LDAP-Transformationszuordnungen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Die Transformationszuordnung verschiebt Daten aus der Importsatztabelle in die Zieltabelle (Anwender oder Gruppe).

    Die LDAP-Integration verwendet Standard-Importsätze und Transformationszuordnungen. Sie können auch anwenderdefinierte LDAP-Transformationszuordnungen erstellen.
    Wichtig:
    Unabhängig davon, ob Sie anwenderdefinierte LDAP-Transformationszuordnungen auswählen oder erstellen, muss eine aktive Transformationszuordnung für eine Reihe von Quell- und Zieltabellen vorhanden sein. Wenn Sie mehrere Transformationszuordnungen für dieselbe Quell- und Zieltabelle aktivieren, können doppelte Einträge in der Zieltabelle entstehen, es sei denn, Sie fügen sich mit den übereinstimmenden Feldern zusammen.

    Standard-LDAP-Transformationszuordnungen

    Standardmäßig stellt das System zwei Transformationszuordnungen für LDAP-Daten bereit.
    Tabelle : 1. Standard-LDAP-Transformationszuordnungen
    Transform Map Quelltabelle Zieltabelle Beschreibung
    LDAP-Anwenderimport [ldap_Import] [sys_user] Standardmäßige Transformationszuordnung zum Erstellen von Anwenderdatensätzen aus LDAP-Anmeldeinformationen als Teil der LDAP-Anmeldung bei Bedarf. Enthält Zuordnungen für einen Active Directory LDAP-Server.
    LDAP-Gruppenimport [ldap_Group_Import] [sys_user_group] Standard-Transformationszuordnung zum Erstellen von Gruppendatensätzen aus LDAP-OUs. Enthält Zuordnungen für einen Active Directory LDAP-Server.
    Hinweis:
    Standardmäßig verfügt das System über keine Transformationszuordnung für LDAP-Abteilungsdatensätze.

    Anforderungen für anwenderdefinierte LDAP-Transformationszuordnungen

    Wenn Sie eine anwenderdefinierte Transformationszuordnung erstellen möchten, muss die Transformationszuordnung die folgenden Zuordnungsanforderungen erfüllen.
    Tabelle : 2. Anforderungen für anwenderdefinierte LDAP-Transformationszuordnungen
    Quelltabelle Quellfeld Zieltabelle Zielfeld Zusammenfügen Beschreibung
    ldap_Import u_Quelle sys_user Quelle falsch Die u_Quelle Feld gibt den LDAP-DN des importierten Anwenders oder der importierten Gruppe an. Das System verwendet dieses Feld, um zu bestimmen, ob ein Anwender eine LDAP-Authentifizierung benötigt, um den Manager eines Anwenders zu finden und Anwender in Gruppen einzuordnen.
    ldap_Import Wählen Sie eines der folgenden Felder aus:
    • u_samaccountname
    • u_DN
    • u_cn
    		 sys_user user_name wahr Wenn LDAP in Active Directory integriert ist, wählen Sie aus u_samaccountname Als Quellfeld. Wenn andere LDAP-Verzeichnisse verwendet werden, wählen Sie aus u_DN Oder u_cn Als Quellfeld.

    Unterschiede zwischen LDAP-Transformationszuordnungen und Legacy-Importzuordnungen

    Wenn Sie LDAP-Zuordnungsbeziehungen mithilfe von Transformationszuordnungen angeben, besteht ein großer Unterschied darin, wie Referenzfelder für Manager und Abteilung festgelegt werden.

    Bei Verwendung von Transformationszuordnung , Es ist erforderlich, einen zu verwenden Transformationsskript Zum Erstellen von Referenzen. Dies liegt daran, dass der Wert, der einem LDAP-Attribut wie „Manager“ zugeordnet ist, der Distinguished Name (DN) des Managers ist.

    Ohne zusätzliche Logik wird ein Anwenderdatensatz mit einem Managernamen erstellt, der der eindeutige Name dieses Anwenders in LDAP ist. Die Integration enthält ein Transformationsskript, um die Erstellung dieser Referenzen zu erleichtern. Die standardmäßige Transformationszuordnung „LDAP-Anwenderimport“ enthält Transformationsskripts für diese Referenzen.

    Vorhandene Zuordnungsbeziehungen
    Wenn Sie Legacy-Importzuordnungen aktualisieren, um Zuordnungen zu transformieren, können Sie die LDAP-Zuordnungsbeziehungen beibehalten, die vor dem Hinzufügen der System-LDAP-Anwendung vorhanden waren. Der LDAP-Server verfügt über einen Zuordnung Feld, das einen Verweis auf die Legacy-Importzuordnung darstellt.
    Hinweis:
    Standardmäßig ist dieses Feld ausgeblendet, daher müssen Sie das Formular konfigurieren, um es anzuzeigen.
    Wenn Sie zur Verwendung einer Transformationszuordnung wechseln möchten, löschen Sie den Verweis auf die Legacy-Importzuordnung.
    Einstellungen für LDAP-Importzuordnung
    Überprüfen und verwenden Sie Attribute, um die Felder einzuschränken, die die Integration aus der LDAP-Quelle importiert. Darüber hinaus ist es wichtig, das Feld user_Name dem LDAP-Attribut zuzuordnen, das die Anmelde-ID des Anwenders enthält. Für Active Directory ist dies normalerweise das Attribut sAMAccountName. Wenn Sie ein binäres Attribut importieren und zusammenfügen möchten (z. B. objectSid oder ObjectGUID), müssen Sie ein anwenderdefiniertes Transformationsskript erstellen.
    Hinweis:
    Jeder Wert, der dem Feld user_Name zugeordnet ist, muss eindeutig sein.

    Wenn Sie keine Transformationszuordnung angeben (z. B. LDAP-Anwenderimport), verwendet die Integration die folgenden Standardzuordnungen:

    Tabelle : 3. Standardzuordnung für LDAP-Import
    Anwenderfeld oder Variable LDAP-Attribut
    user_name SAMAccountName
    E-Mail mail
    Telefon Telefonnummerierung
    home_phone Festnetztelefon
    mobile_phone Mobile
    first_name Givname
    last_name sn
    Titel Titel
    department department
    Manager Manager
    Zweiter_Name Initialen
    u_member groups
    u_member Mitglieder
    u_Manager Manager

    LDAP-Datentransformation

    Wenn ein LDAP-Attribut einfache Daten enthält, verknüpft die Transformationszuordnung ein importiertes LDAP-Attribut mit einem entsprechenden Feld in der Zieltabelle (Anwender oder Gruppe). Beispiel: Beispieldaten im Attribut „sAMAccountName“ sind dem zugeordnet Anwender-ID Feld in der Anwendertabelle.

    Wenn die importierten LDAP-Daten einem Referenzfeld zugeordnet sind, sucht die Instanz nach einem vorhandenen übereinstimmenden Datensatz. Wenn kein übereinstimmender Datensatz vorhanden ist, erstellt die Instanz einen neuen Datensatz für das Referenzfeld, sofern die Feldzuordnung nichts anderes angibt.

    Angenommen, das LDAP-Attribut l ist dem zugeordnet Standort Referenzfeld in der Anwendertabelle. Immer wenn der Import einen Attributwert einführt, der keinem vorhandenen Standortdatensatzwert entspricht, erstellt die Transformationszuordnung einen neuen Standortdatensatz. Der neue Standortdatensatz hat denselben Wert wie das importierte Attribut, und der importierte Anwenderdatensatz hat jetzt einen Link zum neuen Standortdatensatz.

    Es gibt jedoch Fälle, in denen das LDAP-Attribut einen Distinguished Name (DN) zurückgibt, der im Wesentlichen ein Verweis auf einen anderen Datensatz im LDAP-Verzeichnis ist. Beispielsweise enthält das Manager-Attribut normalerweise den eindeutigen Namen für den Manager des aktuellen LDAP-Verzeichniseintrags. Ein importierter DN verwendet normalerweise eine lange Textzeichenfolge, z. B. cn=Beth Anglin,ou=Users,dc=my-Domain,dc=com.
    Warnung:
    Stellen Sie sicher, dass Ihre Zielfelder lang genug sind, um einen DN zu enthalten. Viele Textfelder verwenden die Standardlänge 40, die für einige DN-Werte möglicherweise nicht lang genug ist. Die ServiceNow Das System kürzt jeden Wert, der die Feldlänge überschreitet.

    Administratoren möchten normalerweise nicht, dass das System neue Anwender aus dem DN-Wert erstellt, da der neue Anwender nicht mit einem vorhandenen Anwender verknüpft ist. Stattdessen möchten Administratoren, dass der Import den vorhandenen Anwenderdatensatz des Managers sucht und dem neu importierten Anwender zuordnen soll. Die LDAPUtils Skripteinbindung enthält SetManager Und ProcessManager Funktionen, die einen DN analysieren und nach einem vorhandenen Anwender suchen können. Um die besten Ergebnisse zu erzielen, verwenden Sie diese Funktionen, um eine anwenderdefinierte Transformationszuordnung zu erstellen.

    Zum Beispiel die LDAP-Anwenderimport Das Transformationszuordnungsskript ruft auf SetManager Funktion:
    
// 
// The manager coming in from LDAP is the DN value for the manager.   
// The line of code below will locate the manager that matches the 
// DN value and set it into the target record.  If you are not  
// interested in getting the manager from LDAP then remove or 
// comment out the line below
ldapUtils. setManager (source , target ) ;
    In einigen Fällen importiert die Integration den Datensatz eines Anwenders, bevor der Anwenderdatensatz des zugehörigen Managers importiert wird. Um solche Fälle zu bearbeiten, können Sie anrufen ProcessManager Funktion nach Abschluss der Transformation. Zum Beispiel die LDAP-Anwenderimport Transformationszuordnung verwendet einen OnComplete Transformationsskript zum Aufrufen von ProcessManager Funktion.
    // It is possible that the manager for a user did not exist in the database when // the user was processed and therefore we could not locate and set the manager field. // The processManagers call below will find all those records for which a manager could  // not be found and attempt to locate the manager again. This happens at the end of the  // import and therefore all users should have been created and we should be able to  // locate the manager at this point 
ldapUtils. processManagers ( ) ;

    Entfernen oder kommentieren Sie SetManager Und ProcessManager Funktionsaufrufe, wenn Ihre LDAP-Integration das Manager-Attribut nicht verwendet.