ESS: łącznik Efecte Identity Management
ESS: łącznik Efecte Identity Management
O tym dokumencie
Niniejszy dokument ma na celu przedstawienie konfiguracji łącznika Efecte Self-Service Efecte Identity, sposobu, w jaki Efecte Self-Service wykorzystuje dane otrzymywane z Efecte Identity Management, a także sposobów, w jakie użytkownicy końcowi mogą wprowadzać aktualizacje swoich danych w Efecte Identity Management.
W tym artykule opisano zachowanie Efecte Identity Management Connector w ESS w wersji 2022.3 i nowszej.
Notatka
Od wersji Efecte Self-Service 2018.3.0 wymagana jest wersja Efecte Identity Management 2018.3.1 lub nowsza ze względu na wprowadzone zmiany w łączniku.
Złącze Efecte Identity Management
Ten łącznik obsługuje integrację z systemem Efecte Identity Management (dalej zwanym EIM lub Efecte Identity). Konfiguracja łącznika jest przechowywana w pliku /etc/integration-hub/tenant-configs/<tenant_name>/connector-idm.xml . Zmiany w konfiguracji wymagają przeładowania dzierżawy poprzez wydanie polecenia „integration-hub-tenant reload <tenant_name>” .
Wspólną częścią konfiguracji (wykorzystywaną przez różne koncepcje tego łącznika) są właściwości połączenia EIM w elemencie bean o identyfikatorze ="idmRemoteConfiguration" .
Parametr |
Opis |
Typ konta |
typ konta użytkownika technicznego dla ESS w Efecte Identity |
nazwa użytkownika |
nazwa użytkownika technicznego dla ESS w Efecte Identity |
hasło |
hasło użytkownika technicznego dla ESS w Efecte Identity |
gospodarz |
Host tożsamości Efecte (nazwa lub adres IP) |
port |
Port hosta Efecte Identity dla połączeń zdalnych, domyślnie JBoss nasłuchuje na porcie 4447 |
Włączono ssl |
czy pomiędzy ESS i EIM będzie używane szyfrowane połączenie SSL |
invocationTimeout |
Limit czasu w milisekundach dla cyklu żądanie/odpowiedź wywołania EJB EIM, tj. wywołania metody. Domyślnie 30000. |
Aby korzystać z szyfrowanego połączenia SSL (oprócz włączenia flagi „sslEnabled”), konieczna jest również konfiguracja certyfikatu. Administrator EIM powinien udostępnić Ci odpowiedni certyfikat, który jest również obsługiwany przez EIM. Aby zaimportować certyfikat do lokalnego magazynu kluczy na komputerze z centrum integracji, wykonaj następujące kroki:
yes yes | keytool -importcert -file "idm-remoting.crt" -alias "idm-remoting.crt" -keystore /etc/pki/java/cacerts -storepass changeitProszę użyć własnej nazwy pliku certyfikatu i hasła magazynu kluczy.
Łącznik organizacji
Po poprawnym skonfigurowaniu łącznik Identity może być używany jako źródło danych organizacji, zastępując tym samym łącznik LDAP.
Dane dotyczące organizacji są obsługiwane przez element bean id="idmOrganizationInfoHandler", który zawiera następujące parametry:
Parametr |
Opis |
efecteIdentityFacade |
wystąpienie skonfigurowanego obiektu typu com.efecte.integration.connector.idm.EfecteIdentityFacade (patrz poniżej) |
Limit wyszukiwania |
maksymalna liczba użytkowników pobranych z Efecte Identity na raz |
Filtr użytkownika |
Zestaw filtrów definiujących użytkowników importowanych z Efecte Identity. Jeden filtr może mieć postać np. „cn=Users,dc=host,dc=domain,dc=com”. Może zawierać wiele filtrów w wielu tagach <value>. Jeżeli Ustawienia witryny w widoku administratora ESS są puste, ESS wybiera listę aktywnych jednostek organizacyjnych z listy userFilter. |
Przykładowa konfiguracja:
<bean id="idmOrganizationInfoHandler" class="com.efecte.integration.connector.idm.handler.IdmOrganizationInformationHandler">
<property name="efecteIdentityFacade" ref="efecteIdentityFacade"/>
<property name="searchLimit" value="500"/>
<property name="userFilter">
<set>
<value>cn=Users,dc=host,dc=domain,dc=com</value>
</set>
</property>
</bean>Komunikację między Efecte Identity Management a łącznikiem obsługuje bean id="efecteIdentityFacade" z następującymi parametrami:
Parametr |
Opis |
Typ kontaNazwy metod |
zestaw metod typów kont użytkowników zaimportowanych z Efecte Identity Management |
serviceAgreementNames |
zestaw umów serwisowych użytkowników zaimportowanych z Efecte Identity |
roleTypeNames |
zestaw ról zaimportowany z Efecte Identity w ramach danych organizacji |
W przypadku właściwości accountTypeMethodNames , roleTypeNames i/lub serviceAgreementNames należy dodać dodatkowe znaczniki wartości w efecteIdentityFacade .
Notatka
Wszystkie nazwy umów serwisowych zdefiniowane w łączniku muszą istnieć w Efecte Identity Management, w przeciwnym razie pobieranie danych organizacji zakończy się niepowodzeniem.
efecteIdentityFacade
<bean id="efecteIdentityFacade" class="com.efecte.integration.connector.idm.EfecteIdentityFacade">
<constructor-arg ref="idmRemoteConfiguration"/>
<property name="accountTypeMethodNames">
<set>
<value>AD Password</value>
<value>Some Other Password</value>
</set>
</property>
<property name="serviceAgreementNames">
<set>
<value>Customer - AD users</value>
</set>
</property>
<property name="roleTypeNames">
<set>
<value>AD group</value>
</set>
</property>
</bean>Pobieranie wydajności
Można włączyć statystyki wydajności, aby uzyskać bardziej szczegółowy wgląd w przepływ wykonania. Aby to zrobić, należy skonfigurować usługę metryk w pliku XML konfiguracji konektora:
<!-- Performance Metrics -->
<bean class="com.efecte.integration.util.Metrics" id="metrics" init-method="init" destroy-method="destroy">
<property name="metricsEnabled" value="true"/>
<property name="metricsLogName" value="Metrics"/>
<property name="metricsLogMarker" value="METRICS"/>
<property name="reportTimeUnit" value="MINUTES"/>
<property name="reportPeriod" value="1"/>
</bean>
<bean id="idmOrganizationInfoHandler" class="com.efecte.integration.connector.idm.handler.IdmOrganizationInformationHandler">
... existing configuration ...
<property name="metrics" ref="metrics"/>
</bean>i skonfiguruj odpowiedni rejestrator w pliku log4j.xml:
<appender name="agent-stats" class="org.apache.log4j.RollingFileAppender">
<!-- The active file to log to -->
<param name="file" value="/var/log/integration-agent/agent-stats.log"/>
<param name="append" value="true"/>
<param name="encoding" value="UTF-8"/>
<param name="MaxFileSize" value="100MB"/>
<param name="MaxBackupIndex" value="10"/>
<layout class="org.apache.log4j.PatternLayout">
<param name="ConversionPattern" value="%c{1}|%p|%d|%t|%X{hostName}|%m%n"/>
</layout>
</appender>
<!-- Application performance metrics -->
<logger name="Metrics">
<level value="info"/>
<appender-ref ref="agent-stats"/>
</logger>Dane z Efecte Identity Management
Poniżej przedstawiono kluczowe pola danych użytkownika (agenta) w EIM, których ESS używa podczas pobierania i zapisywania danych.
Atrybut EIM |
Definicja |
Wykorzystanie ESS |
Nazwa |
Obowiązkowy , unikalny Wyróżniająca nazwa agenta |
Unikalnie identyfikuje użytkowników. W przypadku istnienia dwóch agentów o dokładnie tej samej nazwie, pobieranie danych organizacji będzie wiązać się z błędami i brakiem użytkowników. |
|
Obowiązkowy, unikalny adres e-mail agenta |
ESS korzysta z adresu e-mail agenta w komunikacji z ESM i do wysyłania powiadomień e-mail. ESS może korzystać wyłącznie z głównego adresu e-mail, nie można używać żadnych innych adresów. Ponadto stosuje się je w formie wizytówek. |
|
Nazwa wyświetlana |
Fakultatywny |
Wyświetlana użytkownikowi jako nazwa użytkownika. Nazwa wyświetlana jest używana np. w funkcji komentarza i w formie wizytówki. |
Nazwisko |
Fakultatywny | Używane w wizytówkach i funkcjach komentowania razem z imieniem; w przypadku braku obu, używana jest nazwa wyświetlana. |
Imię |
Fakultatywny |
Używane w wizytówkach i funkcjach komentowania razem z imieniem; w przypadku braku obu, używana jest nazwa wyświetlana. |
Konto |
Obowiązkowy |
Nazwa użytkownika konta jest używana wraz z komponentami domeny (DC) do utworzenia identyfikatora uwierzytelniania, który służy do wiązania biletów i żądań z użytkownikami. Ten identyfikator uwierzytelniania jest wyświetlany użytkownikowi, gdy nazwa wyświetlana nie jest zdefiniowana ( konto@dc.dc2.dc3 ) lub użytkownik nie jest widoczny w danych organizacji. W przypadku agentów bez zdefiniowanego konta, ESS nie pobiera tych użytkowników do pamięci podręcznej organizacji. Uwaga! Identyfikator uwierzytelnienia jest kluczem do powiązania użytkownika z żądaniami w ESS. Zmiana któregokolwiek z komponentów powoduje, że historia żądań nie jest widoczna, a użytkownik jest traktowany jako nowy. W przypadku zmiany identyfikatora konta, a tym samym identyfikatora uwierzytelnienia, stare zgłoszenia i żądania zatwierdzenia nie są wyświetlane użytkownikowi. Identyfikator konta rozróżnia wielkość liter. |
Centrum kosztów |
Fakultatywny |
Jeśli użytkownik jest powiązany z centrum kosztów, to centrum to jest domyślnie używane podczas składania wniosków. Jeśli do ESS nie zostaną zwrócone żadne centra kosztów, wybór centrum kosztów nie będzie wyświetlany na stronie potwierdzenia. Centrum kosztów jest również używane przez formularz pracownika. |
Nadzorcy |
Fakultatywny | Jeśli użytkownik ma ustawionego ważnego przełożonego, nazwisko przełożonego jest automatycznie wybierane dla agenta w przypadkach wymagających zatwierdzenia. W formularzu pracownika używana jest również lista przełożonych. |
Zastępcy |
Fakultatywny |
Służy do delegowania zatwierdzeń. Użytkownicy z podwładnymi, dedykowanymi zatwierdzającymi i delegowanymi zatwierdzającymi mają tę opcję widoczną. Dla każdego użytkownika można ją ustawić w EIM, a po pobraniu danych organizacji staje się ona widoczna dla użytkownika. |
przenośny |
Fakultatywny, używany do resetowania hasła |
Służy do resetowania hasła. Jeśli użytkownik ma ustawiony numer telefonu komórkowego, jest on widoczny w widoku użytkownika końcowego. Jeśli numer telefonu komórkowego nie jest zdefiniowany, użytkownik końcowy może ustawić własny numer telefonu komórkowego, który zostanie natychmiast zaktualizowany w EIM. |
agent.customString13 |
Fakultatywny, używany do resetowania hasła |
Służy do przesyłania informacji o dodatkowym adresie e-mail z ESM do EIM i z powrotem. Nie jest automatycznie mapowany na konto Agent w sekcji „Adres e-mail do resetowania hasła”. |
adres ulicy |
Fakultatywny |
Używa się go w formularzu wizytówki, wpisując kod pocztowy, miasto i kraj w polu Adres ulicy |
kod pocztowy |
Fakultatywny |
Używa się go w formularzu wizytówki, wpisując kod pocztowy, miasto i kraj w polu Adres ulicy |
miasto |
Fakultatywny |
Używa się go w formularzu wizytówki, wpisując kod pocztowy, miasto i kraj w polu Adres ulicy |
kraj |
Fakultatywny |
Używa się go w formularzu wizytówki, wpisując kod pocztowy, miasto i kraj w polu Adres ulicy |
Konfiguracja samoobsługi Efecte
Aby wybrać łącznik Efecte Identity jako łącznik organizacji, skonfiguruj go po stronie Integration Suite, a następnie otwórz stronę administracyjną Efecte Self Service i wybierz Integracje -> Organizacja -> Łącznik organizacji.
Przed zmianą łącznika zmień grupy administratorów zgodnie z nowymi danymi organizacji. Można to zrobić na dwa sposoby:
- w interfejsie administratora, zakładka „Ustawienia”: „Grupa AD administratorów” i „Grupa AD właścicieli usług”
- w pliku webshop.properties parametr ldap.administrator.group (należy pamiętać, że ustawienia z bazy danych są wprowadzane jako pierwsze)
Następnie z listy rozwijanej „Organization Connector” wybierz Efecte Identity Connector (jeśli nie jest ustawiony jako domyślny). Pamiętaj, że po tym pamięć podręczna organizacji zostanie wyczyszczona, a jeśli użytkownik nie jest zalogowany jako administrator globalny, może zostać wylogowany. Zaloguj się ponownie w razie potrzeby i kliknij przycisk „Pokaż dane testowe”, aby sprawdzić dane dotyczące organizacji.
Notatka
Zdecydowanie zaleca się nie instalować więcej niż jednego łącznika organizacyjnego dla jednego dzierżawcy.
Efecte Identity jako łącznik danych organizacji dla globalnego administrowania
Aby użyć systemu Efecte Identity Management jako dostawcy danych organizacji dla administratora globalnego, w pliku /etc/webshop/webshop.properties (komputer ESS) skonfiguruj:
- globaladmin.organization.connector.type = com.efecte.integration.connector.idm.IdMConnector
- globaladmin.organization.connector.instanceName = defaultEfecteIdentity
i uruchom ponownie ESS. Aby użytkownicy mieli dostęp do globaladmin, muszą dodatkowo należeć do grupy AD zdefiniowanej w pliku webshop.properties jako globalna grupa administratorów.
Moje usługi
Łącznik tożsamości może działać jako źródło danych dla pól Moich usług
Moje Usługi to powszechna nazwa zestawu mechanizmów integracyjnych umożliwiających zewnętrznym systemom dynamiczną modyfikację zawartości katalogu widocznej dla użytkowników.
Definiowanie pól MyServices
- Przejdź do strony administracyjnej ESS -> Integracje -> Pola danych zewnętrznych -> Pola danych zewnętrznych
- Naciśnij przycisk Dodaj pole Moje usługi
- Wprowadź konfigurację
- Nazwa pola – wprowadź nazwę, która będzie używana jako alias dla tego pola MyServices
- Dane z – wybierz złącze Efecte Identity
- Usługa z Efecte Identity mapowana na pole MyServices (Zaloguj się do Efecte Identity -> Administracja -> Usługi -> Nazwa usługi)
- Identyfikator listy danych – ta wartość powinna być taka sama jak nazwa usługi
- Kliknij przycisk Aktualizuj — jeśli nie ma błędów, w tabeli elementów pól MyServices zobaczysz nazwy „Ról” zdefiniowane w Efecte Identity dla usługi (zaznacz „Role” w wybranej Usłudze)
Łącznik Efecte Identity odpowiada nie tylko za synchronizację elementów, ale także za śledzenie powiązań między elementami i użytkownikami.
Mój katalog usług i ofert
Korzystanie z wpisu MyService jako źródła identyfikatorów pozycji usług
- Na stronie administracyjnej w zakładce Usługi otwórz usługę i wybierz pozycję usługi
- W oknie Właściwości elementu otwórz menu rozwijane „Łącze danych zewnętrznych” i wybierz nazwę pola Moje usługi, którego chcesz użyć
- Z listy rozwijanej „Identyfikator przedmiotu” wybierz element, który będzie używany jako identyfikator przedmiotu podczas składania zamówienia
Identyfikator wybranego elementu będzie używany jako ItemID podczas składania zamówienia na dany element.
Powiązania między użytkownikami i kartami danych
Łącznik nie jest odpowiedzialny tylko za pobieranie informacji o usłudze tożsamości, ale także za:
- śledzenie powiązań między usługami tożsamości a użytkownikami ( Agent tożsamości)
- zmieniając wspomniane skojarzenia
Aby skorzystać z tej funkcjonalności:
- Na stronie administratora otwórz Usługę i wybierz Element usługi
- W oknie Właściwości elementu usługi otwórz menu rozwijane „Łącze Moje usługi” i wybierz nazwę pola Moje usługi
- Z listy rozwijanej Podelementy wybierz:
- Użytkownik korzystający – w tym przypadku użytkownikowi zostanie wyświetlona lista Usług, z którymi jest on powiązany
- Użytkownik niekorzystający – w tym przypadku użytkownikowi zostanie wyświetlona lista usług, z którymi nie jest on powiązany
Złożenie zamówienia na pozycję serwisową spowoduje:
- Usuwanie
- Dodawanie
skojarzenie pomiędzy użytkownikiem ( Agent ) składającym zamówienie a Serwisem Efecte Identity.