Настройка запланированных заданий

Настройка и управление запланированными заданиями осуществляется в разделе "Планировщики" веб-интерфейса администратора Avanpost IDM.


Рисунок – Раздел "Планировщики" веб-интерфейса администратора

Планировщики  это инструмент планирования заданий, выполняемых системой по расписанию. Планировщик позволяет настроить выполнение обработчика выбранного типа с заданными параметрами по указанному расписанию.
С помощью планировщиков в Avanpost IDM настраивается:

  • Синхронизация глобальных и объектных прав для ресурсов, описывающих подключения к управляемым системам;
  • Синхронизация учетных записей в управляемых системах с Avanpost IDM;
  • Обновление значений зависимых свойств учетных записей.
  • Поиск незарегистрированных учетных записей и их владельцев;
  • Синхронизация данных из кадровых источников и источников юнитов;
  • Запуск бизнес-процессов, заявок и скриптов по расписанию;
  • Мониторинг системы.

Навигатор по разделу:

1. Добавление планировщика

Для добавления планировщика необходимо:

  1. В разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Список" нажать .
  2. В открывшейся форме указать произвольное название планировщика и выбрать тип обработчика из выпадающего списка.

    Доступные типы обработчиков описаны в таблице:

    НаименованиеНазначение
    Валидация целостности БД 

    Данный планировщик доступен только при включенной проверке целостности в конфигурационном файле Avanpost IDM "iga.config"

    Пример фрагмента файла "iga.config" для включения планировщика
        "dataIntegrity": {
        "Enabled": true
...
    },
...

    Проверка целостности работает по следующему принципу: после каждого изменения Системой у сущности обновляется специальное поле - подпись и сохраняется в БД.

    Перед каждым использованием сущности заново вычисляется подпись и сравнивается с версией, сохранённой в БД. Если они совпадают, значит сущность не была изменена посторонними лицами. Если разница обнаружена, то к этой сущности больше нет доверия.  Настроенный планировщик валидации целостности БД периодически проверяет сущности, сравнивая их подписи с подписями, сохранёнными в БД.

    Выполнение произвольного скрипта

    Выполнение скрипта строковой операции, написанного в разделе "Настройка процессов" → "Скрипты" веб-интерфейса администратора Avanpost IDM

    Запуск заявки

    Запуск заявки по схеме связанного с ней бизнес-процесса

    Примечание:

    Подробнее о заявках см. статью "6.1.11. Настройка типов заявок" руководства по администрированию

    Запуск процесса

    Запуск бизнес-процесса по схеме

    Примечание:

    Подробнее о настройке процессов см. статью "5.12. Настройка бизнес-процессов" руководства по администрированию

    Кластерная синхронизация управляемых прав

    Синхронизация управляемых прав: обновление или создание управляемых прав в целевых системах

    Примечание:

    Подробнее о управляемых правах см. статью "6.1.4.2. Настройка управляемых прав" руководства по администрированию

    Кластерная синхронизация учетных записей IDM <-> ресурс

    Обновление журнала аудита управляемой системы, генерация событий по несоответствиям состояний УЗ.
    Задания требуется настроить для каждой интегрированной управляемой системы, в отношении которой применяется функция контроля или сертификации изменения прав, атрибутов или состояния УЗ. Частота выполнения задания зависит от критичности и производительности интеграционного интерфейса управляемой системы.
    Выполняется на всех узлах кластера. (В случае синхронизации большого количества ресурсов рекомендуется использовать кластерную синхронизацию)

    Примечание:

    Подробнее о аудите см. статью "6.2.11. Аудит" руководства пользователя

    Обновление зависимых свойств учетных записей

    Обновление значений зависимых свойств учетных записей из источников, указанных в профиле.

    Примечание:

    Подробнее о настройке зависимых свойств см. статью "6.1.4. Настройка интеграции с целевыми системами" руководства по администрированию

    В случае, когда информационная система является источником значений свойств для других информационных систем и используемое значение может меняться с течением времени, следует настроить задание для синхронизации значений таких свойств в зависимые системы
    Откат прав учетных записей

    Откат ролевых операций учетных записей до указанной даты. Откат происходит через анализ истории назначения ролей после даты, указанной в планировщике:

    1. Права текущих назначенных ролей учетных записей, которые были назначены до указанной даты назначаются повторно;
    2. Права версий ролей, которые были активны на указанную дату назначаются повторно;
    3. Права всех прочих ролей и их версий (за исключением пунктов a и b) отзываются.
    Очистка базы данных
    Очистка базы данных от архивных данных для оптимизации ее работы.
    Таблицы для архива:
    • Заявки
    • Прикрепленные файлы
    • Бизнес-процессы
    • Задачи

    Для работы очистки необходимо добавить настройки архивной БД в конфигурационный файл Avanpost IDM iga.config и переменную среды IGA_ARCHIVE_DB_SECRET

    Пример настройки конфигурационного файла
    "archiveDatabase": {
 "connectionString": "host=127.0.0.1;database=iga;username=iga;password=Avanp0st;Timeout=300;Command Timeout=60;Maximum Pool Size=50",
 "providerName": "Postgres",
 "schemaName": "archive2"
},
    Пример для переменной среды IGA_ARCHIVE_DB_SECRET
    {
  "Username": "archive_user",
  "Password": "secretpassword"
},
    Поиск активных незарегистрированных учётных записей

    Обновление списка незарегистрированных в Avanpost IDM учетных записей в журнале аудита, генерация событий аудита. 
    Задания требуется настроить для каждой интегрированной информационной системы, в отношении которой применяется функция контроля или сертификации незарегистрированных в системе УЗ. Частота выполнения задания зависит от критичности и производительности интеграционного интерфейса управляемой системы

    Примечание:

    Подробнее о аудите см. статью "6.2.11. Аудит" руководства пользователя

    Поиск владельцев незарегистрированных учётных записейВычисление потенциальных владельцев обнаруженных незарегистрированных в Avanpost IDM учетных записей на основе идентифицирующих свойств в профилях учетных записей.
    Задания требуется настроить для каждой интегрированной управляемой системы, в отношении которой применяется функция сертификации незарегистрированных в системе УЗ с указанием потенциальных владельцев. Частота выполнения задания зависит от критичности и производительности интеграционного интерфейса управляемой системы
    Синхронизация глобальных прав, ресурс -> IDM

    Регистрация глобальных прав управляемой системы в Avanpost IDM.
    Задание требуется настроить в случае необходимости автоматической регистрации изменений глобальных прав доступа управляемой системы с целью использования их в процессах без предварительной регистрации администратором. Например, при необходимости реализовать заявку на создание роли с возможностью включения в роль глобальных прав

    Примечание:

    Подробнее о ресурсах и глобальных правах см. статью "6.1.4. Настройка интеграции с целевыми системами" руководства по администрированию

    Синхронизация данных, кадровая система -> IDM

    Синхронизация состояния кадрового источника с применением изменений в Системе и генерацией событий.
    Задание требуется настроить для каждого кадрового источника с целью управления жизненным циклом учетных записей на основе кадровых событий

    Примечание:

    Подробнее о кадровых источниках см. статью "6.1.3. Настройка кадровых источников" руководства по администрированию

    Синхронизация данных, источник юнитов -> IDM

    Синхронизация одного или нескольких типов юнитов из кадровой системы и генерация событий.
    Задание требуется настроить для каждого источника юнитов с целью обновления информации о юнитах в Системе и запуска связанных с обновлением процессов на основе сгенерированных событий

    Примечание:

    Подробнее о источниках юнитов см. статью "6.1.3. Настройка кадровых источников" руководства по администрированию

    Синхронизация объектных прав, ресурс -> IDM

    Регистрация объектных прав управляемой системы в Avanpost IDM.
    Задание требуется настроить в случае необходимости автоматической регистрации изменений объектных прав доступа управляемой системы с целью использования их в процессах без предварительной регистрации администратором. Например, при необходимости реализовать заявку на создание роли с возможностью включения в роль объектных прав

    Примечание:

    Подробнее о ресурсах и объектных правах см. статью "6.1.4. Настройка интеграции с целевыми системами" руководства по администрированию

    Синхронизация учётных записей IDM <-> ресурс

    Обновление журнала аудита управляемой системы, генерация событий по несоответствиям состояний УЗ.
    Задания требуется настроить для каждой интегрированной управляемой системы, в отношении которой применяется функция контроля или сертификации изменения прав, атрибутов или состояния УЗ. Частота выполнения задания зависит от критичности и производительности интеграционного интерфейса управляемой системы.
    Выполняется на одном узле кластера.

    Примечание:

    Подробнее о аудите см. статью "6.2.11. Аудит" руководства пользователя

    Системный монитор

    Фиксация превышения пороговых значений утилизации системных ресурсов на серверах Avanpost IDM и отправка уведомлений на e-mail адрес

  3. Нажать . Планировщик будет добавлен и откроется карточка планировщика для его настройки.


Рисунок – Добавление планировщика

2. Настройка планировщиков

Для настройки планировщика необходимо:

  1. В разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Список" нажать на требуемый планировщик в списке.
  2. В открывшейся форме на вкладке "Информация" нажать . Откроется карточка планировщика для его настройки.

2.1. Карточка планировщика

2.1.1. Вкладка "Основное" карточки планировщика

На вкладке "Основное" карточки планировщика доступны для редактирования поля:

ПолеЗначение
Название

Произвольное название планировщика

ОписаниеПроизвольное описание планировщика. Отображается в общем списке в разделе "Планировщики"
Игнорировать пропущенные планировщики

Оставить чекбокс неотмеченным, если в случае пропуска планировщика требуется выполнить его сразу при первой доступности.

Отметить чекбокс, если требуется запускать планировщик только в заданное время

Уведомлять после завершенияОтметить чекбокс, если требуется отправлять уведомления о завершении запланированного задания на почту
Получать уведомления только для неуспешныхОтметить чекбокс, если требуется отправлять уведомления о завершении запланированного задания на почту только для неуспешных выполнений.
Поле доступно, только если отмечен чекбокс "Уведомлять после завершения"
Адреса для уведомленийУказать e-mail адреса для отправки уведомлений о завершении запланированного задания. После каждого введенного адреса требуется нажать ENTER.
Поле доступно, только если отмечен чекбокс "Уведомлять после завершения"
Дата началаУказать дату и время начала выполнения запланированного задания
ПовторятьВыбрать из выпадающего списка один из вариантов расписания повторения задания
Завершить

Поле доступно, только если в поле "Повторять" настроено регулярное выполнение планировщика.
Выбрать из выпадающего списка один из вариантов принудительного завершения планировщика:

  • Никогда – Планировщик не завершается, пока задание не будет выполнено;
  • После – Указать количество попыток запуска, после которых планировщик будет остановлен;
  • По дате – Указать дату, когда планировщик будет остановлен;

После заполнения необходимых параметров на всех вкладках карточки планировщика требуется нажать .

2.1.2. Вкладка "Параметры" карточки планировщика

Доступные для настройки параметры отличаются в зависимости от выбранного для планировщика типа обработчика.

После заполнения необходимых параметров на всех вкладках карточки планировщика требуется нажать .

Параметры для каждого типа обработчика представлены в таблице:

Тип обработчикаПараметрЗначение
Валидация целостности БД Инициализировать хэши

Если валидация целостности БД была включена после добавления первых объектов в БД, то при валидации этих объектов будут возникать ошибки, так как поле подписи у объектов не заполнено.
Для устранения этих ошибок и первичного заполнения подписи для объектов в БД требуется отметить чекбокс "Инициализировать хэши". В таком случае валидация будет проходить в режиме инициализации, при котором сущности без заполненного поля подписи оцениваются как валидные, но при обновлении сущности заполняется подпись.

Для работы опции "Инициализировать хэши" требуется включить инициализацию в конфигурационном файле Avanpost IDM "iga.config"

Пример фрагмента файла "iga.config" для включения планировщика и опции инициализации хэшей
    "dataIntegrity": {
        "Enabled": true,
        "Initializing": true
    },
...
Число потоков валидации Указать количество потоков для выполнения планировщика. По умолчанию используется 4 потока
Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Выполнение произвольного скриптаСкрипт

Выбрать из выпадающего списка скрипт строковой операции, написанный в разделе "Настройка процессов" → "Скрипты" веб-интерфейса администратора Avanpost IDM

Входные параметры (json) Указать при необходимости входные параметры для скрипта в формате json
Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Запуск заявкиСхема бизнес-процесса

Выбрать из выпадающего списка одну из схем бизнес-процессов, разработанных в разделе "Настройка процессов" → "Схемы" веб-интерфейса администратора Avanpost IDM

Примечание:

Подробнее о схемах бизнес-процессов см. статью "6.1.10. Настройка бизнес-процессов" руководства по администрированию

Скрипт создания контекста заявки

Выбрать из выпадающего списка скрипт получения контекста документа, написанный в разделе "Настройка процессов"→"Скрипты" веб-интерфейса администратора Avanpost IDM

Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Запуск процессаСхема бизнес-процесса 

Выбрать из выпадающего списка одну из схем бизнес-процессов, разработанных в разделе "Настройка процессов" → "Схемы" веб-интерфейса администратора Avanpost IDM

Примечание:

Подробнее о схемах бизнес-процессов см. статью "6.1.10. Настройка бизнес-процессов" руководства по администрированию

Скрипт создания контекста процесса

Выбрать из выпадающего списка скрипт получения контекста документа, написанный в разделе "Настройка процессов" → "Скрипты" веб-интерфейса администратора Avanpost IDM

Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Кластерная синхронизация управляемых правУровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Обновление зависимых свойств учетных записейПрофиль учетной записи - источника значений

Выбрать из выпадающего списка профиль ресурса, который является источником значений для зависимого свойства

Подразделение, в котором обновлять учётные записиВыбрать из выпадающего списка подразделение, в котором задание будет обновлять значения свойств учётных записей
Максимальное число параллельных запросов к системеУказать количество потоков для выполнения задания. По умолчанию используется 1 – однопоточный режим
Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Очистка базы данныхВозраст записи в днях Установить минимальный возраст записей, которые будут очищаться
Системные очереди Выбрать из выпадающего списка системные очереди, которые будут очищаться
Внешние события - статус обработки

Параметр "Внешние события - статус обработки " актуален только в случае выбора в параметре "Системные очереди" пункта "Очереди внешних событий".

Если в Avanpost IDM настроен запуск каких-либо бизнес-процессов с помощью обработчиков событий, то после запуска таких БП в таблице "ExternalEventHandlerLogs" сохраняется информация об этом. В поле "Status" сохраняется статус успешности обработки.

Выбрать из выпадающего списка варианты статуса для очитски записей о запущенных БП с помощью обработчиков событий:

  • "Успешные"
  • "Неуспешные"
  • "Зависшие"
    Зависшей считается запись, в которой отмечено, что БП был запущен, но результата запуска до сих пор в этой записи нет. В Avanpost IDM 7.8 зависшие записи больше появляться не могут, но могли оставаться если Система обновлялась из более старых версий.
Выбор процессов

Выбрать из выпадающего списка один из вариантов:

  • "С документами" – для очистки процессов с документами
  • "Без документов" – для очистки процессов без документов

Вариант "С документами" доступен, если в конфигурационном файле Avnapost IDM (iga.config) указана архивная БД.

Все схемы

Отметить чекбокс для очистки всех процессов

Схемы процессов
Для очисти процессов необходимо чтобы в параметре "Выбор процессов" было установлено значение "Без документов" и / или "С документами".

Выбрать из выпадающего списка бизнес-процессы для ограничения очистки процессов только указанными схемами.

При отмеченном чекбоксе "Все схемы" параметр "Схемы процессов" игнорируется.

Очистить журнал событий ресурсовОтметить чекбокс, если требуется очистить журнал событий ресурсов
Очистить журнал неуспешной отправки событий безопасностиОтметить чекбокс, если требуется очистить журнал неуспешной отправки событий безопасности
Очистка таблицы логов. Удалить записи заданного уровня и ниже:

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Записи выбранного уровня и ниже в таблице логов будут удалены

Очистить историю запуска планировщиковОтметить чекбокс, если требуется очистить историю запуска планировщиков
Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Поиск активных незарегистрированных учётных записейРесурсы, в которых будет выполняться поиск

Указать логические условия для формирования множества ресурсов, в которых требуется выполнить поиск незарегистрированных учётных записей.
Для этого необходимо добавить условия выборки ресурсов, нажимая →"Добавить условие", и логические операторы, нажимая →"Добавить группу".  По умолчанию добавляется условие "Наименование ресурса равно" и логический оператор "И". Для изменения логического оператора или условия необходимо нажать на требуемый элемент, откроется список вариантов для данного элемента. 
Доступные логические операторы: "И", "ИЛИ".
Доступные условия:

  • Наименование ресурса
  • Идентификатор каталога ресурса 
  • Путь к сборке коннектора
  • Флаг включения ресурса 
  • Текстовая информация о ресурсе 
  • Роль ресурса 


Рисунок – пример условия

Запустить поиск по всем ресурсамОтметить чекбокс, если требуется выполнить поиск незарегистрированных учётных записей по всем ресурсам. В таком случае поле "Ресурсы, в которых будет выполняться поиск" можно оставить пустым
Обход ресурсов по каталогам

Отметить чекбокс, если необходимо, чтобы очередность выполнения планировщика определялась по каталогам, то есть чтобы выполнение в ресурсах одного каталога происходило примерно в одно время.

По умолчанию очередность выполнения планировщика определяется по идентификаторам ресурсов

Повторно генерировать события для ранее обнаруженных учетных записейОтметить чекбокс, если требуется генерировать события для повторно обнаруженных незарегистрированных учётных записей
Фильтр учетных записей, в соответствии с типом коннектора

Для поиска всех активных незарегистрированных в Avanpost IDM учетных записей необходимо оставить поле пустым.

Если требуется фильтрация списка незарегистрированных в Avanpost IDM учетных записей, необходимо указать значение фильтра для синхронизации только определенного множества учетных записей, соответствующих данному значению.
Указанное значение будет передано в коннектор, и его формат зависит от коннектора. Например, для Microsoft Active Directory это будет LDAP строка поиска.

Внимание:

В случае настройки своего фильтра проверка на активность УЗ выполнена не будет. Для ее выполнения требуется предусмотреть ее в фильтре.

Примечание:

Подробнее о коннекторах см. раздел "5.1.5. Руководство по стандартным коннекторам"

Число потоков поиска Указать количество потоков для выполнения задания. По умолчанию используется 4 потока.
Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Поиск владельцев незарегистрированных учётных записейРесурс, в котором будет выполняться поиск

Выбрать из выпадающего списка ресурс, в котором будет выполняться поиск владельцев незарегистрированных учётных записей

Стратегия поиска владельца 

Выбрать из выпадающего списка один из вариантов:

  • Идентифицирующие свойства – при данной стратегии происходит:
    • Загрузка профилей указанного в параметре ресурса, которые имеют хотя бы одно свойство в шаблоне учетных записей с пометкой "Идентифицирует сотрудника";
    • Загрузка всех известных сотрудников и юнитов;
    • Выполнение для каждого профиля следующих операций:
      • Загрузка всех известных системе незарегистрированных аккаунтов;
      • Определение списка идентифицирующих свойств;
      • Считывание для каждого аккаунта из ресурса идентифицирующих свойств;
      • Вычисление для каждого сотрудника и юнита идентифицирующих свойств по текущему профилю;
      • Поиск пар (сотрудник + аккаунт) или (юнит + аккаунт), у которых полностью совпадает набор идентифицирующих свойств. При совпадении сотрудник или юнит регистрируется как возможный владелец для соответствующего аккаунта в паре.
  • Скрипт – для использования скрипта в качестве стратегии поиска. Требуется выбрать скрипт в поле "Скрипт вычисления владельцев".
Скрипт вычисления владельцев 

В случае использования стратегии поиска владельца "Скрипт" выбрать из выпадающего списка один из скриптов строковой операции, написанных в разделе "Настройка процессов" → "Скрипты" веб-интерфейса администратора Avanpost IDM, который должен вернуть владельцев незарегистрированных учётных записей.

  • Скрипт запускается для каждого известного системе незарегистрированного аккаунта.
  • Скрипт принимает две переменные ResourceId, AccountName и функции доступа к аккаунтам, ресурсам и т.п.
  • Скрипт возвращает массив специальных структур.
    • Структура описывает владельца и профиль.
    • Создание структуры в скрипте осуществляется с помощью функции CreatePossibleAccountOwner(string id, int profileId).
    • Каждый описанный владелец регистрируется как возможный кандидат и впоследствии может быть использован для создания УЗ.
Пример скрипта
#задать префикс домена
domainPrefix = 'OFFICE\\'
#задать имя профиля
resourceProfileName = 'Пользовательский'

result = AccountOwnership.CreateResult()

if domainPrefix in AccountName:
   profile = IdmWebClient.Profiles.GetResourceProfileByName(ResourceId, resourceProfileName)
   if profile != None:
      properties = IdmWebClient.Accounts.GetAccountResourceProperties(ResourceId, AccountName, ['employeeNumber'])
      if properties['employeeNumber']:
        employees = SelfServiceClient.Employees.FilterEmployees(Filters.Employee.PersonnelNumber.Equal(properties['employeeNumber']))
        if len(employees) > 0:
            for e in employees:
                Logger.LogInfo("Найден кандидат для УЗ: " + AccountName + ", Id = " + str(e.Id) + ", " + e.Name)
                result.AddEmployeeOwner(e.Id, profile.Id)
result
Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Синхронизация глобальных прав, ресурс -> IDMРесурсы, в которых будет выполняться синхронизация 

Указать логические условия для формирования множества ресурсов, из которых требуется синхронизировать глобальные права.
Для этого необходимо добавить условия выборки ресурсов, нажимая →"Добавить условие", и логические операторы, нажимая →"Добавить группу".  По умолчанию добавляется условие "Наименование ресурса равно" и логический оператор "И". Для изменения логического оператора или условия необходимо нажать на требуемый элемент, откроется список вариантов для данного элемента. 
Доступные логические операторы: "И", "ИЛИ".
Доступные условия:

  • Наименование ресурса
  • Идентификатор каталога ресурса 
  • Путь к сборке коннектора
  • Флаг включения ресурса 
  • Текстовая информация о ресурсе 
  • Роль ресурса 


Рисунок – пример условия

Запустить синхронизацию по всем ресурсамОтметить чекбокс, если требуется выполнить синхронизацию глобальных прав со всеми ресурсами. В таком случае поле "Ресурсы, в которых будет выполняться синхронизация" можно оставить пустым
Обход ресурсов по каталогам

Отметить чекбокс, если необходимо, чтобы очередность выполнения планировщика определялась по каталогам, то есть чтобы выполнение в ресурсах одного каталога происходило примерно в одно время.

По умолчанию очередность выполнения планировщика определяется по идентификаторам ресурсов

Шаблон имени права является регулярным выражением, фильтрация будет выполнена в IGAОтметить чекбокс, если в поле "Шаблон имени права" указано регулярное выражение
Шаблон имени права Указать часть имени права или регулярное выражение, если требуется синхронизация выборки прав. Если указано регулярное выражение, требуется отметить чекбокс "Шаблон имени права является регулярным выражением, фильтрация будет выполнена в IGA"
Удалять права, соответствующие шаблону, но отсутствующие в ресурсеОтметить чекбокс, если требуется удалять из Avanpost IDM права, соответствующие шаблону имени права, но отсутствующие в целевой системе, описываемой ресурсом
Число потоков синхронизации Указать количество потоков для выполнения задания. По умолчанию используется 4 потока
Количество прав в одном запросеУказать количество прав в одном запросе. По умолчанию 2000 
Уровень логгирования

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Синхронизация данных, источник юнитов -> IDMИсточник информации о юнитах, с которым будет производиться синхронизация

Выбрать из выпадающего списка источник юнитов, с которым требуется выполнить синхронизацию

Повторить команды при неудачном результатеОтметить чекбокс, если требуется повторить команды, которые не были выполнены, по завершении первой попытки выполнения планировщика
Максимальное число параллельных запросов к системе Указать количество потоков для выполнения задания. По умолчанию используется 1 – однопоточный режим
Удалить юниты, отсутствующие в ресурсеОтметить чекбокс, если требуется удалить юниты, которые присутствуют в Avanpost IDM, но отсутствуют в источнике юнитов
Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Синхронизация данных, кадровая система -> IDM










Источник данных Выбрать из выпадающего списка кадровый источник, с которым требуется выполнить синхронизацию
Только вывести изменения и сохранить снимок, но не изменять кадровые объекты в IDM

Отметить чекбокс, если требуется только вывести изменения и сохранить снимок, но не изменять кадровые объекты в Avanpost IDM

Примечание:

Синхронизация с кадровой системой состоит из следующих этапов:

  1. Получение текущего снимка данных в кадровой системе при помощи коннектора.

  2. Сравнение текущего снимка со снимком от предыдущей синхронизации (или пустым снимком для первой синхронизации) и формирование упорядоченного списка изменений вида "Добавлен сотрудник", "Добавлено подразделение" и т.п.

  3. Последовательное применение изменений из списка к кадровым данным в Avanpost IDM.

При условии согласованности данных в снимках процедура сравнения поддерживает любую комбинацию и обеспечивает правильный порядок любых возможных изменений

Подразделения

Выбрать из выпадающего списка подразделения, которые требуется синхронизировать. Если оставить поле пустым будут синхронизированы все подразделения

Максимальное число разрушающих изменений

Указать максимальное число потенциально разрушительных изменений на одну синхронизацию, чтобы ограничить масштаб последствий обработки некорректных кадровых данных. При превышении этого порога синхронизация останавливается с ошибкой до применения каких-либо изменений. 

Разрушающие изменения – это изменения, которые потенциально могут привести к блокировке/удалению учётных записей или отзыву прав. К разрушающим изменениям работников относятся: удаление, перевод, изменение состояния (кроме изменения на "Работает"). 

Перемещение подразделений также относится к разрушительным. Но подсчитываются не сами изменения подразделений, а число работников в изменившихся подразделениях - число порождаемых переводов.

К неразрушающим изменениям работников относятся: добавление, изменение состояния на "Работает" (приём, возвращение из отпуска)

Максимальное число параллельных запросов к системе Указать количество потоков для выполнения задания. По умолчанию используется 1 – однопоточный режим
Обрабатывать удаленные записи работников как увольнение (по умолчанию прерывать синхронизацию при наличии удаленных записей)

Отметить чекбокс, если требуется обрабатывать удаленные записи работников как увольнение.
По умолчанию Система прерывает синхронизацию при наличии удаленных записей в снимке

Примечание:

Подробнее об обработке событий см. статью "6.1.12. Обработка событий" руководства по администрированию

Адрес для отправки результата синхронизации Указать e-mail адрес администратора, куда будет отправлен результат синхронизации
Минимальный уровень логов для отправки на указанный адрес 

Выбрать из выпадающего списка один из уровней критичности ошибок при кадровой синхронизации, уведомления о возникновении которых будут отправляться администраторам:

  • Trace
  • Debug
  • Information
  • Warning
  • Error
  • Critical
Число попыток синхронизации, повторяемых до первого успешного результата Указать максимальное число попыток синхронизации при неуспешных результатах
Принудительное обновление кадровых статусов сотрудниковОтметить чекбокс для принудительного обновления статусов сотрудников
Принудительное обновление всех свойств кадровых объектов

Отметить чекбокс для принудительного обновления всех свойств кадровых объектов кроме статусов сотрудников.

По умолчанию IDM находит изменившиеся свойства сотрудника с момента последней синхронизации. Эти обновления переносятся в БД IDM, а затем для каждого изменения формируется событие о нём. События могут обрабатывать внутренние обработчики или обработчики, настроенные в разделе "Обработка событий" веб-интерфейса администратора.

В случае установки чекбокса "Принудительное обновление всех свойств кадровых объектов" IDM публикует события об изменении каждого из свойств, даже если свойство не менялось. Это позволяет запустить настроенные обработчики принудительно.

Примечание:

Подробнее об обработке событий см. статью "6.1.12. Обработка событий" руководства по администрированию

Синхронизация относительно кадровой структуры idm

По умолчанию синхронизация кадровых изменений происходит по двум снимкам кадровой системы: текущему снимку и снимку, сделанному в прошлую синхронизацию. Происходит поиск расхождений между ними и они применяются к данным в IDM.

В случае расхождения информации в БД IDM и в кадровой системе стандартный механизм может отрабатывать некорректно, так как применение изменений от дельты снимков кадровой системы идёт с ошибками. В этом случае актуальный снимок (из БД IDM) можно получить, отметив данный чекбокс. Относительно такого снимка изменения должны пройти успешно.

Если в IDM есть свойства которые не приходят из кадровой системы, то после формирования снимка из БД IDM и последующей кадровой синхронизации такие свойства будут удалены.

Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Синхронизация объектных прав, ресурс -> IDM






Ресурсы, в которых будет выполняться синхронизация

Указать логические условия для формирования множества ресурсов, из которых требуется синхронизировать объектные права.
Для этого необходимо добавить условия выборки ресурсов, нажимая →"Добавить условие", и логические операторы, нажимая →"Добавить группу".  По умолчанию добавляется условие "Наименование ресурса равно" и логический оператор "И". Для изменения логического оператора или условия необходимо нажать на требуемый элемент, откроется список вариантов для данного элемента. 
Доступные логические операторы: "И", "ИЛИ".
Доступные условия:

  • Наименование ресурса
  • Идентификатор каталога ресурса 
  • Путь к сборке коннектора
  • Флаг включения ресурса 
  • Текстовая информация о ресурсе 
  • Роль ресурса 


Рисунок – пример условия

Запустить синхронизацию по всем ресурсам
Отметить чекбокс, если требуется выполнить синхронизацию объектных прав со всеми ресурсами. В таком случае поле "Ресурсы, в которых будет выполняться синхронизация" можно оставить пустым
Обход ресурсов по каталогам

Отметить чекбокс, если необходимо, чтобы очередность выполнения планировщика определялась по каталогам, то есть чтобы выполнение в ресурсах одного каталога происходило примерно в одно время.

По умолчанию очередность выполнения планировщика определяется по идентификаторам ресурсов

Удалять права, отсутствующие в ресурсеОтметить чекбокс, если требуется удалять из Avanpost IDM права, отсутствующие в целевой системе, описываемой ресурсом
Число потоков синхронизации Указать количество потоков для выполнения задания. По умолчанию используется 4 потока
Размер страницы при чтении объектов Указать размер страницы при чтении объектов, если требуется ограничить размер ответов системы. (По умолчанию 50000 объектов) 
Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Синхронизация учётных записей IDM <-> ресурс;

Кластерная синхронизация учетных записей IDM <-> ресурс

Идентификатор ресурса, в котором будет выполняться синхронизация Выбрать из выпадающего списка ресурс, с которым требуется синхронизировать учетные записи
Ресурсы, в которых будет выполняться синхронизация

Указать логические условия для формирования множества ресурсов, с которыми требуется синхронизировать учетные записи.
Для этого необходимо добавить условия выборки ресурсов, нажимая →"Добавить условие", и логические операторы, нажимая →"Добавить группу".  По умолчанию добавляется условие "Наименование ресурса равно" и логический оператор "И". Для изменения логического оператора или условия необходимо нажать на требуемый элемент, откроется список вариантов для данного элемента. 
Доступные логические операторы: "И", "ИЛИ".
Доступные условия:

  • Наименование ресурса
  • Идентификатор каталога ресурса 
  • Путь к сборке коннектора
  • Флаг включения ресурса 
  • Текстовая информация о ресурсе 
  • Роль ресурса 


Рисунок – пример условия

Запустить синхронизацию по всем ресурсам
Отметить чекбокс, если требуется выполнить синхронизацию учетных записей со всеми ресурсами. В таком случае поля "Идентификатор ресурса, в котором будет выполняться синхронизация" и "Ресурсы, в которых будет выполняться синхронизация" можно оставить пустыми
Обход ресурсов по каталогам

Отметить чекбокс, если необходимо, чтобы очередность выполнения планировщика определялась по каталогам, то есть чтобы выполнение в ресурсах одного каталога происходило примерно в одно время.

По умолчанию очередность выполнения планировщика определяется по идентификаторам ресурсов

Повторно генерировать события для ранее обнаруженных измененийОтметить чекбокс, если требуется генерировать события для повторно обнаруженных изменений учетных записей
Фильтр учетных записей, в соответствии с типом коннектора

Указать значение фильтра для синхронизации только определенного множества учетных записей, соответствующих данному значению.
Указанное значение будет передано в коннектор, и его формат зависит от коннектора. Например, для Microsoft Active Directory это будет LDAP строка поиска

Примечание:

Подробнее о коннекторах см. раздел "6.1.6. Настройка сервисов коннекторов"

Синхронизация только измененных учетных записей

Отметить чекбокс, если требуется выполнить синхронизацию только тех учетных записей, которые были изменены с момента последнего выполнения данного планировщика.
Для работы данной функции необходимо, чтобы коннектор к управляемой системе поддерживал получение списка только измененных учетных записей с помощью интерфейса "IModificationGetter"

Примечание:

Подробнее о коннекторах см. раздел "6.1.6. Настройка сервисов коннекторов"

Синхронизация связанных ресурсов

Отметить чекбокс для включения синхронизации связанных ресурсов.

Например, под управлением Avanpost IDM находится Microsoft Active Directory и сервер на Windows, учетные записи в AD имеют права на Windows сервере. В таком случае при синхронизации ресурса Microsoft AD с включенной синхронизацией связанных ресурсов при обработке учетных записей с правами на Windows сервере будет инициирована и синхронизация ресурса Windows сервера. И наоборот — при синхронизации ресурса Windows сервера будет инициирована синхронизация учетных записей в Microsoft AD.
В данном примере Microsoft Active Directory является основной целевой системой, а сервер на Windows — связанной с ней.

Для работы данного механизма основная система должна поддерживать интерфейс "IActiveDirectoryConnector".
А связанная система должна поддерживать интерфейс "IDomainUserEnumerator"

Максимальное число ошибок синхронизации ресурса Указать максимальное количество ошибок при синхронизации, после которого выполнение будет остановлено
Число потоков синхронизации Указать количество потоков для выполнения задания. По умолчанию используется 4 потока
Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Системный мониторПорог предупреждения загрузки процессора IGA (%) Установить значение утилизации ресурсов процессора в процентах для сервера с сервисом IGA, при превышении которого системный монитор будет отправлять уведомления
Порог предупреждения использования памяти IGA (%) Установить значение утилизации ресурсов оперативной памяти в процентах для сервера с сервисом IGA, при превышении которого системный монитор будет отправлять уведомления
Порог предупреждения загрузки процессора IDM (%) Установить значение утилизации ресурсов процессора в процентах для сервера с сервисом IDM, при превышении которого системный монитор будет отправлять уведомления
Порог предупреждения использования памяти IDM (%) Установить значение утилизации ресурсов оперативной памяти в процентах для сервера с сервисом IDM, при превышении которого системный монитор будет отправлять уведомления
Адрес для отправки уведомлений Указать e-mail адрес, на который системный монитор будет отправлять уведомления о превышении пороговых значений
Каталоги ресурсов Выбрать из выпадающего списка каталоги, для ресурсов в которых требуется мониторинг. Если оставить поле пустым, будет осуществляться мониторинг всех ресурсов
Длина истории системного монитора Указать количество записей, которые будут храниться в истории системного монитора. По умолчанию 1 запись
Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

Откат прав учетных записейИдентификатор ресурса, в котором будет выполняться синхронизация Выбрать из выпадающего списка ресурс, учетные записи из которого будут обработаны планировщиком.
Ресурсы, в которых будет выполняться синхронизация

Указать логические условия для формирования множества ресурсов, учетные записи из которого будут обработаны планировщиком.
Для этого необходимо добавить условия выборки ресурсов, нажимая →"Добавить условие", и логические операторы, нажимая →"Добавить группу".  По умолчанию добавляется условие "Наименование ресурса равно" и логический оператор "И". Для изменения логического оператора или условия необходимо нажать на требуемый элемент, откроется список вариантов для данного элемента. 
Доступные логические операторы: "И", "ИЛИ".
Доступные условия:

  • Наименование ресурса
  • Идентификатор каталога ресурса 
  • Путь к сборке коннектора
  • Флаг включения ресурса 
  • Текстовая информация о ресурсе 
  • Роль ресурса 


Рисунок – пример условия

Фильтр по имени УЗ Указать имя учетной записи, права для которой требуется откатить. Можно указать только одну учетную запись. Поиск по фильтру осуществляется без учета регистра
Сотрудники владельцы УЗ Выбрать из выпадающего списка сотрудников владельцев учетных записей, права для которых требуется откатить
Фильтр по подразделению сотрудника, владеющего УЗ Выбрать из выпадающего списка подразделения сотрудников владельцев учетных записей, права для которых требуется откатить
Включая вложенные подразделенияОтметить чекбокс, если требуется откатить права учетных записей сотрудников вложенных подразделений
Дата отката Указать дату, до которой требуется выполнить откат прав учетных записей, в формате ДД.ММ.ГГГГ, ЧЧ:ММ
Предпросмотр изменений без применения в ресурсахОтметить чекбокс, если требуется проверить список изменений прав учетных записей без его применения
Уровень логгирования 

Выбрать из выпадающего списка один из уровней логгирования:

  • Trace
  • Debug
  • Information
  • Warning

Данные уровни определяют, какие записи будут заносится в журнал выполнения планировщиков

Примечание:

Подробнее о журнале см. раздел "5. Журнал выполнения планировщиков"

3. Запуск планировщиков

3.1. Выполнение планировщиков по расписанию

Для выполнения планировщика по заданному в карточке планировщика расписанию требуется его включить.
Для этого необходимо в разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Список" нажать на переключатель в строке нужного планировщика. После обновления списка с помощью кнопки у включенного планировщика отобразится дата следующего запуска.


Рисунок – Включение планировщика

3.2. Ручной запуск планировщиков

Для ручного запуска планировщика вне зависимости от настроенного расписания необходимо:

  1. В разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Список" нажать на нужный планировщик.
  2. В открывшейся форме нажать .


Рисунок – Запуск планировщика

4. Удаление планировщиков

Для удаления планировщика необходимо:

  1. В разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Список" нажать на требуемый планировщик.
  2. В открывшейся форме нажать в верхнем правом углу → "Удалить".
  3. Подтвердить удаление во всплывающем окне.


Рисунок – Удаление планировщика

5. Журнал выполнения планировщиков 

В разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Журнал" представлен журнал выполнения всех планировщиков.
В журнал записывается:

  • Статус выполнения планировщика;
  • Название и тип планировщика;
  • Дата и время запуска и завершения работы планировщика;
  • Результат выполнения планировщика.

Для просмотра логов по выполнению планировщика требуется нажать в строке записи нужного выполнения. Откроется окно с логами.

Доступно скачивание файла с логами на локальный компьютер с помощью кнопки .


Рисунок – Журнал выполнения планировщиков

Для поиска конкретных записей можно отфильтровать журнал с помощью кнопок рядом с названиями столбцов. 

Для просмотра журнала по конкретному планировщику можно нажать на него в разделе "Планировщики" веб-интерфейса администратора Avanpost IDM на вкладке "Список". В открывшейся форме на вкладке "Журнал" представлен журнал выполнения этого планировщика.

Обсуждение