Sincronizzazione del registro utenti LDAP

La sincronizzazione del registro utenti semplifica la gestione utenti di Maximo® Application Suite sincronizzando utenti e gruppi tra un server LDAP e il registro utenti Maximo Application Suite locale. 

Sincronizzazione utente

La sincronizzazione è un modo, dal server LDAP a Maximo Application Suite, e tutti gli aggiornamenti sul lato LDAP vengono uniti al momento della sincronizzazione.

Se il proprio ambiente è configurato per l' autenticazione LDAP, è possibile sincronizzare il registro utenti e gruppi completo oppure è possibile sincronizzare un sottoinsieme filtrato del registro utenti LDAP.

Se l'ambiente è configurato per l'autenticazione locale o SAML, è possibile specificare un server LDAP esterno per sincronizzare gli utenti e i gruppi con.

Durante la sincronizzazione, gli utenti LDAP associati vengono aggiunti automaticamente come utenti Maximo Application Suite . Quando l'utente viene sincronizzato da LDAP, il nome del campo owner è impostato su scim in MongoDB, il che significa che si tratta di un utente gestito esternamente.

Gli utenti sincroni vengono inizialmente aggiunti con solo la titolarità dell'applicazione ma possono essere assegnabili la titolarità dell'amministrazione se necessario. Agli utenti può essere concesso anche un accesso specifico alle applicazioni durante la sincronizzazione iniziale.

Generalmente, le informazioni personali sincronizzate non possono essere aggiornate in Maximo Application Suite. In Maximo Application Suiteè possibile gestire solo la titolarità utente e l'accesso all'applicazione. Se l'autenticazione utente è locale, le password possono essere gestite anche in Maximo Application Suite.

Importante: poiché la sincronizzazione viene eseguita in base a una pianificazione, potrebbero essere introdotte temporaneamente delle discrepanze tra le sincronizzazioni. Ad esempio, se un ID utente precedentemente sincronizzato viene rimosso da LDAP, tale ID utente può essere ancora utilizzato per accedere a Maximo Application Suite fino a quando non viene sincronizzata la rimozione dell'utente. Se gli utenti LDAP sincronizzati utilizzano l'autenticazione locale, l'ID utente dispone ancora dell'accesso. Se viene utilizzata l'autenticazione LDAP o SAML, il login non riesce perché l'utente non è più attivo in LDAP.

Sincronizzazione di utenti e gruppi con SCIM 2.0

Iniziando da Maximo Application Suite 9.0, è possibile sincronizzare utenti e gruppi da un provider di identità esterno (IdP) utilizzando il protocollo SCIM (System for Cross - domain Identity Management) 2.0 . Per ulteriori informazioni, consultare Sincronizzazione utente con SCIM 2.0

Operazioni di sincronizzazione di utenti e gruppi

Sono supportate le seguenti operazioni di sincronizzazione dell'utente e del gruppo.

Operazioni utente
Tabella 1. Operazioni di sincronizzazione utente
Operazione Descrizione
Insert Aggiunge un utente se non esiste nel Registro utenti di Maximo Application Suite . Se l'utente è stato precedentemente disattivato come risultato della rimozione dal server LDAP, ma ora viene nuovamente aggiunto al server LDAP, viene riattivato. L'utente viene inizialmente impostato con un provider di identità (IDP), diritto e accesso applicativo. Se SMTP è configurato, anche gli utenti appena creati riceveranno un'email di benvenuto.
Update Aggiorna un utente se esiste nel Registro utenti di Maximo Application Suite . La titolarità utente e l'accesso delle applicazioni non sono aggiornati.
Skip Ignora l'aggiornamento utente se non si sono verificate modifiche nel server LDAP dall'ultima sincronizzazione. Il campo verificato è ldap.meta.lastModified.
Delete Disattiva l'utente in Maximo Application Suite se l'utente viene rimosso dal server LDAP.
Operazioni di gruppo
Tabella 2. Operazioni di sincronizzazione gruppi
Operazione Descrizione
Insert Aggiunge un gruppo se non esiste nel Registro utente di Maximo Application Suite .
Update Aggiorna un utente se esiste nel Registro utenti di Maximo Application Suite . La titolarità utente e l'accesso delle applicazioni non sono aggiornati.

I gruppi vengono sempre aggiornati e Maximo Application Suite non li elimina come parte del processo di sincronizzazione.

Attributi di configurazione LDAP

Maximo Application Suite La configurazione del filtro LDAP si basa su IBM® Liberty.

I seguenti esempi di configurazione si basano su Microsoft Active Directory. Fare riferimento a IBM Liberty documentazione per altri tipi di registri utenti.

Tabella 3. Attributi Configurazione di LDAP
Parametro Dettagli Esempio
URL L' URL del server LDAP è nel formato: protocol://<hostname>:<port>
Nota: Secure LDAP (LDAPS) è l'unico protocollo consentito. Le connessioni non TLS non sono consentite.
 Example: ldaps://MSAD2021.fyre.ibm.com:636
Base DN Il percorso nella gerarchia di oggetti del server di directory. Example: OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
Bind DN Il DN di collegamento viene utilizzato per legarsi ad un server LDAP. Gli amministratori devono disporre di privilegi sufficienti per ricercare gli utenti nel DN di ricerca utente o i gruppi nel DN di ricerca gruppo. Example: CN=wilson,OU=users,OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
Bind PW Password admin LDAP
Certificate Il certificato TLS per il tuo server LDAP. È inoltre possibile aggiungere più certificati se si utilizza una catena di certificati.
User Base DN Il percorso a livello utente nella gerarchia di oggetti del server di directory. Se non viene fornito, per impostazione predefinita viene utilizzato il baseDN . Example: OU=users,OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
userFilter La query che viene utilizzata per cercare gli utenti nella directory.

Example 1: (&(sAMAccountName=%v)(objectcategory=user))

Example 2: (&(sAMAccountName=%v)(objectclass=user))
userIdMap Il campo che viene utilizzato per gli ID utente Example: user:<sAMAccountName>
Group Base DN Il percorso a livello di gruppo nella gerarchia di oggetti del directory server. Se non viene fornito, per impostazione predefinita viene utilizzato il baseDN . Example: OU=groups,OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
groupFilter La query che viene utilizzata per cercare i gruppi nella directory.

Example 1: (&(cn=%v)(objectcategory=group))

Example 2: (&(cn=%v)(objectclass=group))
groupIdMap Il campo che viene utilizzato per il gruppo ID. Example: *:cn
groupMemberIdMap Un filtro LDAP che identifica le appartenenze al gruppo per gli utenti. Example: memberOf:member

Associazione registro utenti e gruppi

Il modello di dati utente Maximo Application Suite si basa sulla mappatura personalizzata dei dati utente sincronizzati con il server LDAP.

A partire da Maximo Application Suite 9.0, è possibile configurare la sincronizzazione del registro utenti per associare i dati per gli utenti da LDAP con Maximo Application Suite nell'interfaccia utente.

Per associare i dati utente o gruppo, nella pagina Amministrazione suite , selezionare Configurazioni dal menu di navigazione laterale e fare clic su Sincronizzazione registro utenti. È anche possibile utilizzare un valore predefinito impostato dal sistema. Se non si specificano i valori dei campi personalizzati, vengono utilizzati i valori predefiniti.

Associazione utente
È possibile utilizzare le seguenti proprietà utente per mappare tra Maximo Application Suite e LDAP specificando il campo in LDAP che si associa al campo proprietà in Maximo Application Suite.
Proprietà utente standard
  • id
  • username
  • displayName
  • title
  • familyName
  • givenName
  • email
  • phoneNumber
Estensioni
  • employeeNumber
  • costCenter
  • organization
  • division
  • department
  • manager
Le estensioni supportano nomi di proprietà personalizzate che è possibile associare agli attributi LDAP.
A partire da Maximo Application Suite 9.0.2, per garantire che non vengano utilizzati i valori standard degli utenti LDAP quando si mappano i valori delle proprietà utente, impostare il valore del parametro 'forceMappedValue su 'True nella proprietà 'spec.config della risorsa personalizzata 'ScimCFG Red Hat® OpenShift®.
---
spec:
  config:
     forceMappedValue: true
     ...
     userSync:
     ...
      mappings:
        standard:
         displayName: myDisplayName 
         phoneNumber: myPhoneNumber
         ...
Se il valore forceMappedValueè True
  • Quando il valore forceMappedValue è True, la sincronizzazione degli utenti può essere modificata per utilizzare la mappatura personalizzata quando si estraggono i dati dagli utenti LDAP. Se il nome della proprietà non viene trovato nell'utente LDAP, la stringa NOT_PROVIDED viene utilizzata come valore per la proprietà corrispondente Maximo Application Suite proprietà corrispondente.
  • Per le mappature 'email e 'phoneNumber, se i nomi delle proprietà mappate personalizzate non vengono trovati nell'utente LDAP, vengono impostati array vuoti per le proprietà 'emails e 'phoneNumbers dell'utente Maximo Application Suite, invece di tornare alle proprietà predefinite 'emails e 'phoneNumber degli utenti LDAP.
Se il valore forceMappedValue è False
  • Quando il valore forceMappedValue rimane quello predefinito di False, la sincronizzazione degli utenti utilizza la mappatura personalizzata quando estrae i dati dagli utenti LDAP. Se il nome della proprietà non viene trovato nell'utente LDAP, la sincronizzazione degli utenti utilizza la mappatura predefinita quando preleva i dati dagli utenti LDAP. Se la proprietà non viene trovata nell'utente LDAP né con una mappatura personalizzata né con una mappatura predefinita, la stringa NOT_PROVIDED viene utilizzata come valore per la corrispondente proprietà dell'utente MAS.
  • Per le mappature email e phoneNumbers , vengono utilizzati array vuoti se non vengono trovate mappature personalizzate o predefinite.
Associazione gruppo

È possibile utilizzare le proprietà del gruppo riportate di seguito per eseguire l'associazione tra Maximo Application Suite e LDAP specificando il campo in LDAP associato al campo proprietà in Maximo Application Suite.

Proprietà utente standard
  • id
  • displayName
Le proprietà delle estensioni supportano nomi di proprietà personalizzati che è possibile associare agli attributi LDAP.

Se si stanno mappando le seguenti proprietà, esaminare le seguenti considerazioni:

Nota:

Quando si utilizza l'associazione personalizzata, i valori dei campi devono essere univoci in LDAP. I caratteri consentiti per id e username sono lettere e numeri, -, @, ., _ senza spaziatura.

id

Dopo la sincronizzazione iniziale, se si configura l'associazione di proprietà per id, è necessario eliminare manualmente gli utenti di proprietà SCIM esistenti che hanno il valore SCIM nella proprietà owner dal database Maximo Application Suite .

È possibile eliminare gli utenti di proprietà SCIM esistenti immettendo il seguente comando in MongoDB
db.getCollection("User").deleteMany({"owner": "scim"})

L'eliminazione di utenti di proprietà SCIM esistenti è richiesta perché gli utenti inclusi nel successivo lavoro cron di sincronizzazione pianificato vengono considerati nuovi utenti con ID differenti. In caso contrario, la sincronizzazione di tali utenti avrà esito negativo poiché gli utenti esistenti nel database hanno lo stesso nome utente e la stessa email.

username
La configurazione dell'associazione di proprietà per username potrebbe influire sulla capacità dell'utente di eseguire l'autenticazione.
email e phoneNumber

Quando le proprietà email o phoneNumber non sono associate, una o più email LDAP e uno o più numeri di telefono LDAP vengono copiati nei record utente Maximo Application Suite . Questa sincronizzazione si basa sulla definizione di numeri di telefono ed email disponibili per ciascun utente nel server LDAP.

Se si specifica la mappatura per la proprietà email o phoneNumber , solo un'email e solo un numero di telefono specificato dal valore mappato vengono copiati dall'utente LDAP in Maximo Application Suite.

Se gli utenti hanno più email o numeri di telefono che potrebbero essere duplicati, la sincronizzazione potrebbe non riuscire. Per assicurarsi che i dati siano sincronizzati correttamente, utilizzare le informazioni email e phoneNumber univoche per ogni utente.

Per informazioni ed esempi sulla mappatura dei dati di utenti e gruppi, vedere Mappatura degli utenti LDAP da Microsoft Active Directory e Mappatura dei gruppi da LDAP per visualizzare le descrizioni dei gruppi.

Estensioni

In Maximo Application Suite 8.11 e versioni precedenti, i campi di estensione elencati nella tabella seguente non sono inclusi nell'interfaccia utente di Maximo Application Suite . Fanno parte dell'oggetto utente Maximo Application Suite e possono essere utilizzati dalle applicazioni.

La seguente tabella mostra come i campi LDAP si associano all'oggetto utente Maximo Application Suite .

Tabella 4. Campi estensione LDAP
Campo LDAP Dettagli
employeeNumber Identificativo stringa, tipicamente numerico o alfanumerico, che viene assegnato a una persona, tipicamente basato su ordine di noleggio o associazione con un'organizzazione.
costCenter Identifica il nome di un centro di costo.
organization Identifica il nome di un'organizzazione.
division Identifica il nome di una divisione.
department Identifica il nome di un reparto.
manager Il gestore dell'utente. Un tipo complesso che consente ai fornitori di servizi di rappresentare una gerarchia organizzativa facendo riferimento all'attributo "ID" di un altro utente.

Personalizzazioni in ScimCfg Custom Resource

A partire da Maximo Application Suite 8.9, è possibile modificare alcune configurazioni nella risorsa personalizzata ScimCfg poiché le configurazioni non sono disponibili nell'interfaccia utente di Maximo Application Suite .

Aggiungere le seguenti proprietà in spec.config della risorsa personalizzata ScimCfg :
customMaxSearchResults
Utilizzare customMaxSearchResults per configurare il numero massimo di voci che è possibile restituire in una ricerca.
ldapType
Utilizzare la proprietà 'ldapType per sovrascrivere l'impostazione predefinita 'Custom per 'ldapType nella configurazione <ldapRegistry> del server. Sono supportati i seguenti server LDAP:
  • Personalizzato, che è il valore predefinito.
  • IBM Lotus Domino
  • IBM SecureWay Server di directory
  • IBM Tivoli® Directory Server
  • Microsoft Active Directory
  • Server di directory Netscape
  • eDirectory Novell
  • Server Sun Java™ System Directory
customLdapRegistryExtensions
Utilizzare la proprietà 'customLdapRegistryExtensions per sovrascrivere le impostazioni predefinite per la configurazione di <ldapRegistry>.

Per ulteriori informazioni sulle impostazioni supportate, vedere Registro utenti LDAP.

Le eccezioni sono ldapType perché questa proprietà è configurabile in una proprietà autonoma separata, le proprietà esposte tramite le API CRUD Scim Sync , le proprietà dell'interfaccia utente come host, port, bindDN, bindPassword, baseDNe alcune proprietà che non è possibile modificare come id e realm.

Le proprietà rimanenti possono essere aggiunte in customLdapRegistryExtensions. Per ulteriori informazioni sull'aggiunta delle proprietà, vedere il formato specificato da Websphere Liberty.

Nota: le proprietà non sono esposte tramite sincronizzazione LDAP o interfaccia utente. Tuttavia, l'aggiornamento della configurazione di sincronizzazione LDAP tramite API o UI non sovrascrive queste impostazioni.

Limitazioni

  • In Maximo Application Suite 9.0 e precedenti, la sincronizzazione degli utenti è supportata per un singolo server LDAP.
  • L'utente e il sync di gruppo vengono effettuati nello stesso lavoro.
  • La sincronizzazione mediante le API SCIM esterne non è supportata.