Gérer le mappage de rôle Active Directory

Un administrateur ou un utilisateur autorisé à afficher et à gérer les rôles peut afficher les détails des mappages de rôle Active Directory disponibles.

Prérequis

Assurez-vous que vous êtes connecté à la Control Room en tant qu'administrateur.

Par défaut, la Control Room récupère tous les groupes de sécurité dans le répertoire Utilisateurs.

Pour créer des mappages de rôles avec des filtres pour le répertoire Utilisateurs et d'autres unités organisationnelles (OU), vous devez mettre à jour le fichier um.propriétés. Dans la Control Room, le répertoire Utilisateurs est considéré comme similaire aux unités organisationnelles. Par conséquent, vous devez définir le filtre dans le fichier um.properties.

Par exemple, définissez le filtre dans le fichier comme suit :
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
Remarque : Les filtres de groupe tels que groupFilter sont facultatifs.
Dans cet exemple, appliquer cette modification au fichier um.properties permet à la Control Room d'effectuer les tâches suivantes :
  1. Allez au domaine mydomain.com.
  2. Récupérez tous les groupes de sécurité de l'unité organisationnelle OU1 dont le nom de groupe commence par groupFilter.
  3. Récupérez tous les groupes de sécurité de l'unité organisationnelle OU2 dont le nom de groupe commence par groupFilter.
  4. Récupérez tous les groupes de sécurité du répertoire Utilisateurs dont le nom de groupe commence par groupFilter.

Ce paramètre garantit que les utilisateurs des unités organisationnelles OU1 et OU2 seront récupérés en plus du répertoire Utilisateurs.

Recommendation : Utilisez des filtres pour réduire l'affichage des groupes, car l'affichage d'un grand nombre de groupes a un impact sur les performances et rend le dépannage difficile.

Les filtres définis dans le fichier um.properties sont stockés dans la base de données. Lorsque vous mettez à jour la Control Room vers une version plus récente, la Control Room référence les filtres stockés dans la base de données car le fichier par défaut um.properties fourni avec l'installation ne contient pas ces filtres. Si vous définissez de nouveaux filtres dans le fichier um.properties par défaut, la Control Room référence les filtres définis dans le fichier um.properties et écrase ceux qui sont stockés dans la base de données.

Mappage de domaines multiples

Le mappage prend en charge plusieurs domaines séparés par une virgule.

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
Dans l'exemple ci-dessus, la Control Room exécutera les processus supplémentaires suivants :
  1. Allez au domaine mydomain2.com.
  2. Récupérez tous les groupes de sécurité de l'unité organisationnelle OU3.
  3. Récupérez tous les groupes de sécurité de l'unité organisationnelle OU4.

Récupération de groupes de sécurité à partir d'unités organisationnelles imbriquées

Exemple de récupération de groupes de sécurité à partir d'unités organisationnelles imbriquées.

Dans l'exemple suivant, « Marketing » est l'unité organisationnelle parent qui contient des unités organisationnelles imbriquées supplémentaires et des groupes de sécurité situés dans chacune de ces unités organisationnelles imbriquées.

  • Marketing
    • Groupe 1
    • Groupe 2
    • US_OU
      • Groupe 3
      • California_OU
        • Groupe 4
        • NoCal_OU
          • Groupe 5
        • SoCal_OU
          • Groupe 6
En ajoutant l'entrée suivante, la Control Room récupérera tous les groupes (groupe 1, groupe 2, groupe 3, groupe 4, groupe 5 et groupe 6) de Marketing et les unités organisationnelles imbriquées.
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Remarque : La fourniture d'unités organisationnelles imbriquées au niveau de l'entrée n'est pas prise en charge.

Mappage de rôle Active Directory

Accédez à Administration > > Rôles > Mappages de rôle Active Directory. La page affiche tous les mappages de rôle qui ont été créés dans la Control Room. Vous pouvez afficher ou modifier les mappages de rôle. Vous pouvez également créer de nouveaux mappages de rôle ou redémarrer le processus de synchronisation des rôles entre la Control Room et Active Directory.

Lorsqu'il est activé, ce processus de synchronisation est déclenché une fois par jour (1 440 minutes) par défaut. Vous pouvez déclencher des synchronisations à n'importe quel intervalle de temps en modifiant le nombre de minutes. Nous vous recommandons de définir des intervalles plus longs que ceux par défaut.

Recommendations :
  • Vous devez définir des intervalles supérieurs au paramètre par défaut, qui est de 1 440 minutes.
  • La synchronisation des mappages et des utilisateurs consomme de nombreuses ressources. Nous vous recommandons de créer une liste réduite de groupes et d'attribuer des utilisateurs spécifiques à chacun de ces groupes dans Active Directory afin d'éviter tout problème d'évolutivité.
  • Veillez à ne pas utiliser les mappages Importer et Ne pas importer dans le même système, car cela peut compliquer les cas d'utilisation et rendre difficile la résolution des éventuels problèmes.
  • Si vous définissez les mappages Importer et Ne pas importer et incluez un utilisateur dans ces deux mappages, les mappages Importer sont prioritaires sur les mappages Ne pas importer.

    Considérez ces exemples :

    • Mappage AD A = Rôle A – Groupe A – Importer les utilisateurs de ce groupe dans Automation 360
    • Mappage AD B = Rôle B – Groupe B – Ne pas importer les utilisateurs de ce groupe.

    Où l'utilisateur D appartient aux groupes A et B dans Active Directory.

    L'utilisateur D sera créé dans Automation 360 et se verra attribuer le rôle A.

    • Mappage AD A = Rôle A – Groupe A – Importer les utilisateurs de ce groupe dans Automation 360
    • Mappage AD B = Rôle B – Groupe B – Ne pas importer les utilisateurs de ce groupe.
    • Mappage AD C = Rôle C – Groupe C – Importer les utilisateurs de ce groupe dans Automation 360

    Où l'utilisateur D appartient aux groupes A, B et C dans Active Directory (AD).

    L'utilisateur D sera créé dans Automation 360 et se verra attribuer les rôles A et C.

Conflit de licences de périphérique
Si vous disposez de plusieurs mappages avec différentes licences de périphérique et mappez un utilisateur sur tous les mappages, il peut s'avérer compliqué de déterminer la licence de périphérique devant être attribuée à l'utilisateur, car seule une licence de périphérique est autorisée par utilisateur. Dans ce cas, la Control Room prend en charge une liste ordonnée de préférences que vous pouvez définir dans le fichier um.properties. La configuration par défaut des licences de périphérique dans le fichier um.properties est : um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper. L'affectation du mappage choisit la licence par défaut en fonction de l'ordre de disponibilité suivant :
  1. Development
  2. Runtime
  3. AttendedRuntime
  4. CitizenDeveloper

Vous pouvez modifier la licence de périphérique par défaut en ajoutant le mot-clé préféré comme nouvelle entrée dans le fichier um.properties.

Consultez le tableau suivant pour connaître les mots-clés des licences de périphérique que vous devez utiliser dans la liste ordonnée de préférences :
Mots-clés Licence
Développement Bot Creator
Exécution Bot Runner non assistés
Assisté (exécution) Bot Runner assistés
Développeur citoyen Développeur citoyen

Si un utilisateur est associé à plusieurs mappages et que ces derniers disposent de la même licence de périphérique pour des options de connexion automatique différentes (activation ou désactivation), la configuration de la connexion automatique prévaut sur les autres paramètres. Par conséquent, nous vous recommandons de définir de manière cohérente l'option de connexion automatique dans tous les mappages pour les mêmes licences de périphérique.

Un ou plusieurs mappages de rôle disponibles qui correspondent à vos critères de recherche apparaissent dans le tableau Mappage de rôle.
Remarque : La page Mappages de rôle affiche uniquement la liste des mappages et ne valide pas les mappages par défaut. Comme les modifications des groupes et des rôles de sécurité sont peu fréquentes et prennent plus de temps en cas de réseau lent ou de nombre élevé de mappages, la page n'affiche que la liste des mappages. Pour configurer la validation par défaut sur la page des mappages de rôle, dans le fichier um.properties ajoutez l'entrée suivante : um.ldap.groupmapping.sync.on.get.mappings=true. La validation des mappages de rôles se produit lorsque vous synchronisez les mappages de rôles entre Active Directory et la Control Room.

Vous pouvez exécuter des automatisations sur votre périphérique d'exécution de robot ou à partir d'un pool de périphériques pour lequel vous avez des privilèges de consommateur (Créer un utilisateur). Lorsque vous utilisez le mappage de rôle Active Directory, si vous souhaitez qu'un utilisateur Active Directory mappé puisse utiliser plusieurs périphériques, vous devez configurer un pool de périphériques (Créer des pools de périphériques).