Configuration de l’exportateur de données

La page Configuration de l’exportateur de données permet de définir les types de données à conserver, de spécifier les attributs à exporter et de programmer l'exportation des données. Chaque type de données peut être configuré séparément.

Pour configurer l'exportateur de données

1. Dans l'interface administrateur, cliquez sur Configurer dans le menu principal. Cliquez ensuite sur l'onglet secondaire Entrepôt. La page Configuration de l’exportateur de données s'ouvre.

   Figure 16–1 Configuration de l’exportateur de données

   
   

2. Pour définir et écrire des connexions, cliquez sur le bouton Ajouter la connexion. La page Éditer la connexion de base de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Définition de connexions en lecture et en écriture.

3. Pour assigner la classe WIC et les connexions de base de données, cliquez sur le lien Éditer qui figure dans la section Informations de configuration de l’entrepôt. La page Configuration de l’entrepôt de l’exportateur de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Définition des informations de configuration de l’entrepôt.

4. Cliquez sur le lien d'un type de données dans la table Configuration de modèle d’entrepôt. La page Configuration du type d’exportateur de données s'ouvre.

   Complétez les onglets Exporter, Attributs et Planifier de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Configuration des modèles d'entrepôts .

   Répétez cette étape pour chaque type de données.

5. Pour configurer le flux de travaux qui sera exécuté avant et après toute exportation d'un type de données, cliquez sur le lien Éditer dans la section Automatisation de l’exportateur. La page Configuration de l’automatisation de l’exportateur de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d’informations, voir la section appropriée.

6. Pour configurer le démon de la tâche d'exportation, cliquez sur le lien Éditer qui figure dans la section Configuration de tâche d’entrepôt. La page Configuration de l’entrepôt de l’exportateur de données s'ouvre.

   Complétez les champs de cette page et cliquez sur Enregistrer pour revenir à la page Configuration de l’exportateur de données. Pour plus d'informations, voir Configuration de la tâche d’entrepôt.

   ---

   Remarque –

   Une fois ces étapes effectuées, l'exportation est entièrement opérationnelle. Lorsque l'exportation est activée, les enregistrements de données commencent à se mettre en file d'attente pour l'exportation. Si vous n'activez pas la tâche d'exportation, les tables des files se remplissent et la mise en file d'attente est suspendue. Il est en général plus efficace d'exporter des petits lots (plus fréquents) que des gros, mais l'exportation dépend de la disponibilité d'écriture de l'entrepôt lui-même, qui peut être limitée pour d'autres raisons.

   ---

7. En option, définissez la taille de file d'attente maximale. Pour plus d'informations, voir Modification de l'objet Configuration.

Définition de connexions en lecture et en écriture

Identity Manager utilise une connexion en écriture pendant les cycles d'exportation. Il utilise la connexion en lecture pour indiquer le nombre d'enregistrements figurant actuellement dans l'entrepôt (pendant la configuration de l'entrepôt) et pour servir l'interface des requêtes sur attributs.

Les connexions à l'entrepôt peuvent être définies comme une DataSource de serveur d'application, une connexion JDBC ou une référence à une ressource de données. Si une connexion JDBC ou une ressource de base de données est définie, l'exportation des données utilise de manière extensive un petit nombre de connexions pendant les opérations d'écriture puis ferme toutes les connexions. L'exportateur de données utilise uniquement la connexion en lecture pendant la configuration de l'entrepôt et l'exécution des requêtes sur attributs, et ferme ces connexions dès la fin de l'opération.

L'exportateur utilise le même schéma pour les connexions en écriture et en lecture, et vous pouvez utiliser les mêmes informations de connexion pour ces deux connexions. Cependant, si vous avez des connexions séparées, le déploiement peut écrire dans un ensemble de tables d'activation de l'entrepôt, faire de ces tables l'entrepôt réel puis transformer les tables de l'entrepôt en un mini-entrepôt de données dans lequel Identity Manager lira.

Vous pouvez éditer le formulaire Data Export Configuration (Configuration de l'exportation des données) pour empêcher Identity Manager de lire dans l'entrepôt. Ce formulaire contient la propriété includeWarehouseCount, suivant laquelle Identity Manager interroge l'entrepôt et affiche le nombre d'enregistrements de chaque type de données. Pour désactiver cette fonctionnalité, copiez le formulaire Data Export Configuration, remplacez la valeur de la propriété includeWarehouseCount par true et importez votre formulaire personnalisé.

Pour définir des connexions en lecture et en écriture

1. Dans la page Configuration de l’exportateur de données, cliquez sur le bouton Ajouter la connexion.

   Figure 16–2 Configuration de l’exportateur de données

   
   

2. Indiquez la façon dont Identity Manager établira les connexions en lecture ou en écriture avec l'entrepôt de données en sélectionnant une option dans le menu déroulant Type de connexion.

   • JDBC. Cette option connecte à une base de données en utilisant l'interface de programmation d'applications JDBC (Java Database Connectivity). Le groupement des connexions est assuré par le Warehouse Interface Code.

   • Ressource. Cette option utilise les informations définies dans une ressource. Le groupement des connexions est assuré par le Warehouse Interface Code.

   • Source de données. Cette option utilise le serveur d'application sous-jacent pour la gestion des connexions et le groupement. Ce type de connexion requiert des connexions depuis le serveur d'application.

     Les champs qui s'affichent sur la page varient selon l'option que vous avez sélectionnée dans le menu déroulant Type de connexion. Pour des informations détaillées sur la configuration de la connexion avec la base de données, consultez l'aide en ligne.

3. Cliquez sur Enregistrer pour enregistrer vos changements de configuration et revenir à la page Configuration de l’exportateur de données.

   Répétez cette procédure si vous utiliserez des connexions en lecture et en écriture séparées.

Définition des informations de configuration de l’entrepôt

Pour configurer l'entrepôt, vous devez sélectionner une connexion en lecture, une connexion en écriture et indiquer une classe de fabrique WIC (Warehouse Interface Code). La classe de fabrique WIC assure l'interface entre Identity Manager et l'entrepôt. Identity Manager fournit une implémentation par défaut du code mais vous pouvez compiler la vôtre. Pour plus d'informations sur la création de classes de fabrique personnalisées, voir le Chapitre 5, Data Exporter du Sun Identity Manager Deployment Guide.

Le fichier jar contenant la classe de fabrique et tous les fichiers jar de support doivent être présents dans le répertoire $WSHOME/exporter sur le serveur Identity Manager qui exécute la tâche d'exportation et sur tout serveur configurant l'exportateur de données. Un seul serveur Identity Manager peut exporter des données à tout instant t.

Pour définir les informations de configuration de l’entrepôt

1. Dans la page Configuration de l’exportateur de données, cliquez sur le lien Éditer qui figure dans la section Informations de configuration de l’entrepôt.

   Figure 16–3 Configuration de l’exportateur de données

   
   

2. Spécifiez une valeur dans le champ Nom de la classe de fabrique du code de l’interface d’entrepôt. Si votre intégrateur n'a pas créé de classe personnalisée, entrez la valeur com.sun.idm.warehouse.base.Factory.

3. Spécifiez les connexions en sélectionnant une option dans les deux menus déroulants Lire la connexion et Écrire la connexion.

4. Cliquez sur Enregistrer pour enregistrer vos changements de configuration et revenir à la page Configuration de l’exportateur de données.

Configuration des modèles d'entrepôts

Tout type de données exportable possède une série d'options permettant de contrôler si, comment et quand exporter ce type de données. Étant donné qu'exporter les données augmente la charge pesant sur les serveurs Identity Manager, l'exportation ne doit être activée que pour les types de données présentant un intérêt réel pour l'entreprise.

Le tableau suivant décrit les différentes types de données qui peuvent être exportés.

Tableau 16–1 Types de données pris en charge

Type de données	Description
Account	Enregistrement contenant la liaison entre un utilisateur et un compte de ressource.
AdminGroup	Groupe de permissions Identity Manager disponibles sur tous les groupes d'objets.
AdminRole	Permissions assignées à un ou plusieurs groupes d'objets.
AuditPolicy	Collection de règles évaluées pour un objet Identity Manager afin d'en déterminer la compatibilité avec une stratégie d'entreprise.
ComplianceViolation	Enregistrement contenant une non compatibilité d'un utilisateur avec une stratégie d'audit.
Entitlement	Enregistrement contenant la liste des attestations d'un utilisateur spécifique.
LogRecord	Enregistrement contenant un unique enregistrement d'audit.
ObjectGroup	Conteneur de sécurité modélisé sous la forme d'une organisation.
Resource	Système/application sur lequel les comptes sont provisionnés.
ResourceAccount	Ensemble d'attributs constituant un compte sur une ressource spécifique.
Role	Conteneur logique pour l'accès.
Rule	Bloc de logique qui peut être exécuté par Identity Manager.
TaskInstance	Enregistrement indiquant un processus en cours d'exécution ou terminé.
User (Utilisateur)	Utilisateur logique incluant zéro compte ou plus.
WorkflowActivity	Activité unique d'un flux de travaux Identity Manager.
WorkItem	Action manuelle d'un flux de travaux Identity Manager.

Pour configurer des modèles d'entrepôts

1. Dans la page Configuration de l’exportateur de données, cliquez sur un lien de type de données.

2. Dans l'onglet Exporter, indiquez si exporter ce type de données. Si vous ne voulez pas l'exporter, désélectionnez la case à cocher Exporter et cliquez sur Enregistrer. Sinon, sélectionnez les options restantes de l'onglet Exporter.

   • Autoriser la requête. Contrôle si le modèle peut être interrogé.

   • File d’attente, tout. Capture tous les changements apportés aux objets de ce type. Cocher cette option peut ajouter des coûts de traitement considérables à l'Exportateur. Utilisez cette option avec parcimonie.

   • Capture des suppressions. Enregistre tous les objets supprimés de ce type. Cocher cette option peut ajouter des coûts de traitement considérables à l'Exportateur. Utilisez cette option avec parcimonie.

3. L'onglet Attributs permet de sélectionner les attributs qui peuvent être spécifiés dans le cadre d'une requête sur attributs et ceux qui peuvent être affichés dans les résultats des requêtes. Vous ne pouvez pas supprimer les attributs par défaut depuis l'interface administrateur. Pour plus d'informations sur la modification des attributs par défaut, voir le Chapitre 1, Working with Attributes du Sun Identity Manager Deployment Guide.

   Les noms des nouveaux attributs ont les caractéristiques suivantes :

   • attrName : l'attribut est de premier niveau et scalaire.

   • attrName[] : l'attribut est un attribut de premier niveau avec valeur de liste, où les éléments de la liste ont une valeur scalaire.

   • attrName[’ clé’] : l'attribut contient une valeur de mappe et la valeur de la mappe avec la clé spécifiée est désirée.

   • attrName[]. nom2 : l'attribut est un attribut de premier niveau avec valeur de liste, où les éléments de la liste sont des structures. nom2 est l'attribut auquel accéder dans la structure.

   ---

   Remarque –

   Si vous voulez exporter des attributs vers le tableau EXT_RESOURCEACCOUNT_ACCTATTR, vous devez contrôler la case Audit de chaque attribut à exporter.

   ---

4. Spécifiez la fréquence à laquelle exporter les informations associées avec le type de données sur l'onglet Planifier. Les cycles sont relatifs à la minuit sur le serveur. Un cycle devrait avoir lieu toutes les 20 minutes en commençant à l'heure pile, puis 20 et 40 minutes plus tard. Si une tentative d'exportation prend plus longtemps qu'un cycle programmé, le cycle suivant sera ignoré. Par exemple si un cycle est défini toutes les 20 minutes et commence à minuit et qu'il faut 25 minutes pour terminer l'exportation, la prochaine exportation commencera à 00h40. L'exportation programmée à l'origine pour 00h20 n'aura pas lieu.

Configuration de l'automatisation de l'exportateur

Identity Manager permet de spécifier des flux de travaux qui s'exécutent avant et après l'exportation des données.

Le flux de travaux Cycle Start (Début de cycle) peut, par exemple, être utilisé pour empêcher une exportation si un événement justifiant une annulation se produit. Par exemple, si une application qui lit ou écrit dans les tables d'activation a besoin d'un accès exclusif à ces tables au moment où une exportation est programmée, l'exportation doit être annulée. Le flux de travaux doit retourner la valeur 1 pour annuler l'exportation. Identity Manager crée un enregistrement d'audit qui indique que l'exportation a été ignorée et fournit les résultats d'erreur. Si le flux de travaux retourne 0 et qu'aucune erreur ne se produit, le type de données sera exporté.

Le flux de travaux Cycle Complete (Cycle complet) s'exécute une fois que tous les enregistrements ont été exportés. Ce flux de travaux déclenche en général une autre application pour le traitement des données exportées. Une fois ce flux de travaux terminé, l'exportateur contrôle s'il n'y a pas un autre type de données à exporter.

Des exemples de flux de travaux figurent dans le fichier $WSHOME/sample/web/exporter.xml. Le subtype d'un flux de travaux de l'exportateur est DATA_EXPORT_AUTOMATION et son authType WarehouseConfig.

Pour configurer l'automatisation de l'exportateur

1. Dans la page Configuration de l’exportateur de données, cliquez sur le lien Éditer qui figure dans la section Automatisation de l’exportateur.

2. En option, sélectionnez un flux de travaux à exécuter avant une exportation à partir du menu déroulant Flux de travaux de début de cycle.

3. En option, sélectionnez un flux de travaux à exécuter après une exportation à partir du menu déroulant Flux de travaux de début de cycle.

Configuration de la tâche d’entrepôt

Il n'est pas obligatoire d'exécuter la tâche d'exportation sur un serveur dédié, mais vous devez l'envisager si vous pensez exporter une quantité de données importante. La tâche d'exportation est efficace pour transférer les données d'Identity Manager dans l'entrepôt et consommera autant de CPU que possible pendant l'opération. Si vous n'utilisez pas de serveur dédié, vous devez empêcher ce serveur de gérer le trafic interactif car le temps de réponse augmente considérablement pendant une exportation de grande ampleur.

Pour configurer les informations de configuration de l'entrepôt

1. Dans la page Configuration de l’exportateur de données, cliquez sur le lien Éditer qui figure dans la section Configuration de tâche d’entrepôt.

   Figure 16–4 Configuration du programme de l'entrepôt de données

   
   

2. Sélectionnez une option dans le menu déroulant Mode de démarrage pour déterminer si la tâche d'entrepôt commence immédiatement au démarrage d'Identity Manager. Sélectionner Désactivé signifie que la tâche doit être lancée manuellement.

3. Cochez la case à cocher Exécuter comme moi pour que la tâche d'entrepôt s'exécute sous votre compte administratif.

4. Sélectionnez les serveurs sur lesquels la tâche peut s'exécuter. Vous pouvez spécifier plusieurs serveurs, mais seule une tâche d'entrepôt peut s'exécuter à un instant t donné. Si le serveur exécutant la tâche est arrêté, l'ordonnanceur redémarre automatiquement la tâche sur un autre serveur de la liste (si disponible).

5. Indiquez le nombre d'enregistrements lus de la file d'attente dans un tampon de mémoire avant d'écrire dans le champ Taille des blocs de lecture dans la file d’attente. La valeur par défaut de ce champ convient pour la plupart des exportations. Augmentez cette valeur si le serveur du référentiel d'Identity Manager est lent par rapport au serveur de l'entrepôt.

6. Indiquez le nombre d'enregistrements écrits dans l'entrepôt au cours d'une unique transaction dans le champ Taille des blocs d’écriture dans la file d’attente.

7. Indiquez le nombre de threads Identity Manager à utiliser pour lire les enregistrements mis en file d'attente dans le champ Nombre de threads utilisés pour la file d’attente. Augmentez ce nombre si la table de file d'attente contient un grand nombre d'enregistrements de types différents. Diminuez ce nombre si la table de file d'attente ne contient que quelques types de données.

8. Cliquez sur Enregistrer pour enregistrer vos changements de configuration et revenir à la page Configuration de l’exportateur de données.

Modification de l'objet Configuration

Lorsque l'exportateur de données est configuré et opérationnel, tous les types de données qui sont configurés pour être mis en file d'attente sont capturés dans la table de file d'attente interne. Par défaut, cette table n'a pas de limite supérieure mais il est possible d'en configurer une en éditant l'objet Configuration Data Warehouse Configuration (Configuration de l'entrepôt de données). Cet objet a un objet imbriqué nommé warehouseConfig. Ajoutez la ligne suivante à l'objet warehouseConfig :

<Attribute name=’maxQueueSize’ value=’YourValue’/>

La valeur de maxQueueSize peut être tout entier positif inférieur à 2³¹. L'exportateur de données désactive la mise en file d'attente quand cette limite est atteinte. Les données générées ne peuvent alors plus être exportées tant que la file n'est pas vidée.

Dans le cadre d'un fonctionnement normal, Identity Manager peut générer plusieurs milliers d'enregistrements modifiés à l'heure et la table de mise en file d'attente peut croître très rapidement. Étant donné que la table de file d'attente se trouve dans le référentiel d'Identity Manager, cette croissance consommera du tablespace dans le RDBMS, voire risque d'épuiser le tablespace. Définir un plafond pour la file d'attente peut être nécessaire si vous disposez d'un tablespace limité.

Utilisez le Mbean Data Queue JMX pour contrôler la taille de la table de file d'attente. Pour plus d'informations, voir Contrôle de l'exportateur de données.