Séparation de domaine et identification et rapprochement CMDB

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • L’application Séparation de domaine est prise en charge dans la fonctionnalité Identification et rapprochement CMDB. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Vue d'ensemble

    La séparation de domaine est appliquée au cours du processus IRE (Identification et réconciliation CMDB ). Les processus IRE sont sensibles au domaine et Séparation de domaine est appliqué aux règles d’Identification et Rapprochement.

    Pour plus d’informations sur la séparation en domaines, consultez Séparation en domaines.

    Fonctionnement de Séparation de domaine dans Identification et réconciliation

    La séparation de domaine dans le moteur d’identification est appliquée lorsque les utilisateurs activent le module d’extension de séparation de domaine. Séparation de domaine pour IRE propose deux modes de fonctionnement dans les instances séparées par domaine :
    • Mode strict (activé par défaut) : dans ce mode, l’identification traite uniquement les CI dans lesquels l’ID de domaine est identique au domaine de l’utilisateur actuellement connecté. Si des CI en double existent dans tous les domaines (y compris les domaines parent et enfant), ces CI ne sont pas considérés comme des CI en double, car leurs ID de domaine ne correspondent pas.

    • Mode de séparation de domaine de plateforme (désactivé par défaut) : dans ce mode, IRE suit le comportement de séparation de domaine de la plateforme. Ainsi, lors de l’identification, les domaines parents peuvent accéder à tous les CI de leurs domaines enfants ou de tout domaine sur lequel ils ont une visibilité. Pour plus d’informations, voir Domaines de visibilité et domaines de contenu.

      Le mode de séparation de domaine de la plateforme est destiné à être utilisé par des utilisateurs avancés pour des cas d’utilisation très spécifiques ou avancés.

      Remarque :

      Le mode de séparation de domaine de la plateforme introduit certains risques qui sont plus importants sur les instances mises à niveau et beaucoup moins sur les instances zbooted.

      Selon la façon dont les processus IRE sont configurés sur une instance séparée par domaine, configurer IRE pour utiliser le mode de séparation de domaine de la plateforme peut entraîner un comportement inattendu et indésirable si vous n’êtes pas utilisé avec précaution. L’un des risques est si l’activation du mode de séparation de domaine de la plateforme est suivie de l’exécution de processus IRE à partir d’un domaine différent de celui sur lequel les processus IRE étaient précédemment exécutés. Dans ce cas, les CI qui étaient précédemment identifiés comme uniques peuvent être identifiés comme des CI en double et peuvent entraîner l’échec de certaines applications.

      Si une application utilise déjà efficacement IRE dans un environnement séparé par domaine, il n’y a aucun avantage à passer en mode Domain Separation de plateforme qui pourrait créer un risque.

    Utilisez la propriété système glide.identification_engine.platform_domain_separation_enabled pour basculer entre ces deux modes pour la séparation en domaines IRE. Par défaut, cette propriété est définie sur false.

    Mode de séparation de domaine de la plateforme

    Définissez la propriété système glide.identification_engine.platform_domain_separation_enabled sur vrai pour activer le mode de séparation de domaine de la plateforme pour le traitement IRE. Avec le mode Séparation de domaine de la plateforme, les domaines parents peuvent accéder à tous leurs domaines enfants pendant le traitement IRE. Par exemple, IRE peut détecter un CI correspondant dans un domaine enfant, puis mettre à jour ce CI au lieu d’en créer un nouveau.

    Dans le mode Séparation de domaine de la plateforme pour IRE :
    • L’IRE exécuté à partir d’un domaine parent peut accéder aux CI contenus dans son domaine, aux domaines enfants situés plus bas dans la hiérarchie des domaines et au domaine global.
    • L’IRE exécuté à partir du domaine global peut accéder à tous les CI.
    • Les domaines de visibilité et les domaines contiennent sont pris en charge.
    Remarque :
    Lorsque le mode Séparation de domaine de plateforme est activé, il peut y avoir une augmentation soudaine de la détection IRE des CI en double.

    Séparation de domaine pendant le processus d’identification

    Au cours du processus d’identification, la séparation de domaine est appliquée comme suit :
    • Quel que soit le paramètre de la propriété système glide.identification_engine.platform_domain_separation_enabled :
      • Les ID de domaine n’ont pas besoin d’être explicitement envoyés dans la charge utile d’entrée des API du moteur d’identification. En interne, le moteur d’identification amène l’ID de domaine actuel de l’utilisateur à appeler les API du moteur d’identification.
      • Pendant la mise en correspondance, si aucun enregistrement n’est trouvé et qu’un CI est inséré, l’ID de domaine du CI est le même que l’ID de domaine du domaine de l’utilisateur connecté. Lors de la mise à jour d’un CI, l’ID de domaine du CI ne change pas.
      • Pendant la correspondance, si des doublons sont trouvés, les tâches de déduplication créées dans la table [reconcile_duplicate_task] ont le même ID de domaine que les doublons de CI.
      • Pendant la correspondance, si la reclassification du CI n’est pas autorisée, les tâches de reclassification sont créées dans la table [reclassification_task], avec le même ID de domaine que le CI pour lequel la reclassification est nécessaire.
    • Lorsque la propriété système glide.identification_engine.platform_domain_separation_enabled est définie sur faux :
      • Seuls les CI qui ont le même ID de domaine que le domaine de l’utilisateur actuellement connecté sont utilisés pendant la correspondance.
      • Les CI en double qui existent dans tous les domaines (y compris les domaines parent et enfant) ne sont pas considérés comme des CI en double par IRE.
    • Lorsque la propriété système glide.identification_engine.platform_domain_separation_enabled est définie sur vrai :
      • Les CI en double qui existent dans tous les domaines (tels que les domaines parent et enfant) sont considérés comme des CI en double par IRE.
      • Les CI du domaine d’utilisateur connecté et des domaines enfants sont utilisés pendant la correspondance.

    Séparation de domaine et règles d’identification

    Les règles d’identification et les règles d’inclusion d’identification utilisées lors du processus d’identification sont toujours définies au niveau global. Par exemple, les tables suivantes n’ont pas de champ sys_domain :
    • Identificateur (cmdb_identifier)
    • Entrées d’identificateurs (cmdb_identifier_entry)
    • Entrées associées (cmdb_related_entry)
    • Règles d’inclusion d’identification (cmdb_ie_active_config)

    Séparation de domaine et règles de réconciliation

    Les règles de définition de rapprochement utilisées au cours du processus de rapprochement peuvent être définies pour différents domaines. Par exemple, les tables suivantes comportent des champs sys_domain, sys_overrides sys_domain_path :
    • Définition de rapprochement (cmdb_reconciliation_definition)
    • Priorité des sources de données (cmdb_datasource_precedence)
    • Définitions des péremptions des sources de données (cmdb_datasource_staleness)