ESS: Efecte Identity Management Connector
ESS: Efecte Identity Management Connector
Über dieses Dokument
Dieses Dokument soll Einblicke in die Konfiguration des Efecte Self-Service-Efecte Identity-Connectors geben, wie der Efecte Self-Service die Daten verwendet, die er von Efecte Identity Management erhält, und auf welche Weise Endbenutzer Aktualisierungen ihrer Daten an Efecte Identity Management weiterleiten können.
Dieser Artikel beschreibt das Verhalten des Efecte Identity Management Connector in ESS Version 2022.3 oder neuer.
Notiz
Ab Efecte Self-Service Version 2018.3.0 ist aufgrund von Änderungen am eingeführten Connector Efecte Identity Management Version 2018.3.1 oder neuer erforderlich.
Efecte Identity Management-Konnektor
Dieser Connector übernimmt die Integration mit dem Efecte Identity Management System (im Folgenden EIM oder Efecte Identity genannt). Die Konfiguration des Connectors ist in der Datei /etc/integration-hub/tenant-configs/<tenant_name>/connector-idm.xml gespeichert. Änderungen an der Konfiguration erfordern ein Neuladen des Mandanten mit dem Befehl „integration-hub-tenant reload <tenant_name>“ .
Gemeinsamer Bestandteil der Konfiguration (verwendet von verschiedenen Konzepten dieses Connectors) sind EIM-Verbindungseigenschaften in Beans mit der ID ="idmRemoteConfiguration" .
Parameter |
Beschreibung |
Kontotyp |
Kontotyp des technischen Benutzers für ESS in Efecte Identity |
Benutzername |
Benutzername des technischen Benutzers für ESS in Efecte Identity |
Passwort |
Passwort des technischen Benutzers für ESS in Efecte Identity |
Gastgeber |
Efecte Identity-Host (Name oder IP) |
Hafen |
Efecte Identity-Host-Port für Remote-Anrufe, standardmäßig lauscht JBoss auf Port 4447 |
SSL-aktiviert |
ob eine verschlüsselte SSL-Verbindung zwischen ESS und EIM verwendet wird |
Aufruf-Zeitüberschreitung |
Ein Timeout in Millisekunden für den EJB-Aufrufanforderungs-/Antwortzyklus von EIM, d. h. Methodenaufruf. Der Standardwert ist 30.000. |
Um eine SSL-verschlüsselte Verbindung zu nutzen (neben dem Aktivieren des Flags „sslEnabled“), ist auch die Konfiguration eines Zertifikats erforderlich. Der EIM-Administrator sollte Ihnen ein geeignetes Zertifikat zur Verfügung stellen, das auch von EIM unterstützt wird. So importieren Sie das Zertifikat in den lokalen Schlüsselspeicher auf dem Integration Hub-Rechner:
yes yes | keytool -importcert -file "idm-remoting.crt" -alias "idm-remoting.crt" -keystore /etc/pki/java/cacerts -storepass changeitBitte verwenden Sie Ihren eigenen Zertifikatsdateinamen und Ihr eigenes Keystore-Passwort.
Organisationskonnektor
Bei richtiger Konfiguration kann der Identitätsconnector als Quelle für Organisationsdaten verwendet werden und ersetzt so den LDAP-Connector.
Organisationsinformationsdaten werden von der Bean id="idmOrganizationInfoHandler" verarbeitet, die folgende Parameter enthält:
Parameter |
Beschreibung |
efecteIdentityFacade |
Instanz der konfigurierten Bean vom Typ com.efecte.integration.connector.idm.EfecteIdentityFacade (siehe unten) |
Suchlimit |
maximale Anzahl von Benutzern, die auf einmal von Efecte Identity abgerufen werden |
Benutzerfilter |
Eine Reihe von Filtern, die definieren, welche Benutzer aus Efecte Identity importiert werden. Ein Filter kann z. B. "cn=Users,dc=host,dc=domain,dc=com" sein. Kann mehrere Filter in mehreren <value>-Tags enthalten. Wenn die Site-Einstellungen in der ESS-Admin-Ansicht leer sind, wählt das ESS die Liste der aktiven Organisationseinheiten aus der Benutzerfilterliste aus. |
Beispielkonfiguration:
<bean id="idmOrganizationInfoHandler" class="com.efecte.integration.connector.idm.handler.IdmOrganizationInformationHandler">
<property name="efecteIdentityFacade" ref="efecteIdentityFacade"/>
<property name="searchLimit" value="500"/>
<property name="userFilter">
<set>
<value>cn=Users,dc=host,dc=domain,dc=com</value>
</set>
</property>
</bean>Die Kommunikation zwischen Efecte Identity Management und dem Connector wird durch die Bean id="efecteIdentityFacade" mit folgenden Parametern abgewickelt:
Parameter |
Beschreibung |
Kontotyp-Methodennamen |
Satz von Kontotypmethoden der Konten der aus Efecte Identity Management importierten Benutzer |
serviceAgreementNames |
Satz von Servicevereinbarungen der aus Efecte Identity importierten Benutzer |
Rollentypnamen |
Satz von Rollen, die aus Efecte Identity innerhalb der Organisationsdaten importiert wurden |
Fügen Sie für die Eigenschaften accountTypeMethodNames , roleTypeNames und/oder serviceAgreementNames zusätzliche Wert-Tags in efecteIdentityFacade hinzu.
Notiz
Alle im Connector definierten Servicevereinbarungsnamen müssen in Efecte Identity Management vorhanden sein, sonst schlägt der Abruf der Organisationsdaten fehl.
efecteIdentityFacade
<bean id="efecteIdentityFacade" class="com.efecte.integration.connector.idm.EfecteIdentityFacade">
<constructor-arg ref="idmRemoteConfiguration"/>
<property name="accountTypeMethodNames">
<set>
<value>AD Password</value>
<value>Some Other Password</value>
</set>
</property>
<property name="serviceAgreementNames">
<set>
<value>Customer - AD users</value>
</set>
</property>
<property name="roleTypeNames">
<set>
<value>AD group</value>
</set>
</property>
</bean>Abrufleistung
Leistungsstatistiken können aktiviert werden, um eine detailliertere Ansicht des Ausführungsflusses zu erhalten. Konfigurieren Sie dazu den Metrikdienst in der Connector-Konfigurations-XML:
<!-- Performance Metrics -->
<bean class="com.efecte.integration.util.Metrics" id="metrics" init-method="init" destroy-method="destroy">
<property name="metricsEnabled" value="true"/>
<property name="metricsLogName" value="Metrics"/>
<property name="metricsLogMarker" value="METRICS"/>
<property name="reportTimeUnit" value="MINUTES"/>
<property name="reportPeriod" value="1"/>
</bean>
<bean id="idmOrganizationInfoHandler" class="com.efecte.integration.connector.idm.handler.IdmOrganizationInformationHandler">
... existing configuration ...
<property name="metrics" ref="metrics"/>
</bean>und konfigurieren Sie den entsprechenden Logger in der Datei log4j.xml:
<appender name="agent-stats" class="org.apache.log4j.RollingFileAppender">
<!-- The active file to log to -->
<param name="file" value="/var/log/integration-agent/agent-stats.log"/>
<param name="append" value="true"/>
<param name="encoding" value="UTF-8"/>
<param name="MaxFileSize" value="100MB"/>
<param name="MaxBackupIndex" value="10"/>
<layout class="org.apache.log4j.PatternLayout">
<param name="ConversionPattern" value="%c{1}|%p|%d|%t|%X{hostName}|%m%n"/>
</layout>
</appender>
<!-- Application performance metrics -->
<logger name="Metrics">
<level value="info"/>
<appender-ref ref="agent-stats"/>
</logger>Daten von Efecte Identity Management
Im Folgenden sind die wichtigsten Datenfelder eines Benutzers (eines Agenten) in EIM aufgeführt, die das ESS beim Abrufen und Schreiben von Daten verwendet.
EIM-Attribut |
Definition |
ESS-Nutzung |
Name |
Obligatorisch , eindeutig Der definierte Name des Agenten |
Identifiziert Benutzer eindeutig voneinander. Falls zwei Agenten mit genau demselben Namen vorhanden sind, kommt es beim Abrufen der Organisationsdaten zu Fehlern und fehlenden Benutzern. |
|
Obligatorisch, eindeutig die E-Mail-Adresse des Agenten |
ESS ist für die Kommunikation mit dem ESM und für E-Mail-Benachrichtigungen auf die E-Mail-Adresse des Agenten angewiesen. ESS kann nur die primäre E-Mail-Adresse verwenden, andere E-Mail-Adressen sind nicht zulässig. Wird außerdem in Form einer Visitenkarte verwendet. |
|
Anzeigename |
Optional |
Wird dem Benutzer als Benutzername angezeigt. Der Anzeigename wird beispielsweise mit der Kommentarfunktion und in Visitenkartenform verwendet. |
Nachname |
Optional | Wird im Visitenkartenformular und in der Kommentarfunktion zusammen mit dem Vornamen verwendet; wenn beides fehlt, wird der Anzeigename verwendet. |
Vorname |
Optional |
Wird im Visitenkartenformular und in der Kommentarfunktion zusammen mit dem Vornamen verwendet; wenn beides fehlt, wird der Anzeigename verwendet. |
Konto |
Obligatorisch |
Der Kontobenutzername wird zusammen mit Domänenkomponenten (DC) verwendet, um die Authentifizierungs-ID zu bilden, die zum Verknüpfen von Tickets und Anfragen mit Benutzern verwendet wird. Diese Authentifizierungs-ID wird dem Benutzer angezeigt, wenn der Anzeigename nicht definiert ist ( account@dc.dc2.dc3 ) oder der Benutzer in den Organisationsdaten fehlt. Falls Agenten ohne definiertes Konto vorhanden sind, ruft ESS diese Benutzer nicht in den Organisationscache ab. Hinweis! Die Authentifizierungs-ID ist der Schlüssel zur Zuordnung von Benutzern zu Anfragen im ESS. Änderungen an einer der Komponenten führen dazu, dass der Anfrageverlauf nicht mehr sichtbar ist und der Benutzer als neuer Benutzer behandelt wird. Bei einer Änderung der Konto-ID und damit der Authentifizierungs-ID werden dem Benutzer alte Tickets und Genehmigungsanfragen nicht angezeigt. Bei der Konto-ID wird zwischen Groß- und Kleinschreibung unterschieden. |
Kostenstelle |
Optional |
Wenn ein Benutzer einer Kostenstelle zugeordnet ist, wird diese standardmäßig bei Anfragen verwendet. Falls keine Kostenstellen an ESS zurückgegeben werden, wird die Kostenstellenauswahl auf der Bestätigungsseite nicht angezeigt. Die Kostenstelle wird auch im Mitarbeiterformular verwendet. |
Vorgesetzte |
Optional | Verfügt der Benutzer über einen gültigen Vorgesetzten, wird für den Agenten in genehmigungspflichtigen Fällen automatisch der Name des Vorgesetzten ausgewählt. Im Mitarbeiterformular wird zudem die Liste der Vorgesetzten verwendet. |
Abgeordnete |
Optional |
Wird für Genehmigungsdelegationen verwendet. Benutzer mit Untergebenen, dedizierten Genehmigern und delegierten Genehmigern haben diese Option sichtbar. Dies kann für jeden Benutzer in EIM eingestellt werden und wird beim Abrufen von Organisationsdaten für den Benutzer sichtbar. |
Mobile |
Optional, Wird zum Zurücksetzen des Passworts verwendet |
Wird zum Zurücksetzen des Passworts verwendet. Falls der Benutzer eine Mobiltelefonnummer festgelegt hat, wird diese in der Endbenutzeransicht angezeigt. Ist keine Mobiltelefonnummer definiert, kann der Endbenutzer seine eigene Mobiltelefonnummer festlegen, die sofort in EIM aktualisiert wird. |
agent.customString13 |
Optional, Wird zum Zurücksetzen des Passworts verwendet |
Dies wird verwendet, um die sekundären E-Mail-Adressinformationen von ESM zu EIM und zurück zu übermitteln. Wird nicht automatisch dem Konto des Agent zugeordnet. „E-Mail zum Zurücksetzen des Passworts“ |
Straßenadresse |
Optional |
Dies wird im Visitenkartenformular verwendet, kombiniert mit Postleitzahl, Stadt und Land im Feld Straßenadresse |
PLZ |
Optional |
Dies wird im Visitenkartenformular verwendet, kombiniert mit Postleitzahl, Stadt und Land im Feld Straßenadresse |
Stadt |
Optional |
Dies wird im Visitenkartenformular verwendet, kombiniert mit Postleitzahl, Stadt und Land im Feld Straßenadresse |
Land |
Optional |
Dies wird im Visitenkartenformular verwendet, kombiniert mit Postleitzahl, Stadt und Land im Feld Straßenadresse |
Efecte Self Service-Konfiguration
Um den Efecte Identity Connector als Organisations-Connector auszuwählen, konfigurieren Sie ihn auf der Seite der Integration Suite und öffnen Sie dann die Admin-Seite von Efecte Self Service. Wählen Sie Integrationen -> Organisation -> Organisations-Connector.
Bevor Sie den Connector ändern, passen Sie die Administratorgruppen entsprechend den neuen Organisationsdaten an. Dies kann auf zwei Arten erfolgen:
- auf der Admin-Benutzeroberfläche, Registerkarte „Einstellungen“: „ AD Gruppe der Administratoren“ und „ AD Gruppe der Dienstbesitzer“
- im Dateiparameter webshop.properties ldap.administrator.group (beachten Sie, dass die Einstellungen aus der Datenbank zuerst kommen)
Wählen Sie anschließend aus der Dropdown-Liste „Organisations-Connector“ den Efecte Identity-Connector (sofern nicht als Standard festgelegt). Beachten Sie, dass der Organisationscache danach geleert wird und der Benutzer, falls er nicht als globaler Administrator angemeldet ist, abgemeldet werden kann. Melden Sie sich bei Bedarf erneut an und klicken Sie auf die Schaltfläche „Testdaten anzeigen“, um die Organisationsinformationen zu überprüfen.
Notiz
Es wird dringend empfohlen, nicht mehr als einen Organisationsconnector für einen Mandanten zu installieren.
Efecte Identity als Organisationsdaten-Connector für die globale Verwaltung
Um das Efecte Identity Management-System als Organisationsdatenanbieter für den globalen Administrator zu verwenden, konfigurieren Sie in der Datei /etc/webshop/webshop.properties (ESS-Maschine):
- globaladmin.organization.connector.type = com.efecte.integration.connector.idm.IdMConnector
- globaladmin.organization.connector.instanceName = defaultEfecteIdentity
und starten Sie ESS neu. Damit Benutzer Zugriff auf globaladmin haben, müssen sie zusätzlich der AD Gruppe angehören, die in webshop.properties als globale Administratorgruppe definiert ist.
Meine Leistungen
Der Identitätskonnektor kann als Datenquelle für die Felder „Meine Dienste“ dienen.
„Meine Dienste“ ist ein allgemeiner Name für eine Reihe von Integrationsmechanismen, die es externen Systemen ermöglichen, für Benutzer sichtbare Kataloginhalte dynamisch zu ändern.
Definieren von MyServices-Feldern
- Gehen Sie zur ESS-Admin-Seite -> Integrationen -> Externe Datenfelder -> Externe Datenfelder
- Drücken Sie die Schaltfläche „Meine Dienste hinzufügen“
- Konfiguration eingeben
- Feldname – geben Sie einen Namen ein, der als Alias für dieses MyServices-Feld verwendet werden soll
- Daten von – wählen Sie den Efecte Identity-Connector
- Dienst von Efecte Identity , der dem Feld „MyServices“ zugeordnet ist (Anmeldung bei Efecte Identity -> Verwaltung -> Dienste -> Dienstname)
- Datenlisten-ID – dieser Wert sollte mit dem Namen des Dienstes übereinstimmen
- Klicken Sie auf die Schaltfläche „Aktualisieren “. Wenn keine Fehler vorliegen, werden in der Tabelle mit den Feldelementen von „MyServices“ die Namen der „Rollen“ angezeigt, die in Efecte Identity für den Dienst definiert sind (überprüfen Sie „Rollen“ beim ausgewählten Dienst).
Der Efecte Identity-Connector ist nicht nur für die Synchronisierung von Elementen verantwortlich, sondern auch für die Verfolgung von Verknüpfungen zwischen Elementen und Benutzern.
Mein Leistungs- und Angebotskatalog
Verwenden des MyService-Eintrags als Quelle für Service Item IDs
- Öffnen Sie auf der Registerkarte „Dienste“ der Admin-Seite einen Dienst und wählen Sie „Dienstelement“ aus.
- Öffnen Sie in den Elementeigenschaften das Dropdown-Menü „Externer Datenlink“ und wählen Sie den Namen des MyServices-Felds aus, das Sie verwenden möchten
- Wählen Sie aus der Dropdown-Liste „Artikel-ID“ das Element aus, das bei der Bestellung als Artikel-ID verwendet wird.
Die ID des ausgewählten Elements wird als Artikel-ID verwendet, wenn Benutzer Bestellungen für den angegebenen Artikel aufgeben.
Zuordnungen zwischen Benutzern und DataCards
Connector ist nicht nur für das Abrufen von Identity Service-Informationen verantwortlich, sondern auch für:
- Verfolgung von Verknüpfungen zwischen Identitätsdiensten und Benutzern (Identity Agent )
- Änderung dieser Assoziationen
Um diese Funktion zu nutzen:
- Öffnen Sie auf der Admin-Seite „Service“ und wählen Sie „Service Item“ aus.
- Öffnen Sie in den Service-Elementeigenschaften das Dropdown-Menü „MyServices-Link“ und wählen Sie den Namen des MyServices-Felds aus.
- Wählen Sie aus der Dropdown-Liste „Unterelemente“ Folgendes aus:
- Benutzer verwendet – in diesem Fall wird dem Benutzer eine Liste der Dienste angezeigt, mit denen er verbunden ist
- Der Benutzer verwendet ihn nicht – in diesem Fall wird dem Benutzer eine Liste der Dienste angezeigt, mit denen er nicht verbunden ist.
Das Absenden einer Bestellung für einen Serviceartikel führt zu
- Entfernen
- Hinzufügen
Verbindung zwischen dem Benutzer ( Agent ), der die Bestellung aufgibt, und dem Efecte Identity Service.