Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Anwenderhandbuch für den Windows PowerShell Konnektor

Anbindung eines Zielsystems über den Windows PowerShell Konnektor

Mit dem Windows PowerShell Konnektor können Zielsysteme an den One Identity Manager angebunden werden, die nicht direkt durch den One Identity Manager unterstützt werden. Für Leseoperationen und Schreiboperationen im Zielsystem werden Windows PowerShell Cmdlets ausgeführt.

Der Windows PowerShell Konnektor stellt keine Projektvorlagen zum Einrichten der Synchronisation bereit. Die Komponenten der Synchronisationskonfiguration (Mappings, Workflows, Startkonfigurationen, ...) müssen nach dem Speichern des Synchronisationsprojekts manuell erstellt werden.

HINWEIS: Um die Synchronisation mit dem Windows PowerShell Konnektor einzurichten, benötigen Sie fundierte Kenntnisse der Windows PowerShell.

Um die Synchronisation mit dem Windows PowerShell Konnektor einzurichten

  1. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  2. Statten Sie die One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte aus.

  3. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation

Bei der Synchronisation mit dem Windows PowerShell Konnektor gibt es drei Anwendungsfälle für die Abbildung der Synchronisationsobjekte im Datenmodell des One Identity Manager.

  1. Abbildung als kundendefiniertes Zielsystem

  2. Abbildung in Standardtabellen (beispielsweise Person, Department)

  3. Abbildung in kundendefinierten Tabellen

Für die nicht-rollenbasierte Anmeldung an den One Identity Manager-Werkzeugen genügt es in allen drei Anwendungsfällen, einen Systembenutzer in die Berechtigungsgruppen DPR_EditRights_Methods und QBM_LaunchPad aufzunehmen. Ausführliche Informationen zu Systembenutzern und Berechtigungsgruppen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Tabelle 1: Benutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Systembenutzer in der Berechtigungsgruppe DPR_EditRights_Methods

  • Konfigurieren und starten die Synchronisation im Synchronization Editor.

  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Systembenutzer in der Berechtigungsgruppe QBM_LaunchPad

  • Arbeiten mit dem Launchpad.

Für die rollenbasierte Anmeldung sind je nach Anwendungsfall unterschiedliche Schritte erforderlich, um One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte auszustatten.

Tabelle 2: Benutzer und Berechtigungsgruppen für die rollenbasierte Anmeldung: Abbildung als kundendefiniertes Zielsystem
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.

  • Berechtigen weitere Personen als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

Tabelle 3: Benutzer und Berechtigungsgruppen für die rollenbasierte Anmeldung: Abbildung von Standardtabellen
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Benutzerspezifische Anwendungsrolle

Benutzer mit dieser Anwendungsrolle:

  • Konfigurieren und starten die Synchronisation im Synchronization Editor.

  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Die Anwendungsrolle erhält ihre Berechtigungen über eine kundendefinierte Berechtigungsgruppe und die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN.

Tabelle 4: Benutzer und Berechtigungsgruppen für die rollenbasierte Anmeldung: Abbildung in kundendefinierten Tabellen
Benutzer Aufgaben

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

Administratoren für benutzerspezifische Aufgaben

Die Administratoren müssen der Anwendungsrolle Benutzerspezifisch | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die benutzerspezifischen Anwendungsrollen.

  • Richten bei Bedarf weitere Anwendungsrollen für Verantwortliche ein.

Verantwortliche für benutzerspezifische Aufgaben

Die Verantwortlichen müssen der Anwendungsrolle Benutzerspezifisch | Verantwortliche oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen unternehmensspezifisch definierte Aufgaben im One Identity Manager.

  • Konfigurieren und Starten die Synchronisation im Synchronization Editor.

  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Sie können diese Anwendungsrolle beispielsweise nutzen, um One Identity Manager Benutzern Berechtigungen auf kundenspezifische Tabellen oder Spalten zu gewähren. Alle Anwendungsrollen, die Sie hier definieren, müssen ihre Berechtigungen über kundendefinierte Berechtigungsgruppen erhalten.

Die Anwendungsrolle erhält ihre Berechtigungen über eine kundendefinierte Berechtigungsgruppe und die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN.

Um Synchronisationsprojekte und Zielsystemabgleich konfigurieren zu können (in den Anwendungsfällen 2 und 3)

  1. Erstellen Sie eine kundendefinierte Berechtigungsgruppe mit allen Berechtigungen für die Konfiguration der Synchronisation und die Bearbeitung der Synchronisationsobjekte.

  2. Ordnen Sie diese Berechtigungsgruppe einer benutzerspezifischen Anwendungsrolle zu.

Detaillierte Informationen zum Thema

Benutzerspezifische Anwendungsrollen für die Synchronisation einrichten

Um bei rollenbasierter Anmeldung den One Identity Manager Benutzern die erforderlichen Berechtigungen für die Konfiguration der Synchronisation und die Bearbeitung ausstehender Objekte zu gewähren, erstellen Sie eine benutzerspezifische Anwendungsrolle. Diese Anwendungsrolle erhält die erforderlichen Berechtigungen über eine kundendefinierte Berechtigungsgruppe.

Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 2)

  1. Wählen Sie im Manager die Standardanwendungsrolle, mit der Sie die Objekte bearbeiten können, die Sie synchronisieren möchten.

    • Ermitteln Sie die Standardberechtigungsgruppe dieser Anwendungsrolle.

    Wenn Sie beispielsweise Personenstammdaten importieren wollen, wählen Sie die Anwendungsrolle Identity Management | Personen | Administratoren. Die Standardberechtigungsgruppe dieser Anwendungsrolle ist vi_4_PERSONADMIN.

  2. Erstellen Sie im Designer eine neue Berechtigungsgruppe.

    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.

  3. Stellen Sie die Abhängigkeit der neuen Berechtigungsgruppe zur Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN her.

    Die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Berechtigungsgruppe.

  4. Stellen Sie die Abhängigkeit der neuen Berechtigungsgruppe zur Standardberechtigungsgruppe der ausgewählten Standardanwendungsrolle her.

    Die Standardberechtigungsgruppe muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Berechtigungsgruppe.

  5. Speichern Sie die Änderungen.
  6. Erstellen Sie im Manager eine neue Anwendungsrolle.

    1. Ordnen Sie die ausgewählte Standardanwendungsrolle als übergeordnete Anwendungsrolle zu.

    2. Ordnen Sie die neu erstellte Berechtigungsgruppe zu.

  7. Weisen Sie dieser Anwendungsrolle Personen zu.

  8. Speichern Sie die Änderungen.

Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 3)

  1. Erstellen Sie im Designer eine neue Berechtigungsgruppe für die kundendefinierten Tabellen, die durch die Synchronisation befüllt werden.

    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.

  2. Gewähren Sie dieser Berechtigungsgruppe alle erforderlichen Berechtigungen auf die kundendefinierten Tabellen.

  3. Erstellen Sie eine weitere Berechtigungsgruppe für die Synchronisation.

    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.

  4. Stellen Sie die Abhängigkeit der Berechtigungsgruppe für die Synchronisation zur Berechtigungsgruppe für die kundendefinierten Tabellen her.

    Die Berechtigungsgruppe für die kundendefinierten Tabellen muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Berechtigungsgruppe für die Synchronisation.

  5. Stellen Sie die Abhängigkeit der Berechtigungsgruppe für die Synchronisation zur Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN her.

    Die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Berechtigungsgruppe für die Synchronisation.

  6. Speichern Sie die Änderungen.
  7. Erstellen Sie im Manager eine neue Anwendungsrolle.

    1. Ordnen Sie die Anwendungsrolle Benutzerspezifisch | Verantwortliche als übergeordnete Anwendungsrolle zu.

    2. Ordnen Sie die Berechtigungsgruppe für die Synchronisation zu.

  8. Weisen Sie dieser Anwendungsrolle Personen zu.

  9. Speichern Sie die Änderungen.

Ausführliche Informationen zum Einrichten von Anwendungsrollen und Berechtigungsgruppen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Einrichten des Synchronisationsservers

Für die Einrichtung der Synchronisation muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2022

    • Windows Server 2019

    • Windows Server 2016

    • Windows Server 2012 R2

    • Windows Server 2012

  • Microsoft .NET Framework Version 4.8 oder höher

    HINWEIS: Beachten Sie die Empfehlungen des Zielsystemherstellers.
  • Windows Installer

  • Windows Management Framework 4.0 oder Windows PowerShell Version 3.0 oder höher

  • Zielsystemspezifische Windows PowerShell Module oder Snap-Ins

  • One Identity Manager Service

    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.

      2. Wählen Sie die Maschinenrolle Server | Job Server.

    Ausführliche Informationen zu den Systemanforderungen für die Installation des One Identity Manager Service finden Sie im One Identity Manager Installationshandbuch.

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

HINWEIS: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt folgende Schritte aus:

  • Erstellen eines Jobservers.

  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.

  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.

  • Konfigurieren des One Identity Manager Service.

  • Starten des One Identity Manager Service.

HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich.

Für die Remote-Installation des One Identity Manager Service benötigen Sie eine administrative Arbeitsstation, auf der die One Identity Manager-Komponenten installiert sind.

HINWEIS: Für die Generierung von Prozessen für die Jobserver werden der Provider, Verbindungsparameter und die Authentifizierungsdaten benötigt. Diese Informationen werden im Standardfall aus den Verbindungsdaten der Datenbank ermittelt. Arbeitet der Jobserver über einen Anwendungsserver müssen Sie zusätzliche Verbindungsinformationen im Designer konfigurieren. Ausführliche Informationen zum Einrichten des Jobservers finden Sie im One Identity Manager Konfigurationshandbuch.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.

  1. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein.

  2. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.

    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.

      • Server: Bezeichnung des Jobservers.

      • Queue: Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder Jobserver innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      • Vollständiger Servername: Vollständiger Servername gemäß DNS Syntax.

        Syntax:

        <Name des Servers>.<Vollqualifizierter Domänenname>

      HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.

  1. Auf der Seite Serverfunktionen wählen Sie Windows PowerShell Konnektor.

  2. Auf der Seite Dienstkonfiguration erfassen Sie die Verbindungsinformationen und prüfen Sie die Konfiguration des One Identity Manager Service.

    HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.

    • Für eine direkte Verbindung zu Datenbank:

      1. Wählen Sie Prozessabholung > sqlprovider

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zur One Identity Manager-Datenbank.

    • Für eine Verbindung zum Anwendungsserver:

      1. Wählen Sie Prozessabholung, klicken Sie die Schaltfläche Einfügen und wählen Sie AppServerJobProvider.

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zum Anwendungsserver.

      4. Klicken Sie auf den Eintrag Authentifizierungsdaten und klicken Sie die Schaltfläche Bearbeiten.

      5. Wählen Sie das Authentifizierungsmodul. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

  3. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.

  1. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  2. Auf der Seite Installationsquelle festlegen prüfen Sie das Verzeichnis mit den Installationsdateien. Ändern Sie gegebenenfalls das Verzeichnis.

  3. Wenn die Datenbank verschlüsselt ist, wählen Sie auf der Seite Datenbankschlüsseldatei auswählen die Datei mit dem privaten Schlüssel.

  4. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.

    • Computer: Erfassen Sie den Namen oder die IP-Adresse des Servers, auf dem der Dienst installiert und gestartet wird.

    • Dienstkonto: Erfassen Sie die Angaben zum Benutzerkonto unter dem der One Identity Manager Service läuft. Erfassen Sie das Benutzerkonto, das Kennwort zum Benutzerkonto und die Kennwortwiederholung.

    Die Installation des Dienstes erfolgt mit dem Benutzerkonto, mit dem Sie an der administrativen Arbeitsstation angemeldet sind. Möchten Sie ein anderes Benutzerkonto für die Installation des Dienstes nutzen, können Sie dieses in den erweiterten Optionen eintragen. Angaben zum One Identity Manager Service können Sie ebenfalls über die erweiterten Optionen ändern, beispielsweise das Installationsverzeichnis, den Namen, den Anzeigenamen und die Beschreibung für den One Identity Manager Service.

  5. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  6. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung One Identity Manager Service in der Dienstverwaltung des Servers eingetragen.

Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen