Domain Separation et identification et réconciliation CMDB

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • La fonctionnalité Identification et réconciliation CMDB prend en charge Domain Separation. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Vue d'ensemble

    Domain separation est appliqué pendant le processus d’identification et réconciliation (IRE) CMDB . Les processus IRE prennent en charge le domaine et la séparation de domaine est appliquée aux règles d’identification et de réconciliation.

    Pour plus d’informations sur Domain Separation, consultez Domain Separation.

    Fonctionnement de Domain separation dans Identification et Réconciliation

    La séparation de domaine dans le moteur d’identification est appliquée lorsque les utilisateurs activent le module d’extension Domain Separation. Domain separation pour IRE a deux modes de fonctionnement dans des instances séparées par domaine :
    • Mode strict (activé par défaut) : dans ce mode, l’identification traite uniquement les CI dans lesquels l’ID de domaine est identique au domaine de l’utilisateur actuellement connecté. S’il existe des CI en double dans tous les domaines (y compris les domaines parent et enfant), ces CI ne sont pas considérés comme des CI en double, car leurs ID de domaine ne correspondent pas.

    • Mode Domain separation de la plateforme (désactivé par défaut) : dans ce mode, IRE suit le comportement de séparation de domaine de la plateforme. Ainsi, pendant l’identification, les domaines parents peuvent accéder à tous les CI au sein de leurs domaines enfants ou à l’un des domaines sur lesquels ils ont une visibilité. Pour plus d’informations, consultez Domaines de visibilité et Domaines de contenu.

      Le mode Domain separation de la plateforme est destiné à être utilisé par des utilisateurs avancés pour des cas d’utilisation très spécifiques ou avancés.

      Remarque :

      Le mode Domain Separation de la plate-forme présente des risques qui sont plus importants sur les instances mises à niveau et beaucoup moins importants sur les instances zBooted.

      En fonction de la façon dont les processus IRE sont configurés sur une instance séparée par domaine, la configuration d’IRE pour qu’il utilise le mode Domain Separation de la plate-forme peut entraîner un comportement inattendu et indésirable si elle n’est pas utilisée correctement. L’un des risques est que l’activation du mode Domain Separation de la plate-forme est suivie par l’exécution de processus IRE à partir d’un domaine différent de celui sur lequel les processus IRE ont été précédemment exécutés. Dans ce cas, les CI précédemment identifiés comme uniques peuvent être identifiés comme des CI en double, ce qui entraîne l’échec de certaines applications.

      Si une application utilise déjà efficacement IRE dans un environnement séparé par domaine, il n’y a aucun avantage à passer en mode de séparation de domaine de plate-forme qui pourrait créer un risque.

    Utilisez la propriété système glide.identification_engine.platform_domain_separation_enabled pour passer d’un mode à l’autre pour la séparation de domaine IRE. Par défaut, cette propriété est définie sur faux.

    Mode Domain Separation de la plateforme

    Définissez la propriété système glide.identification_engine.platform_domain_separation_enabled sur vrai pour activer le mode de séparation de domaine de la plateforme pour le traitement IRE. Avec le mode Domain Separation de la plateforme, les domaines parents peuvent accéder à tous leurs domaines enfants pendant le traitement IRE. Par exemple, IRE peut détecter un CI correspondant dans un domaine enfant, puis mettre à jour ce CI au lieu d’en créer un nouveau.

    Dans le mode Domain Separation de la plateforme pour IRE :
    • IRE exécuté à partir d’un domaine parent peut accéder aux CI contenus dans son domaine, aux domaines enfants inférieurs dans la hiérarchie des domaines et au domaine global.
    • IRE exécuté à partir du domaine global peut accéder à tous les CI.
    • Les domaines de visibilité et les domaines de contenu sont pris en charge.
    Remarque :
    Lorsque le mode Domain Separation de plateforme est activé, il peut se produire une augmentation soudaine de la détection IRE des CI en double.

    Domain Separation au cours du processus d’identification

    Pendant le processus d’identification, Domain Separation s’applique comme suit :
    • Quelle que soit la configuration de la propriété système glide.identification_engine.platform_domain_separation_enabled :
      • Les ID de domaine n’ont pas besoin d’être explicitement envoyés dans la charge utile d’entrée des API du moteur d’identification. En interne, le moteur d’identification fait en sorte que l’ID de domaine actuel de l’utilisateur appelle les API du moteur d’identification.
      • Pendant la correspondance, si aucun enregistrement n’est trouvé et qu’un CI est inséré, l’ID de domaine CI est le même que l’ID de domaine du domaine de l’utilisateur connecté. Lors de la mise à jour d’un CI, l’ID de domaine CI ne change pas.
      • Pendant la correspondance, si des doublons sont trouvés, les tâches de déduplication créées dans la table [reconcile_duplicate_task] ont le même ID de domaine que les doublons de CI.
      • Pendant la correspondance, si la reclassification du CI n’est pas autorisée, les tâches de reclassification sont créées dans la table [reclassification_task], avec le même ID de domaine que le CI pour lequel une reclassification est nécessaire.
    • Lorsque la propriété système glide.identification_engine.platform_domain_separation_enabled est définie sur faux :
      • Seuls les CI ayant le même ID de domaine que le domaine de l’utilisateur actuellement connecté sont utilisés lors de la correspondance.
      • Les CI en double qui existent dans tous les domaines (y compris les domaines parent et enfant) ne sont pas considérés comme des CI en double par IRE.
    • Lorsque la propriété système glide.identification_engine.platform_domain_separation_enabled est définie sur vrai :
      • Les CI en double qui existent dans tous les domaines (tels que les domaines parent et enfant) sont considérés comme des CI en double par IRE.
      • Les CI du domaine de l’utilisateur connecté et des domaines enfants sont utilisés pendant la correspondance.

    Règles de séparation et d’identification de domaine

    Les règles d’identification et les règles d’inclusion d’identification utilisées au cours du processus d’identification sont toujours définies au niveau global. Par exemple, les tables suivantes n’ont pas de champ sys_domain :
    • Identificateur (cmdb_identifier)
    • Entrées d’identificateurs (cmdb_identifier_entry)
    • Entrées associées (cmdb_related_entry)
    • Règles d’inclusion d’identification (cmdb_ie_active_config)

    Règles de séparation et réconciliation de domaine

    Les règles de définition de rapprochement utilisées pendant le processus de rapprochement peuvent être définies pour différents domaines. Par exemple, les tables suivantes ont des champs sys_domain, sys_overrides sys_domain_path :
    • Définition de rapprochement (cmdb_reconciliation_definition)
    • Priorité des sources de données (cmdb_datasource_precedence)
    • Définitions des péremptions des sources de données (cmdb_datasource_staleness)