IBM ITIM : lancer une réconciliation sans bloquer le service

On a parfois besoin de lancer une réconciliation en mode "mark" sur ITIM afin d'avoir une idée des modifications qui seraient apportées aux comptes sur un service, surtout si celui-ci n'a pas été réconcilié depuis un certain temps.

Le souci lorsqu'on lance une réconciliation via l'IHM est que le service est bloqué pendant ce temps, et que les modifications sont mises en attente ou tombent en échec.

Une manière de contourner le souci est de créer une réconciliation programmée, qui permet de ne pas bloquer le service.

Création d'une réconciliation programmé

On donne un nom, une description et on sélectionne "No" pour ne pas bloquer le service.

Check box "No" for service lock

On peut également définir un filtre si nécessaire. Dans notre exemple, on prend tous les matricules qui commencent par EXT.

Set filter

Il suffit ensuite de définir les paramètres de lancement. On prend une fréquence de type "daily", avec l'heure qui nous intéresse (dans les minutes qui viennent).

Une fois que la réconciliation est terminée, on peut remettre le service en mode "correct" (en modifiant directement dans l'annuaire l'attribut ernoncomplianceaction avec la valeur 2). L'intérêt de faire la modification directement dans l'annuaire est d'éviter que ITIM fasse une évaluation et relance les modifications sur le service.

Pour voir le contenu et le détail des attributs et comptes non conformes, on peut récupérer les données dans la base de données : 

SELECT data_id, small_new_data FROM enrole.processlog WHERE process_id = 'PROCESS_ID';

Avec PROCESS_ID = numéro de processus de la réconciliation.

La colonne data_id donne le type de données. Les types qui nous intéressent sont : NONCOMPLIANTACCOUNTS, DISALLOWEDACCOUNTS.

On peut utiliser un script python pour extraire les données et les formater en CSV, ce qui permet d'avoir une synthèse. Par exemple :

DISALLOWED ACCOUNTS

Nombre de comptes non autorisés : 0
NONCOMPLIANTACCOUNTS
XFR3060578;mail
XFR2264002;ercompany;eraddisplayname;eradexpirationdate
XFR2273004;ercompany;eraddisplayname;eradexpirationdate
XFR2273003;ercompany;eraddisplayname;eradexpirationdate

Nombre de comptes non conformes : 4
 

 

Catégorie
Tag

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et les adresses courriel se transforment en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.