Benutzerspezifische Anwendungsrollen für die Individualkonfiguration einrichten
Um bei rollenbasierter Anmeldung den One Identity Manager Benutzern die erforderlichen Berechtigungen für die Konfiguration der Synchronisation und die Bearbeitung ausstehender Objekte zu gewähren, erstellen Sie eine benutzerspezifische Anwendungsrolle. Diese Anwendungsrolle erhält die erforderlichen Berechtigungen über eine kundendefinierte Berechtigungsgruppe.
Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 2)
-
Wählen Sie im Manager die Standardanwendungsrolle, mit der Sie die Objekte bearbeiten können, die Sie synchronisieren möchten.
Wenn Sie beispielsweise Identitätenstammdaten importieren wollen, wählen Sie die Anwendungsrolle Identity Management | Identitäten | Administratoren. Die Standardberechtigungsgruppe dieser Anwendungsrolle ist vi_4_PERSONADMIN.
-
Erstellen Sie im Designer eine neue Berechtigungsgruppe.
-
Stellen Sie die Abhängigkeit der neuen Berechtigungsgruppe zur Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN her.
Die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Berechtigungsgruppe.
-
Stellen Sie die Abhängigkeit der neuen Berechtigungsgruppe zur Standardberechtigungsgruppe der ausgewählten Standardanwendungsrolle her.
Die Standardberechtigungsgruppe muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Berechtigungsgruppe.
- Speichern Sie die Änderungen.
-
Erstellen Sie im Manager eine neue Anwendungsrolle.
-
Ordnen Sie die ausgewählte Standardanwendungsrolle als übergeordnete Anwendungsrolle zu.
-
Ordnen Sie die neu erstellte Berechtigungsgruppe zu.
-
Weisen Sie dieser Anwendungsrolle Identitäten zu.
- Speichern Sie die Änderungen.
Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 3)
-
Erstellen Sie im Designer eine neue Berechtigungsgruppe für die kundendefinierten Tabellen, die durch die Synchronisation befüllt werden.
-
Gewähren Sie dieser Berechtigungsgruppe alle erforderlichen Berechtigungen auf die kundendefinierten Tabellen.
-
Erstellen Sie eine weitere Berechtigungsgruppe für die Synchronisation.
-
Stellen Sie die Abhängigkeit der Berechtigungsgruppe für die Synchronisation zur Berechtigungsgruppe für die kundendefinierten Tabellen her.
Die Berechtigungsgruppe für die kundendefinierten Tabellen muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Berechtigungsgruppe für die Synchronisation.
-
Stellen Sie die Abhängigkeit der Berechtigungsgruppe für die Synchronisation zur Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN her.
Die Berechtigungsgruppe vi_4_SYNCPROJECT_ADMIN muss dabei als übergeordnete Berechtigungsgruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Berechtigungsgruppe für die Synchronisation.
- Speichern Sie die Änderungen.
-
Erstellen Sie im Manager eine neue Anwendungsrolle.
-
Ordnen Sie die Anwendungsrolle Benutzerspezifisch | Verantwortliche als übergeordnete Anwendungsrolle zu.
-
Ordnen Sie die Berechtigungsgruppe für die Synchronisation zu.
-
Weisen Sie dieser Anwendungsrolle Identitäten zu.
- Speichern Sie die Änderungen.
Ausführliche Informationen zum Einrichten von Anwendungsrollen und Berechtigungsgruppen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Benötigte Informationen für die Erstellung eines Synchronisationsprojektes für die Individualsynchronisation
Ein Synchronisationsprojekt ist die Zusammenstellung aller Informationen, die für die Synchronisation der One Identity Manager-Datenbank mit einem Zielsystem benötigt werden. Dazu gehören die Verbindungsinformationen zum Zielsystem, Schematypen und -eigenschaften, Mappings und Synchronisationsworkflows.
Für die individuelle Einrichtung eines Synchronisationsprojekts für die Synchronisation mit dem One Identity Manager Konnektor halten Sie die folgenden Informationen bereit.
Tabelle 6: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Synchronisationsserver |
Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.
Installierte Komponenten:
Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.
Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers. |
Remoteverbindungsserver |
Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.
Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.
Konfiguration des Remoteverbindungsservers:
Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.
TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.
Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation. |
Synchronisationsworkflow |
Wenn die Synchronisation Daten aus einem sekundären System importiert, aktivieren Sie in den Synchronisationsschritten die Option Datenimport. Für diese Synchronisationsschritte kann die Verarbeitungsmethode MarkAsOutstanding nicht ausgewählt werden. Diese Option wirkt in beide Richtungen, also auch bei der Synchronisation in das Zielsystem.
Ausführliche Informationen zur Synchronisation von Benutzerdaten mit verschiedenen Systemen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation. |
Basisobjekt |
Für Synchronisationen mit den Datenbankkonnektoren kann meist kein konkretes Basisobjekt festgelegt werden. Hier genügt die Zuordnung einer Basistabelle und des Synchronisationsservers.
-
Wählen Sie aus der Auswahlliste Basistabelle die Tabelle, in welche die Objekte eingelesen werden sollen. Die Basistabelle kann genutzt werden, um nachgelagerte Prozesse für die Synchronisation zu definieren. Ausführliche Informationen zu nachgelagerten Prozessen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
-
In der Auswahlliste Synchronisationsserver werden alle Jobserver angezeigt, für welche die Serverfunktion One Identity Manager Konnektor aktiviert ist. |
Variablenset |
Wenn Sie spezialisierte Variablensets einsetzen, stellen Sie sicher, dass die Startkonfiguration und das Basisobjekt das selbe Variablenset nutzen. |
Detaillierte Informationen zum Thema
Individualkonfiguration erstellen
Beim Erstellen eines Synchronisationsprojekts unterstützt Sie ein Assistent. Dieser Assistent führt Sie durch alle Schritte, die zum initialen Einrichten der Synchronisation mit einem Zielsystem erforderlich sind. Wenn Sie alle erforderlichen Angaben für einen Schritt erfasst haben, klicken Sie Weiter.
HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor
Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.
Um das Synchronisationsprojekt einzurichten
-
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.
-
Wählen Sie den Eintrag One Identity Manager Konnektor und klicken Sie Starten.
Der Projektassistent des Synchronization Editors wird gestartet.
-
Auf der Startseite des Projektassistenten klicken Sie Weiter.
-
Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.
-
Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.
-
Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.
Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.
-
Auf der Seite Datenbanksystem auswählen wählen Sie das Datenbanksystem aus, für das Sie die Verbindung einrichten möchten.
-
Direkte Datenbankverbindung: Gibt an, ob eine direkte Verbindung zur Zentraldatenbank hergestellt werden soll.
-
Anwendungsserver: Gibt an, ob die Zentraldatenbank über einen Anwendungsserver verbunden werden soll.
Aktivieren Sie diese Option, wenn in der Zentraldatenbank andere Module installiert sind, als in der Arbeitsdatenbank, oder wenn die Zentraldatenbank mit einer älteren One Identity Manager Version betrieben wird.
-
REST API des Anwendungsservers verwenden: Gibt an, ob die REST API des Anwendungsservers für die Kommunikation mit der Zentraldatenbank genutzt werden soll.
WICHTIG: Aktivieren Sie diese Option, wenn die Zentraldatenbank mit einer älteren One Identity Manager Version betrieben wird.
-
Auf der Seite Verbindungsparameter geben Sie die Verbindungsdaten zur Zentraldatenbank an.
-
Für eine direkte Datenbankverbindung erfassen Sie folgende Daten:
-
Server: Datenbankserver.
-
(Optional) Windows Authentifizierung: Gibt an, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.
-
Nutzer: SQL Server-Anmeldename des Benutzer.
-
Kennwort: Kennwort für die SQL Server-Anmeldung des Benutzer.
-
Datenbank: Wählen Sie die Datenbank.
-
Für eine Verbindung über einen Anwendungsserver erfassen Sie die URL und das Kennwort des Synchronisationsbenutzers.
-
Um zusätzliche Informationen zur Datenbankverbindung zu erfassen, klicken Sie Erweiterte Optionen.
-
Klicken Sie Testen.
-
Auf der Seite Verschlüsselung geben Sie den privaten Schlüssel zur Entschlüsselung der Datenbank an.
-
Auf der Seite Weitere Einstellungen definieren Sie weitere Einstellungen, um das Verhalten des Konnektors anzupassen.
-
Versuche Datenfehler zu ignorieren: Gibt an, ob Objekte mit fehlerhaften Daten in die Zentraldatenbank synchronisiert werden sollen.
Standardmäßig werden Objekte mit fehlerhaften Daten nicht synchronisiert. Diese Objekte können synchronisiert werden, sobald die fehlerhaften Daten korrigiert wurden. In einzelnen Situationen kann es notwendig sein, solche Objekte dennoch zu synchronisieren und nur die fehlerhaften Objekteigenschaften zu ignorieren.
WICHTIG: Wenn Datenfehler ignoriert werden, wird die Performance beeinträchtigt. Die Synchronisation kann außerdem zu Datenverlust führen. Aktivieren Sie die Option nur im Ausnahmefall, wenn eine Korrektur der fehlerhaften Daten vor der Synchronisation nicht möglich ist.
HINWEIS:
-
Die Option kann nicht aktiviert werden, wenn die REST API des Anwendungsservers verwendet wird.
-
Diese Option ist nur wirksam, wenn am Synchronisationsworkflow Bei Fehler fortsetzen eingestellt ist.
-
Fehler in Standardspalten, wie Primärschlüssel oder UID-Spalten, und Pflichteingabespalten können nicht ignoriert werden.
-
Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.
- Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.
- Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.
-
Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.
HINWEIS:
-
Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.
-
Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.
-
Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.
-
Auf der Seite Projektvorlage auswählen wählen Sie die Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.
HINWEIS: Der One Identity Manager Konnektor stellt keine Standard-Projektvorlage zum Einrichten der Synchronisation bereit. Wenn Sie eigene Projektvorlagen erstellt haben, können Sie diese auswählen, um das Synchronisationsprojekt zu konfigurieren. Andernfalls wählen Sie Leeres Projekt erstellen.
-
Auf der Seite Allgemein erfassen Sie die allgemeinen Einstellungen für das Synchronisationsprojekt.
Tabelle 7: Allgemeine Eigenschaften des Synchronisationsprojekts
Anzeigename |
Anzeigename für das Synchronisationsprojekt. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
- Um den Projektassistenten zu beenden, klicken Sie Fertig.
- Speichern Sie das Synchronisationsprojekt in der Datenbank.
Verwandte Themen
Schema aktualisieren
Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.
Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.
Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:
-
ein Schema geändert wurde, durch:
-
Änderungen am Zielsystemschema
-
unternehmensspezifische Anpassungen des One Identity Manager Schemas
-
eine Update-Migration des One Identity Manager
-
ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
-
die Aktivierung des Synchronisationsprojekts
-
erstmaliges Speichern des Synchronisationsprojekts
-
Komprimieren eines Schemas
Um das Schema einer Systemverbindung zu aktualisieren
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
- ODER -
Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.
-
Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die Schemadaten werden neu geladen.
Um ein Mapping zu bearbeiten
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Mappings.
-
Wählen Sie in der Navigationsansicht das Mapping.
Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.