O objeto JSON de ponte de nuvem

Editar online

O arquivo de configuração para o objeto JSON de ponte de nuvem usa os atributos e definições a seguir.

Entradas de opção e, se opcional, os valores padrão

"ldap-search-filter"
VerifyUtilizado para selecionar quais entradas de usuários e grupos no Active Directory devem ser replicadas para o diretório -SCIM. Esse parâmetro deve ser fornecido. Esse valor não deve ser alterado entre duas execuções de IcbLdapSync.exe, de forma que o resultado da entrada correspondente configure mudanças. O filtro não pode referenciar atributos que mudam durante o tempo de vida de cada entrada no conjunto de resultados que inclui o atributo referenciado. Active DirectoryOs atributos referenciados devem existir no momento da criação do registro a ser sincronizado; portanto, para registros de usuários, não utilize atributos de pertencimento a grupos, como memberOf para ou ibm-allGroups para IBM® Directory Server , pois esses atributos não são definidos quando os registros de usuários são criados inicialmente.
"user-sync-filter"
Essa opção permite que usuários sejam criados ou excluídos dinamicamente no Verify Cloud Directory, dependendo de a entrada correspondente no AD ou no LDAP corresponder ou não à lógica de filtragem. Defina esta opção apenas para a primeira sincronização. Não altere essa configuração posteriormente, pois ela não corrige automaticamente o conjunto de usuários existente para o novo conjunto correspondente. Se for necessário alterar essa opção após a primeira sincronização, o serviço Directory Sync deverá ser interrompido. Em seguida, execute o programa uma vez manualmente como administrador. Use IcbLdapSync -rebuild no diretório de instalação para reajustar o conjunto de usuários que estão sendo sincronizados ativamente.

Se essa opção não for utilizada, após a primeira etapa de configuração, um usuário só será criado ou excluído no Verify Cloud Directory quando o usuário correspondente do AD ou do LDAP for criado ou excluído. Isso ocorre apenas quando o usuário criado no AD ou no LDAP corresponde ao ldap-search-filter. Se o usuário não estiver registrado no Verify Cloud Directory, o Directory Sync sempre o ignorará. Mesmo que, posteriormente, o usuário existente no AD ou no LDAP seja modificado para corresponder ao novo ldap-search-filter, o Directory Sync continuará a ignorá-lo. Esse comportamento é importante para os administradores, que desejam sincronizar usuários com base na pertença a grupos. Quando os usuários são criados no AD ou no LDAP, eles não fazem parte de nenhum grupo. Portanto, eles nunca coincidem com o ldap-search-filter no momento da criação e não são criados nem sincronizados.

Com essa user-sync-filter opção, se um usuário do AD ou do LDAP for alterado para corresponder ao user-sync-filter, o Directory Sync busca os dados atuais do usuário no AD ou no LDAP. Se o usuário não existir, ele cria o usuário correspondente no Verify Cloud Directory. O usuário é mantido sincronizado com o AD ou o LDAP. Quando um usuário do AD ou d LDAP e é modificado de forma que não corresponda mais ao user-sync-filter, caso o usuário exista, o Directory Sync exclui o usuário do Verify Cloud Directory.

A criação e a exclusão de usuários com base na user-sync-filter correspondência ocorrem dinamicamente. O Directory Sync monitora as alterações nos atributos e grupos referenciados no filtro e reavalia o filtro para os usuários associados.

ldap-search-filterAs opções, ldap-base-dn, e ignore-suffixes continuam em vigor. Portanto, devem ser definidos de forma suficientemente ampla para abranger todos os usuários monitorados pelo user-sync-filter.

Essa opção do-not-sync-delete não se aplica a user-sync-filter exclusões. No entanto, isso se aplica a quaisquer exclusões de usuários relatadas pelo AD ou pelo LDAP.

O formato de user-sync-filter é um subconjunto da especificação do filtro de pesquisa do LDAP. Este filtro nunca é repassado para o LDAP ou para o AD. O Directory Sync avalia o filtro internamente à medida que detecta alterações nos atributos e grupos referenciados no filtro. <=Este filtro não suporta as operações de filtro LDAP >=, as regras de correspondência mais flexíveis e a subcadeia. Os nomes dos atributos não podem conter OIDs.

Apenas as seguintes regras de correspondência extensíveis são compatíveis com user-sync-filter.
Nome da funcionalidade OID
LDAP_MATCHING_RULE_BIT_AND 1.2.840.113556.1.4.803
LDAP_MATCHING_RULE_BIT_OR 1.2.840.113556.1.4.804 
ABNF notation:

        filter     = "(" filtercomp ")"
        filtercomp = and / or / not / item
        and        = "&" filterlist
        or         = "|" filterlist
        not        = "!" filter
        filterlist = 1*filter
        item       = simple / present
        simple     = attr equal value
        equal      = "="
        present    = attr "=*"
        attr       = [ "memberOf" | "ibm-allGroups" ] / attributename
        value      = escapedText
        
The evaluation of "equal" is a case insensitive string match.

If a value should contain any of the following characters

           Character       ASCII value
           ---------------------------
           *               0x2a
           (               0x28
           )               0x29
           \               0x5c
           NUL             0x00

the character must be encoded as the backslash '\' character (ASCII
0x5c) followed by the two hexadecimal digits representing the ASCII
value of the encoded character. The case of the two hexadecimal
digits is not significant.

Other characters besides the ones listed above may be escaped using
this mechanism, for example, non-printing characters.
Nota:
  • Preste atenção especial ao uso de \ dentro do valor JSON; ele precisa ser duplicado, \\, pois se trata de um caractere de escape utilizado pelo JSON.
  • O NUL (0x00) caractere não é compatível e apenas os caracteres do valor que precedem o NUL são utilizados.
  • A correspondência de grupos aninhados no AD não é suportada.
  • Use memberOf apenas para verificar a pertença a grupos no AD e no AD-LDS.
  • Utilize ibm-allGroups apenas para verificar a pertença a grupos no Diretório do IBM Verify.
No exemplo a seguir user-sync-filter , o administrador determinou que um usuário deve ter o atributo department com o valor abcd123 e (&) ser membro do grupo "testgroupX". O grupo é especificado por meio de seu Nome Distinto (DN):
"user-sync-filter": "(&(department=abcd123)(memberOf=CN=testgroupX,CN=Users,DC=mydom,DC=com))",
"ldap-base-dn"
Todos os usuários e grupos replicados devem ter esse DN como pai, caso contrário, eles serão ignorados. Para o AD, esse valor é padronizado para o valor defaultNamingContext. Para LDAP ISDS, esse valor é padronizado para o primeiro valor namingContexts não sistêmico. Esse valor não pode ser alterado entre duas execuções do IcbLdapSync.exe, sendo assim, o conjunto de resultados de entrada correspondente muda.
"ignore-suffixes"
Esse atributo identifica uma matriz de Nomes Distintos (DNs) no LDAP de origem. As entradas filhas, incluindo elas mesmas, em cada um desses DNs são ignoradas e não sincronizadas. O valor padrão é []. Outro exemplo é
[ “cn=branch1,o=ibm,c=us”, “cn=branch3,o=ibm,c=us” ]
"ldap-external-id-attr"
Este atributo é usado para identificar com exclusividade uma entrada do Active Directory. VerifyO atributo é armazenado no diretório -SCIM para manter uma conexão entre os dois registros para essa entrada específica. Este atributo não deve ser alterado em relação ao valor fornecido nos arquivos de exemplo para cada servidor específico Active Directory .
"ldap-dn-to-ascii-lower":false
Se definido como verdadeiro, todos Active Directory os valores de DN terão os caracteres ‘A’→‘Z’ convertidos para ‘a’→‘z’, de acordo com a conversão para letras minúsculas do inglês. Nenhum outro caractere UTF-8 é modificado. VerifyEsse atributo é utilizado principalmente na sincronização ISDS, uma vez que os valores DN são usados para associar Active Directory entidades a entidades SCIM. Essa conversão pode causar problemas em outros códigos de idioma, como o turco, com sua conversão em letras maiúsculas "I" para "i". Além disso, pode não ser suficiente se vários atributos DN que se referem à mesma Active Directory entrada apresentarem diferenças de maiúsculas e minúsculas com caracteres fora do intervalo ‘A’→’Z’.
“trace-file”
Se definido, este atributo permite o registro das operações da API de autenticação do IBM (operações SCIM em JSON) em Active Directory um arquivo. O arquivo não é substituído e não é limitado no tamanho pelo aplicativo IcbLdapSync.exe. Assegure-se de que ele não use muitos dos recursos do sistema de arquivos.
“ldap-poll-time”:4
Este atributo determina com que frequência o IcbLdapSync.exe executa uma operação de procura de diretório no servidor LDAP para localizar novas mudanças que são feitas nos usuários e grupos de diretórios. O valor é configurado em segundos. A configuração padrão é quatro segundos.
"enable-op-log":false
VerifySe definido como true, este atributo habilita o registro de cada operação POST, PUT, PATCH e DELETE realizada nos usuários e grupos do diretório -SCIM. POST == create, PUT == update full object, PATCH == modify attribute[s] of object, DELETE = delete entry. O formato do arquivo consiste em linhas de operações, sendo que cada linha contém valores separados por vírgulas de:
{utc-date},{operation},{ldap-dn},{Verify-scim-id},{status}
Por Exemplo:
"Mon Jun 24 20:33:24 2019","POST","cn=testuser,o=ibm","600000GF7B","201" 
"Mon Jun 24 20:33:55 2019","PATCH","cn=testuser,o=ibm","600000GF7B","204"
O {utc-date} é o momento em que a operação é iniciada. O tempo de conclusão não é registrado.
"op-log-file": “{install-directory} [/{instance}]/op_log/op_log.csv”
VerifyO nome do arquivo no qual as operações -SCIM serão registradas.
Nota: “{install-directory}”, e “{instance}” são variáveis. Essas variáveis representam o caminho do diretório de instalação e o nome da instância opcional do aplicativo para esta descrição.
"op-log-rollover":2097152
O tamanho máximo aproximado do arquivo op_log antes de ser substituído. Quando ocorre a rolagem, o arquivo op_log é renomeado anexando o registro de data e hora UTC atual em segundos decimais ao seu nome. As operações subsequentes são registradas em um novo arquivo op_log.
Observação: devido ao uso de multithreading, a ordem cronológica das entradas neste arquivo pode não ser preservada.
"cookie-file": “{install-directory} [/{instance}]/cookie.bin
O arquivo para armazenar o cookie de estado de replicação. Esse atributo permite que o aplicativo seja reiniciado e ainda mantido onde está com a replicação. Um “.bkp” do cookie é feito cada vez que um novo estado é atingido.
Nota: “{install-directory}”, e “{instance}” são variáveis. Elas não são valores válidos para usar. Esses valores representam o caminho do diretório de instalação e o nome da instância opcional do aplicativo desta descrição.
"ldap-conn-idle-timeout": 30
Se a conexão com o diretório ficar inativa por mais tempo do que esse, ela será encerrada na próxima vez que for solicitada. É criada uma nova conexão de diretório. Esse atributo é usado para evitar que tempos limite sejam atingidos com firewalls.
"ldap-conn-max-timeout": 300
O tempo máximo durante o qual uma conexão de diretório é utilizada antes de ser encerrada e uma nova conexão ser estabelecida. Este atributo é usado para evitar limites configurados para conexões com o servidor de diretório.
"nested-groups" : false
Desativa ou ativa o suporte para grupos como membros de grupos. Se configurado como true, os membros de grupo que são grupos serão reconhecidos e replicados no Cloud Directory. Se configurado como false, eles serão ignorados.
"status-port" : 1234
Se definida no arquivo de configuração, essa entrada permite que o processo IcbLdapSync.exe atenda na porta especificada para conexões na interface de loopback (EG 127.0.0.1). Depois que uma conexão é feita, quaisquer entradas de log de evento são enviadas na conexão.
"ldap-use-paging" : false
Desativa ou ativa o uso do controle de paginação do LDAP. O uso do controle de paginação LDAP permite os maiores conjuntos de retorno de procura. No entanto, isso pode ser um recurso limitado e requerer permissões especiais pelo diretório LDAP. Um conjunto de retorno de procura grande é típico para a primeira aprovação, caso o diretório seja grande.
"do-not-sync-delete" : false
Se configurado como true, as operações de exclusão não serão sincronizadas do diretório LDAP para o Cloud Directory.
"scim-threads": 1
Este atributo é opcional. Se não especificado, o padrão será configurado como 1. Essa opção de desempenho permite que várias mudanças de LDAP sejam aplicadas no Cloud Directory em paralelo, mas somente se as operações forem para entradas não relacionadas. Algumas operações paralelas permitem maior rendimento de mudanças no Cloud Directory. Não use essa opção com versões anteriores do produto.
"do-not-sync-groups": false
Este atributo é opcional. Se não especificado, o padrão será configurado como false. Se configurado como true, o Directory Sync não sincronizará os objetos do grupo.
"changelog-size-limit": 300
Este atributo é opcional. Se não especificado, o padrão será configurado como 300. Por IBM Directory Server apenas. Quando o Diretório Sync está procurando entradas do changelog, ele limita o número de entradas buscadas em cada passagem.
"ci-retries": 12
Este atributo é opcional. Se não especificado, o padrão será configurado como 12. Quando o Directory Sync aplica as mudanças no Cloud Directory, ele usa a interface REST do SCIM do Cloud Directory. Se uma falha ocorrer ao iniciar uma chamada de REST do SCIM, o Directory Sync tentará a operação novamente até "ci-retries" vezes em uma tentativa de superar as falhas temporárias. A configuração desse valor como 0 desativa as novas tentativas. As tentativas de repetição ocorrem para todos os erros do tipo HTTP 5xx e para alguns erros do tipo HTTP 4xx, mas somente se o corpo da resposta não tiver o tipo de conteúdo "application/scim+json", e quando a conexão com o endpoint REST do SCIM não puder ser estabelecida ou concluída.
"ci-retry-pause": 5
Este atributo é opcional. Se não especificado, o padrão será configurado como 5. Esse atributo especifica o número de segundos que o Directory Sync aguarda entre novas tentativas de chamadas de REST do SCIM com falha. Os valores válidos estão no intervalo de 1 a 100. Os valores fora desse intervalo são eliminados automaticamente desse intervalo.
"end-on-ci-retry-failure": false
Este atributo é opcional. Se não especificado, o padrão será configurado como false. Se essa opção for configurada como true, o processo do Directory Sync terminará após o primeiro erro irrecuperável.
"end-on-seq-failures": 0
Este atributo é opcional. Se não especificado, o padrão será configurado como 0. Se essa opção for definida como um valor maior que 0, isso causará o encerramento do processo do Directory Sync após a execução do número especificado de erros irrecuperáveis sem intervir nas operações bem-sucedidas.
"changelog-ignore-suffixes": [ "ou=other1,o=ibm,c=us", "ou=other2,o=ibm,c=us" ]
Este atributo é opcional. Se não especificado, o padrão será configurado para uma matriz vazia. Por IBM Directory Server apenas. Essa opção de desempenho permite que o Directory Sync ignore imediatamente as entradas do changelog que possuem um targetdn, que é um filho de subfilho de qualquer um dos sufixos especificados. Changelog Normalmente, as entradas não apresentam esse objectClass atributo. O Diretório Sync deve procurar no Cloud Directory para determinar se existe uma entrada sincronizada correspondente para a mudança. Se a mudança não for para uma entrada sincronizada do Cloud Directory, a procura reduzirá o desempenho. Se essas procuras forem evitadas para ramificações significativas da árvore de diretórios IBM Directory Server que possuem entradas não sincronizadas, o desempenho poderá ser melhorado.
"trace-rollover": 0
Este atributo é opcional. Se não especificado, o padrão será configurado como 0. Se o valor for configurado como 0 bytes, o "trace-file" não será substituído e crescerá continuamente com a atividade do Directory Sync. Se configurado para um valor maior que 0, quando um bloco de rastreio fizer com que o arquivo exceda o valor, o arquivo de rastreio será renomeado e um novo arquivo de rastreio será iniciado. O valor de registro de data e hora do UNIX atual é incluído no arquivo de rastreio substituído renomeado.
"op-log-add-skipped": false
Este atributo é opcional. Se não especificado, o padrão será configurado como false. Se o Directory Sync determinar que uma mudança LDAP não é relevante para a sincronização, ele a ignorará sem registro. Se essa opção for configurada como true, ela emitirá uma entrada no op_log com o LDAP DN relevante para que os administradores possam monitorar as operações que são ignoradas.
"log-stats-interval": 0
A configuração padrão é zero segundo. Se configurado como um número inteiro maior que zero, ele ativará um recurso para registrar periodicamente eventos de Info level no Windows Event Log a cada intervalo com algumas estatísticas operacionais. Os eventos estão no formato a seguir.
LE=%1 CE=%2 CU=%3 CG=%4 MU=%5 MG=%6 DU=%7 DG=%8
Em que
  • LE = Número de erros de AD/LDAP
  • CE = Número de erros de API de verificação (comunicação ao cliente)
  • CU = Número de criações de Usuário
  • CG = Número de criações de Grupo
  • MU = Número de operações de Modificação de usuário
  • MG = Número de operações de Modificação de grupo
  • DU = Número de operações de Exclusão de usuário
  • DG = Número de operações de Exclusão de grupo