Domain Separation e Reconciliação e identificação no CMDB
Domain Separation é compatível com o recurso de Reconciliação e identificação no CMDB. O Domain Separation permite separar dados, processos e tarefas administrativas em agrupamentos lógicos chamados de domínios. Você pode controlar vários aspectos dessa separação, incluindo quais usuários podem ver e acessar os dados.
Visão geral
O Domain Separation é imposto durante o processo Reconciliação e identificação no CMDB (IRE). Os processos de IRE reconhecem o domínio e a separação de domínio é aplicada às regras de identificação e reconciliação.
Para obter mais informações sobre o Domain Separation, consulte domain separation.
Como a separação de domínio funciona na Identificação e Reconciliação
- Modo estrito (habilitado por padrão): neste modo, a identificação processa somente os ICs em que o ID de domínio é idêntico ao domínio do usuário conectado no momento. Se houver ICs duplicados entre os domínios (incluindo domínios primários e secundários), esses ICs não serão considerados duplicados porque seus IDs de domínio não coincidem.
Modo de separação de domínio de plataforma (desabilitado por padrão): neste modo, o IRE segue o comportamento de separação de domínio da plataforma. Portanto, durante a identificação, os domínios primários podem acessar todos os ICs em seus domínios secundários ou qualquer um dos domínios em que ele tem visibilidade. Para obter mais informações, consulte Domínios de visibilidade e domínios de conteúdo.
O modo de separação de domínio de plataforma deve ser usado por usuários avançados em casos de uso muito específicos ou avançados.
Nota:O modo de separação de domínio de plataforma apresenta alguns riscos que são maiores em instâncias atualizadas e muito menores em instâncias zBooted.
Dependendo de como os processos de IRE são configurados em uma instância separada por domínio, definir o IRE para usar o modo de separação de domínio de plataforma pode resultar em comportamento inesperado e indesejável se não for usado com cuidado. Um dos riscos é se a habilitação do modo de separação de domínio de plataforma for seguida da execução de processos de IRE de um domínio diferente daquele em que os processos de IRE foram executados anteriormente. Nessa situação, os ICs que foram identificados anteriormente como exclusivos podem ser identificados como ICs duplicados e fazer com que algumas aplicações comecem a falhar.
Se alguma aplicação já estiver usando o IRE com eficácia no ambiente separado por domínio, não haverá vantagem em alternar para o modo de separação de domínio de plataforma que possa criar algum risco.
Use a propriedade do sistema glide.identification_engine.platform_domain_separation_enabled para alternar entre esses dois modos de separação de domínio de IRE. Por padrão, essa propriedade é definida como false.
Modo de separação de domínio de plataforma
Defina a propriedade de sistema glide.identification_engine.platform_domain_separation_enabled como true para habilitar o modo de separação de domínio de plataforma para processamento de IRE. Com o modo de separação de domínio de plataforma, os domínios primários podem acessar todos os domínios secundários durante o processamento de IRE. Por exemplo, o IRE pode detectar um IC correspondente em um domínio secundário e atualizar esse IC em vez de criar um novo.
- O IRE executado a partir de um domínio primário pode acessar ICs contidos em seu domínio, domínios secundários que estão abaixo na hierarquia de domínio e domínio global.
- A execução de IRE do domínio global pode acessar todos os ICs.
- Domínios de visibilidade e domínios de conteúdo são compatíveis.
Separação de domínio durante o processo de identificação
- Independentemente da configuração da propriedade do sistema glide.identification_engine.platform_domain_separation_enabled:
- Os IDs de domínio não precisam ser enviados explicitamente na carga de entrada das APIs do mecanismo de identificação. Internamente, o mecanismo de identificação faz com que o ID de domínio atual do usuário chame as APIs do mecanismo de identificação.
- Durante a correspondência, se nenhum registro for encontrado e um IC for inserido, o ID de domínio do IC será o mesmo que o ID de domínio do usuário conectado. Ao atualizar um IC, o ID de domínio do IC não muda.
- Durante a correspondência, se forem encontradas duplicatas, as tarefas de eliminação de duplicata criadas na tabela [reconcile_duplicate_task] terão o mesmo ID de domínio dos ICs duplicados.
- Durante a correspondência, se não for permitida a reclassificação do IC, tarefas de reclassificação serão criadas na tabela [reclassification_task] com o mesmo ID de domínio do IC para o qual a reclassificação é necessária.
- Quando a propriedade do sistema glide.identification_engine.platform_domain_separation_enabled é definida como false:
- Somente ICs que têm o mesmo ID de domínio que o domínio do usuário conectado no momento são usados durante a correspondência.
- ICs duplicados existentes entre os domínios (incluindo domínios primários e secundários) não serão considerados duplicados pelo IRE.
- Quando a propriedade do sistema glide.identification_engine.platform_domain_separation_enabled é definida como true:
- ICs duplicados existentes entre os domínios (como domínios primários e secundários) serão considerados duplicados pelo IRE.
- ICs do domínio do usuário conectado e dos domínios secundários são usados durante a correspondência.
Separação de domínio e Regras de identificação
- Identificador (cmdb_identifier)
- Entradas do identificador (cmdb_identifier_entry)
- Entradas relacionadas (cmdb_related_entry)
- Regras de Inclusão de Identificação (cmdb_ie_active_config)
Separação de domínio e Regras de reconciliação
- Definição de Reconciliação (cmdb_reconciliation_definition)
- Precedência de fonte de dados (cmdb_datasource_precedence)
- Definições de desatualização da fonte de dados (cmdb_datasource_staleness)