Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer G Suite-Umgebung

Wenn kurz nach der Provisionierung neuer Benutzerkonten in die G Suite eine Synchronisation in die One Identity Manager-Datenbank ausgeführt wird, kann es vorkommen, dass diese Benutzerkonten im One Identity Manager als ausstehend markiert werden (oder gelöscht werden, je nach Konfiguration der Synchronisation). Der Fehler tritt nur auf, wenn im Synchronisationsprojekt für das Zielsystem ein Scope definiert wurde.

Wahrscheinliche Ursache

Das Anlegen eines neuen Benutzerkontos in der G Suite dauert etwa 24 Stunden. Wenn innerhalb dieser 24 Stunden eine Synchronisation in die One Identity Manager-Datenbank gestartet wird, kann der beschriebene Fehler auftreten.

Lösung

Damit der Fehler nicht auftritt

Vermeiden Sie die Definition eines Scopes für das Zielsystem.

Wenn ein Scope benötigt wird

Konfigurieren Sie die Synchronisation von Benutzerkonten so, dass Objekte, die im One Identity Manager nicht vorhanden sind, als ausstehend markiert werden.
Wenn der Fehler auftritt, führen Sie einen Zielsystemabgleich durch.

Weitere Informationen finden Sie unter Ausstehende Objekte nachbearbeiten.
1. Wählen Sie die Objekte, die fälschlicherweise als ausstehend markiert wurden.
2. Wenden Sie die Methode Zurücksetzen an.
  
  Die Markierung Ausstehend wird entfernt. Bei der nächsten Synchronisation, die nach den 24 Stunden ausgeführt wird, sollte der Fehler nicht mehr auftreten.

Ausführliche Informationen zur Definition eines Scopes und zur Festlegung von Verarbeitungsmethoden für Synchronisationsschritte finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Konfigurationsparameter für die Verwaltung einer G Suite

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 49: Konfigurationsparameter für die Synchronisation einer G Suite
Konfigurationsparameter	Bedeutung bei Aktivierung
TargetSystem \| GoogleApps	Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems G Suite. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.
TargetSystem \| GoogleApps \| Accounts	Parameter zur Konfiguration der Angaben zu G Suite Benutzerkonten.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword	Der Konfigurationsparameter legt fest, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword \| SendTo	Angabe, welche Person die E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird die E-Mail an die im Konfigurationsparameter TargetSystem \| GoogleApps \| DefaultAddress hinterlegte Adresse versandt.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword \| SendTo \| MailTemplateAccountName	Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword \| SendTo \| MailTemplatePassword	Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.
TargetSystem \| GoogleApps \| Accounts \| MailTemplateDefaultValues	Der Konfigurationsparameter enthält die Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.
TargetSystem \| GoogleApps \| Accounts \| PrivilegedAccount	Der Konfigurationsparameter erlaubt die Konfiguration der Einstellungen für privilegierte Benutzerkonten.
TargetSystem \| GoogleApps \| Accounts \| TransferJPegPhoto	Der Konfigurationsparameter legt fest, ob bei Änderung des Bildes in den Stammdaten der Person dieses an bestehende G Suite Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Personenstammdaten publiziert.
TargetSystem \| GoogleApps \| DefaultAddress	Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem.
TargetSystem \| GoogleApps \| MaxFullsyncDuration	Der Konfigurationsparameter enthält die maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.
TargetSystem \| GoogleApps \| PersonAutoDefault	Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die außerhalb der Synchronisation in der Datenbank angelegt werden.
TargetSystem \| GoogleApps \| PersonAutoDisabledAccounts	Der Konfigurationsparameter legt fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.
TargetSystem \| GoogleApps \| PersonAutoFullsync	Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.
TargetSystem \| GoogleApps \| PersonExcludeList	Der Konfigurationsparameter enthält eine Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (\|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Standardprojektvorlage für eine G Suite

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Die Vorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 50: Abbildung der G Suite Schematypen auf Tabellen im One Identity Manager Schema
Schematyp in der G Suite	Tabelle im One Identity Manager Schema
AdminPrivilege	GAPPrivilege
AdminRole	GAPAdminRole
AdminRoleAssignment	GAPOrgAdminRole
Customer	GAPCustomer
Domain	GAPDomain
DomainAlias	GAPDomainAlias
Group	GAPGroup
OrgUnit	GAPOrgUnit
ProductAndSku	GAPPaSku
User	GAPUser
UserAddress	GAPUserAddress
UserEmail	GAPUserEmail
UserExternalId	GAPUserExternalId
UserIm	GAPUserIM
UserOrganization	GAPUserOrganization
UserPhone	GAPUserPhone
UserRelation	GAPUserRelation
UserWebsite	GAPUserWebSite

API-Bereiche für das Dienstkonto

In der Google Admin-Konsole muss die Client-ID des Dienstkontos auf verschiedene API-Bereiche autorisiert werden.

Für den Lese- und Schreibzugriff:

https://www.googleapis.com/auth/admin.directory.customer, 
https://www.googleapis.com/auth/admin.directory.device.chromeos, 
https://www.googleapis.com/auth/admin.directory.device.mobile, 
https://www.googleapis.com/auth/admin.directory.device.mobile.action, 
https://www.googleapis.com/auth/admin.directory.domain, 
https://www.googleapis.com/auth/admin.directory.group, 
https://www.googleapis.com/auth/admin.directory.group.member, 
https://www.googleapis.com/auth/admin.directory.notifications, 
https://www.googleapis.com/auth/admin.directory.orgunit, 
https://www.googleapis.com/auth/admin.directory.resource.calendar, 
https://www.googleapis.com/auth/admin.directory.rolemanagement, 
https://www.googleapis.com/auth/admin.directory.user, 
https://www.googleapis.com/auth/admin.directory.user.alias, 
https://www.googleapis.com/auth/admin.directory.user.security, 
https://www.googleapis.com/auth/admin.directory.userschema, 
https://www.googleapis.com/auth/apps.groups.settings, 
https://www.googleapis.com/auth/admin.datatransfer, 
https://www.googleapis.com/auth/apps.licensing

Für den Nur-Lese-Zugriff:

https://www.googleapis.com/auth/admin.directory.customer.readonly, 
https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, 
https://www.googleapis.com/auth/admin.directory.device.mobile.readonly, 
https://www.googleapis.com/auth/admin.directory.domain.readonly, 
https://www.googleapis.com/auth/admin.directory.group.readonly, 
https://www.googleapis.com/auth/admin.directory.group.member.readonly, 
https://www.googleapis.com/auth/admin.directory.orgunit.readonly, 
https://www.googleapis.com/auth/admin.directory.resource.calendar.readonly, 
https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly, 
https://www.googleapis.com/auth/admin.directory.user.readonly, 
https://www.googleapis.com/auth/admin.directory.user.alias.readonly, 
https://www.googleapis.com/auth/admin.directory.userschema.readonly, 
https://www.googleapis.com/auth/apps.groups.settings, 
https://www.googleapis.com/auth/admin.datatransfer.readonly, 
https://www.googleapis.com/auth/apps.licensing

Konfigurationsparameter	Bedeutung bei Aktivierung
TargetSystem \| GoogleApps	Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems G Suite. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.
TargetSystem \| GoogleApps \| Accounts	Parameter zur Konfiguration der Angaben zu G Suite Benutzerkonten.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword	Der Konfigurationsparameter legt fest, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword \| SendTo	Angabe, welche Person die E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird die E-Mail an die im Konfigurationsparameter TargetSystem \| GoogleApps \| DefaultAddress hinterlegte Adresse versandt.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword \| SendTo \| MailTemplateAccountName	Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.
TargetSystem \| GoogleApps \| Accounts \| InitialRandomPassword \| SendTo \| MailTemplatePassword	Der Konfigurationsparameter enthält den Namen der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.
TargetSystem \| GoogleApps \| Accounts \| MailTemplateDefaultValues	Der Konfigurationsparameter enthält die Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.
TargetSystem \| GoogleApps \| Accounts \| PrivilegedAccount	Der Konfigurationsparameter erlaubt die Konfiguration der Einstellungen für privilegierte Benutzerkonten.
TargetSystem \| GoogleApps \| Accounts \| TransferJPegPhoto	Der Konfigurationsparameter legt fest, ob bei Änderung des Bildes in den Stammdaten der Person dieses an bestehende G Suite Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Personenstammdaten publiziert.
TargetSystem \| GoogleApps \| DefaultAddress	Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem.
TargetSystem \| GoogleApps \| MaxFullsyncDuration	Der Konfigurationsparameter enthält die maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.
TargetSystem \| GoogleApps \| PersonAutoDefault	Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die außerhalb der Synchronisation in der Datenbank angelegt werden.
TargetSystem \| GoogleApps \| PersonAutoDisabledAccounts	Der Konfigurationsparameter legt fest, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.
TargetSystem \| GoogleApps \| PersonAutoFullsync	Der Konfigurationsparameter legt den Modus für die automatische Personenzuordnung für Benutzerkonten fest, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.
TargetSystem \| GoogleApps \| PersonExcludeList	Der Konfigurationsparameter enthält eine Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (\|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Bitte w&auml;hlen Sie Ihr Produkt aus:

Damit wir Ihnen besser helfen können, geben Sie den Grund Ihres Chats an:

Empfohlene Lösungen für Ihr Problem