Chat now with support
Chat mit Support

Identity Manager 9.2 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Synchronisationsprotokoll konfigurieren Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren Synchronisationsprojekte kopieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Verarbeitung von Teilmengen

Die auszuführende VerarbeitungsmethodeGeschlossen kann auf einen Teil der Objektmenge eingeschränkt werden. Dafür legen Sie die Bedingung fest, unter der die Verarbeitungsmethode ausgeführt wird. Für verschiedene Teilmengen können Sie unterschiedliche Verarbeitungsmethoden festlegen. Diese werden in einer vorgegebenen Reihenfolge ausgeführt.

Um die Verarbeitung verschiedener Teilmengen zu definieren

  1. Wählen Sie aus der Auswahlliste eine Verarbeitungsmethode für die SynchronisationGeschlossen einer Objektmenge aus.

  2. Um eine weitere Verarbeitungsmethode für diese Objektmenge festzulegen, klicken Sie . Wählen Sie aus der Auswahlliste eine Verarbeitungsmethode aus.

  3. Erstellen Sie die Bedingungen, unter denen die Verarbeitungsmethoden ausgeführt werden sollen. Klicken Sie neben der Methode .

    Erfassen Sie die Bedingung. Es können Vergleiche, logische Operatoren und Variablen verwendet werden. Sie können die Abfrage mit einem Assistenten zusammenstellen oder direkt erfassen.

    • Um in der Bedingung auf die Schemaeigenschaften des Systems zuzugreifen, in dem die Verarbeitungsmethode ausgeführt werden soll, verwenden Sie folgenden Ausdruck: Base.<SchemaeigenschaftGeschlossen>

    • Um in der Bedingung auf die Schemaeigenschaften des anderen Systems zuzugreifen, verwenden Sie folgenden Ausdruck: Other.<Schemaeigenschaft>

  4. Legen Sie die Ausführungsreihenfolge der Verarbeitungsmethoden mit den Schaltflächen und fest.

Beispiel

Bei der Synchronisation von Active Directory Benutzerkonten aus dem Active Directory in den One Identity Manager sollen alle Benutzerkonten, die nur im One Identity Manager vorhanden sind, folgendermaßen verarbeitet werden:

 

Teilmenge

Verarbeitungsmethode

Bedingung

1

Alle Benutzerkonten, die mit einer IdentitätGeschlossen verbunden sind, sollen zum Löschen markiert werden.

MarkForDeletion

Base.UIDGeschlossen_Person <> ''

Alle Benutzerkonten, die nicht mit einer Identität verbunden sind, sollen gelöscht werden.

Delete

Base.UID_Person = ''

2

Alle Benutzerkonten im Container A sollen gelöscht werden.

Delete

Base.UID_ADSContainer = '4b53ff19-6ae4-4a87-86bd-eca3ddf5ebf2'

Alle Benutzerkonten, die nicht zum Container A gehören, sollen zum Löschen markiert werden.

MarkForDeletion

Base.UID_ADSContainer <> '4b53ff19-6ae4-4a87-86bd-eca3ddf5ebf2'

Verwandte Themen

Kundendefinierte Verarbeitungsmethoden festlegen

Neben den Standard-Verarbeitungsmethoden und den zusätzlichen Verarbeitungsmethoden des Konnektors kann der Synchronization EditorGeschlossen auch kundendefinierte Verarbeitungsmethoden nutzen. Dabei wird ein kundendefiniertes Skript ausgeführt.

Um eine kundendefinierte VerarbeitungsmethodeGeschlossen einzurichten und zu nutzen

  1. Erstellen Sie im DesignerGeschlossen ein Skript, welches die notwendigen Änderungen an den geladenen Objekten ausführt.

    Struktur des Skripts
    References VI.Projector.Database.dll
    <Tag("Projector")>
    <BaseObjectType("Table")>
    Public Sub CCC_ScriptName(unit As IUnitOfWork, entity As IEntity(), args As VI.Projector.Database.ScriptMethodArgs)
      'Steps to execute
      ...
    End Sub

    • <Tag("Projector")>: Kennzeichnet das Skript zur Nutzung als Verarbeitungsmethode. Damit identifiziert der Synchronization Editor die Skripte, die als Verarbeitungsmethoden eingesetzt werden können.

    • <BaseObjectType("Table")>: Definiert den Objekttyp, auf den das Skript angewendet werden kann. Geben Sie die Tabelle an, welche die zu verarbeitenden Objekte enthält.

      Wenn das Skript auf verschiedene Objekttypen angewendet werden kann, definieren Sie für jede Tabelle einen separaten Objekttyp.

    • CCC_ScriptName: Name des Skripts. Unter diesem Namen kann das Skript im Synchronization Editor als Verarbeitungsmethode ausgewählt werden. Geben Sie einen Namen an, der die Verarbeitungsmethode eindeutig beschreibt.

    Ausführliche Informationen zum Erstellen von Skripten mit dem Skripteditor finden Sie im One Identity Manager Konfigurationshandbuch.

  2. Kompilieren Sie das Skript.

  3. Öffnen Sie im Synchronization Editor das SynchronisationsprojektGeschlossen.

  4. Wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung und aktualisieren Sie das One Identity Manager SchemaGeschlossen.

  5. Wählen Sie in der Kategorie Workflows den SynchronisationsworkflowGeschlossen, in dem die neue Verarbeitungsmethode genutzt werden soll.

  6. Wählen Sie den Synchronisationsschritt und klicken Sie Bearbeiten.

    Der Synchronisationsschritt muss den Objekttyp verarbeiten, der im Skript definiert ist.

  7. Auf dem Tabreiter Verarbeitung kann die Verarbeitungsmethode unter dem Skriptnamen ausgewählt werden.

Beispielskripte

Folgendes Beispielskript entfernt die Manager an allen Abteilungen und Standorten, an denen das Skript als Verarbeitungsmethode eingesetzt wird.

References VI.Projector.Database.dll
<Tag("Projector")>
<BaseObjectType("Department")>
<BaseObjectType("Locality")>
Public Sub CCC_Department_RemoveManager(unit As IUnitOfWork, entities As IEntity(), args As VI.Projector.Database.ScriptMethodArgs)
  For Each currEntity As IEntity In entities
    If Not String.IsNullOrEmpty(currEntity.GetValue("UID_PersonHead").ToString()) Then
      currEntity.PutValue("UID_PersonHead","")
      unit.Put(currEntity)
    End If 
  Next
End Sub

Folgendes Beispielskript legt Datenbankobjekte an oder aktualisiert diese.

References VI.Projector.Database.dll
<Tag("Projector")>
<BaseObjectType("ADSAccount")>
Public Sub CCC_SpecialCommit(unit As IUnitOfWork, entities As IEntity(), args As VI.Projector.Database.ScriptMethodArgs)
  For Each entity In entities
    For Each kvp In args.Changes
      entity.PutValue(kvp.Key, kvp.Value)
    Next
    unit.Put(entity)
  Next 
End Sub
Verwandte Themen

Quotas festlegen

Fehler in der Synchronisationskonfiguration können dazu führen, dass Systemobjekte falsch verarbeitet werden. Fehler im Datenbestand durch Fehlkonfigurationen können gemindert werden. Oftmals ist bekannt, welcher Anteil an Systemobjekten in einem verbundenen SystemGeschlossen üblicherweise geändert, eingefügt oder gelöscht wird. Wenn bei der Ausführung einer VerarbeitungsmethodeGeschlossen dieser Anteil überstiegen wird, soll eine Warnung erscheinen und die SynchronisationGeschlossen abgebrochen werden. Die Konfiguration des Synchronisationsschrittes und des MappingsGeschlossen kann daraufhin überprüft und korrigiert werden, bevor die Synchronisation erneut ausgeführt wird.

Um den Anteil der in einem Synchronisationsschritt maximal zu verarbeitenden Systemobjekte festzulegen, definieren Sie für die einzelnen Verarbeitungsmethoden Quotas. Eine QuotaGeschlossen gibt die Menge der maximal zu verarbeitenden Objekte relativ zur Gesamtmenge aller Objekte der zu synchronisierenden SchemaklasseGeschlossen an. Wenn ein Synchronisationsschritt ausgeführt wird, ermittelt der One Identity Manager für jede Verarbeitungsmethode mit Quota die Anzahl der zu verarbeitenden Objekte. Wenn diese Anzahl die Quota übersteigt, werden keine Objekte dieser Schemaklasse verarbeitet. Die Synchronisation wird abgebrochen und eine Meldung ins Synchronisationsprotokoll geschrieben.

Für die Synchronisation ins ZielsystemGeschlossen und für die Synchronisation in den One Identity Manager können unterschiedliche Quotas definiert werden. Dabei können auch Variablen verwendet werden.

Tabelle 53: Quotas für einen Synchronisationsschritt

Eigenschaft

Bedeutung

Keine Quota

Gibt an, ob Quotas bei der Synchronisation berücksichtigt werden. Wenn die Option aktiviert ist, werden keine Quotas berücksichtigt.

Verwende folgende Einstellungen

Gibt an, ob das verbundene System Quotas berücksichtigen soll. Die Quotas werden in den folgenden Einstellungen definiert.

Methode

Verarbeitungsmethoden, die Quotas berücksichtigen sollen.

Quota (%)

Quota in Prozent oder Variable, in der die Quota definiert ist.

Beim Einrichten eines neuen Synchronisationsschritts wird für Objekte im One Identity Manager für die Verarbeitungsmethode Delete automatisch eine Quota von 10 % festgelegt. Passen Sie diese Quota Ihren Erfordernissen an.

In Workflows, die mit dem WorkflowGeschlossen-Assistenten erstellt werden, legt der One Identity Manager standardmäßig Quotas für die Synchronisation in das Zielsystem fest. Passen Sie diese Quotas Ihren Erfordernissen an.

  • Verarbeitungsmethode Update: 75 %
  • Verarbeitungsmethode Delete: 10 % für Einzelobjekte, 20 % für M:N-Schematypen

Variable verwenden

Liste der Variablen, die in Quotas verwendet werden können.

Wenn für verschiedene Startkonfigurationen unterschiedliche Quotas verwendet werden sollen, legen Sie Variablen für die Quotas an. Geben Sie den Wert der Variable als ganze Zahl (0%-100%) oder als Dezimalzahl an (0.0-1.0).

  • Um eine Variable zu verwenden, klicken Sie Auswählen und wählen Sie die Variable aus der Auswahlliste.

Hinweise

  • Quotas können nur für Verarbeitungsmethoden definiert werden, die Daten ändern (beispielsweise Insert, Update, Delete).

  • Bei der Berechnung der Anzahl der zu verarbeitenden Objekte, berücksichtigt der One Identity Manager die Menge der in die schlanke Liste geladenen Objekte. Bedingungen an den Verarbeitungsmethoden werden hier nicht berücksichtigt!

    Wenn an einer Verarbeitungsmethode eine Bedingung hinterlegt ist, welche die Menge der zu synchronisierenden Objekte einschränkt, geben Sie für diese Verarbeitungsmethode eine entsprechend höhere Quota an.

  • Um zu prüfen, ob die Quota überschritten wird, werden zuerst alle zu verarbeitenden Objekte geladen. Erst danach wird die Verarbeitungsmethode ausgeführt. Bei großen Datenmengen kann das die Synchronisationsperformance beeinträchtigen.

  • Wenn die Quota durch ein einzelnes Objekt überstiegen wird, wird dieses Objekt trotzdem verarbeitet.

    Wenn beispielsweise für eine Schemaklasse mit nur 8 Objekten eine Quota von 10 % definiert ist und genau ein Objekt geändert wurde, dann wird dieses Objekt verarbeitet, obwohl rechnerisch die Quota dadurch bereits überschritten ist.

    In Provisionierungsworkflows sind Quotas wirkungslos, da immer nur Einzelobjekte verarbeitet werden.

  • Auf die Synchronisation von Mitgliedschaften wirken Quotas nur, wenn M:N-Schematypen in einem separaten Synchronisationsschritt verarbeitet werden. (Beispiel: Synchronisation der Zuweisungen von SAP RollenGeschlossen an SAP Benutzerkonten. Die Quota bezieht sich auf die Menge der UserInRole-Objekte.)

    Wenn Mitgliedschaften als ObjekteigenschaftGeschlossen eines Basisobjekts (Mitgliederliste) gespeichert sind, wirkt die Quota nur auf das BasisobjektGeschlossen und nicht auf die einzelnen Mitglieder. (Beispiel: Synchronisation von Active Directory Gruppen. Die Quota bezieht sich nur auf die Menge der Gruppen und nicht auf die Menge der Mitglieder.)

Verwandte Themen

Regelfilter

An jedem SynchronisationsschrittGeschlossen kann festgelegt werden, welche Property-Mapping-Regeln bei der SynchronisationGeschlossen angewendet werden sollen. Dadurch können beispielsweise Abhängigkeiten zwischen Objekten einer SchemaklasseGeschlossen aufgelöst werden.

  • Einzuschließende Regeln: Wählen Sie die Property-Mapping-Regeln aus, die bei der Synchronisation angewendet werden sollen.

  • Auszuschließende Regeln: Wählen Sie die Property-Mapping-Regeln aus, die bei der Synchronisation nicht angewendet werden sollen.

HINWEIS: Regeln, die nicht markiert sind, werden automatisch eingeschlossen.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen