible. Dans ce cas, vérifiez si cet attribut existe dans le fichier de configuration des attributs supplémentaires et si son nom correspond à celui indiqué dans le tableau des attributs utilisateur supplémentaires.
    • Si vous mettez à jour le contenu du fichier de configuration, il est nécessaire de redémarrer le répartiteur et d'effectuer une réconciliation.
    • Examinez la liste des attributs supplémentaires fournie. Déterminez les attributs essentiels, ne retenez que ceux-là et éliminez les autres de la liste. Les attributs superflus peuvent entraîner des retards de performance.
    Fichier d'échantillons de données
    Par exemple, vous pouvez fournir un attribut dans un fichier de la manière suivante et les attributs peuvent être inclus ou exclus selon les besoins.
     additionalAttributes=createdDateTime,ageGroup,businessPhones,companyName,consentProvidedForMinor,creationType,employeeHireDate,employeeId,employeeType,legalAgeGroupClassification,lastPasswordChangeDateTime,onPremisesDistinguishedName,onPremisesDomainName, onPremisesLastSyncDateTime,onPremisesSamAccountName,onPremisesSecurityIdentifier,onPremisesSyncEnabled,onPremisesUserPrincipalName,passwordPolicies,preferredDataLocation,securityIdentifier,signInSessionsValidFromDateTime,manager,mailboxSettings,mailboxSettings_FULLSUPPORT,manager_FULLSUPPORT
    Attributs sur place :
    • onPremisesDistinguishedName: Contient le nom distinctif ou DN Azure Active Directory sur site ou DN.
    • onPremisesDomainName: Contient le site domainFQDN, également appelé dnsDomainName synchronisé à partir de l'annuaire du site.
    • onPremisesLastSyncDateTime: Indique la dernière fois que l'objet a été synchronisé avec le répertoire sur site.
    • onPremisesSamAccountName: Contient le site samAccountName synchronisé à partir du répertoire sur site.
    • onPremisesSecurityIdentifier: Contient l'identifiant de sécurité sur site (SID) de l'utilisateur qui a été synchronisé entre le site et le nuage.
    • onPremisesSyncEnabled: True, si cet objet utilisateur est actuellement synchronisé à partir d'un site Active Directory (AD). Sinon, l'utilisateur n'est pas synchronisé et peut être géré dans Azure Active Directory.
    • onPremisesUserPrincipalName: Contient le site userPrincipalName synchronisé à partir du répertoire sur site.
    • ageGroup et consentProvidedForMinor: Il s'agit de propriétés facultatives utilisées par les Azure Active Directory pour s'assurer que l'utilisation d'un compte est correctement gérée en fonction des règles réglementaires liées à l'âge qui régissent le pays ou la région de l'utilisateur. La valeur de certains attributs dépend d'autres attributs. Par conséquent, lorsque vous mettez à jour ces attributs, vous devez effectuer un rapprochement pour récupérer la valeur de l'attribut dépendant.
    • legalAgeGroupClassification: Cette propriété est en lecture seule et est calculée sur la base des propriétés ageGroup et consentProvidedForMinor .
    • mailboxSettings: Les paramètres ne peuvent être ni créés ni supprimés, ils peuvent uniquement être lus et modifiés.
    • mailboxSettings_FULLSUPPORT pour activer la réconciliation complète dans mailboxSettings, utilisez cette propriété dans le fichier de configuration des attributs supplémentaires.
    • manager: Cette propriété ne supporte pas la réconciliation complète.
    • manager_FULLSUPPORT: Pour permettre une réconciliation complète dans la propriété manager , utilisez cette propriété dans le fichier de configuration des attributs supplémentaires.
    • SignIn Activity attributes (Date et heure de la dernière connexion interactive, identifiant de la demande de la dernière connexion interactive, date et heure de la dernière connexion non interactive, identifiant de la demande de la dernière connexion non interactive) : Pour obtenir les détails de cette propriété, il faut une licence Azure AD Premium P1/P2 et la permission AuditLog.Read.All .
      Remarque : dans le cas d' IBM Security Verify Governance Identity Manager, pour les attributs Date et heure de congé de l'employé et Date et heure d'embauche de l'employé, si ses valeurs de date et d'heure sont vides, alors par défaut, Never la case à cocher est activée.
    Les attributs suivants ne sont pas inclus car ils requièrent différentes licences et certains ne sont que dans la version bêta des API graphiques :
    • aboutMe - nécessite une licence SPO
    • birthday - nécessite une licence SPO
    • hireDate - nécessite une licence SPO
    • interests - nécessite une licence SPO
    • mySite - nécessite une licence SPO
    • pastProjects - nécessite une licence SPO
    • preferredName - nécessite une licence SPO
    • responsibilities - nécessite une licence SPO
    • schools - nécessite une licence SPO
    • skills - nécessite une licence SPO
    • showInAddressList - Ne pas utiliser dans Microsoft Graph. Gérer cette propriété via le centre d'administration de Microsoft 365 à la place
  4. Étapes pour mettre à jour le formulaire de conception dans IBM Security Verify Governance Identity Manager
    • Sélectionnez Configurer le système > Concevoir des formulaires.
    • Configurez le formulaire et incluez les attributs supplémentaires que vous souhaitez inclure et/ou supprimez les attributs inutiles. (Compte > Gérer > Compte > $ero365additionaldetails )
    • Cliquez sur Sauvegarder. Veillez à inclure la liste des attributs dans le fichier Attribute Additional.