Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für Active Roles Integration

Integration mit One Identity Active Roles Synchronisieren einer Active Directory-Umgebung über One Identity Active Roles Interaktion mit Active Roles Arbeitsabläufen Interaktion mit Active Roles Richtlinien Verwalten der Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für One Identity Active Roles Einstellungen des Active Roles Konnektors

Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung

Mit der Installation des Active Directory Moduls und des Active Roles Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 10: Konfigurationsparameter
Konfigurationsparameter Beschreibung

QER | ITShop | AutoPublish | ADSGroup

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der automatischen Übernahme von Active Directory Gruppen in den IT Shop. Ist der Parameter aktiviert, werden alle Gruppen automatisch als Produkte dem IT Shop zugewiesen. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName

Der Konfigurationsparameter legt fest, ob die Bildungsregel für die Spalte ADSGroup.DisplayName angewendet werden soll.

QER | ITShop | AutoPublish | ADSGroup | ExcludeList

Auflistung aller Active Directory Gruppen, für die keine automatische Zuordnung zum IT Shop erfolgen soll. Jeder Eintrag ist Bestandteil eines regulären Suchmusters und unterstützt die Notation für reguläre Ausdrücke.

Beispiel:

.*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

TargetSystem | ADS

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems Active Directory. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | ADS | Accounts

Erlaubt die Konfiguration der Angaben zu Benutzerkonten.

TargetSystem | ADS | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | ADS | Accounts | InitialRandomPassword | SendTo

Identität, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Identität oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter TargetSystem | ADS | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | ADS | Accounts | InitialRandomPassword | SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto verwendet.

TargetSystem | ADS | Accounts | InitialRandomPassword | SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Identität - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | ADS | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | ADS | Accounts | NotRequirePassword

Gibt an, ob bei der Neuanlage von Active Directory Benutzerkonten im One Identity Manager die Angabe eines Kennwortes erforderlich ist. Ist der Konfigurationsparameter deaktiviert, wird bei der Neuanlage eines Active Directory Benutzerkontos die Eingabe eines Kennworts entsprechend der definierten Kennwortrichtlinien gefordert. Ist der Konfigurationsparameter aktiviert, ist bei der Neuanlage von Active Directory Benutzerkonten die Angabe eines Kennwortes nicht erforderlich.

TargetSystem | ADS | Accounts | PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte Active Directory Benutzerkonten.

TargetSystem | ADS | Accounts |
PrivilegedAccount | SAMAccountName_Postfix

Postfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | ADS | Accounts | PrivilegedAccount |
SAMAccountName_Prefix

Präfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | ADS | Accounts | ProfileFixedString

Feste Zeichenkette, die an den Standardprofilpfad eines Benutzerprofils angehängt wird.

TargetSystem | ADS | Accounts | TransferJPegPhoto

Gibt an, ob bei Änderung des Bildes in den Stammdaten der Identität dieses an bestehende Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Identitätenstammdaten publiziert.

TargetSystem | ADS | Accounts | TransferSIDHistory

Gibt an, ob die Historie einer SID aus dem Zielsystem gelesen werden soll.

TargetSystem | ADS | Accounts | TSProfileFixedString

Feste Zeichenkette, die an den Standardprofilpfad eines Benutzerprofils auf einem Terminalserver angehängt wird.

TargetSystem | ADS | Accounts | UnlockByCentralPassword

Gibt an, ob das Active Directory Benutzerkonto der Identität bei der Synchronisation des zentralen Kennworts ebenfalls entsperrt wird.

TargetSystem | ADS | Accounts | UserMustChangePassword

Gibt an, ob bei Neuanlage von Benutzerkonten die Option Kennwort bei der nächsten Anmeldung ändern gesetzt wird.

TargetSystem | ADS | ARS

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Unterstützung von Active Roles. Ist der Parameter aktiviert, sind die Bestandteile verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | ADS | ARS_SSM

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Überführung der Funktionalität von One Identity Active Roles Self-Service Manager in den One Identity ManagerIT Shop. Ist der Parameter aktiviert, sind die Bestandteile verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | ADS | AuthenticationDomains

Pipe (|) getrennte Liste von Domänen, gegen die manuelle Active Directory Authentifizierungsmodule die Benutzer authentifizieren sollen. Die Liste wird in der Reihenfolge abgearbeitet, in der sie hier angegeben ist. Die Liste sollte nur Domänen enthalten, die synchronisiert werden.

Beispiel:

MyDomain|MyOtherDomain

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

TargetSystem | ADS | AutoCreateDepartment

Gibt an, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Abteilungen erzeugt werden.

TargetSystem | ADS | AutoCreateLocality

Gibt an, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Standorte erzeugt werden.

TargetSystem | ADS | AutoCreateHardwaretype

Gibt an, ob für importierte Druckerobjekte automatisch entsprechende Gerätetypen in der Datenbank erzeugt werden.

TargetSystem | ADS | AutoCreateServers

Gibt an, ob bei der Synchronisation der Benutzerkonten automatisch Einträge für fehlende Homeserver und Profileserver erstellt werden.

TargetSystem | ADS | AutoCreateServers | PreferredLanguage

Sprache der automatisch angelegten Server.

TargetSystem | ADS | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | ADS | HardwareInGroupFromOrg

Gibt an , ob Computer aufgrund von Gruppenzuordnung zu Rollen in Gruppen aufgenommen werden.

TargetSystem | ADS | MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | ADS | MembershipAssignCheck

Gibt an, ob bei Zuweisungen von Gruppenmitgliedschaften in der One Identity Manager-Datenbank bereits beim Speichern die Zulässigkeit dieser Mitgliedschaft geprüft wird.

Sollen in der Datenbank mehrere getrustete Domänen mit übergreifenden Mitgliedschaften verwaltet werden, so ist dieser Konfigurationsparameter zu deaktivieren.

TargetSystem | ADS | MemberShipRestriction

Allgemeiner Konfigurationsparameter zur Einschränkung der Mitgliedschaften für Active Directory.

TargetSystem | ADS | MemberShipRestriction | Container

Anzahl von Active Directory Objekten pro Container, bei deren Überschreitung eine Warnmail gesendet werden soll.

TargetSystem | ADS | MemberShipRestriction | Group

Anzahl von Active Directory Objekten pro Gruppe, bei deren Überschreitung eine Warnmail gesendet werden soll.

TargetSystem | ADS | MemberShipRestriction | MailNotification

Standard-Mailadresse zum Versenden von Warnmails.

TargetSystem | ADS | PersonAutoDefault

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | ADS | PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Identitäten zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | ADS | PersonAutoFullSync

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | ADS | PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Identitätenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

TargetSystem | ADS | PersonUpdate

Gibt an, ob Identitäten bei Änderung ihrer Benutzerkonten aktualisiert werden. Aktivieren Sie diesen Konfigurationsparameter, um eine fortlaufende Aktualisierung von Identitäten aus verbundenen Benutzerkonten zu erreichen.

TargetSystem | ADS | ReplicateImmediately

Beschleunigung der Synchronisation von Änderungen zwischen den Domänen-Controllern. Bei Aktivierung werden die aufgelaufenen Änderungen im Active Directory sofort zwischen den Domänen-Controllern repliziert.

Standardprojektvorlage für One Identity Active Roles

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 11: Abbildung der Schematypen

Schematyp im Active Roles

Tabelle im One Identity Manager Schema

builtInDomain

ADSContainer

computer

ADSMachine

contact

ADSContact

container

ADSContainer

domainDNS

ADSDomain

group

ADSGroup

inetOrgPerson

ADSAccount

msDS-PasswordSettings

ADSPolicy

msExchSystemObjectsContainer

ADSContainer

oganization

ADSContainer

organizationalUnit

ADSContainer

printQueue

ADSPrinter

rpcContainer

ADSContainer

user

ADSAccount

Einstellungen des Active Roles Konnektors

Für die Systemverbindung mit dem Active Roles Konnektor werden die folgenden Einstellungen konfiguriert.

Tabelle 12: Einstellungen des Active Roles Konnektors

Einstellung

Bedeutung

Domäne

Vollständiger Name der Domäne.

Variable: CP_Rootdn

Benutzerkonto

Benutzerkonto zur Anmeldung am Active Roles.

Variable: CP_User

Kennwort

Kennwort zum Benutzerkonto.

Variable: CP_Password

DNS Name oder IP Adresse des Active Roles Servers

Vollständiger Name oder IP Adresse des Active Roles Servers, gegen den sich der Synchronisationsserver verbindet.

Beispiel:

<Name des Servers>.<Vollqualifizierter Domänenname>

Variable: CP_Server

Begründung für Arbeitsabläufe

Begründung, welche bei der Ausführung von Arbeitsabläufen eingetragen wird.

Variable: DefaultWorkflowReason

Active Roles Arbeitsabläufe ausführen

Gibt an, ob Active Roles Arbeitsabläufe ausgeführt werden sollen.

Wenn der Wert False ist, werden keine Active Roles Arbeitsabläufe ausgeführt. Das Benutzerkonto benötigt die Berechtigungen unter Benötigte Berechtigungen für die Synchronisation über One Identity Active Roles.

Wenn der Wert True ist, versucht der Konnektor die Active Roles Arbeitsabläufe auszuführen, die mit der Operation verknüpft sind. Dies funktioniert nur, wenn das Verbindungskonto nicht Mitglied der Active Roles Administratorengruppe ist.

Standard: False

Variable: RunArsWorkflowsByDefault

ForestName

Bezeichnung der Domänengesamtstruktur.

Variable: ForestName

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen