Séparation de domaine et Identification et réconciliation CMDB

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • La fonctionnalité Identification et réconciliation CMDB prend en charge Séparation de domaine. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Vue d'ensemble

    La séparation de domaine est appliquée pendant le processus d’identification et de rapprochement (IRE) CMDB . Les processus IRE prennent en charge le domaine et la séparation de domaine est appliquée aux règles d’identification et de rapprochement.

    Pour plus d’informations sur la séparation de domaine, voir Séparation de domaine.

    Fonctionnement de Séparation de domaine dans Identification et réconciliation

    La séparation de domaine dans le moteur d’identification est appliquée lorsque les utilisateurs activent le module d’extension Séparation de domaine. Séparation de domaine pour IRE a deux modes de fonctionnement dans des instances séparées par domaine :
    • Mode strict (activé par défaut) : dans ce mode, l’identification traite uniquement les CI dont l’ID de domaine est identique au domaine de l’utilisateur actuellement connecté. S’il existe des CI en double dans tous les domaines (y compris les domaines parent et enfant), ces CI ne sont pas considérés comme des CI en double, car leurs ID de domaine ne correspondent pas.

    • Mode de séparation de domaine de plateforme (désactivé par défaut) : dans ce mode, IRE suit le comportement de séparation de domaine de plateforme. Ainsi, lors de l’identification, les domaines parents peuvent accéder à tous les CI au sein de leurs domaines enfants ou de n’importe quel domaine sur lequel ils ont une visibilité. Pour plus d’informations, consultez Domaines de visibilité et Domaines contient.

      Le mode de séparation de domaine de la plateforme est destiné à être utilisé par les utilisateurs avancés pour des cas d’utilisation très spécifiques ou avancés.

      Remarque :

      Le mode de séparation de domaine de plateforme introduit des risques qui sont plus importants sur les instances mises à niveau et beaucoup moins importants sur les instances zBooted.

      Selon la façon dont les processus IRE sont configurés sur une instance séparée par domaine, la configuration d’IRE pour qu’il utilise le mode de séparation de domaine de plateforme peut entraîner un comportement inattendu et indésirable si elle n’est pas utilisée avec précaution. L’un des risques est si l’activation du mode de séparation de domaine de plateforme est suivie par l’exécution de processus IRE à partir d’un domaine différent de celui sur lequel les processus IRE étaient précédemment exécutés. Dans ce cas, les CI précédemment identifiés comme uniques peuvent être identifiés comme des CI en double et entraîner l’échec de certaines applications.

      Si une application utilise déjà efficacement IRE dans un environnement séparé par domaine, il n’y a aucun avantage à passer en mode de séparation de domaine de plateforme qui pourrait créer un risque.

    Utilisez la propriété système glide.identification_engine.platform_domain_separation_enabled pour basculer entre ces deux modes de séparation de domaine IRE. Par défaut, cette propriété est définie sur false.

    Mode de séparation de domaine de la plateforme

    Définissez la propriété système glide.identification_engine.platform_domain_separation_enabled sur vrai pour activer le mode Séparation de domaine de plateforme pour le traitement IRE. Avec le mode de séparation de domaine de la plateforme, les domaines parents peuvent accéder à tous leurs domaines enfants pendant le traitement IRE. Par exemple, IRE peut détecter un CI correspondant dans un domaine enfant, puis mettre à jour ce CI au lieu d’en créer un nouveau.

    En mode Séparation de domaine de la plateforme pour IRE :
    • IRE exécuté à partir d’un domaine parent peut accéder aux CI contenus dans son domaine, aux domaines enfants qui sont plus bas dans la hiérarchie de domaine et au domaine global.
    • IRE exécuté à partir du domaine global peut accéder à tous les CI.
    • Les domaines de visibilité et les domaines de contenu sont pris en charge.
    Remarque :
    Lorsque le mode de séparation de domaine de plateforme est activé, il peut y avoir une augmentation soudaine de la détection IRE des CI en double.

    Séparation de domaine au cours du processus d’identification

    La séparation de domaine pendant le processus d’identification est appliquée comme suit :
    • Quel que soit le paramètre de la propriété système glide.identification_engine.platform_domain_separation_enabled :
      • Les ID de domaine n’ont pas besoin d’être explicitement envoyés dans la charge utile d’entrée des API du moteur d’identification. En interne, le moteur d’identification amène l’ID de domaine actuel de l’utilisateur à appeler les API du moteur d’identification.
      • Pendant la mise en correspondance, si aucun enregistrement n’est trouvé et qu’un CI est inséré, l’ID de domaine CI est le même que l’ID de domaine du domaine de l’utilisateur connecté. Lors de la mise à jour d’un CI, l’ID de domaine CI ne change pas.
      • Pendant la mise en correspondance, si des doublons sont trouvés, les tâches de déduplication créées dans la table [reconcile_duplicate_task] ont le même ID de domaine que les doublons de CI.
      • Pendant la mise en correspondance, si la reclassification du CI n’est pas autorisée, les tâches de reclassification sont créées dans la table [reclassification_task], avec le même ID de domaine que le CI pour lequel une reclassification est nécessaire.
    • Lorsque la propriété système glide.identification_engine.platform_domain_separation_enabled est définie sur faux :
      • Seuls les CI ayant le même ID de domaine que le domaine de l’utilisateur actuellement connecté sont utilisés lors de la mise en correspondance.
      • Les CI en double qui existent dans tous les domaines (y compris les domaines parent et enfant) ne sont pas considérés comme des CI en double par IRE.
    • Lorsque la propriété système glide.identification_engine.platform_domain_separation_enabled est définie sur vrai :
      • Les CI en double qui existent dans tous les domaines (tels que les domaines parent et enfant) sont considérés comme des CI en double par IRE.
      • Les CI du domaine utilisateur connecté et des domaines enfants sont utilisés lors de la mise en correspondance.

    Séparation de domaine et règles d’identification

    Les règles d’identification et les règles d’inclusion d’identification utilisées au cours du processus d’identification sont toujours définies au niveau global. Par exemple, les tables suivantes n’ont pas de champ sys_domain :
    • Identificateur (cmdb_identifier)
    • Entrées d’identificateurs (cmdb_identifier_entry)
    • Entrées associées (cmdb_related_entry)
    • Règles d’inclusion d’identification (cmdb_ie_active_config)

    Règles de séparation et de rapprochement de domaine

    Les règles de définition de rapprochement utilisées au cours du processus de rapprochement peuvent être définies pour différents domaines. Par exemple, les tables suivantes ont des champs sys_domain, sys_overrides sys_domain_path :
    • Définition de rapprochement (cmdb_reconciliation_definition)
    • Priorité des sources de données (cmdb_datasource_precedence)
    • Définitions des péremptions des sources de données (cmdb_datasource_staleness)