Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Integration mit OneLogin Cloud Directory

Integration mit OneLogin Cloud Directory Synchronisieren einer OneLogin Domäne
Einrichten der Initialsynchronisation mit einer OneLogin Domäne Anpassen der Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von OneLogin Benutzerkonten und Identitäten Managen von Mitgliedschaften in OneLogin Rollen Bereitstellen von Anmeldeinformationen für OneLogin Benutzerkonten Abbildung von OneLogin Objekten im One Identity Manager
OneLogin Domänen OneLogin Benutzerkonten OneLogin Anwendungen OneLogin Rollen OneLogin Authentifizierungsmethoden OneLogin Dienstanbieter OneLogin Clients OneLogin Scopes OneLogin Richtlinien OneLogin Gruppen OneLogin Privilegien OneLogin benutzerdefinierte Felder Berichte über OneLogin Objekte
Behandeln von OneLogin Objekten im Web Portal Basisdaten für OneLogin Domänen Konfigurationsparameter für die Verwaltung von OneLogin Domänen Standardprojektvorlage für OneLogin Domänen Verarbeitung von OneLogin Systemobjekten Einstellungen des OneLogin Konnektors

Konfigurationsparameter für die Verwaltung von OneLogin Domänen

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 29: Konfigurationsparameter
Konfigurationsparameter Beschreibung

TargetSystem | OneLogin

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung OneLogin-basierter Zielsysteme. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | OneLogin | Accounts

Erlaubt die Konfiguration der Angaben zu Benutzerkonten.

TargetSystem | OneLogin | Accounts |
InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | OneLogin | Accounts |
InitialRandomPassword | SendTo

Identität, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Rolle, Verantwortlicher der Identität oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter TargetSystem | OneLogin | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | OneLogin | Accounts |
InitialRandomPassword | SendTo |
MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto verwendet.

TargetSystem | OneLogin | Accounts |
InitialRandomPassword | SendTo |
MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Identität - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | OneLogin | Accounts |
MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | OneLogin | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | OneLogin |
MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | OneLogin |
PersonAutoDefault

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | OneLogin |
PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Identitäten zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | OneLogin |
PersonAutoFullSync

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | OneLogin |
PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Identitätenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

QER | ITShop | AutoPublish | OLGRole

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der automatischen Übernahme von OneLogin Rollen in den IT Shop. Ist der Parameter aktiviert, werden alle Rollen automatisch als Produkte dem IT Shop zugewiesen. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | ITShop | AutoPublish | OLGRole| ExcludeList

Auflistung aller OneLogin Rollen, für die keine automatische Zuordnung zum IT Shop erfolgen soll. Jeder Eintrag ist Bestandteil eines regulären Suchmusters und unterstützt die Notation für reguläre Ausdrücke.

Beispiel:

.*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

Standardprojektvorlage für OneLogin Domänen

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 30: Abbildung der OneLogin Schematypen auf Tabellen im One Identity Manager Schema
Schematyp im OneLogin Tabelle im One Identity Manager Schema

APIAuthorization

OLGAPIAuthorization

Application

OLGApplication

AuthFactor

OLGAuthFactor

Client

OLGClient, OLGClientHasOLGScope

CustomAttribute

OLGCustomAttribute

Event

OLGEvent

Group

OLGGroup

Policy

OLGPolicy

Privilege

OLGPrivilege

Role

OLGRole

RoleAdmin

OLGUserInOLGRoleAdmin

RoleApplication

OLGRoleApplication

Scope

OLGScope

User

OLGUser

UserApplication

OLGUserHasOLGApplication

UserAuthFactor

OLGUserHasOLGAuthFactor

UserCustomAttribute

OLGUserHasOLGCustomAttribute

UserPrivilege

OLGUserHasOLGPrivilege

Verarbeitung von OneLogin Systemobjekten

Folgende Tabelle beschreibt die zulässigen Verarbeitungsmethoden für die Schematypen von OneLogin und benennt notwendige Einschränkungen bei der Verarbeitung der Systemobjekte.

Tabelle 31: Zulässige Verarbeitungsmethoden für Schematypen
Typ Lesen Hinzufügen Löschen Aktualisieren

Dienstanbieter (APIAuthorization)

Ja

Nein

Nein

Nein

Anwendungen (Application)

Ja

Nein

Nein

Nein

Authentifizierungsmethoden (AuthFactor)

Ja

Nein

Nein

Nein

Clients (Client)

Ja

Nein

Nein

Nein

Benutzerdefinierte Felder (CustomAttribute)

Ja

Nein

Nein

Nein

Änderungshistorie (Event)

Ja

Nein

Nein

Nein

Gruppen (Group)

Ja

Nein

Nein

Nein

Richtlinien (Policy)

Ja

Nein

Nein

Nein

Privilegien (Privilege)

Ja

Nein

Nein

Nein

Rollen (Role)

Ja

Nein

Nein

Nein

Administratoren für Rollen (RoleAdmin)

Ja

Ja

Ja

Ja

Zuweisungen von Rollen an Anwendungen (RoleApplication)

Ja

Ja

Ja

Ja

Scopes (Scope)

Ja

Nein

Nein

Nein

Benutzerkonten (User)

Ja

Ja

Ja

Ja

Zuweisungen von Anwendungen an Benutzerkonten (UserApplication)

Ja

Nein

Nein

Nein

Zuweisungen von Authentifizierungsmethoden an Benutzerkonten (UserAuthFactor)

Ja

Ja

Ja

Ja

Zuweisungen von benutzerdefinierten Feldern an Benutzerkonten (UserCustomAttribute)

Ja

Nein

Nein

Ja

Zuweisungen von Privilegien an Benutzerkonten (UserPrivilege)

Ja

Ja

Ja

Ja

Einstellungen des OneLogin Konnektors

Für die Systemverbindung mit dem OneLogin Konnektor werden die folgenden Einstellungen konfiguriert.

Tabelle 32: Einstellungen des OneLogin Konnektors

Einstellung

Beschreibung

Authentication-URI

Authentifizierungsendpunkt/URL. URI, unter welchem die Authentifizierung möglich ist. Es wird nur der Teil der URL benötigt, der dem gemeinsamen Teil hinzuzufügen ist, um den Authentifizierungsendpunkt zu erreichen. Wird für die Authentifizierung ein anderer Server oder eine andere Basis-URL verwendet, ist hier die vollständige URL anzugeben.

Variable: olgauthendpoint

Client Secret (OAuth)

Sicherheitstoken für die Anmeldung.

Variable: olgauthoauthclientsecret

Domain

Vollständiger Namen der OneLogin Domäne, beispielsweise <your domain>.onelogin.com.

Variable: olgrootdn

Grant type (OAuth)

Zugangstyp für die Anmeldung.

Variable: olgauthoauthgranttype

HTTP KeepAlive

Angabe , ob HTTP-Verbindungen aufrecht erhalten werden sollen. Wenn die Option deaktiviert ist, werden Verbindungen sofort geschlossen und können nicht für weitere Anfragen genutzt werden.

Standard: true

Variable: olgkeepalive

Max. Parallel Queries

Anzahl der Datenanfragen am Zielsystem, die maximal gleichzeitig ausgeführt werden können. Erfassen Sie einen Wert zwischen 1 und 32.

Standard: 10

Variable: olgparallelprocesses

Password (OAuth)

Kennwort für die Anmeldung, wenn der Sicherheitstoken nicht bekannt ist.

Variable: olgauthoauthpassword

Read events created since

Verwendet für Revisionsfilterung.

Variable: olgeventsincefilter

Scope (OAuth)

Scope-Parameter, der für die Anmeldung am Zielsystem gültig ist. Wenn mehrere Parameter gültig sind, trennen Sie diese durch Leerzeichen.

Variable: olgauthoauthscope

Service-URI

URI der API ohne Version.

Standard: api

Variable: olgroot

Use Client Side Cache

Angabe, ob der lokale Cache des OneLogin Konnektors genutzt werden soll.

Der lokale Cache wird genutzt, um die Synchronisation zu beschleunigen. Bei einer Vollsynchronisation werden die Zugriffe auf die Cloud-Anwendung minimiert. Bei der Provisionierung wird die Option ignoriert. Bei Synchronisationen mit Revisionsfilterung ist die Verwendung des Cache nicht sinnvoll. Wenn das Zielsystem die Revisionsfilterung unterstützt, deaktivieren Sie die Option nach der initialen Synchronisation.

Standard: true

Variable: olgusecache

User Name (OAuth)

Benutzername für die Anmeldung, wenn der Sicherheitstoken nicht bekannt ist.

Variable: olgauthoauthusername

Application/Client ID

Client-ID für die Anwendung.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen