Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für die Anbindung von Cloud-Anwendungen

Abbilden von Cloud-Anwendungen im One Identity Manager Synchronisieren von Cloud-Anwendungen über das Universal Cloud Interface Provisionierung von Objektänderungen Verwalten von Provisionierungsvorgängen im Web Portal Abbilden von Cloud-Objekten im One Identity Manager
Cloud-Anwendungen Containerstrukturen in Cloud-Anwendungen Benutzerkonten in Cloud-Anwendungen Gruppen und Systemberechtigungen in Cloud-Anwendungen Berechtigungselemente in einer Cloud-Anwendung
Basisdaten für die Verwaltung von Cloud-Anwendungen Standardprojektvorlage für Cloud-Anwendungen Verarbeitungsmethoden von Cloud-Systemobjekten Konfigurationsparameter für die Verwaltung von Cloud-Anwendungen

Provisionierung von Mitgliedschaften konfigurieren

Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:

  • Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.

    Beispiele: Liste von Benutzerkonten in der Eigenschaft members~value einer Cloud Gruppe (Group) - ODER - Liste von Rollen in der Eigenschaft roles~value eines Benutzers User

  • Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.

  • Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.

Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.

Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.

Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen

  1. Wählen Sie im Manager die Kategorie Universal Cloud Interface > Basisdaten zur Konfiguration > Zielsystemtypen.

  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp SCIM Schnittstelle.

  3. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.

  4. Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.

  5. Klicken Sie Merge-Modus.

    HINWEIS:

    • Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.

    • Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.

  6. Speichern Sie die Änderungen.

Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.

HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.

Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.

Um die originale Bedingung wiederherzustellen

  1. Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.

  2. Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.

  3. Speichern Sie die Änderungen.

HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.

Beispiel für eine Bedingung an der Zuordnungstabelle UCIUserInGroup:

exists (select top 1 1 from UCIGroup g
where g.UID_UCIGroup = i.UID_UCIGroup
and <einschränkende Bedingung>)

Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Einzelobjektsynchronisation konfigurieren

Änderungen an einem einzelnen Objekt im Zielsystem können sofort in die One Identity Manager-Datenbank übertragen werden, ohne dass eine vollständige Synchronisation der Zielsystem-Umgebung gestartet werden muss. Die Einzelobjektsynchronisation kann nur für Objekte ausgeführt werden, die in der One Identity Manager-Datenbank bereits vorhanden sind. Es werden die Änderungen an den gemappten Objekteigenschaften übernommen. Gehört zu diesen Objekteigenschaften eine Mitgliederliste, werden auch die Einträge in der Zuordnungstabelle aktualisiert. Ist das Objekt im Zielsystem nicht mehr vorhanden, wird es in der One Identity Manager-Datenbank gelöscht.

Voraussetzungen
  • Es gibt einen Synchronisationsschritt, der die Änderungen am geänderten Objekt in den One Identity Manager einlesen kann.

  • Für die Tabelle, die das geänderte Objekt enthält, ist der Pfad zum Basisobjekt der Synchronisation festgelegt.

Für Synchronisationsprojekte, die mit der Standard-Projektvorlage erstellt wurden, ist die Einzelobjektsynchronisation vollständig konfiguriert. Wenn Sie kundenspezifische Tabellen in solch ein Synchronisationsprojekt einbeziehen möchten, müssen Sie die Einzelobjektsynchronisation für diese Tabellen konfigurieren. Ausführliche Informationen dazu finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Um den Pfad zum Basisobjekt der Synchronisation für eine kundenspezifische Tabelle festzulegen

  1. Wählen Sie im Manager die Kategorie Universal Cloud Interface > Basisdaten zur Konfiguration > Zielsystemtypen.

  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp SCIM Schnittstelle.

  3. Wählen Sie die Aufgabe Synchronisationstabellen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Tabelle zu, für die Sie die Einzelobjektsynchronisation nutzen möchten.

  5. Speichern Sie die Änderungen.
  6. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.

  7. Wählen Sie die Tabelle und erfassen Sie den Pfad zum Basisobjekt.

    Geben Sie den Pfad zum Basisobjekt in der ObjectWalker-Notation der VI.DB an.

    Beispiel: FK(UID_UCIRoot).XObjectKey

  8. Speichern Sie die Änderungen.
Verwandte Themen

Beschleunigung der Provisionierung und Einzelobjektsynchronisation

Um Lastspitzen aufzufangen, kann die Verarbeitung der Prozesse zur Provisionierung und Einzelobjektsynchronisation auf mehrere Jobserver verteilt werden. Damit können die Provisionierung und Einzelobjektsynchronisation beschleunigt werden.

HINWEIS: Die Lastverteilung sollte nicht permanent für Provisionierungen oder Einzelobjektsynchronisationen eingesetzt werden. Durch die parallele Verarbeitung der Objekte kann es beispielsweise vorkommen, dass Abhängigkeiten nicht aufgelöst werden, da die referenzierten Objekte von einem anderen Jobserver noch nicht vollständig verarbeitet wurden.

Sobald die Lastverteilung nicht mehr benötigt wird, stellen Sie sicher, dass der Synchronisationsserver die Prozesse zur Provisionierung und Einzelobjektsynchronisation ausführt.

Um die Lastverteilung zu konfigurieren

  1. Konfigurieren Sie die Server und geben Sie diese im One Identity Manager als Jobserver bekannt.

    • Für Jobserver, die an der Lastverteilung teilnehmen, muss die Option Keine Prozesszuteilung deaktiviert sein.

    • Weisen Sie diesen Jobservern die Serverfunktion SCIM Konnektor zu.

    Alle Jobserver müssen auf die gleiche Cloud-Anwendung zugreifen können, wie der Synchronisationsserver für das jeweilige Basisobjekt.

  2. Weisen Sie im Synchronization Editor an das Basisobjekt eine kundendefinierte Serverfunktion zu.

    Über diese Serverfunktion werden alle Jobserver identifiziert, welche für die Lastverteilung genutzt werden sollen.

    Wenn für das Basisobjekt noch keine kundendefinierte Serverfunktion vorhanden ist, erstellen Sie hier eine neue.

    Ausführliche Informationen zur Bearbeitung von Basisobjekten finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

  3. Weisen Sie diese Serverfunktion im Manager an alle Jobserver zu, welche die Prozesse zur Provisionierung und Einzelobjektsynchronisation für das Basisobjekt verarbeiten sollen.

    Wählen Sie nur die Jobserver, welche die gleiche Konfiguration wie der Synchronisationsserver des Basisobjekts haben.

Sobald alle Prozesse verarbeitet wurden, soll wieder der Synchronisationsserver die Provisionierung und Einzelobjektsynchronisation ausführen.

Um den Synchronisationsserver ohne Lastverteilung zu nutzen

  • Entfernen Sie im Synchronization Editor die Serverfunktion vom Basisobjekt.

Ausführliche Informationen zur Lastverteilung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Synchronisation mit Überlagerungsdatei

Beim Einrichten der Synchronisation mit einer Cloud-Anwendung nutzt der One Identity Manager das SCIM Schema, welches vom Server exportiert wird. Wenn der SCIM Konnektor das Schema nicht ermitteln kann, können Sie ihm die Schemainformationen mittels Überlagerungsdateien übergeben. Die Überlagerungsdateien enthalten eine vollständige Beschreibung des genutzten Schemas. Sie müssen der SCIM Core Schema Spezifikation (RFC 7643) entsprechen.

Um die Synchronisation mit Überlagerungsdateien zu konfigurieren

  1. Starten Sie den Synchronization Editor.

  2. Aktivieren Sie den Expertenmodus.

  3. Erstellen Sie ein initiales Synchronisationsprojekt. Weitere Informationen finden Sie unter Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Cloud-Anwendung. Es gelten folgende Besonderheiten:

    1. Auf der Seite Experteneinstellungen legen Sie fest, ob Sie zusätzliche Einstellungen vornehmen möchten. Aktivieren Sie Schemaeinstellungen anzeigen.

    2. Auf der Seite Schemadefinition (manuell) geben Sie den Pfad zu den Überlagerungsdateien an. Beide Dateien müssen vorhanden sein.

      • Schemaüberlagerungsdatei: Enthält die vollständige Schemadefinition der Cloud-Anwendung.

      • Ressourcenkonfiguration-Überlagerungsdatei: Enthält die vollständige Ressourcendefinition der Cloud-Anwendung.

    3. Um die Überlagerungsdateien auf Fehler zu überprüfen, klicken Sie Prüfen.

HINWEIS: Wenn in der Synchronisationskonfiguration Überlagerungsdateien angegeben sind, ersetzen diese eine auf dem Server vorhandene Schemadefinition.

Die Schemadefinitionen aus den Überlagerungsdateien werden als Verbindungsparameter (DPRSystemConnection.ConnectionParameter) gespeichert.

Änderungen am SCIM Schema müssen in den Überlagerungdateien gepflegt werden. Geänderte Überlagerungsdateien müssen erneut in das Synchronisationsprojekt eingelesen werden.

Um Schemaänderungen in das Synchronisationsprojekt zu übernehmen

  1. Aktualisieren Sie die Schemadefinition in den Überlagerungsdateien.

  2. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  3. Aktivieren Sie den Expertenmodus.

  4. Wählen Sie die Kategorie Konfiguration > Zielsystem.

  5. Wählen Sie die Ansicht Allgemein und klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  6. Auf der Seite Schemadefinition (manuell) geben Sie den Pfad zu den Überlagerungsdateien an.

  7. Beenden Sie den Systemverbindungsassistenten.

    Die Verbindungsparameter werden aktualisiert.

  8. Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.

  9. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  10. Speichern Sie die Änderungen.

Wenn, beispielsweise durch nachträgliche Anpassungen, der Server eine gültige Schemadefinition bereitstellt, muss die Schemadefinition der Überlagerungsdateien aus den Verbindungsparametern entfernt werden.

Um das Schema der Überlagerungsdateien zu entfernen und die Schemadefinition des Servers zu verwenden

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Aktivieren Sie den Expertenmodus.

  3. Wählen Sie die Kategorie Konfiguration > Zielsystem.

  4. Wählen Sie die Ansicht Allgemein und klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  5. Wählen Sie die Seite Endpunktkonfiguration und erfassen Sie die URIs zu den SCIM-Endpunkten. Wenn keine URIs angegeben sind, wird das SCIM Basisschema verwendet.

  6. Wählen Sie die Seite Schemadefinition (manuell) und klicken Sie Vorhandene entfernen, sowohl für die Schemaüberlagerungsdatei als auch für die Ressourcenkonfiguration-Überlagerungsdatei.

  7. Beenden Sie den Systemverbindungsassistenten.

  8. Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.

  9. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  10. Speichern Sie die Änderungen.
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen