One Identity Manager unterstützt die Synchronisation mit einem Active Directory, welches mit Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 und Windows Server 2022 ausgeliefert wird.
Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und einem Active Directory Verzeichnis sorgt der One Identity Manager Service.
Informieren Sie sich hier:
-
wie Sie die Synchronisation einrichten, um initial Daten aus einer Active Directory Domäne in die One Identity Manager-Datenbank einzulesen,
-
wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Active Directory Domänen mit ein und demselben Synchronisationsprojekt zu synchronisieren,
-
wie Sie die Synchronisation starten und deaktivieren,
-
wie Sie die Synchronisationsergebnisse auswerten.
TIPP: Bevor Sie die Synchronisation mit einer Active Directory Domäne einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Detaillierte Informationen zum Thema
Der Synchronization Editor stellt eine Projektvorlage bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen der Active Directory-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlage, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einer Active Directory Domäne in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.
Um die Objekte einer Active Directory-Umgebung initial in die One Identity Manager-Datenbank einzulesen
-
Stellen Sie im Active Directory ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.
-
Die One Identity Manager Bestandteile für die Verwaltung von Active Directory-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | ADS aktiviert ist.
-
Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
- Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema
Bei der Synchronisation des One Identity Manager mit einer Active Directory-Umgebung spielen folgende Benutzer eine Rolle.
Tabelle 2: Benutzer für die Synchronisation
Benutzer für den Zugriff auf das Active Directory |
Für eine vollständige Synchronisation von Objekten einer Active Directory-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.
HINWEIS: In einer hierarchischen Domänenstruktur sollte das Benutzerkonto des One Identity Manager Service einer untergeordneten Domäne Mitglied in der Gruppe Enterprise Admins sein.
Es kann keine sinnvolle Minimalkonfiguration empfohlen werden, die sich bezüglich der reinen Benutzerverwaltung effektiv in ihren Berechtigungen von einem Mitglied der Gruppe Domänen Administratoren unterscheidet. |
Benutzerkonto des One Identity Manager Service |
Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.
Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.
Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.
Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.
HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"
Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.
In der Standardinstallation wird der One Identity Manager installiert unter:
Das Setzen von Remote Access Service (RAS)-Eigenschaften erfordert Remote Procedure Calls (RPC), die im Kontext des Benutzerkontos des One Identity Manager Service ausgeführt werden. Um diese Eigenschaften zu lesen oder zu schreiben, muss das Benutzerkonto des One Identity Manager Service die entsprechenden Berechtigungen besitzen. |
Benutzer für den Zugriff auf die One Identity Manager-Datenbank |
Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt. |
Erläuterungen zu den erforderlichen Berechtigungen
In der Active Directory-Umgebung werden auf das Basisobjekt der Synchronisation folgende Berechtigungen benötigt:
Ist das Basisobjekt das Domänenobjekt werden diese Berechtigungen benötigt, um das Lesen und Setzen von Domäneneigenschaften wie beispielsweise Kennwortrichtlinien zu ermöglichen.
Um unterhalb des gewählten Basisobjektes uneingeschränkt arbeiten zu können, werden die folgenden Berechtigungen benötigt:
-
Create All Child Objects
-
Delete All Child Objects
Um in einem Benutzerobjekt bestimmte Eigenschaften bearbeiten zu können, die eine Veränderung der Berechtigungsliste eines Active Directory-Objektes zur Folge haben (beispielsweise die Eigenschaft Kennwort kann nicht geändert werden), werden die folgenden Berechtigungen benötigt:
-
Read Permissions
-
Modify Permissions
Als weiteres Privileg wird vorausgesetzt:
Das Privileg hat normalerweise nur die Gruppe der Administratoren. Wenn das Benutzerkonto des One Identity Manager Service nicht Mitglied dieser Gruppe oder einer äquivalenten Gruppe ist, muss es in die Lage versetzt werden, mit Konten umzugehen, auf die keine Berechtigungen mehr gesetzt sind.
Da über den One Identity Manager prinzipiell alle Werte eines Objektes änderbar sein sollen, sind die folgenden Berechtigungen notwendig:
-
Read All Properties
-
Write All Properties
-
All Extended Rights
-
DeleteSubTree
Essentielle Funktionalitäten eines Benutzerkontos sind teilweise als Eintrag in der Berechtigungsliste eines Active Directory-Objektes hinterlegt. Es ist notwendig, dass das Benutzerkonto des One Identity Manager Service diese Berechtigungsliste modifizieren kann. Beispiele für Eigenschaften, die über die Berechtigungsliste gepflegt werden, sind UserCanNotChangePassword am Benutzerkonto oder AllowWriteMembers an der Gruppe.
Die Modifikation einer Berechtigungsliste setzt sehr weitreichende Berechtigungen voraus. Wird zur Veränderung einer Berechtigungsliste ein Benutzerkonto verwendet, welches nicht die Berechtigung Full Control auf das entsprechende Active Directory-Objekt besitzt, wird die Änderung nur unter folgenden Bedingungen akzeptiert.
-
Das Benutzerkonto ist Eigentümer des Objektes.
– ODER –
-
Das Benutzerkonto ist Mitglied in der selben primären Gruppe, wie der Eigentümer des Objektes. Das ist zumeist die Gruppe der Domänen Administratoren.
Andernfalls wird die Änderung abgelehnt.
Wenn dem Benutzerkonto die Berechtigung Take Ownership zugewiesen ist, ist es möglich einen Eigentümerwechsel zu initiieren und die Berechtigungsliste daraufhin zu ändern. Das verfälscht jedoch die Berechtigungssituation des Active Directory-Objektes und wird daher nicht empfohlen.
Des Weiteren sind für die Funktionen des Active Directory Papierkorbs zum Löschen und Wiederherstellen von Benutzerkonten sowie für den Umgang mit besonders geschützten Benutzerkonten und Gruppen die Berechtigungen eines Domänen Administrators erforderlich.
HINWEIS: Grundsätzlich funktioniert der Teil der Synchronisation mit dem Active Directory, der die Active Directory-Objekte in die One Identity Manager-Datenbank einliest, auch dann, wenn auf Strukturen nur die Read-Berechtigung, jedoch keine Write-Berechtigung vergeben werden.
Folgende Probleme können jedoch auftreten:
-
Um ein Benutzerkonto, auf welches nur Read-Berechtigungen bestehen, in eine Gruppe aufzunehmen, die nicht die primäre Gruppe des Benutzerkontos ist, muss der One Identity Manager Service mindestens Write-Berechtigungen auf das Gruppenobjekt besitzen.
-
Fehlerzustände zwischen One Identity Manager-Datenbank und Active Directory Daten treten auf, wenn durch die Administrationswerkzeuge des One Identity Manager oder durch Datenbankimporte Objekte im Active Directory angelegt oder verändert werden, auf welche nur Read-Berechtigungen existieren. Diese Fälle sind durch geeignete Menüführung in den Administrationswerkzeugen, Berechtigungen im One Identity Manager und entsprechende Vorsichtsmaßnahmen bei Importen auszuschließen.
HINWEIS: Für die One Identity ManagerActive Directory Edition werden vollständige Leseberechtigungen und die Berechtigungen zum Erzeugen, Ändern und Löschen von Gruppen benötigt.
Der One Identity Manager besteht aus verschiedenen Komponenten, die in verschiedenen Netzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriff auf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenten installiert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrer Firewall installieren möchten, müssen Sie verschiedene Ports öffnen.
Die folgenden Basisports werden benötigt.
Tabelle 3: Kommunikationsports
1433 |
|
1880 |
Port für das HTTP-basierte Protokoll des One Identity Manager Service. |
2880 |
Port für die Zugriffstests innerhalb des Synchronization Editor, beispielsweise im Zielsystembrowser oder zur Simulation der Synchronisation.
Standardport für das RemoteConnectPlugin. |
80 |
Port für den Zugriff auf die Webanwendungen. |
88 |
Kerberos-Authentifizierungssystem (wenn Kerberos Authentifizierung eingesetzt wird). Benötigt für die Authentifizierung gegen Active Directory. |
135 |
Microsoft End Point Mapper (EPMAP) (auch DCE/RPC Locator Service). |
137 |
NetBIOS Name Service. |
139 |
NetBIOS Session Service. |
389 |
Lightweight Directory Access Protocol (LDAP Standard). Kommunikationsport auf dem Zielsystemserver. |
445 |
Microsoft-DS Active Directory, Windows-Freigaben. Benötigt für Synchronisation (TCP/UDP). |
53 |
Domain Name System (DNS), meist über UDP. Benötigt für den Zugriff auf die Active Directory-Gesamtstruktur. |
636 |
Lightweight Directory Access Protocol über TLS/SSL (LDAP S). Benötigt für den Zugriff auf die Active Directory-Gesamtstruktur. |
3268 |
Globaler Katalog. Benötigt für die Suche im Globalen Katalog. Je nach Verbindungseinstellung sollte entweder Port 3268 oder Port 3269 offen sein. |
3269 |
Globaler Katalog über SSL. Benötigt für die Suche im Globalen Katalog. Je nach Verbindungseinstellung sollte entweder Port 3268 oder Port 3269 offen sein. |