Gérer le mappage de rôle Active Directory

Un administrateur ou un utilisateur autorisé à afficher et à gérer les rôles peut afficher les détails des mappages de rôle Active Directory disponibles.

Prérequis

Assurez-vous que vous êtes connecté à la Control Room en tant qu'administrateur.

Par défaut, la Control Room récupère tous les groupes de sécurité dans le répertoire Utilisateurs.

Pour créer des mappages de rôles avec des filtres pour le répertoire Utilisateurs et d\'autres unités organisationnelles (OU), vous devez mettre à jour le fichier um.propriétés. Dans la Control Room, le répertoire Utilisateurs est considéré comme similaire aux unités organisationnelles. Par conséquent, vous devez définir le filtre dans le fichier um.properties.

Par exemple, définissez le filtre dans le fichier comme suit : 
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
Remarque : Les filtres de groupe tels que groupFilter sont facultatifs.
Dans cet exemple, appliquer cette modification au fichier um.properties permet à la Control Room d\'effectuer les tâches suivantes :
  1. Accédez au domaine mydomain.com.
  2. Extrayez tous les groupes de sécurité de l\'unité organisationnelle OU1 dont le nom de groupe commence par groupFilter.
  3. Extrayez tous les groupes de sécurité de l\'unité organisationnelle OU2 dont le nom de groupe commence par groupFilter.
  4. Extrayez tous les groupes de sécurité du répertoire Utilisateurs dont le nom de groupe commence par groupFilter.

Ce paramètre garantit que les utilisateurs des unités organisationnelles OU1 et OU2 seront récupérés en plus du répertoire Utilisateurs.

Recommandation : Utilisez des filtres pour réduire l\'affichage des groupes, car l\'affichage d\'un grand nombre de groupes a un impact sur les performances et rend le dépannage difficile.

Les filtres définis dans le fichier um.properties sont stockés dans la base de données. Lorsque vous mettez à jour la Control Room vers une version plus récente, la Control Room référence les filtres stockés dans la base de données car le fichier par défaut um.properties fourni avec l\'installation ne contient pas ces filtres. Si vous définissez de nouveaux filtres dans le fichier um.properties par défaut, la Control Room référence les filtres définis dans le fichier um.properties et écrase ceux qui sont stockés dans la base de données.

Mappage de domaines multiples

Le mappage prend en charge plusieurs domaines séparés par une virgule.

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
Dans l\'exemple ci-dessus, la Control Room exécutera les processus supplémentaires suivants :
  1. Accédez au domaine mydomain2.com.
  2. Extrayez tous les groupes de sécurité de l\'unité organisationnelle OU3.
  3. Extrayez tous les groupes de sécurité de l\'unité organisationnelle OU4.

Extraction de groupes de sécurité depuis des unités organisationnelles imbriquées

Exemple d\'extraction de groupes de sécurité depuis des unités organisationnelles imbriquées.

Dans l\'exemple suivant, « Marketing » est l\'unité organisationnelle parent qui contient des unités organisationnelles imbriquées supplémentaires et des groupes de sécurité situés dans chacune de ces unités organisationnelles imbriquées.

  • Marketing
    • Groupe 1
    • Groupe 2
    • US_OU
      • Groupe 3
      • California_OU
        • Groupe 4
        • NoCal_OU
          • Groupe 5
        • SoCal_OU
          • Groupe 6
En ajoutant l\'entrée suivante, la Control Room extraira tous les groupes (group1, group2, group3, group4, group5 et group6) de Marketing et les unités organisationnelles imbriquées. 
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Remarque : La fourniture d\'unités organisationnelles imbriquées au niveau de l\'entrée n\'est pas prise en charge.

Mappage de rôle Active Directory

Accédez à Administration > > Rôles > Mappages de rôle Active Directory. La page affiche tous les mappages de rôle qui ont été créés dans la Control Room. Vous pouvez afficher ou modifier les mappages de rôle. Vous pouvez également créer de nouveaux mappages de rôle ou redémarrer le processus de synchronisation des rôles entre la Control Room et Active Directory.

Lorsqu\'il est activé, ce processus de synchronisation est déclenché quotidiennement (1 440 minutes) par défaut. Vous pouvez déclencher des synchronisations à n\'importe quel intervalle de temps en modifiant le nombre de minutes. Nous vous recommandons de définir des intervalles plus longs que ceux par défaut.

Recommandations :
  • Vous devez définir des intervalles supérieurs au paramètre par défaut, qui est de 1 440 minutes.
  • La synchronisation des mappages et des utilisateurs consomme de nombreuses ressources. Nous vous recommandons de créer une liste réduite de groupes et d\'attribuer des utilisateurs spécifiques à chacun de ces groupes dans Active Directory afin d\'éviter tout problème d\'évolutivité.
  • Veillez à ne pas utiliser à la fois les mappages Importer et Ne pas importer dans le même système, car cela peut compliquer les cas d\'utilisation et rendre la résolution des problèmes plus difficile.
  • Si les deux mappages Importer et Ne pas importer sont définis et qu\'un utilisateur est inclus dans ces deux mappages, les mappages Importer ont priorité sur les mappages Ne pas importer.

    Considérez ces exemples :

    • Mappage AD A = Rôle A – Groupe A – Importer les utilisateurs de ce groupe dans Automation 360
    • Mappage AD B = Rôle B – Groupe B – Ne pas importer les utilisateurs de ce groupe.

    Où l\'utilisateur D appartient aux groupes A et B dans Active Directory.

    L\'utilisateur D sera créé dans Automation 360 et se verra attribuer le Rôle A.

    • Mappage AD A = Rôle A – Groupe A – Importer les utilisateurs de ce groupe dans Automation 360
    • Mappage AD B = Rôle B – Groupe B – Ne pas importer les utilisateurs de ce groupe.
    • Mappage AD C = Rôle C – Groupe C – Importer les utilisateurs de ce groupe dans Automation 360

    Où l\'utilisateur D appartient aux groupes A, B et C dans Active Directory (AD).

    L\'utilisateur D sera créé dans Automation 360 et se verra attribuer les Rôles A et C.

Conflit de licences d\'appareil
Si vous disposez de plusieurs mappages avec différentes licences de périphérique et mappez un utilisateur sur tous les mappages, il peut s\'avérer compliqué de déterminer la licence de périphérique devant être attribuée à l\'utilisateur, car seule une licence de périphérique est autorisée par utilisateur. Dans ce cas, la Control Room prend en charge une liste ordonnée de préférences que vous pouvez définir dans le fichier um.properties. La configuration par défaut des licences de périphérique dans le fichier um.properties est la suivante : um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper. L\'affectation du mappage choisit la licence par défaut en fonction de l\'ordre de disponibilité suivant :
  1. Développement
  2. Exécution
  3. Assisté (exécution)
  4. Développeur citoyen

Vous pouvez modifier la licence de périphérique par défaut en ajoutant le mot-clé préféré comme nouvelle entrée dans le fichier um.properties.

Remarque : Lorsque la mise en correspondance groupe-à-rôle et licence de Active Directory (AD) est activée dans Control Room, les rôles et licences utilisateur sont automatiquement attribués en fonction de la correspondance configurée. Lors de la synchronisation des utilisateurs AD, ces affectations mappées remplacent toute mise à jour manuelle effectuée par les administrateurs. Cela garantit la cohérence avec les stratégies de l\'organisation, mais supprime la possibilité de conserver les modifications manuelles des rôles ou des licences.
Consultez le tableau suivant pour connaître les mots-clés des licences de périphérique que vous devez utiliser dans la liste ordonnée de préférences :
Mots clés Licence
Développement Bot Creator
Exécution Bot Runner non assisté
Assisté (exécution) Bot Runner assisté
Développeur citoyen Citizen Developer

Si un utilisateur est associé à plusieurs mappages et que ces derniers disposent de la même licence de périphérique pour des options de connexion automatique différentes (activation ou désactivation), la configuration de la connexion automatique prévaut sur les autres paramètres. Par conséquent, nous vous recommandons de définir de manière cohérente l\'option de connexion automatique dans tous les mappages pour les mêmes licences de périphérique.

Un ou plusieurs mappages de rôle disponibles qui correspondent à vos critères de recherche apparaissent dans le tableau Mappage de rôle.
Remarque : La page des mappages de rôles affiche uniquement la liste des mappages et ne valide pas les mappages par défaut. Comme les modifications des groupes et des rôles de sécurité sont peu fréquentes et prennent plus de temps en cas de réseau lent ou de nombre élevé de mappages, la page n\'affiche que la liste des mappages. Pour configurer la validation par défaut sur la page des mappages de rôle, dans le fichier um.properties ajoutez l\'entrée suivante : um.ldap.groupmapping.sync.on.get.mappings=true. La validation des mappages de rôles se produit lorsque vous synchronisez les mappages de rôles entre Active Directory et la Control Room.

Vous pouvez exécuter des automatisations sur votre périphérique d\'exécution de bot ou à partir d\'un pool de périphériques pour lequel vous avez des privilèges de consommateur (Créer un utilisateur). Lorsque vous utilisez le mappage de rôle Active Directory, si vous souhaitez qu\'un utilisateur Active Directory mappé puisse utiliser plusieurs périphériques, vous devez configurer un pool de périphériques (Créer des pools de périphériques).