Sowohl für die von Objektänderungen als auch für die muss festgelegt werden, welcher diese Aufgabe übernehmen soll. Beim Einrichten der Synchronisation mit den Standard-Projektvorlagen werden die dafür benötigten Einzelobjektoperationen angelegt. Wenn Sie eigene Provisionierungsprozesse erstellen oder kundenspezifische Tabellen in die Provisionierung oder Einzelobjektsynchronisation einbinden möchten, definieren Sie eigene Einzelobjektoperationen.
Um Einzelobjektoperationen zu definieren
-
Wählen Sie im die Kategorie Prozess-Orchestrierung | Einzelobjektoperationen.
-
Wählen Sie das Menü Objekt | Neu.
-
Bearbeiten Sie die Eigenschaften der Operation.
- Speichern Sie die Änderungen.
-
Nutzen Sie diese Operation im Prä-Skript zur Generierung des Provisionierungsprozesses oder des für die Einzelobjektsynchronisation als Parameter für das Skript DPR_GetAdHocData.
Tabelle 84: Einzelobjektoperationen
Bezeichnung |
Bezeichnung der Operation. |
Synchronisationsworkflow |
, der die Provisionierung oder Einzelobjektsynchronisation ausführen soll. |
Systemverbindung |
Zielsystemverbindung für das zu nutzende Zielsystem. |
Tabelle |
Tabelle, für welche die Operation definiert wird. Die Provisionierung oder Einzelobjektsynchronisation kann nur für die Objekte dieser Tabelle ausgeführt werden. |
Anzeigename |
Anzeigename der Operation in der Benutzeroberfläche der One Identity Manager Werkzeuge. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Bearbeitungsstatus |
Wird nur One Identity Manager-intern verwendet. |
und können beschleunigt werden, indem die Verarbeitung der auf mehrere verteilt wird. Dafür wird an den Basisobjekten festgelegt, welche Jobserver die Objekte parallel verarbeiten sollen.
Die Lastverteilung kann eingesetzt werden, um Lastspitzen aufzufangen, beispielsweise wenn an einer Hochschule zu Semesterbeginn zahlreiche neue Benutzerkonten angelegt und in das Zielsystem provisioniert werden.
Muss nach einer Umstrukturierung im Zielsystem eine Eigenschaft an den Benutzerkonten geändert werden, können alle betroffenen Benutzerkonten ausgewählt und die Änderung der Eigenschaft per Einzelobjektsynchronisation in die One Identity Manager-Datenbank eingelesen werden.
Für solche Fälle werden die benötigten Jobserver konfiguriert. Pro wird eine definiert und an die Jobserver zugewiesen. Alle so gekennzeichneten Jobserver führen die Prozesse zur Provisionierung und Einzelobjektsynchronisation parallel aus.
HINWEIS: Die Lastverteilung sollte nicht permanent für Provisionierungen oder Einzelobjektsynchronisationen eingesetzt werden. Durch die parallele Verarbeitung der Objekte kann es beispielsweise vorkommen, dass Abhängigkeiten nicht aufgelöst werden, da die referenzierten Objekte von einem anderen Jobserver noch nicht vollständig verarbeitet wurden.
Sobald die Lastverteilung nicht mehr benötigt wird, stellen Sie sicher, dass der die Prozesse zur Provisionierung und Einzelobjektsynchronisation ausführt.
Um die Lastverteilung für ein Zielsystem zu konfigurieren
-
Konfigurieren Sie die Server und geben Sie diese im One Identity Manager als Jobserver bekannt.
-
Für Jobserver, die an der Lastverteilung teilnehmen, muss die Option Keine Prozesszuteilung deaktiviert sein.
-
Weisen Sie diesen Jobservern die Standard-Serverfunktion des jeweiligen Zielsystems zu.
Alle Jobserver müssen auf dasselbe Zielsystem zugreifen können, wie der Synchronisationsserver für das jeweilige Basisobjekt. Ausführliche Informationen zur Einrichtung der Synchronisationsserver finden Sie in den Administrationshandbüchern zur Anbindung der Zielsystemumgebung.
-
Erstellen Sie im für das Basisobjekt des Zielsystems eine Serverfunktion.
-
Auf dem Stammdatenformular des Basisobjekts klicken Sie neben dem Eingabefeld Serverfunktion.
-
Erfassen Sie die Bezeichnung der Serverfunktion.
-
Aktivieren Sie alle Jobserver, denen diese Serverfunktion zugewiesen werden soll.
Aktivieren Sie nur die Jobserver, die auf dasselbe Zielsystem zugreifen können, wie der Synchronisationsserver des Basisobjekts.
- Klicken Sie OK.
Um den Synchronisationsserver ohne Lastverteilung zu nutzen
- Entfernen Sie im Synchronization Editor die Serverfunktion vom Basisobjekt.
Einschränkungen
Die Lastverteilung wird nur genutzt, wenn die Anzahl der maximalen Instanzen für die ausgeführte oder auf 0 oder > 1 gesetzt ist.
Keine Lastverteilung erfolgt, wenn die Anzahl der maximalen Instanzen an der Prozessfunktion oder Prozesskomponente auf 1 oder -1 gesetzt ist. Das betrifft Prozesse, welche eine der folgenden Prozessfunktionen nutzen:
- AdHocProjectionSingle
- AdHocProjectionSinglex86
- UpdateProjectionSingle
- UpdateProjectionSinglex86
Diese Prozessfunktionen werden beispielsweise von verschiedenen Provisionierungsprozessen für die Zielsystemtypen HCL Domino und Google Workspace genutzt.
Ausführliche Informationen zu Prozessfunktionen finden Sie im One Identity Manager Konfigurationshandbuch.
Detaillierte Informationen zum Thema
können automatisiert erstellt werden. Das kann beispielsweise nützlich sein, wenn Sie Synchronisationsprojekte für verschiedene Active Directory Domänen einrichten möchten, welche die gleiche Konfiguration haben sollen. Per Kommandozeilenbefehl oder Windows PowerShell CmdLet wird ein neues Synchronisationsprojekt erzeugt. Dabei wird die Konfiguration eines Referenzprojekts übernommen. Die Konfiguration des Referenzprojekts wird als Konfigurationssdatei bereitgestellt. In der Konfigurationssdatei können alle Einstellungen angepasst werden. Für veränderliche Einstellungen, wie das zu verbindende oder Kennwörter, definieren Sie Parameter, die beim Aufruf des Kommandos die zu verwendenden Werte erhalten.
Auf die gleiche Weise können bestehende Synchronisationsprojekte mit bereitgestellten Patches aktualisiert werden. Über ein Referenzprojekt wird eine Konfigurationsdatei bereitgestellt, die eine Liste aller anzuwendenden Patches enthält. Es können nur Patches angewendet werden, die keine Benutzereingaben erfordern.
Um die automatische Erstellung von Synchronisationsprojekten einzurichten
-
Aktivieren Sie im den Expertenmodus.
-
Erstellen Sie das Referenzprojekt mit dem Projektassistenten.
-
Erstellen Sie ein neues Synchronisationsprojekt.
- (Optional) Wenn für die automatisch zu erstellenden Synchronisationsprojekte eine Remoteverbindung genutzt werden soll, dann stellen Sie die Remoteverbindung bereits beim Erstellen des Referenzprojektes her.
-
Auf der letzten Seite des Projektassistenten klicken Sie Konfiguration speichern.
-
Wählen Sie den Speicherort für die Konfigurationsdatei und vergeben Sie einen Dateinamen.
Die Datei wird als Synchronization Editor Workspace Datei mit der Erweiterung sews gespeichert.
-
Beenden Sie den Projektassistenten.
-
Passen Sie die Synchronisationskonfiguration in der Konfigurationsdatei an.
-
Um Synchronisationsprojekte mit dieser Konfiguration zu erstellen,
-
Rufen Sie das auf.
- ODER -
-
Laden Sie das .
-
Um Synchronisationsprojekte automatisiert zu erzeugen, erstellen Sie Skripte, welche das Synchronization Editor Command Line Interface oder das Synchronization Editor Module for Windows PowerShell ausführen.
Um die automatische Aktualisierung von Synchronisationsprojekten einzurichten
-
Aktivieren Sie im Synchronization Editor den Expertenmodus.
-
Erstellen Sie die Konfigurationsdatei.
-
Öffnen Sie das Referenzprojekt.
-
(Optional) Wenn für die automatisch zu aktualisierenden Synchronisationsprojekte eine Remoteverbindung genutzt werden soll, dann stellen Sie jetzt die Remoteverbindung her.
-
Wählen Sie das Menü Bearbeiten | Synchronisationsprojekt aktualisieren.
-
Wählen Sie im Bereich Verfügbare Patches die Patches aus, die angewendet werden sollen. Wählen Sie mindestens einen Patch oder Meilenstein aus. Mehrfachauswahl ist möglich.
-
Klicken Sie Konfiguration speichern.
-
Wählen Sie den Speicherort für die Konfigurationsdatei und vergeben Sie einen Dateinamen.
Die Datei wird als Synchronization Editor Workspace Datei mit der Erweiterung sews gespeichert.
-
Passen Sie die Synchronisationskonfiguration in der Konfigurationsdatei an.
-
Um Synchronisationsprojekte mit dieser Konfiguration zu aktualisieren,
-
Um Synchronisationsprojekte automatisiert zu aktualisieren, erstellen Sie Skripte, welche das Synchronization Editor Command Line Interface oder das Synchronization Editor Module for Windows PowerShell ausführen.
TIPP: Eine Konfigurationsdatei, die zum Einrichten neuer Synchronisationsprojekte erstellt wurde, kann auch für die Aktualisierung der Synchronisationsprojekte genutzt werden. Erweitern Sie die Konfigurationsdatei um den benötigten Editor und Parameter.
Detaillierte Informationen zum Thema
In der Konfigurationsdatei werden alle Daten, die zum Erstellen oder Aktualisieren eines benötigt werden, im XML-Format gespeichert. Die Datei gliedert sich in drei Hauptbereiche:
Struktur der Konfigurationsdatei
<?xml version="1.0" encoding="utf-8"?>
<SynchronizationEditorWorkspace Version="1.0">
<Parameters>
...
</Parameters>
</SynchronizationEditorWorkspace>
Um auf Basis dieser Konfigurationsdatei Synchronisationsprojekte zu erstellen oder zu aktualisieren, passen Sie die Einstellungen an. Wenn mit der Konfigurationsdatei verschiedene Synchronisationsprojekte erzeugt oder aktualisiert werden sollen, verwenden Sie Parameter für alle veränderlichen Werte.
Um die Konfigurationsdatei anzupassen
-
Bestimmen Sie die veränderlichen Werte.
-
Definieren Sie Parameter für jeden dieser Werte.
-
Ersetzen Sie die Werte durch die Parameter.
Beispiel
Es sollen Synchronisationsprojekte für verschiedene Active Directory Domänen in unterschiedlichen One Identity Manager-Datenbanken auf ein und demselben Datenbankserver erstellt werden. Für eine dieser Domänen wurde das Synchronisationsprojekt mit dem Projektassistenten erstellt. Die Konfigurationsdatei dieses Referenzprojekts muss soweit angepasst werden, dass sie für alle anderen Domänen genutzt werden kann.
Folgende Einstellungen müssen angepasst werden:
-
Definieren Sie Parameter für die One Identity Manager-Datenbank, den Datenbankbenutzer, den Systembenutzer und dessen Kennwort.
-
Definieren Sie Parameter für den Namen der Domäne, den Domänen-Controller, den Active Directory Benutzer und dessen Kennwort.
-
Definieren Sie einen Parameter für den Anzeigenamen des Synchronisationsprojekts, wenn mehrere Synchronisationsprojekte in einer Datenbank angelegt werden sollen.
- Ersetzen Sie die entsprechenden Werte in den globalen Definitionen und in den Definitionen des Editors durch diese Parameter.
WICHTIG: Die Verbindungsdaten zur One Identity Manager-Datenbank in den globalen Definitionen (WorkDatabase.ConnectionString) und in den Definitionen des Editors (MainConnection.ConnectionParameter) müssen identisch sein. Wenn Sie diese Werte durch Parameter ersetzen, nutzen Sie jeweils die selben Parameter.
Folgende Tabelle zeigt die notwendigen Anpassungen in der Konfigurationsdatei anhand eines Referenzprojekts aus einer SQL Server Datenbank. Ausführliche Informationen über die Verbindungsdaten zu einer SQL Server Datenbank finden Sie imOne Identity Manager Installationshandbuch. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Anpassungen in der Konfigurationsdatei für neue Synchronisationsprojekte:
-
WorkDatabase.ConnectionString
data source=<Datenbankserver>;initial catalog=<Datenbank>;
user id=<Nutzer>;pooling=False;Password=$DBPassword$
Ersetzen Sie <Datenbank> und <Nutzer> durch Parameter, beispielsweise $Database$ und $DBUser$.
-
WorkDatabase.AuthenticationString
Module=<>;User[VI.DB_USER]=<Systembenutzer>;(Password)Password[VI.DB_Password]=<Kennwort>
Ersetzen Sie <Systembenutzer> und <Kennwort> durch Parameter, beispielsweise $SystemUser$ und $SystemPassword$.
-
MainConnection.ConnectionParameter
Authentication=ProjectorAuthenticator;
data source=<Datenbankserver>;DBFactory="VI.DB.ViSqlFactory, VI.DB";
initial catalog=<Datenbank>;password="<DBPassword>";pooling=False;
user id=<Nutzer>
Ersetzen Sie <Systembenutzer> und <Kennwort> durch Parameter, beispielsweise $SystemUser$ und $SystemPassword$.
-
ConnectedSystemConnection.ConnectionParameter
ADAuthentication=<Authentifizierungsart>;
ADEnableras=<Remote Access Service>;
ADEnablerecyclebin=<Active Directory Papierkorb>;
ADEnableterminal=<Terminal-Dienst>;
ADPort=<Port>;ADRootdn="<Definierter Name der Domäne>";
ADServer=<Domänen-Controller>;
ADTypeEnableExtensions=<Typklassen erlaubt>;
ADTypeExtensions=<Typklassendefinition>;
baseloginaccount=<Active Directory Benutzer>;
basepassword="<Active Directory Kennwort>"
Ersetzen Sie <Definierter Name der Domäne>, <Domänen-Controller>, <Active Directory Benutzer> und <Active Directory Kennwort> durch Parameter.
-
ShellDisplay
<Anzeigename des Synchronisationsprojekts>
Ersetzen Sie <Anzeigename des Synchronisationsprojekts> durch einen Parameter, wenn mehrere Synchronisationsprojekte in einer Datenbank angelegt werden sollen.
Weitere Informationen finden Sie unter Konfigurationsdatei zum Erstellen neuer Synchronisationsprojekte.