Chat now with support
Chat mit Support

Identity Manager 8.2.1 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des generischen LDAP Konnektors Einstellungen des LDAP Konnektors V2

Erweiterte Einstellungen des generischen LDAP Konnektors

WICHTIG: Änderungen an den erweiterten Einstellungen sollten nur von erfahrenen Benutzern des Synchronization Editors und erfahrenen Systemadministratoren vorgenommen werden.

Mit dem Systemverbindungsassistenten können Sie bei Bedarf folgende erweiterte Eigenschaften des generischen Konnektors konfigurieren:

  • Definition von Hilfsklassen von Typ Auxiliary

  • Definition virtueller Klassen für nicht RFC konforme Abbildungen von Objekten

  • Definition von Systemattributen zur Objektidentifikation, Revisionsattributen und zusätzlichen funktionalen Attributen

  • Definition weiterer Attribute für die Unterstützung dynamischer Gruppen

HINWEIS: Um die erweiterten Einstellungen vorzunehmen, aktivieren Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen konfigurieren (Expertenmodus).

Hilfsklassen definieren

Auf der Seite Hilfsklassen definieren wählen Sie die strukturellen Klassen, die vom LDAP Konnektor als Hilfsklassen betrachtet werden sollen. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.

Mehrere zugewiesene strukturelle Klassen führen dazu, das ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Hilfsklassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.

HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.

Hilfsklassen zuordnen

Auf der Seite Hilfsklassen zuordnen weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu.

Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Virtuelle Klassen definieren

Auf der Seite Virtuelle Klassen definieren Sie zusätzliche virtuelle Klassen. Objekte, die aus mehreren strukturelle Klassen bestehen, können nur in LDAP Systemen erstellt werden, die nicht RFC-konform sind. Sie bestehen aus zwei oder mehr unterschiedlichen Klassen, die nicht voneinander abgeleitet sind, beispielsweise OrganisationalUnit und inetOrgPerson.

Zusätzliche Systemattribute festlegen

Auf der Seite Systemattribute legen Sie fest, welches Attribut des LDAP Systems verwendet werden soll, um die Objekte eindeutig zu identifizieren.

  • Im Bereich Attribut für die Objektidentifikation wählen Sie das Attribut, mit dem Objekte eindeutig im LDAP zu identifizieren sind. Das Attribut muss eindeutig sein und an allen Objekten im LDAP vorhanden sein.

  • Im Bereich Revisionsattribute legen Sie fest, welche Attribute für Revisionsfilterung genutzt werden.

  • Im Bereich Zusätzliche funktionale Attribute legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die Attribute werden nur ermittelt, wenn sie explizit angegeben sind.

    HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Attribute für die Unterstützung dynamischer Gruppen definieren

Wenn der LDAP Server dynamische Gruppen unterstützt, markieren Sie auf der Seite Auswahl von Eigenschaften dynamischer Gruppen, die Attribute, welche die URL mit Suchinformationen enthalten, um die Mitglieder von dynamischen Gruppen zu bestimmen, beispielsweise memberURL.

Verwandte Themen

Erweiterte Schemakonfiguration mit dem LDAP Konnektor V2

Durch die Vorkonfiguration des Konnektors, die Sie im Systemverbindungsassistenten wählen können, sind bereits die erforderlichen Schemakonfigurationen eingerichtet. Sollte es in Ausnahmefällen erforderlich sein, weitere Anpassungen vorzunehmen, können Sie im Systemverbindungsassistenten die Schematypen, Schemaeigenschaften oder Methoden konfigurieren.

WICHTIG: Änderungen an der Schemakonfiguration sollten nur von erfahrenen Benutzern des Synchronization Editors und erfahrenen Systemadministratoren vorgenommen werden.

HINWEIS: Um die erweiterten Einstellungen vorzunehmen, aktivieren Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen anzeigen.

Auf der Seite Konnektor Schemakonfiguration wird ein hierarchisches Metaschema mit den Schematypen, die entstehen werden, angezeigt. Sie können Schemaklassen, Methoden und Schemaeigenschaften bearbeiten, erstellen oder löschen. Die dargestellten Informationen sind an die Informationen im Synchronization Editor angelehnt.

Nutzen Sie diese Einstellungen beispielsweise um:

  • festzulegen, welche Schemaeigenschaft für die Revisionsfilterung genutzt werden soll

  • festzulegen, über welche Schemaeigenschaft ein Objekt eindeutig identifiziert werden kann

  • bei Bedarf virtuelle Schematypen zu definieren

Implementierungen

HINWEIS: Die globalen Einstellungen für die Implementierungen für Lesen und Schreiben sind auf der Seite Konnektor Schemakonfiguration am Eintrag Schema hinterlegt.

Tabelle 7: Implementierungen

Implementierung

Bedeutung

Implementierung für Abfragen

Implementierung, die für das Abrufen von Einträgen vom LDAP Server verwendet wird.

Die DefaultQueryStrategy-Implementierung verwendet die konfigurierte LDAP Verbindung zum Abrufen von Einträgen.

Implementierung für Typauslösung

Implementierung die LDAP Einträge inspiziert, die vom LDAP Server zurückgeliefert wurden und versucht, den entsprechenden Konnektor-Schematyp für das resultierende Konnektor-Objekt zu ermitteln.

Die DefaultSchemaTypeResolveStrategy-Implementierung versucht, die strukturelle Objektklasse des zurückgelieferten Objektes zu bestimmen und anschließend einen Schematyp mit dem gleichen Namen zu finden

Implementierung für Lesen

Implementierung zur Konvertierung von Werten einer Schemaeigenschaft basierend auf einem LDAP Eintrag.

Referenzbehandlung

Implementierung zur Erzeugung oder Auflösung von Referenzwerten einer Schemaeigenschaft eines LDAP Eintrages. Eine Referenz in LDAP ist gewöhnlicherweise eine Eigenschaft, welche über den definierten Namen auf einen anderen Eintrag verweist.

Implementierung für Commit

Implementierung, die verwendet wird, wenn Einträge vom Konnektor auf dem LDAP Server gespeichert werden.

Die DefaultCommitStrategy-Implementierung führt die Methoden Insert, Update oder Delete in Abhängigkeit vom Objektzustand aus.

Implementierung für Insert-Methode

Implementierung für die Insert-Methode der Schematypen.

Die DefaultInsertMethodStrategy-Implementierung sendet add-Anfragen an den LDAP Server um neue Einträge zu erzeugen.

Implementierung für Update-Methode

Implementierung für die Update-Methode der Schematypen.

Die DefaultUpdateMethodStrategy-Implementierung sendet modify- und modifydn-Anfragen an den LDAP Server um Änderungen an vorhandenen Einträgen zu publizieren.

Implementierung für Delete-Methode

Implementierung für die Delete-Methode der Schematypen.

Die DefaultDeleteMethodStrategy-Implementierung sendet delete-Anfragen an den LDAP Server um vorhandene Einträge zu löschen.

Handler für Schemaeigenschaften

Handler

Bedeutung

DNBackLinkPropertyHandler

Handler für Rückwärtsverweise. Der Handler sorgt für die Auslösung von Rückwärtsverweisen zwischen Schemaeigenschaften.

Beispiel:

Der Handler wird für die Schemaeigenschaft Member der Gruppe konfiguiert. Als Eigenschaft für Rückwärtsverweise wird die Schemaeigenschaft MemberOf ausgewählt.

Bei der Zuweisung eines Benutzerkontos an eine Gruppen wird im Zielsystem das Benutzerkonto in der Schemaeigenschaft Member der Gruppe eingetragen. Der Handler ermittelt das referenzierte Objekt, in diesem Fall das Benutzerkonto und trägt in der Schemaeigenschaft MemberOf den Verweis auf die Gruppe ein.

MirrorPropertyHandler

Handler für Spiegeleigenschaften. Mit diesem Handler werden die Werte und Änderungen der Schemaeigenschaft, für die der Handler definiert ist, auf die unter Spiegeleigenschaft ausgewählte Schemaeigenschaft übertragen.

Beispiel:

Der Handler wird für die Schemaeigenschaft Member der Gruppe konfiguiert. Als Spiegeleigenschaft wird die Eigenschaft equivalentToMe ausgewählt.

Bei der Zuweisung eines Benutzerkontos an eine Gruppen wird im Zielsystem das Benutzerkonto in der Schemaeigenschaft Member der Gruppe eingetragen. Diese Änderung wird ebenfalls in die Schemaeigenschaft equivalentToMe der Gruppe übernommen,

RdnPropertyHandler

Der Handler behandelt die virtuelle Schemaeigenschaft vrtEntryRDN. Die Schemaeigenschaft vrtEntryRDN repräsentiert den relativen definierten Namen eines Eintrages. Der definierte Name setzt sich aus einem oder mehreren Paaren von Attributname-Attributwert-Kombinationen mit der Syntax <Attributname>=<AttributWert>[+<Attributname>=<AttributWert>] zusammen.

Beispiele:

CN=Ben King

OU=Sales

CN=Clara Harris+UID=char

Der Handler sorgt beim Setzen eines Wertes für vrtEntryRDN dafür, dass die entsprechend referenzierten Eigenschaften des LDAP Eintrages analog gesetzt werden.

Beispiele:

Für den vrtEntryRDN mit dem Wert CN=Ben King wird Eigenschaft CN wird auf den Wert Ben King gesetzt.

Für den vrtEntryRDN mit dem Wert OU=Sales wird die Eigenschaft OU wird auf den Wert Sales gesetzt.

Für den vrtEntryRDN mit dem Wert CN=Clara Harris+UID=char wird Eigenschaft CN auf den Wert Clara Harris gesetzt, die UID erhält den Wert char.

DefaultValueModificationHandler

Der Handler sorgt dafür, dass immer mindestens ein definierter Standardwert auf eine Schemaeigenschaft geschrieben wird. Dies kann aktuell ein Freitext oder der Distinguished Namen des Objektes sein, an dem der Wert definiert ist, beispielsweise eine Gruppe.

Initial und bei Änderung der Schemaeigenschaft, der der Handler zugewiesen wurde, wird eine Operation CheckForDefaultValueAction eingestellt.

Der Handler sorgt für folgendes Verhalten:

  • Wenn das Objekt gerade neu angelegt wird , wird geprüft, ob die Schemaeigenschaft einen Wert hat. Ist dies nicht der Fall, wird der Standardwert auf die Schemaeigenschaft geschrieben.

  • Handelt es sich um eine Änderung, wird zunächst die Eigenschaft aus dem Zielsystem geladen.

    Es wird zwischen folgenden Fällen unterschieden:

    • Im LDAP steht der Standardwert bereits auf der Schemaeigenschaft. Durch die anstehende Änderung wird ein anderer (zusätzlicher) Wert auf die Schemaeigenschaft geschrieben.

      Der Standardwert wird aus der Schemaeigenschaft im LDAP entfernt und der neue Wert wird auf die Schemaeigenschaft geschrieben.

    • Im LDAP steht der Standardwert noch nicht auf der Schemaeigenschaft. Durch die anstehende Änderung soll die Schemaeigenschaft geleert werden, beispielsweise der letzte Wert entfernt werden.

      Der Standardwert wird auf die Schemaeigenschaft im LDAP geschrieben.

Verwandte Themen

Schema aktualisieren

Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.

Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.

Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:

  • ein Schema geändert wurde, durch:

    • Änderungen am Zielsystemschema

    • unternehmensspezifische Anpassungen des One Identity Manager Schemas

    • eine Update-Migration des One Identity Manager

  • ein Schema im Synchronisationsprojekt komprimiert wurde, durch:

    • die Aktivierung des Synchronisationsprojekts

    • erstmaliges Speichern des Synchronisationsprojekts

    • Komprimieren eines Schemas

Um das Schema einer Systemverbindung zu aktualisieren

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Konfiguration > Zielsystem.

    - ODER -

    Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.

  3. Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Die Schemadaten werden neu geladen.

Um ein Mapping zu bearbeiten

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Mappings.

  3. Wählen Sie in der Navigationsansicht das Mapping.

    Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.

Beschleunigung der Synchronisation durch Revisionsfilterung

Beim Start der Synchronisation werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.

LDAP unterstützt die Revisionsfilterung. Als Revisionszähler werden die Revisionsattribute genutzt, die bei der Einrichtung des Synchronisationsprojektes definiert wurden. In der Standardinstallation werden das Erstellungsdatum und Datum der letzten Änderung der LDAP Objekte genutzt. Jede Synchronisation speichert ihr letztes Ausführungsdatum in der One Identity Manager-Datenbank. (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Beim nächsten Synchronisationslauf werden nur noch jene Objekte gelesen, die sich seit diesem Datum verändert haben. Anhand des Vergleichs werden unnötige Aktualisierungen von Objekten, die sich seit dem letzten Synchronisationslauf nicht verändert haben, vermieden.

Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die durch die Synchronisation geändert werden, werden bei der nächsten Synchronisation nochmals geladen und überprüft. Die zweite Synchronisation nach der Initialsynchronisation ist daher noch nicht deutlich schneller.

Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.

Um die Revisionsfilterung an einem Workflow zuzulassen

  • Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  • Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.

Um die Revisionsfilterung an einer Startkonfiguration zuzulassen

  • Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  • Bearbeiten Sie die Eigenschaften der Startkonfiguration. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.

HINWEIS: Beim Einrichten der initialen Synchronisation geben Sie bereits im Projektassistenten an, ob die Revisionsfilterung genutzt werden soll.

Ausführliche Informationen zur Revisionsfilterung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen