LDAP-Transformationszuordnungen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Die Transformationszuordnung verschiebt Daten aus der Import Set-Tabelle in die Zieltabelle (Benutzer oder Gruppe).

    Die LDAP-Integration verwendet standardmäßige Import Sets und Transformationszuordnungen. Sie können auch benutzerdefinierte LDAP-Transformationszuordnungen erstellen.
    Wichtig:
    Unabhängig davon, ob Sie benutzerdefinierte LDAP-Transformationszuordnungen auswählen oder erstellen, sollte für einen Satz von Quell- und Zieltabellen eine aktive Transformationszuordnung vorhanden sein. Wenn Sie mehrere Transformationszuordnungen für dieselbe Quell- und Zieltabelle aktivieren, kann dies zu doppelten Einträgen in der Zieltabelle führen, es sei denn, Sie führen eine Zusammenfügung mit den übereinstimmenden Feldern durch.

    Standardmäßige LDAP-Transformationszuordnungen

    Standardmäßig stellt das System zwei Transformationszuordnungen für LDAP-Daten bereit.
    Tabelle : 1. Standardmäßige LDAP-Transformationszuordnungen
    Transformationszuordnung Quelltabelle Zieltabelle Beschreibung
    LDAP-Benutzerimport [ldap_import] [sys_user] Standard-Transformationszuordnung zum Erstellen von Benutzerdatensätzen aus LDAP-Anmeldeinformationen als Teil der LDAP-On-Demand-Anmeldung. Enthält Zuordnungen für einen Active Directory LDAP-Server.
    LDAP-Gruppenimport [ldap_group_import] [sys_user_group] Standard-Transformationszuordnung zum Erstellen von Gruppendatensätzen aus LDAP-OEs. Enthält Zuordnungen für einen Active Directory LDAP-Server.
    Hinweis:
    Standardmäßig verfügt das System nicht über eine Transformationszuordnung für LDAP-Abteilungsdatensätze.

    Anforderungen für benutzerdefinierte LDAP-Transformationszuordnungen

    Wenn Sie eine benutzerdefinierte Transformationszuordnung erstellen, muss die Transformationszuordnung die folgenden Zuordnungsanforderungen erfüllen.
    Tabelle : 2. Anforderungen für benutzerdefinierte LDAP-Transformationszuordnungen
    Quelltabelle Quellfeld Zieltabelle Zielfeld Zusammenfügen Beschreibung
    ldap_import u_source sys_user Quelle false Das Feld u_source gibt den LDAP-DN des importierten Benutzers oder der importierten Gruppe an. Das System verwendet dieses Feld, um zu bestimmen, dass ein Benutzer eine LDAP-Authentifizierung erfordert, um den Vorgesetzten eines Benutzers zu finden und Benutzer in Gruppen einzuteilen.
    ldap_import Wählen Sie eines der folgenden Felder aus:
    • u_samaccountname
    • u_dn
    • u_cn
    		 sys_user user_name Wahr Wenn LDAP in Active Directory integriert ist, wählen Sie u_samaccountname als Quellfeld aus. Wenn andere LDAP-Verzeichnisse verwendet werden, wählen Sie u_dn oder u_cn als Quellfeld aus.

    Unterschiede zwischen LDAP-Transformationszuordnungen und veralteten Importzuordnungen

    Bei der Angabe von LDAP-Zuordnungsbeziehungen mithilfe von Transformationszuordnungen gibt es einen großen Unterschied darin, wie Referenzfelder für Manager und Abteilung festgelegt werden.

    Wenn Sie eine Transformationszuordnungverwenden, müssen Sie ein Transformationsskript verwenden, um Referenzen zu erstellen. Dies liegt daran, dass der Wert, der einem LDAP-Attribut wie „manager“ zugeordnet ist, der eindeutige Name (Distinguished Name, DN) des Managers ist.

    Ohne zusätzliche Logik wird ein Benutzerdatensatz mit einem Managernamen erstellt, der dem eindeutigen Namen dieses Benutzers in LDAP entspricht. Die Integration enthält ein Transformationsskript, um die Erstellung dieser Referenzen zu erleichtern. Die Standard-Transformationszuordnung „LDAP-Benutzerimport“ enthält Transformationsskripts für diese Referenzen.

    Vorhandene Zuordnungsbeziehungen
    Wenn Sie veraltete Importzuordnungen in Transformationszuordnungen aktualisieren, können Sie die LDAP-Zuordnungsbeziehungen beibehalten, die vor dem Hinzufügen der System-LDAP-Anwendung vorhanden waren. Der LDAP-Server verfügt über ein Feld Karte, das auf die veraltete Importzuordnung verweist.
    Hinweis:
    Standardmäßig ist dieses Feld ausgeblendet, daher müssen Sie das Formular so konfigurieren, dass es angezeigt wird.
    Wenn Sie zur Verwendung einer Transformationszuordnung wechseln möchten, löschen Sie den Verweis auf die veraltete Importzuordnung.
    Einstellungen für LDAP-Importzuordnung
    Überprüfen und verwenden Sie Attribute, um die Felder zu begrenzen, die die Integration aus der LDAP-Quelle importiert. Darüber hinaus ist es wichtig, das Feld user_name dem LDAP-Attribut zuzuordnen, das die Anmelde-ID des Benutzers enthält. Für Active Directory ist dies normalerweise das Attribut sAMAccountName. Wenn Sie ein binäres Attribut (z. B. objectSID oder objectGUID) importieren und zusammenfügen möchten, müssen Sie ein benutzerdefiniertes Transformationsskript erstellen.
    Hinweis:
    Jeder Wert, der dem Feld user_name zugeordnet ist, muss eindeutig sein.

    Wenn Sie keine Transformationszuordnung angeben (z. B. LDAP-Benutzerimport), verwendet die Integration die folgenden Standardzuordnungen:

    Tabelle : 3. Standardzuordnung für LDAP-Import
    Benutzerfeld oder -variable LDAP-Attribut
    user_name sAMAccountName
    E-Mail E-Mail
    Telefon phoneNumber
    home_phone homePhone
    mobile_phone Mobile
    first_name gegebenerName
    last_name sn
    Titel Titel
    department department
    Manager Manager
    Middle_name Initialen
    u_memberof groups
    u_member Mitglieder
    u_manager Manager

    LDAP-Datentransformation

    Wenn ein LDAP-Attribut einfache Daten enthält, verknüpft die Transformationszuordnung ein importiertes LDAP-Attribut mit einem entsprechenden Feld in der Zieltabelle (Benutzer oder Gruppe). Beispielsweise werden Beispieldaten im Attribut sAMAccountName dem Feld Benutzer-ID in der Benutzertabelle zugeordnet.

    Wenn die importierten LDAP-Daten einem Referenzfeld zugeordnet sind, sucht die Instanz nach einem vorhandenen übereinstimmenden Datensatz. Wenn kein übereinstimmender Datensatz vorhanden ist, erstellt die Instanz einen neuen Datensatz für das Referenzfeld, sofern in der Feldzuordnung nichts anderes angegeben ist.

    Angenommen, das LDAP-Attribut l ist dem Referenzfeld Standort in der Benutzertabelle zugeordnet. Immer wenn der Import einen Attributwert einführt, der nicht mit einem vorhandenen Standortdatensatzwert übereinstimmt, erstellt die Transformationszuordnung einen neuen Standortdatensatz. Der neue Standortdatensatz hat denselben Wert wie das importierte Attribut, und der importierte Benutzerdatensatz verfügt jetzt über einen Link zum neuen Standortdatensatz.

    Es kann jedoch vorkommen, dass das LDAP-Attribut einen eindeutigen Namen (Distinguished Name, DN) zurückgibt, der im Wesentlichen eine Referenz zu einem anderen Datensatz im LDAP-Verzeichnis ist. Beispielsweise enthält das Attribut „manager“ in der Regel den eindeutigen Namen für den Manager des aktuellen LDAP-Verzeichniseintrags. Ein importierter DN verwendet normalerweise eine lange Textzeichenfolge wie: cn=Beth Anglin,ou=Users,dc=my-domain,dc=com.
    Warnung:
    Stellen Sie sicher, dass Ihre Zielfelder lang genug sind, um einen DN zu enthalten. Viele Textfelder verwenden die Standardlänge von 40, was für einige DN-Werte möglicherweise nicht lang genug ist. Das System ServiceNow schneidet jeden Wert ab, der die Feldlänge überschreitet.

    Administratoren möchten normalerweise nicht, dass das System neue Benutzer aus dem DN-Wert erstellt, da der neue Benutzer keine Zuordnung zu einem vorhandenen Benutzer hat. Stattdessen möchten Administratoren, dass der Import den vorhandenen Benutzerdatensatz des Managers findet und ihn dem neu importierten Benutzer zuordnet. Die Skripteinbindung LDAPUtils enthält die Funktionen setManager und processManagers, die einen DN analysieren und nach einem vorhandenen Benutzer suchen können. Um optimale Ergebnisse zu erzielen, verwenden Sie diese Funktionen, um eine benutzerdefinierte Transformationszuordnung zu erstellen.

    Beispielsweise ruft das Skript der LDAP-Benutzerimport -Transformationszuordnung die Funktion setManager auf :
    
// 
// The manager coming in from LDAP is the DN value for the manager.   
// The line of code below will locate the manager that matches the 
// DN value and set it into the target record.  If you are not  
// interested in getting the manager from LDAP then remove or 
// comment out the line below
ldapUtils. setManager (source , target ) ;
    In einigen Fällen importiert die Integration den Datensatz eines Benutzers, bevor der Benutzerdatensatz des zugeordneten Managers importiert wird. Um solche Fälle zu behandeln, sollten Sie die Funktion processManagers nach Abschluss der Transformation aufrufen. Beispielsweise verwendet die Transformationszuordnung „ LDAP-Benutzerimport “ ein onComplete -Transformationsskript, um die Funktion processManagers aufzurufen.
    // It is possible that the manager for a user did not exist in the database when // the user was processed and therefore we could not locate and set the manager field. // The processManagers call below will find all those records for which a manager could  // not be found and attempt to locate the manager again. This happens at the end of the  // import and therefore all users should have been created and we should be able to  // locate the manager at this point 
ldapUtils. processManagers ( ) ;

    Entfernen oder kommentieren Sie die Funktionsaufrufe setManager und processManagers aus, wenn Ihre LDAP-Integration das Attribut manager nicht verwendet.