Gérer le mappage de rôle Active Directory
- Dernière mise à jour2023/03/15
Gérer le mappage de rôle Active Directory
Un administrateur ou un utilisateur autorisé à afficher et à gérer les rôles peut afficher les détails des mappages de rôle Active Directory disponibles.
Prérequis
Assurez-vous que vous êtes connecté à la Control Room en tant qu'administrateur.
Par défaut, la Control Room récupère tous les groupes de sécurité dans le répertoire Utilisateurs.
Pour créer des mappages de rôles avec des filtres pour le répertoire Utilisateurs et d'autres unités organisationnelles (OU), vous devez mettre à jour le fichier um.propriétés. Dans la Control Room, le répertoire Utilisateurs est considéré comme similaire aux unités organisationnelles. Par conséquent, vous devez définir le filtre dans le fichier um.properties.
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
- Allez au domaine mydomain.com.
- Récupérez tous les groupes de sécurité de l'unité organisationnelle OU1 dont le nom de groupe commence par groupFilter.
- Récupérez tous les groupes de sécurité de l'unité organisationnelle OU2 dont le nom de groupe commence par groupFilter.
- Récupérez tous les groupes de sécurité du répertoire Utilisateurs dont le nom de groupe commence par groupFilter.
Ce paramètre garantit que les utilisateurs des unités organisationnelles OU1
et OU2
seront récupérés en plus du répertoire Utilisateurs.
Les filtres définis dans le fichier um.properties sont stockés dans la base de données. Lorsque vous mettez à jour la Control Room vers une version plus récente, la Control Room référence les filtres stockés dans la base de données car le fichier par défaut um.properties fourni avec l'installation ne contient pas ces filtres. Si vous définissez de nouveaux filtres dans le fichier um.properties par défaut, la Control Room référence les filtres définis dans le fichier um.properties et écrase ceux qui sont stockés dans la base de données.
Mappage de domaines multiples
Le mappage prend en charge plusieurs domaines séparés par une virgule.
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
- Allez au domaine mydomain2.com.
- Récupérez tous les groupes de sécurité de l'unité organisationnelle OU3.
- Récupérez tous les groupes de sécurité de l'unité organisationnelle OU4.
Récupération de groupes de sécurité à partir d'unités organisationnelles imbriquées
Exemple de récupération de groupes de sécurité à partir d'unités organisationnelles imbriquées.
Dans l'exemple suivant, « Marketing » est l'unité organisationnelle parent qui contient des unités organisationnelles imbriquées supplémentaires et des groupes de sécurité situés dans chacune de ces unités organisationnelles imbriquées.
- Marketing
- Groupe 1
- Groupe 2
- US_OU
- Groupe 3
- California_OU
- Groupe 4
- NoCal_OU
- Groupe 5
- SoCal_OU
- Groupe 6
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Mappage de rôle Active Directory
Accédez à Control Room. Vous pouvez afficher ou modifier les mappages de rôle. Vous pouvez également créer de nouveaux mappages de rôle ou redémarrer le processus de synchronisation des rôles entre la Control Room et Active Directory.
. La page affiche tous les mappages de rôle qui ont été créés dans laLorsqu'il est activé, ce processus de synchronisation est déclenché une fois par jour (1 440 minutes) par défaut. Vous pouvez déclencher des synchronisations à n'importe quel intervalle de temps en modifiant le nombre de minutes. Nous vous recommandons de définir des intervalles plus longs que ceux par défaut.
- Vous devez définir des intervalles supérieurs au paramètre par défaut, qui est de 1 440 minutes.
- La synchronisation des mappages et des utilisateurs consomme de nombreuses ressources. Nous vous recommandons de créer une liste réduite de groupes et d'attribuer des utilisateurs spécifiques à chacun de ces groupes dans Active Directory afin d'éviter tout problème d'évolutivité.
- Veillez à ne pas utiliser les mappages Importer et Ne pas importer dans le même système, car cela peut compliquer les cas d'utilisation et rendre difficile la résolution des éventuels problèmes.
- Si vous définissez les mappages Importer et Ne pas importer et incluez un utilisateur dans ces deux mappages, les mappages Importer sont prioritaires sur les mappages Ne pas importer.
Considérez ces exemples :
- Mappage AD A = Rôle A – Groupe A – Importer les utilisateurs de ce groupe dans Automation 360
- Mappage AD B = Rôle B – Groupe B – Ne pas importer les utilisateurs de ce groupe.
Où l'utilisateur D appartient aux groupes A et B dans Active Directory.
L'utilisateur D sera créé dans Automation 360 et se verra attribuer le rôle A.
- Mappage AD A = Rôle A – Groupe A – Importer les utilisateurs de ce groupe dans Automation 360
- Mappage AD B = Rôle B – Groupe B – Ne pas importer les utilisateurs de ce groupe.
- Mappage AD C = Rôle C – Groupe C – Importer les utilisateurs de ce groupe dans Automation 360
Où l'utilisateur D appartient aux groupes A, B et C dans Active Directory (AD).
L'utilisateur D sera créé dans Automation 360 et se verra attribuer les rôles A et C.
- Development
- Runtime
- AttendedRuntime
- CitizenDeveloper
Vous pouvez modifier la licence de périphérique par défaut en ajoutant le mot-clé préféré comme nouvelle entrée dans le fichier um.properties.
Mots-clés | Licence |
---|---|
Développement | Bot Creator |
Exécution | Bot Runner non assistés |
Assisté (exécution) | Bot Runner assistés |
Développeur citoyen | Développeur citoyen |
Si un utilisateur est associé à plusieurs mappages et que ces derniers disposent de la même licence de périphérique pour des options de connexion automatique différentes (activation ou désactivation), la configuration de la connexion automatique prévaut sur les autres paramètres. Par conséquent, nous vous recommandons de définir de manière cohérente l'option de connexion automatique dans tous les mappages pour les mêmes licences de périphérique.
um.ldap.groupmapping.sync.on.get.mappings=true
. La validation des mappages de rôles se produit lorsque vous synchronisez les mappages de rôles entre Active Directory et la Control Room.Vous pouvez exécuter des automatisations sur votre périphérique d'exécution de robot ou à partir d'un pool de périphériques pour lequel vous avez des privilèges de consommateur (Créer un utilisateur). Lorsque vous utilisez le mappage de rôle Active Directory, si vous souhaitez qu'un utilisateur Active Directory mappé puisse utiliser plusieurs périphériques, vous devez configurer un pool de périphériques (Créer des pools de périphériques).