Résolution de problèmes des scripts d'action dans Devolutions Server

Sur cette page

Lorsque les scripts d'action échouent au sein d'AnyIdentity, il est essentiel de comprendre comment identifier et dépanner le problème. De multiples problèmes peuvent survenir avec un fournisseur AnyIdentity en raison des diverses étapes impliquées. De plus, AnyIdentity s'appuie fortement sur les scripts d'action pour la fonctionnalité, et selon la complexité du fournisseur d'identité, ces scripts d'action peuvent devenir complexes.

Des problèmes peuvent survenir si le fournisseur n'est pas testé de manière approfondie au préalable. Les directives suivantes aideront à identifier les problèmes potentiels et fourniront des étapes pour le dépannage.

1. Identifier le problème

Le problème peut ne pas toujours être immédiatement apparent. Bien que les scripts d'action puissent fonctionner correctement isolément, AnyIdentity peut ne pas appliquer les changements de mot de passe comme prévu. Par exemple, si les scripts d'action sont incorrectement construits et renvoient des informations inexactes, AnyIdentity peut utiliser ces informations pour prendre des décisions, en supposant que tout fonctionne correctement alors que ce n'est pas le cas.

Dans certains cas, le problème peut être plus évident, comme voir un message d'avertissement « hors synchronisation » pour l'utilisateur dans le coffre PAM Devolutions ou remarquer un problème dans les journaux PAM.

"Out of sync" warning
"Out of sync" warning

2. Identifier le script d'action impliqué

Étant donné qu'AnyIdentity fonctionne principalement comme un orchestrateur de scripts, la majorité de sa fonctionnalité dépend des scripts d'action. Si une erreur apparaît dans la console de Devolutions Server, il est important d'identifier d'abord le script d'action impliqué. Cela nécessite une compréhension de la façon dont AnyIdentity « associe » la fonctionnalité aux scripts d'action via sa terminologie.

  • Configuration de l'analyse: Les configurations d'analyse utilisent le script d'action de détection de compte.
  • Synchronisation : AnyIdentity utilise le terme « synchronisation » pour désigner l'exécution du script d'action heartbeat.
  • Réinitialisation du mot de passe: Initier une réinitialisation de mot de passe dans AnyIdentity implique à la fois les scripts d'action de rotation de mot de passe et de battement de cœur.

3. Tester les scripts d'action en dehors de AnyIdentity.

Après avoir identifié les scripts d'action impliqués, il est conseillé de les tester en dehors de AnyIdentity pour s'assurer que le problème ne provient pas du script d'action lui-même. Les mêmes paramètres définis via les paramètres de script lors de la création du modèle doivent être passés au script. Il est crucial de vérifier que le script PowerShell renvoie les résultats attendus pour AnyIdentity :

  • Détection de compte: Devrait générer au moins un objet pscustomobject avec les propriétés id, nom d'utilisateur, et secret.
  • Battement de cœur: Devrait avoir les paramètres nom d'utilisateur et secret et retourner une seule valeur booléenne, soit $true ou $false.
  • Rotation de mot de passe: Devrait inclure les paramètres pour le point d'accès de gestion d'identité, le nom d'utilisateur du point d'accès, le mot de passe du point d'accès, et un paramètre spécifiquement nommé NewPassword.
Devolutions Forum logo Donnez-nous vos commentaires