Chat now with support
Chat mit Support

Identity Manager 9.2 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Synchronisationsprotokoll konfigurieren Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren Synchronisationsprojekte kopieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Property-Mapping-Regeln löschen

Um eine Property-Mapping-RegelGeschlossen zu löschen

  1. Wählen Sie die Kategorie MappingsGeschlossen.

  2. Wählen Sie in der Navigationsansicht ein Mapping.

  3. Klicken Sie in der Menüleiste der Regelansicht für die Property-Mapping-Regeln .

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
Verwandte Themen

Details einer Property-Mapping-Regel

Für eine Property-Mapping-RegelGeschlossen erfassen Sie folgende Details.

TIPP: Um die Regel aus einer Vorlage zu erstellen, klicken Sie .
Tabelle 40: Details einer Property-Mapping-Regel

Detail

Beschreibung

Regeltypen

Für eine neue Regel wählen Sie den Regeltyp aus.

Wertevergleichsregel

Vergleicht den Wert einer Schemaeigenschaft des One Identity Manager Schemas mit dem Wert einer Schemaeigenschaft des Zielsystemschemas.

Mehrfachreferenzregel

Vergleicht mehrwertige Schemaeigenschaften. Die Wertelisten werden elementweise verglichen. Fehlende Werte werden hinzugefügt; überzählige Werte werden gelöscht.

Regelname

Bezeichnung der Regel. Innerhalb eines MappingsGeschlossen muss der Regelname eindeutig sein.

Um den Regelnamen zu ändern, klicken Sie . Der Regelname wird als Schlüssel verwendet. Die Änderung des Regelnamens kann zu Fehlern führen.

Anzeigename

Anzeigename der Regel.

MappingrichtungGeschlossen

Legen Sie die zulässige Mappingrichtung für das Mapping der ausgewählten Schemaeigenschaften fest.

Beide Richtungen

Die Property-Mapping-Regel wird sowohl bei SynchronisationenGeschlossen in das ZielsystemGeschlossen als auch bei Synchronisationen in den One Identity Manager angewendet.

In das Zielsystem

Die Property-Mapping-Regel wird nur bei Synchronisationen in das Zielsystem angewendet.

In den One Identity Manager

Die Property-Mapping-Regel wird nur bei Synchronisationen in den One Identity Manager angewendet.

Nicht zuordnen

Die Property-Mapping-Regel wird ignoriert.

Sie können diesen Wert setzen, um eine Property-Mapping-Regel zu deaktivieren.

Vom Mapping übernehmen

Es gilt die Mappingrichtung, die am Mapping festgelegt ist.

Einschränkung der Mappingrichtung bei der Neuanlage ignorieren

Gibt an, ob die festgelegte Mappingrichtung bei der Neuanlage von Objekten ignoriert werden soll.

Wenn die Option aktiviert ist, wird die Property-Mapping-Regel auch dann ausgeführt, wenn die Mappingrichtung der SynchronisationsrichtungGeschlossen entgegengesetzt ist. Property-Mapping-Regeln, denen keine Mappingrichtung zugeordnet ist, werden auch bei der Neuanlage von Objekten ignoriert.

Wenn die Option deaktiviert ist, gilt die festgelegte Mappingrichtung auch bei der Neuanlage von Objekten.

Beispiel:

Eine Telefonanlage soll über den One Identity Manager verwaltet werden. Für die Synchronisation der Telefonnummern gilt die Telefonanlage als primäres System. Als Mappingrichtung wird dafür In den One Identity Manager festgelegt. Die Telefonnummer ist im Zielsystem ein Pflichtwert.

Im One Identity Manager werden neue Identitäten angelegt. Jede IdentitätGeschlossen erhält initial eine Telefonnummer. Diese Identitäten sollen durch die Synchronisation im Zielsystem angelegt werden. Damit die Telefonnummern bei der Synchronisation in das Zielsystem geschrieben werden, muss an der Property-Mapping-Regel die Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren aktiviert werden.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Kollisionsverhalten

Legt fest, ob die Property-Mapping-Regel immer angewendet werden soll.

Objekte, die in einem verbundenen System (Ziel der Synchronisation)

  • geändert wurden, wobei die Änderungen noch nicht provisioniert sind,

  • sich in automatischen Verarbeitungsprozessen befinden, die noch nicht abgeschlossen sind,

  • oder anderweitig für Änderungen blockiert sind,

werden standardmäßig von der Synchronisation ausgeschlossen, um Datenkonflikte zu vermeiden. Die Synchronisation dieser Objekte wird, falls möglich, mit dem folgenden Synchronisationslauf wiederholt.

In seltenen Fällen kann es notwendig sein, dass einige Eigenschaften dieser Objekte dennoch sofort synchronisiert werden müssen, beispielsweise um sicherheitskritische Änderungen in das verbundene System zu übertragen.

  • Regel anwenden: Die Property-Mapping-Regel wird angewendet und überschreibt dadurch eventuelle Datenänderungen.

    WICHTIG:

    • Diese Option sollte nur im Ausnahmefall ausgewählt werden. Überprüfen Sie nachträglich die Datenänderungen, die dadurch gegebenenfalls überschrieben werden.

    • Die Option ist nur wirksam, wenn für die Kollisionserkennung an der StartkonfigurationGeschlossen Vor der Verarbeitung ausgewählt ist, da nur dann die Kollisionen vor dem Mapping festgestellt werden.

  • Regel nicht anwenden: Die Property-Mapping-Regel wird nicht ausgeführt, wenn das Objekt für Änderungen blockiert ist. Ist diese Option bei allen Property-Mapping-Regeln in diesem Mapping aktiviert, wird das Objekt komplett ausgelassen und von der Synchronisation nicht behandelt.

    Das entspricht dem Standardverhalten.

Weitere Informationen finden Sie unter Verhalten bei gleichzeitiger Änderung von Synchronisationsobjekten.

Schemaeigenschaft

Wählen Sie die Schemaeigenschaften, die gemappt werden soll.

Nicht überschreibend

Der Wert der Schemaeigenschaft wird durch die Synchronisation nur dann geändert, wenn die Schemaeigenschaft keinen Wert enthält.

Bedingung für Anwendung

Bedingung, unter der die Property-Mapping-Regel angewendet wird. Die Bedingung kann mit dem Assistenten erstellt oder als Skript hinterlegt werden.

Über die Operatoren Left und Right nehmen Sie auf das jeweilige Schema Bezug.

Left: Schemaeigenschaften im erweiterten Schema des One Identity Manager

Right: Schemaeigenschaften im erweiterten Schema des Zielsystems

Tabelle 41: Zusätzliche Details einer Wertevergleichsregel

Detail

Beschreibung

Mapping gegen die Synchronisationsrichtung erzwingen

Wenn die Option aktiviert ist, wird die Property-Mapping-Regel auch dann angewendet, wenn die Mappingrichtung der Synchronisationsrichtung entgegengesetzt ist. Weitere Informationen finden Sie unter Mapping gegen die Synchronisationsrichtung.

Die Option kann nur aktiviert werden, wenn

  • Unzulässige Änderungen erkennen deaktiviert ist,

  • als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist.

Die Property-Mapping-Regel darf nicht in beide Richtungen ausgeführt werden.

Unzulässige Änderungen erkennen

Gibt an, ob unzulässige Änderungen erkannt und protokolliert werden sollen, wenn die Synchronisationsrichtung der Mappingrichtung entgegengesetzt ist.

Die Option kann nur aktiviert werden, wenn

  • als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist,
  • Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist.

Wenn die Option aktiviert ist, werden unzulässige Änderungen identifiziert und protokolliert. Das Protokoll kann nach der Synchronisation ausgewertet werden. Weitere Informationen finden Sie unter Auswerten der Synchronisation.

Wenn die Option nicht aktiviert ist, wird die Property-Mapping-Regel bei der Synchronisation ignoriert.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Unzulässige Änderungen korrigieren

Gibt an, ob unzulässige Änderungen korrigiert werden sollen, wenn die Synchronisationsrichtung der Mappingrichtung entgegengesetzt ist.

Die Option kann nur aktiviert werden, wenn

  • Unzulässige Änderungen erkennen aktiviert ist,
  • als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist,
  • Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist.

Wenn die Option aktiviert ist, wird die Property-Mapping-Regel bei der Synchronisation ausgeführt. Die ObjekteigenschaftGeschlossen im verbundenen System wir mit dem Wert aus dem primären System überschrieben. Somit werden unzulässige Änderungen korrigiert.

Wenn die Option nicht aktiviert ist, werden unzulässige Änderungen nur protokolliert.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Reihenfolge von MVP-Werten

Gibt an, ob die Reihenfolge der Werte von mehrwertigen Schemaeigenschaften bei der Erkennung unzulässiger Änderungen beachtet werden muss.

  • Reihenfolge beachten: Die Reihenfolge der Werte ist relevant. Bei der Erkennung unzulässiger Änderungen wird geprüft, ob alle Werte in beiden gemappten Schemaeigenschaften in identischer Reihenfolge vorhanden sind.

  • Reihenfolge nicht beachten: Die Reihenfolge der Werte ist unwichtig. Bei der Erkennung unzulässiger Änderungen wird geprüft, ob alle Werte in beiden gemappten Schemaeigenschaften vorhanden sind, unabhängig von ihrer Reihenfolge.

  • Automatisch: Der Konnektor ermittelt automatisch, ob die Reihenfolge beachtet werden soll. Sie wird beachtet, wenn an der Schemaeigenschaft, die durch das Mapping geschrieben wird, DPRSchemaProperty.IsMvpOrderSignificant=1 gesetzt ist.

Das Auswahlfeld wird nur angezeigt, wenn

  • beide Schemaeigenschaften mehrwertig sind,

  • Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist,

  • Unzulässige Änderungen erkennen aktiviert ist und

  • Behandle den ersten Wert der Eigenschaft als Einzelwert deaktiviert ist.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Groß-/Kleinschreibung ignorieren

Gibt an, ob Änderungen, die sich nur durch Groß- und Kleinschreibung unterscheiden, beim Mapping ignoriert werden sollen. Diese Option wirkt nur auf Schemaeigenschaften mit dem Datentyp Zeichenkette.

Behandle den ersten Wert der Eigenschaft als Einzelwert

Wenn eine mehrwertige Schemaeigenschaft über eine Wertevergleichsregel gemappt wird, wird der erste Wert aus der Werteliste als Einzelwert bei der Synchronisation berücksichtigt.

Unterstützung des Merge-Modus deaktivieren

Gibt an, ob der Merge-Modus für die Einzelprovisionierung von Mitgliedschaften in dieser Property-Mapping-Regel deaktiviert werden soll. Wenn die Option aktiviert ist, wird bei der ProvisionierungGeschlossen von Mitgliedschaften die komplette Mitgliederliste auch dann übertragen, wenn an der ZuordnungstabelleGeschlossen der Merge-Modus aktiviert ist.

Weitere Informationen finden Sie unter Einzelprovisionierung von Mitgliedschaften.

Tabelle 42: Zusätzliche Details einer Mehrfachreferenzregel
Mitgliederfilter Beschreibung
Nur diese einschließen Wählen Sie in der Werteliste alle Mitglieder aus, die auf die Schemaeigenschaft des verbundenen Systems gemappt werden sollen.
Diese ausschließen Wählen Sie in der Werteliste alle Mitglieder aus, die nicht auf die Schemaeigenschaft des verbundenen Systems gemappt werden sollen.
Verwandte Themen

Property-Mapping-Regeln testen

Die Funktionsweise der Property-Mapping-Regeln kann an einem Objektpaar getestet werden, das den Object-Matching-Kriterien entspricht. Des Weiteren kann der Test für ein neues Objektpaar ausgeführt werden, das keine Werte enthält. Für den Test ändern Sie die Eigenschaften eines Objekts. Im Testdialog wird angezeigt, welche Änderungen im jeweils anderen System vorgenommen werden. Die geänderten Objekte können in die Zwischenablage kopiert und so für weitere Analysen verwendet werden.

Der Dialog Property-Mapping-Regeln testen zeigt alle gemappten Schemaeigenschaften aus dem gewählten MappingGeschlossen an. Die Werte der Schemaeigenschaften, die schreibbar sind, können bearbeitet werden.

Tabelle 43: Bedeutung der Symbole im Testdialog
Symbol/Option Bedeutung

Filtert die Liste der Objektpaare, die den Object-Matching-Regeln entsprechen.

Verwirft alle Änderungen an den Objekten.

Kopiert die Objekte in die Zwischenablage.

Automatisch

Gibt an, ob das Mapping automatisch ausgeführt werden soll, sobald ein Wert geändert wurde.

Wenn ein Wert im Zielsystemobjekt geändert wurde, wird das Mapping in den One Identity Manager ausgeführt und umgekehrt. Dabei werden alle Property-Mapping-Regeln angewendet.

Führt das Mapping in den One Identity Manager aus. Dabei werden alle Property-Mapping-Regeln angewendet.

Führt das Mapping in das ZielsystemGeschlossen aus. Dabei werden alle Property-Mapping-Regeln angewendet.

Schließen

Schließt den Testdialog.

Um Property-Mapping-Regeln mit einem neuen Objektpaar zu testen

  1. Wählen Sie im Synchronization EditorGeschlossen die Kategorie Mappings.

  2. Wählen Sie in der Navigationsansicht ein Mapping.

  3. Klicken Sie in der Symbolleiste der Regelansicht für Property-Mapping-Regeln .

    Der Dialog Property-Mapping-Regeln testen wird geöffnet. Es werden leere ObjekteigenschaftenGeschlossen angezeigt.

  4. Erfassen Sie Werte für das Zielsystemobjekt.

    • Klicken Sie oder führen Sie das Mapping automatisch aus.

      Am Datenbankobjekt werden alle Änderungen angezeigt, die durch die Property-Mapping-Regeln bewirkt werden.

  5. Erfassen Sie Werte für das Datenbankobjekt.

    • Klicken Sie oder führen Sie das Mapping automatisch aus.

      Am Zielsystemobjekt werden alle Änderungen angezeigt, die durch die Property-Mapping-Regeln bewirkt werden.

Um Property-Mapping-Regeln für ein konkretes Objektpaar zu testen

  1. Wählen Sie im Synchronization Editor die Kategorie Mappings.

  2. Wählen Sie in der Navigationsansicht ein Mapping.

  3. Klicken Sie in der Symbolleiste der Regelansicht für Object-Matching-Regeln .

  4. Doppelklicken Sie im Dialog Object-Matching-Regeln testen das Objektpaar, für das Sie die Property-Mapping-Regeln testen wollen.

    Der Dialog Property-Mapping-Regeln testen wird geöffnet. Es werden die Objekteigenschaften des gewählten Objektpaars angezeigt. Im Bereich Test-Objektpaare werden alle Objektpaare angezeigt, die den Object-Matching-Kriterien entsprechen.

  5. (Optional) Um den Test mit einem anderen Objektpaar auszuführen, doppelklicken Sie im Bereich Test-Objektpaare auf ein Objektpaar.

  6. Ändern Sie die Eigenschaften des Zielsystemobjekts.

    • Klicken Sie oder führen Sie das Mapping automatisch aus.

      Am Datenbankobjekt werden alle Änderungen angezeigt, die durch die Property-Mapping-Regeln bewirkt werden.

  7. Ändern Sie die Eigenschaften des Datenbankobjekts.

    • Klicken Sie oder führen Sie das Mapping automatisch aus.

      Am Zielsystemobjekt werden alle Änderungen angezeigt, die durch die Property-Mapping-Regeln bewirkt werden.

Verwandte Themen

Object-Matching-Regeln bearbeiten

Object-Matching-Regeln ordnen die Schemaeigenschaften zu, über die Systemobjekte eindeutig identifiziert werden können. Beispielsweise können Active Directory Gruppen über die Schemaeigenschaften DistinguishedName und ObjectGUID eindeutig identifiziert werden.

Object-Matching-Regeln können aus Property-Mapping-Regeln erstellt oder neu angelegt werden. Wenn die Systemobjekte nur über mehrere Schemaeigenschaften eindeutig identifiziert werden können, können verschiedene Property-Mapping-Regeln über logische Operatoren zu einer Object-Matching-RegelGeschlossen verknüpft werden.

HINWEIS: Die Anwendung solcher Object-Matching-Regeln kann die SynchronisationGeschlossen verlangsamen. Nutzen Sie stattdessen eine virtuelle Schemaeigenschaft, um die für das Matching benötigten Schemaeigenschaften zu verknüpfen, und erstellen Sie eine Object-Matching-Regel mit der virtuellen Schemaeigenschaft.

Sind mehrere Object-Matching-Regeln eingerichtet, werden diese in der Reihenfolge ausgeführt, in der sie in der Regelansicht aufgelistet sind. Die oberste Regel ist die primäre Regel, alle weiteren werden als alternative Regeln bezeichnet. Wenn ein SystemobjektGeschlossen durch die primäre Regel eindeutig identifiziert werden konnte, werden die alternativen Regeln nicht ausgeführt. Wenn kein Systemobjekt durch die primäre Regel identifiziert werden konnte, wendet der One Identity Manager die nächste alternative Regel an, um ein passendes Systemobjekt zu ermitteln. Wird durch keine der Regeln ein passendes Systemobjekt identifiziert, dann hat das Objekt keinen Partner und wie als neu oder gelöscht behandelt.

Beispiel

Für das MappingGeschlossen von Active Directory Gruppen sind folgende Object-Matching-Regeln definiert:

  • Object GUID <-> Object-Guid (primäre Regel)
  • Distinguished name <-> Obj-Dist-Name (alternative Regel)
  • Object SID <-> Object-Sid (alternative Regel Nr. 2)

Die Eigenschaften einer Active Directory Gruppe wurden im One Identity Manager geändert. Bei der ProvisionierungGeschlossen versucht der Active Directory Konnektor die Gruppe im Zielsystem über die Object GUID zu identifizieren. Es wird kein Objekt mit dieser Object GUID gefunden. Daher wird die alternative Object-Matching-Regel angewendet. Der Konnektor identifiziert ein Objekt mit demselben Distinguished name und aktualisiert dieses Objekt im Zielsystem.

HINWEIS:

  • Object-Matching-Regeln müssen Schemaeigenschaften verwenden, die lesbar sind. Schemaeigenschaften, die nur schreibbar sind, sind für die Identifikation der Systemobjekte nicht geeignet.

  • Schemaeigenschaften, die zur Identifikation der Systemobjekte genutzt werden, müssen einen Wert enthalten. Enthält eine der Schemaeigenschaften einen Leerwert, wird die Object-Matching-Regel ignoriert und die nächste alternative Regel angewendet.

  • Werden mehrere Systemobjekte gefunden, die das Matching-Kriterium erfüllen, erscheint eine Meldung im Synchronisationsprotokoll. Diese Objekte werden bei der weiteren Verarbeitung ignoriert.

    Wenn mehrere Systemobjekte gefunden werden, liegen entweder in den verbundenen Systemen fehlerhafte Daten vor oder das Matching-Kriterium ist nicht eindeutig. Bereinigen Sie die Daten in den verbundenen Systemen und passen Sie die Object-Matching-Regeln an.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen