LDAP-Transformationszuordnungen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Die Transformationszuordnung verschiebt Daten aus der Importsatztabelle in die Zieltabelle (Anwender oder Gruppe).

    Die LDAP-Integration verwendet Standard-Importsätze und Transformationszuordnungen. Sie können auch anwenderdefinierte LDAP-Transformationszuordnungen erstellen.
    Wichtig:
    Unabhängig davon, ob Sie anwenderdefinierte LDAP-Transformationszuordnungen auswählen oder erstellen, muss eine aktive Transformationszuordnung für eine Reihe von Quell- und Zieltabellen vorhanden sein. Das Aktivieren mehrerer Transformationszuordnungen für dieselben Quell- und Zieltabellen kann zu doppelten Einträgen in der Zieltabelle führen, es sei denn, Sie fügen sie anhand der übereinstimmenden Felder zusammen.

    Standardmäßige LDAP-Transformationszuordnungen

    Standardmäßig stellt das System zwei Transformationszuordnungen für LDAP-Daten bereit.
    Tabelle : 1. Standardmäßige LDAP-Transformationszuordnungen
    Transformationszuordnung Quelltabelle Zieltabelle Beschreibung
    LDAP-Anwenderimport [ldap_import] [sys_user] Standard-Transformationszuordnung zum Erstellen von Anwenderdatensätzen aus LDAP-Anmeldeinformationen als Teil der bedarfsgesteuerten LDAP-Anmeldung. Enthält Zuordnungen für einen Active Directory LDAP-Server.
    LDAP-Gruppenimport [ldap_group_import] [sys_user_group] Standard-Transformationszuordnung zum Erstellen von Gruppendatensätzen aus LDAP-OUs. Enthält Zuordnungen für einen Active Directory LDAP-Server.
    Hinweis:
    Standardmäßig verfügt das System nicht über eine Transformationszuordnung für LDAP-Abteilungsdatensätze.

    Anforderungen für anwenderdefinierte LDAP-Transformationszuordnungen

    Wenn Sie eine anwenderdefinierte Transformationszuordnung erstellen möchten, muss die Transformationszuordnung die folgenden Zuordnungsanforderungen erfüllen.
    Tabelle : 2. Anforderungen für anwenderdefinierte LDAP-Transformationszuordnungen
    Quelltabelle Quellfeld Zieltabelle Zielfeld Zusammenfügen Beschreibung
    ldap_import u_source sys_user Quelle falsch Das Feld u_source gibt den LDAP DN des importierten Benutzers oder der importierten Gruppe an. Das System verwendet dieses Feld, um zu bestimmen, dass ein Benutzer eine LDAP-Authentifizierung benötigt, um den Manager eines Benutzers zu finden und um Benutzer in Gruppen einzuteilen.
    ldap_import Wählen Sie eines der folgenden Felder aus:
    • u_samaccountname
    • u_dn
    • u_cn
    		 sys_user user_name wahr Wenn LDAP in Active Directory integriert wird, wählen Sie u_samaccountname als Quellfeld aus. Wenn andere LDAP-Verzeichnisse verwendet werden, wählen Sie u_dn oder u_cn als Quellfeld aus.

    Unterschiede zwischen LDAP-Transformationszuordnungen und Legacy-Importzuordnungen

    Bei der Angabe von LDAP-Zuordnungsbeziehungen mithilfe von Transformationszuordnungen gibt es einen großen Unterschied in der Art und Weise, wie Referenzfelder für Manager und Abteilung festgelegt werden.

    Wenn Sie eine Transformationszuordnungverwenden, müssen Sie ein Transformationsskript verwenden, um Referenzen zu erstellen. Dies liegt daran, dass der Wert, der einem LDAP-Attribut wie „Manager“ zugeordnet ist, der Distinguished Name (DN) des Managers ist.

    Ohne zusätzliche Logik wird ein Benutzerdatensatz mit einem Managernamen erstellt, der dem eindeutigen Namen dieses Benutzers in LDAP entspricht. Die Integration enthält ein Transformationsskript, um die Erstellung dieser Referenzen zu erleichtern. Die Standardtransformationszuordnung „LDAP User Import“ enthält Transformationsskripts für diese Referenzen.

    Vorhandene Zuordnungsbeziehungen
    Wenn Sie Importzuordnungen aus der Vorgängerversion in Transformationszuordnungen aktualisieren, können Sie die LDAP-Zuordnungsbeziehungen beibehalten, die vor dem Hinzufügen der System-LDAP-Anwendung vorhanden waren. Der LDAP-Server verfügt über ein Zuordnungsfeld, das auf die Legacy-Importzuordnung verweist.
    Hinweis:
    Standardmäßig ist dieses Feld ausgeblendet. Sie müssen daher das Formular konfigurieren, um es anzuzeigen.
    Wenn Sie zur Verwendung einer Transformationszuordnung übergehen möchten, löschen Sie den Verweis auf die Legacy-Importzuordnung.
    Zuordnungseinstellungen für LDAP-Import
    Verifizieren und verwenden Sie Attribute, um die Felder zu beschränken, die die Integration aus der LDAP-Quelle importiert. Darüber hinaus ist es wichtig, das Feld „user_name“ dem LDAP-Attribut zuzuordnen, das die Anmelde-ID des Benutzers enthält. Für Active Directory ist dies normalerweise das Attribut sAMAccountName. Wenn Sie ein binäres Attribut (z. B. „objectSID“ oder „objectGUID“) importieren und zusammenfügen möchten, müssen Sie ein anwenderdefiniertes Transformationsskript erstellen.
    Hinweis:
    Jeder Wert, der dem Feld „user_name“ zugeordnet ist, muss eindeutig sein.

    Wenn Sie keine Transformationszuordnung (z. B. LDAP User Import) angeben, verwendet die Integration die folgenden Standardzuordnungen:

    Tabelle : 3. Standardzuordnung für LDAP-Import
    Anwenderfeld oder Variable LDAP-Attribut
    user_name sAMAccountName
    E-Mail E-Mail
    Telefon Telefonnummer
    home_phone homePhone
    mobile_phone Mobile
    first_name gegebenerName
    last_name sn
    Titel Titel
    department department
    Manager Manager
    Middle_name Initialen
    u_memberof groups
    u_member Mitglieder
    u_manager Manager

    LDAP-Datentransformation

    Wenn ein LDAP-Attribut einfache Daten enthält, verknüpft die Transformationszuordnung ein importiertes LDAP-Attribut mit einem entsprechenden Feld in der Zieltabelle (Anwender oder Gruppe). Beispiel: Beispieldaten im Attribut sAMAccountName werden dem Feld Benutzer-ID in der Benutzertabelle zugeordnet.

    Wenn die importierten LDAP-Daten einem Referenzfeld zugeordnet sind, sucht die Instanz nach einem vorhandenen übereinstimmenden Datensatz. Wenn kein passender Datensatz vorhanden ist, erstellt die Instanz einen neuen Datensatz für das Referenzfeld, sofern die Feldzuordnung nichts anderes vorgibt.

    Angenommen, das LDAP-Attribut l ist dem Referenzfeld Standort in der Benutzertabelle zugeordnet. Immer wenn der Import einen Attributwert importiert, der nicht mit einem vorhandenen Standortdatensatzwert übereinstimmt, erstellt die Transformationszuordnung einen neuen Standortdatensatz. Der neue Standortdatensatz hat den gleichen Wert wie das importierte Attribut, und der importierte Benutzerdatensatz enthält jetzt einen Link zum neuen Standortdatensatz.

    Es kann jedoch vorkommen, dass das LDAP-Attribut einen Distinguished Name (DN) zurückgibt, der im Wesentlichen ein Verweis auf einen anderen Datensatz im LDAP-Verzeichnis ist. Beispielsweise enthält das Attribut „manager“ normalerweise den eindeutigen Namen für den Manager des aktuellen LDAP-Verzeichniseintrags. Ein importierter DN verwendet normalerweise eine lange Textzeichenfolge wie: cn=Beth Anglin,OU=Users,Dc=my-domain,dc=com.
    Warnung:
    Stellen Sie sicher, dass Ihre Zielfelder lang genug sind, um einen DN zu enthalten. Viele Textfelder verwenden die Standardlänge von 40, was für einige DN-Werte möglicherweise nicht lang genug ist. Das System ServiceNow schneidet jeden Wert ab, der die Feldlänge überschreitet.

    Administratoren möchten normalerweise nicht, dass das System neue Benutzer aus dem DN-Wert erstellt, da der neue Benutzer keine Zuordnung zu einem vorhandenen Benutzer hat. Stattdessen möchten Administratoren, dass der Import den vorhandenen Benutzerdatensatz des Managers findet und dem neu importierten Benutzer zuordnet. Die Skripteinbindung LDAPUtils enthält die Funktionen setManager und processManagers, die einen DN analysieren und nach einem vorhandenen Benutzer suchen können. Um die besten Ergebnisse zu erzielen, verwenden Sie diese Funktionen, um eine anwenderdefinierte Transformationszuordnung zu erstellen.

    Beispiel: Das Skript für die LDAP-Anwenderimport -Transformationszuordnung ruft die Funktion setManager auf:
    
// 
// The manager coming in from LDAP is the DN value for the manager.   
// The line of code below will locate the manager that matches the 
// DN value and set it into the target record.  If you are not  
// interested in getting the manager from LDAP then remove or 
// comment out the line below
ldapUtils. setManager (source , target ) ;
    In einigen Fällen importiert die Integration den Datensatz eines Benutzers, bevor sie den Benutzerdatensatz des zugehörigen Managers importiert. Um solche Fälle zu behandeln, können Sie die Funktion „processManagers“ aufrufen, nachdem die Transformation abgeschlossen ist. Beispielsweise ruft die Transformationszuordnung LDAP User Import ein onComplete- Transformationsskript auf, um die Funktion processManagers aufzurufen.
    // It is possible that the manager for a user did not exist in the database when // the user was processed and therefore we could not locate and set the manager field. // The processManagers call below will find all those records for which a manager could  // not be found and attempt to locate the manager again. This happens at the end of the  // import and therefore all users should have been created and we should be able to  // locate the manager at this point 
ldapUtils. processManagers ( ) ;

    Entfernen oder kommentieren Sie die Funktionsaufrufe „setManager“ und „processManagers“, wenn Ihre LDAP-Integration das Attribut „manager“ nicht verwendet.