LPS:IdM/midPoint/Grouper
Info
Slouží k life importu skupin a členství ručně udržovaných skupin z Grouperu. Později by neměl být import potřeba a skupiny by měly být spravovány v midPointu.
- resource: Grouper
- hostname: grouper.zcu.cz
- pohledy:
- grouper_idm_groups - skupiny (název, GID, stem, timestmap)
- grouper_idm_memberships - členství ve skupinách (login, skupina, timestamp)
- co hlídat:
- admin group role bez odpovídaící skupiny
- nenalinkovaná admin group role nebo skupina
- že všichni s loginem mají skupiny
- ?že odpovídá GROUPER_GROUPS a OU skupin? - ale to je funkce midPointu
| kind | objectClass | intent | strom |
|---|---|---|---|
| account | AccountObjectClass | memberships | - |
| entitlement | GroupObjectClass | group | orgType=grouper-group |
| entitlement | GroupObjectClass | admin-group | roleType=grouper-admin-group |
memberships
Údržba členství u skupin grouper-group - živá synchronizace i rekonciliace.
Poznámka: členství u admin-grouper-group není udržováno.
grouper-group
Skupiny ze stemu mng (vyjma mng:sprava) - živá synchronizace i rekonciliace. Členství udržováno přes #memberships.
- ukládány jako organizace "GROUP: stem:nazev_skupiny"
- SQL groovy skript je totožný pro grouper-group i admin-grouper-group (entitlement si to přepne na organizace)
admin-grouper-group
Skupiny ze stemu mng:sprava - rekonciliace. Členství není udržováno. Zatím míněno pouze na experimenty např. s autorizacemi, po přechodu správy na midPoint bude udržováno správci.
- ukládány jako role "ADMIN GROUP: nazev_skupiny"
- SQL groovy skript je totožný pro grouper-group i admin-grouper-group
Správa autorizací
midPoint automaticky udržuje u administračních rolí z Grouperu i autorizace.
Kód s autorizacemi je v objectTemplate Grouper: Admin Group Template. Při jakékoliv změně autorizací v kódu je třeba autorizace pročistit a znovu naimportovat, pustit tasky:
- task-purge-admin-group-authorization
- task-recon-grouper-admin-group
