Chat now with support
Chat mit Support

Identity Manager 8.2 - Anwenderhandbuch für den One Identity Manager Konnektor

Einrichten der Synchronisation mit dem One Identity Manager Konnektor Systemsynchronisation einrichten Synchronisation durch Individualkonfiguration einrichten Fehlerbehebung

Synchronisation durch Individualkonfiguration einrichten

Um die Synchronisation mit einer One Identity Manager-Datenbank manuell einzurichten, führen Sie die hier beschriebenen Schritte aus.

Um die Synchronisation manuell einzurichten

  1. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.

  2. Statten Sie One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte aus.

  3. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation

Bei der Synchronisation mit den Datenbankkonnektoren gibt es drei Anwendungsfälle für die Abbildung der Synchronisationsobjekte im Datenmodell des One Identity Manager.

  1. Abbildung als kundendefiniertes Zielsystem

  2. Abbildung in Standardtabellen (beispielsweise Person, Department)

  3. Abbildung in kundendefinierten Tabellen

Für die nicht-rollenbasierte Anmeldung an den One Identity Manager-Werkzeugen genügt es in allen drei Anwendungsfällen, einen Systembenutzer in die Berechtigungsgruppen DPR_EditRights_Methods und QBM_LaunchPad aufzunehmen. Ausführliche Informationen zu Systembenutzern und Berechtigungsgruppen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Tabelle 2: Benutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Systembenutzer in der Berechtigungsgruppe DPR_EditRights_Methods

  • Konfigurieren und starten die Synchronisation im Synchronization Editor.

  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Systembenutzer in der Berechtigungsgruppe QBM_LaunchPad

  • Arbeiten mit dem Launchpad.

Für die rollenbasierte Anmeldung sind je nach Anwendungsfall unterschiedliche Schritte erforderlich, um One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte auszustatten.

Tabelle 3: Benutzer und Berechtigungsgruppen für die rollenbasierte Anmeldung: Abbildung als kundendefiniertes Zielsystem
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.

  • Berechtigen weitere Personen als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

Tabelle 4: Benutzer und Berechtigungsgruppen für die rollenbasierte Anmeldung: Abbildung von Standardtabellen
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Benutzerspezifische Anwendungsrolle

Benutzer mit dieser Anwendungsrolle:

  • Konfigurieren und starten die Synchronisation im Synchronization Editor.

  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Die Anwendungsrolle erhält ihre Berechtigungen über eine kundendefinierte Berechtigungsgruppe und die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN.

Tabelle 5: Benutzer und Berechtigungsgruppen für die rollenbasierte Anmeldung: Abbildung in kundendefinierten Tabellen (nur Individualkonfiguration)
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Administratoren für benutzerspezifische Aufgaben

Die Administratoren müssen der Anwendungsrolle Benutzerspezifisch | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die benutzerspezifischen Anwendungsrollen.

  • Richten bei Bedarf weitere Anwendungsrollen für Verantwortliche ein.

Verantwortliche für benutzerspezifische Aufgaben

Die Verantwortlichen müssen der Anwendungsrolle Benutzerspezifisch | Verantwortliche oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen unternehmensspezifisch definierte Aufgaben im One Identity Manager.

  • Konfigurieren und Starten die Synchronisation im Synchronization Editor.

  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Sie können diese Anwendungsrolle beispielsweise nutzen, um One Identity Manager Benutzern Berechtigungen auf kundenspezifische Tabellen oder Spalten zu gewähren. Alle Anwendungsrollen, die Sie hier definieren, müssen ihre Berechtigungen über kundendefinierte Berechtigungsgruppen erhalten.

Die Anwendungsrolle erhält ihre Berechtigungen über eine kundendefinierte Berechtigungsgruppe und die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN.

Um Synchronisationsprojekte und Zielsystemabgleich konfigurieren zu können (in den Anwendungsfällen 2 und 3)

  1. Erstellen Sie eine kundendefinierte Berechtigungsgruppe mit allen Berechtigungen für die Konfiguration der Synchronisation und die Bearbeitung der Synchronisationsobjekte.

  2. Ordnen Sie diese Berechtigungsgruppe einer benutzerspezifischen Anwendungsrolle zu.

Detaillierte Informationen zum Thema

Benutzerspezifische Anwendungsrollen für die Individualkonfiguration einrichten

Um bei rollenbasierter Anmeldung den One Identity Manager Benutzern die erforderlichen Berechtigungen für die Konfiguration der Synchronisation und die Bearbeitung ausstehender Objekte zu gewähren, erstellen Sie eine benutzerspezifische Anwendungsrolle. Diese Anwendungsrolle erhält die erforderlichen Berechtigungen über eine kundendefinierte Berechtigungsgruppe.

Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 2)

  1. Wählen Sie im Manager die Standardanwendungsrolle, mit der Sie die Objekte bearbeiten können, die Sie synchronisieren möchten.

    • Ermitteln Sie die Standardberechtigungsgruppe dieser Anwendungsrolle.

    Wenn Sie beispielsweise Personenstammdaten importieren wollen, wählen Sie die Anwendungsrolle Identity Management | Personen | Administratoren. Die Standardberechtigungsgruppe dieser Anwendungsrolle ist vi_4_PERSONADMIN.

  2. Erstellen Sie im Designer eine neue Berechtigungsgruppe.

    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.

  3. Stellen Sie die Abhängigkeit der neuen Berechtigungsgruppe zur Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN her.

    Die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Berechtigungsgruppe.

  4. Stellen Sie die Abhängigkeit der neuen Berechtigungsgruppe zur Standardberechtigungsgruppe der ausgewählten Standardanwendungsrolle her.

    Die Standardberechtigungsgruppe muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Berechtigungsgruppe.

  5. Speichern Sie die Änderungen.

  6. Erstellen Sie im Manager eine neue Anwendungsrolle.

    1. Ordnen Sie die ausgewählte Standardanwendungsrolle als übergeordnete Anwendungsrolle zu.

    2. Ordnen Sie die neu erstellte Berechtigungsgruppe zu.

  7. Weisen Sie dieser Anwendungsrolle Personen zu.

  8. Speichern Sie die Änderungen.

Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 3)

  1. Erstellen Sie im Designer eine neue Berechtigungsgruppe für die kundendefinierten Tabellen, die durch die Synchronisation befüllt werden.

    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.

  2. Gewähren Sie dieser Berechtigungsgruppe alle erforderlichen Berechtigungen auf die kundendefinierten Tabellen.

  3. Erstellen Sie eine weitere Berechtigungsgruppe für die Synchronisation.

    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.

  4. Stellen Sie die Abhängigkeit der Berechtigungsgruppe für die Synchronisation zur Berechtigungsgruppe für die kundendefinierten Tabellen her.

    Die Berechtigungsgruppe für die kundendefinierten Tabellen muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Berechtigungsgruppe für die Synchronisation.

  5. Stellen Sie die Abhängigkeit der Berechtigungsgruppe für die Synchronisation zur Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN her.

    Die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Berechtigungsgruppe für die Synchronisation.

  6. Speichern Sie die Änderungen.

  7. Erstellen Sie im Manager eine neue Anwendungsrolle.

    1. Ordnen Sie die Anwendungsrolle Benutzerspezifisch | Verantwortliche als übergeordnete Anwendungsrolle zu.

    2. Ordnen Sie die Berechtigungsgruppe für die Synchronisation zu.

  8. Weisen Sie dieser Anwendungsrolle Personen zu.

  9. Speichern Sie die Änderungen.

Ausführliche Informationen zum Einrichten von Anwendungsrollen und Berechtigungsgruppen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Benötigte Informationen für die Erstellung eines Synchronisationsprojektes für die Individualsynchronisation

Ein Synchronisationsprojekt ist die Zusammenstellung aller Informationen, die für die Synchronisation der One Identity Manager-Datenbank mit einem Zielsystem benötigt werden. Dazu gehören die Verbindungsinformationen zum Zielsystem, Schematypen und -eigenschaften, Mappings und Synchronisationsworkflows.

Für die individuelle Einrichtung eines Synchronisationsprojekts für die Synchronisation mit dem One Identity Manager Konnektor halten Sie die folgenden Informationen bereit.

Tabelle 6: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

Synchronisationsserver

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Installierte Komponenten:

  • One Identity Manager Service (gestartet)

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Synchronisationsworkflow

Wenn die Synchronisation Daten aus einem sekundären System importiert, aktivieren Sie in den Synchronisationsschritten die Option Datenimport. Für diese Synchronisationsschritte kann die Verarbeitungsmethode MarkAsOutstanding nicht ausgewählt werden. Diese Option wirkt in beide Richtungen, also auch bei der Synchronisation in das Zielsystem.

Ausführliche Informationen zur Synchronisation von Benutzerdaten mit verschiedenen Systemen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Basisobjekt

Für Synchronisationen mit den Datenbankkonnektoren kann meist kein konkretes Basisobjekt festgelegt werden. Hier genügt die Zuordnung einer Basistabelle und des Synchronisationsservers.

  • Wählen Sie aus der Auswahlliste Basistabelle die Tabelle, in welche die Objekte eingelesen werden sollen. Die Basistabelle kann genutzt werden, um nachgelagerte Prozesse für die Synchronisation zu definieren. Ausführliche Informationen zu nachgelagerten Prozessen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

  • In der Auswahlliste Synchronisationsserver werden alle Jobserver angezeigt, für welche die Serverfunktion One Identity Manager Konnektor aktiviert ist.

Variablenset

Wenn Sie spezialisierte Variablensets einsetzen, stellen Sie sicher, dass die Startkonfiguration und das Basisobjekt das selbe Variablenset nutzen.

Um die Synchronisation mit dem One Identity Manager Konnektor zu konfigurieren

  1. Erstellen Sie im Synchronization Editor ein neues Synchronisationsprojekt.

  1. Legen Sie Mappings an. Definieren Sie Property-Mapping-Regeln und Object-Matching-Regeln.

  2. Erstellen Sie Synchronisationsworkflows.

  3. Erstellen Sie eine Startkonfiguration.

  4. Definieren Sie den Scope der Synchronisation.

  5. Legen Sie das Basisobjekt der Synchronisation fest.

  6. Legen Sie den Umfang des Synchronisationsprotokolls fest.

  7. Führen Sie eine Konsistenzprüfung durch.

  8. Aktivieren Sie das Synchronisationsprojekt.

  9. Speichern Sie das neu angelegt Synchronisationsprojekt in der Datenbank.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen