Gerenciar mapeamento de funções do Active Directory

Um administrador ou um usuário com permissão para exibir e gerenciar funções pode visualizar os detalhes dos mapeamentos de função do Active Directory disponíveis.

Pré-requisitos

Verifique se você está conectado à Control Room como administrador.

Por padrão, a Control Room recuperará todos os grupos de segurança do diretório Usuários.

Para criar mapeamentos de funções com filtros para o diretório Usuários juntamente com outras unidades organizacionais (OU), você deve atualizar o arquivo um.properties. Na Control Room, o diretório Usuários é considerado similar às OUs. Portanto, você deve definir o filtro no arquivo um.properties.

Por exemplo, configure o filtro no arquivo da seguinte forma:
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
Nota: Os filtros de grupo, como o groupFilter, são opcionais.
Neste exemplo, ao aplicar esta alteração no um.properties direciona a Control Room para realizar as seguintes tarefas:
  1. Ir para o domínio mydomain.com
  2. Recuperar todos os grupos de segurança da Unidade organizacional OU1 cujo nome do grupo começa com groupFilter.
  3. Recuperar todos os grupos de segurança da Unidade organizacional OU2 cujo nome do grupo começa com groupFilter.
  4. Recuperar todos os grupos de segurança do diretório Users cujo nome do grupo começa com groupFilter.

Esta configuração garante que os usuários das unidades organizacionais OU1 e OU2 sejam recuperados além do diretório Usuários.

Recommendation: Use filtros para limitar a exibição do grupo, pois a exibição de um número maior de grupos tem impacto sobre o desempenho e dificulta a solução de problemas.

Os filtros definidos no arquivo um.properties são armazenados no banco de dados. Quando você atualiza para uma versão mais recente da Control Room, a Control Room faz referência aos filtros armazenados no banco de dados porque o arquivo um.properties padrão que acompanha a instalação não conterá esses filtros. Se você definir novos filtros no arquivo um.properties, a Control Room fará referência aos filtros definidos no arquivo um.properties e substituirá os armazenados no banco de dados.

Mapeamento de vários domínios

O mapeamento oferece suporte a vários domínios separados por uma vírgula.

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
No exemplo acima, a Control Room executará os processos adicionais:
  1. Ir para o domínio mydomain2.com
  2. Recuperar todos os grupos de segurança da Unidade de organização OU3.
  3. Recuperar todos os grupos de segurança da Unidade de organização OU4.

Recuperação de grupos de segurança de OUs aninhadas

Exemplo para a recuperação de grupos de segurança de OUs aninhadas.

Na organização de exemplo a seguir, considere "Marketing" como a OU pai com OUs aninhadas adicionais e grupos de segurança localizados em cada uma dessas OUs aninhadas.

  • Marketing
    • Grupo 1
    • Grupo 2
    • US_OU
      • Grupo 3
      • California_OU
        • Grupo 4
        • NoCal_OU
          • Grupo 5
        • SoCal_OU
          • Grupo 6
Ao adicionar a seguinte entrada, a Control Room recuperará todos os grupos, group1, group2, group3, group4, group5 e group6 do Marketing e das OUs aninhadas.
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Nota: A condição de OU aninhada na entrada não é compatível.

mapeamento de funções Active Directory

Navegue para Administração > > Funções > Mapeamento de funções do Active Directory e a página exibirá todos os mapeamentos de funções que foram criados na Control Room. Você pode visualizar ou editar os mapeamentos de funções. Você também pode criar novos mapeamentos de funções ou reiniciar o processo de sincronização de funções entre a Control Room e o Active Directory.

Quando ativado, este processo de sincronização é acionado uma vez por dia (1440 minutos), por padrão. Você pode acionar sincronizações em qualquer intervalo, alterando o número de minutos. Recomendamos que você defina as configurações de intervalo maiores do que o padrão.

Recommendations:
  • Você deve definir as configurações de intervalo maiores que a configuração padrão de 1440 minutos.
  • A sincronização de mapeamentos de processos e usuários é um processo intensivo. Recomendamos que você mantenha uma pequena lista de grupos e atribua usuários específicos a cada um destes grupos na Active Directory para evitar quaisquer problemas de escalabilidade.
  • Não use os mapeamentos Importar e Não importar no mesmo sistema, porque isso pode complicar os casos de uso e dificultar a solução de problemas para corrigir quaisquer problemas.
  • Se os mapeamentos Importar e Não importar estiverem definidos e um usuário estiver incluído em ambos os mapeamentos, os mapeamentos Importar terão precedência sobre os mapeamentos Não importar.

    Considere estes exemplos:

    • Mapeamento AD A = Função A - Grupo A - Importar usuários deste grupo para o Automation 360
    • Mapeamento AD B = Função B - Grupo B - Não importar usuários deste grupo

    Onde o usuário D está incluído nos Grupos A e B no Active Directory.

    O usuário D será criado no Automation 360 e lhe será atribuída a Função A.

    • Mapeamento AD A = Função A - Grupo A - Importar usuários deste grupo para o Automation 360
    • Mapeamento AD B = Função B - Grupo B - Não importar usuários deste grupo
    • Mapeamento AD C = Função C - Grupo C - Importar usuários deste grupo para o Automation 360

    Onde o usuário D estiver incluído nos Grupos A, B e C no Active Directory (AD).

    O usuário D será criado no Automation 360 e lhe será atribuída a Função A e C.

Conflito de licenças de dispositivos
Quando existem vários mapeamentos com diferentes licenças de dispositivos e um usuário estiver mapeado para todos os mapeamentos, torna-se difícil determinar que licença de dispositivo será atribuída ao usuário porque é permitida uma licença de dispositivo por usuário. Para este cenário, a Control Room suporta uma lista ordenada preferida que pode definir no arquivo um.properties. A configuração padrão para licenças de dispositivo no arquivo um.properties é: um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper. A atribuição do mapeamento escolherá a licença padrão com base na seguinte ordem de disponibilidade:
  1. Development
  2. Runtime
  3. AttendedRuntime
  4. CitizenDeveloper

É possível alterar a licença padrão do dispositivo adicionando a palavra-chave preferida como uma nova entrada no arquivo um.properties.

A tabela seguinte lista as palavras-chave para as licenças do dispositivo que você precisa utilizar para a lista de pedidos preferenciais:
Palavras-chave Licença
Desenvolvimento Criador de bots
Tempo de execução Executor de bots não assistidos
AttendedRuntime Executor de bots assistidos
CitizenDeveloper Desenvolvedor cidadão

Se um usuário for mapeado para vários mapeamentos e os mapeamentos tiverem a mesma licença de dispositivo para diferentes opções de auto-login (ativar ou desativar), então a configuração de auto-login anulará as definições. Como resultado, recomendamos manter a opção de auto-login consistente em todos os mapeamentos para as mesmas licenças de dispositivos.

Um ou mais mapeamentos de função disponíveis que correspondem aos seus critérios de pesquisa aparecem na tabela Mapeamento de função.
Nota: A página de mapeamentos de funções exibe apenas a lista de mapeamentos e não valida os mapeamentos por padrão. Como as mudanças nos grupos e funções de segurança são pouco frequentes e levam mais tempo no caso de rede lenta ou número maior de mapeamentos, a página exibe apenas a lista de mapeamentos. Para configurar a validação padrão na página de mapeamentos de funções, no arquivo um.properties, adicione a seguinte entrada: um.ldap.groupmapping.sync.on.get.mappings=true. A validação dos mapeamentos de funções ocorre quando você sincroniza os mapeamentos de função entre o Active Directory e a Control Room.

Você pode executar automatizações tanto no dispositivo que está configurado como seu dispositivo de execução do bot em funcionamento ou de um pool de dispositivos para o qual você tem privilégios de consumidor (Criar um usuário ). Ao usar a função de mapeamento do Active Directory, se você quiser algum usuário do Active Directory mapeado para poder utilizar mais de um dispositivo, você deve configurar um pool de dispositivos (Criar pools de dispositivos).