Um die Systemsynchronisation fehlerfrei ausführen zu können, müssen einige Einstellungen auf der Arbeitsdatenbank vorgenommen werden. Sie können dafür die hier aufgeführten SQL Abfragen mit einem geeigneten Programm ausführen.
TIPP: Je nach Einsatzzweck der Arbeitsdatenbank kann es sinnvoll sein, weitere Anpassungen vorzunehmen. Prüfen Sie beispielsweise, ob Bildungsregeln auf den synchronisierten Spalten in der Arbeitsdatenbank deaktiviert werden sollten.
Verwenden der Modul GUID
Für alle Tabellen, die synchronisiert werden sollen, muss die Tabelleneigenschaft Modul GUID zulässig (DialogTable.IsModuleGUIDAllowed) aktiviert sein. Um diese Option zu aktivieren, führen Sie die folgende Abfrage zuerst auf der Zentraldatenbank und danach auf der Arbeitsdatenbank aus.
-- transfer customized configuration DialogTable.IsModuleGUIDAllowed from your central database |
-- => manual process required |
select UID_DialogTable, 'Update DialogTable set IsModuleGUIDAllowed = 1 |
where IsModuleGUIDAllowed = 0 and UID_DialogTable = '''+UID_DialogTable+''' ' as ChangeStatement |
from DialogTable where IsModuleGUIDAllowed = 1 |
--if you got an result, copy the commands and execute them in your work database |
Deaktivieren aller Provisionierungsprozesse
Da mit der Arbeitsdatenbank keine Zielsysteme verbunden sind, sollten die Standard-Provisionierungsprozesse hier nicht ausgeführt werden. Führen Sie die Abfragen dafür auf der Arbeitsdatenbank aus.
Die folgende Abfrage deaktiviert alle Prozesse für die Tabellen:
-- deactivate all predefined provisioning processes |
update JobChain set NoGenerate = 1, XDateUpdated = GETUTCDATE(), XUserUpdated = 'SysSyncInitialConfig' from JobChain JC |
join JobEventGen JEG on JEG.UID_JobChain = JC.UID_JobChain |
join QBMEvent JE on JE.UID_QBMEvent = JEG.UID_QBMEvent where |
( |
JE.EventName in ('Insert', 'Update', 'Delete', 'Assign', 'Remove') |
or JC.UID_DialogTable in ('TSB-T-PersonHasTSBAccountDef', 'QER-T-PersonHasQERResource') |
or UID_JobChain in ('TSB-F9E8F1B2DA86E847A254E70A572A3832','TSB-EB76885961C6404FB7BB73FC1AC83153') |
) |
and dbo.QBM_FCVGUIDToModuleOwner(JC.UID_JobChain) <> 'CCC' |
and NoGenerate = 0 |
Folgende Abfrage deaktiviert den Merge-Modus für die Einzelprovisionierung von Mitgliedschaften für alle Zuordnungstabellen.
-- deactivate merge for provisioning (DPRMemberShipAction) for all synchronized tables |
update DPRNameSpaceHasDialogTable set IsAdHocSingleMemberShip = 0, WhereClause = Null |
Folgende Abfrage verhindert, dass das Änderungsdatum für Abhängigkeiten an den Basistabellen von Zuordnungen aktualisiert wird.
-- deactivate XDateSubItem behavior for all synchronized tables |
update QBMRelation set IsForUpdateXDateSubItem = 0 where UID_QBMRelation in |
( |
select UID_QBMRelation from QBM_VQBMRelation r |
join DialogTable t on r.UID_DialogTableChild=t.UID_DialogTable or r.UID_DialogTableParent=t.UID_DialogTable |
where t.SystemSyncMode > 0 and r.IsForUpdateXDateSubItem = 1 |
) |
Zeitpläne deaktivieren
Folgende Abfrage deaktiviert alle Zeitpläne, mit Ausnahme von kundendefinierten Zeitplänen und Systemzeitplänen. Passen Sie diese Abfrage an den Einsatzzweck der Arbeitsdatenbank an. Führen Sie die Abfrage auf der Arbeitsdatenbank aus.
-- deactivate all not required schedules |
-- allow only system and custom schedules as well as such ones belonging to reports and attestation |
-- but disable all synchronization schedules except the system synchronization |
update DialogSchedule |
set Enabled = 0, XDateUpdated = GETUTCDATE(), XUserUpdated = 'SysSyncInitialConfig' |
where Enabled = 1 and |
( |
dbo.QBM_FCVGUIDToModuleOwner(UID_DialogSchedule) not in ('CCC','QBM','QER','RPS','ATT') |
or (Name like '%execution of Initial Synchronization%' and Name not like 'System Synchronization%') |
) |
DBQueue Prozessor Aufträge für SAP Objekte deaktivieren
Da mit der Arbeitsdatenbank keine Zielsysteme verbunden sind, können DBQueue Prozessor Aufträge für die Verarbeitung von SAP Objekten deaktiviert werden. Führen Sie die Abfrage auf der Arbeitsdatenbank aus.
-- disable SAP/SBW DBQueueTask for generation SAPUserMandant and SAPBWUser |
update QBMDBQueueTask |
set ProcedureName = 'QBM_ZDBQueueVoidTask', CountParameter = 0, MaxInstance = 1, IsBulkEnabled = 0, QueryForRecalculate = Null |
where UID_Task in ('SAP-K-SAPUserMandant', 'SBW-K-SAPBWUser') |
Neuberechnung dynamischer Rollen deaktivieren
Wenn dynamische Rollen synchronisiert werden, dürfen dafür auf der Arbeitsdatenbank die Zuweisungen nicht neu berechnet werden, da hier gegebenenfalls noch nicht alle dafür benötigten Daten zur Verfügung stehen. Die Mitgliedschaften und Zuweisungen werden nur auf der Zentraldatenbank berechnet und durch die Synchronisation in die Arbeitsdatenbank übertragen.
WICHTIG: Für die Spalte DynamicGroup.IsRecalculationDeactivated (Keine Neuberechnung von Zuweisungen) darf in der Synchronisationskonfiguration keine Mappingrichtung festgelegt werden.
Um zu verhindern, dass Zuweisungen an synchronisierte dynamische Rollen berechnet werden
-
Wählen Sie im Designer die Kategorie One Identity Manager Schema > Tabellen > Tabelle.
-
Wählen Sie die Tabelle DynamicGroup und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.
-
Wählen Sie in der Ansicht Tabelleneigenschaften den Tabreiter Tabellenskripte.
-
Erfassen Sie im Feld Skript (OnSaving) folgendes Skript:
If CBool(Connection.Variables("Transport")) AndAlso CBool(Connection.Variables("Projector")) Then |
Base.PutValue("IsRecalculationDeactivated", 1) |
End If |
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
Bei dynamischen Rollen, die per Synchronisation in die Arbeitsdatenbank importiert werden, wird die Neuberechnung von Zuweisungen damit verhindert. Auf der Arbeitsdatenbank sind die Rollenmitgliedschaften wirksam, die durch die Synchronisation aus der Zentraldatenbank übertragen werden.
Verwandte Themen
Bevor Sie ein Synchronisationsprojekt für die Systemsynchronisation erstellen, kennzeichnen Sie alle Tabellen und Spalten, deren Inhalt synchronisiert werden soll.
HINWEIS: für die Auswahl der Tabellen und Spalten
-
Für jede ausgewählte Tabelle legen Sie für alle Primärschlüsselspalten und alle Pflichtspalten die Mappingrichtung fest.
-
Für jede ausgewählte Zuordnungstabelle legen Sie an den Spalten XOrigin und XIsInEffect die Mappingrichtung fest.
-
Für jede ausgewählte Tabelle, für die mehrspaltige Eindeutigkeiten definiert sind, legen Sie für alle Spalten, welche die eindeutige Gruppe bilden und die nicht automatisch befüllt werden, die Mappingrichtung fest.
-
Wenn eine Basistabelle und ihre Ableitungen ausgewählt sind (beispielsweise BaseTree und Department), dann legen Sie für diese Tabellen die selbe Synchronisationskonfiguration fest.
-
Gleicher Synchronisationsmodus für die Basistabelle und ihre Ableitungen
-
Gleiche zu mappende Spalten
-
Gleiche Mappingrichtung für diese Spalten
WICHTIG:
-
Wenn eine Zuordnungstabelle für die Synchronisation ausgewählt wurde und der Synchronisationsmodus Provisionierung in die Zentraldatenbank ausgewählt ist, dann muss an dieser Tabelle die Tabelleneigenschaft Zuweisung per Ereignis aktiviert sein, damit die Provisionierungsprozesse generiert werden.
Wenn diese Tabelleneigenschaft aktiviert wird, nachdem ein Synchronisationsprojekt generiert wurde, dann muss das Synchronisationsprojekt neu generiert werden.
-
Wenn dynamische Rollen synchronisiert werden, dürfen dafür auf der Arbeitsdatenbank die Zuweisungen nicht neu berechnet werden, da hier gegebenenfalls noch nicht alle dafür benötigten Daten zur Verfügung stehen. Die Mitgliedschaften und Zuweisungen werden nur auf der Zentraldatenbank berechnet und durch die Synchronisation in die Arbeitsdatenbank übertragen.
Für die Spalte DynamicGroup.IsRecalculationDeactivated (Keine Neuberechnung von Zuweisungen) darf in der Synchronisationskonfiguration keine Mappingrichtung festgelegt werden.
Um eine Tabelle für die Systemsynchronisation auszuwählen
-
Wählen Sie im Designer die Kategorie One Identity Manager Schema.
-
Wählen Sie die Tabelle aus und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.
-
Wählen Sie in der Ansicht Tabelleneigenschaften den Tabreiter Systemsynchronisation.
-
Bearbeiten Sie die folgenden Tabelleneigenschaften:
-
Synchronisationsmodus: Zulässige Synchronisationsrichtungen und Verarbeitungsmethoden für diese Tabelle. Aktivieren Sie alle Bit-Positionen, die für diese Tabelle zulässig sein sollen.
Legen Sie fest,
-
in welche Richtung die Synchronisation ausgeführt werden soll,
-
ob Änderungen in die Zentraldatenbank provisioniert werden sollen,
-
welche Verarbeitungsmethoden für Anwendungsdaten angewendet werden sollen,
-
ob Systemdaten aktualisiert werden sollen,
-
welcher Zeitplan für die Synchronisation dieser Tabelle genutzt werden soll (Starthäufigkeit).
Wenn keine der Bit-Positionen Synchronisation häufig starten oder Synchronisation sehr häufig starten aktiviert ist, wird die Synchronisation einmal täglich gestartet (Standard).
-
Spalten für alternative Regeln: Komma-getrennte Liste der Spalten, die für die Erstellung alternativer Object-Matching-Regeln verwendet werden sollen.
Wenn der One Identity Manager Konnektor kein Systemobjekt durch die primäre Object-Matching-Regel identifizieren kann, wendet er die alternativen Regeln an, um ein passendes Systemobjekt zu ermitteln. Erfassen Sie die technischen Spaltennamen, aller Spalten, für die alternative Regeln generiert werden sollen.
-
CLR Typ für Projektgenerator: .NET-Klasse, die zur Berücksichtigung von Sonderfällen bei der Generierung eines Synchronisationsprojekts zwischen zwei One Identity Manager Datenbanken dient.
-
Legen Sie für alle Spalten, die gemappt werden sollen, die zulässige Mappingrichtung fest.
-
Wählen Sie im Schemaeditor die Spalte und bearbeiten Sie die Spalteneigenschaften.
-
Wählen Sie auf dem Tabreiter Sonstiges, in der Auswahlliste Mappingrichtung alle zulässigen Mappingrichtungen.
-
Führen Sie die Schritte 2 bis 5 für alle Tabellen aus, die synchronisiert werden sollen.
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
Um die Mappingrichtung für eine Spalte festzulegen
-
Wählen Sie im Designer die Kategorie One Identity Manager Schema.
-
Wählen Sie die Tabelle aus und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.
-
Wählen Sie im Schemaeditor die Spalte und bearbeiten Sie die Spalteneigenschaften.
-
Wählen Sie auf dem Tabreiter Sonstiges, in der Auswahlliste Mappingrichtung alle zulässigen Mappingrichtungen.
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
Wenn Sie die zu synchronisierenden Tabellen oder Spalten ändern, nachdem das Synchronisationsprojekt generiert wurde, wird das Synchronisationsprojekt automatisch aktualisiert.
Verwandte Themen
Für die Einrichtung eines Synchronisationsprojekts für die Systemsynchronisation halten Sie die folgenden Informationen bereit.
Tabelle 1: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Verbindungsdaten zur Zentraldatenbank |
Für die direkte Datenbankverbindung:
-
Datenbankserver
-
Name der Datenbank
-
SQL Server-Anmeldung und Kennwort
-
Angabe, ob integrierte Windows-Authentifizierung verwendet wird
Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.
Für die Verbindung über einen Anwendungsserver:
|
Verbindungsdaten zur Arbeitsdatenbank |
-
Datenbankserver
-
Name der Datenbank
-
SQL Server-Anmeldung und Kennwort
-
Angabe, ob integrierte Windows-Authentifizierung verwendet wird
Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt. |
Synchronisationsserver |
Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.
Installierte Komponenten:
Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.
Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers. |
Remoteverbindungsserver |
Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.
Konfiguration des Remoteverbindungsservers:
Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.
TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.
Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation. |
Detaillierte Informationen zum Thema
HINWEIS: Auf einer Arbeitsdatenbank kann genau ein Synchronisationsprojekt für die Systemsynchronisation erstellt werden.
Beim Erstellen eines Synchronisationsprojekts unterstützt Sie ein Assistent. Dieser Assistent führt Sie durch alle Schritte, die zum initialen Einrichten der Synchronisation mit einem Zielsystem erforderlich sind. Wenn Sie alle erforderlichen Angaben für einen Schritt erfasst haben, klicken Sie Weiter.
HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor
Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.
Um das Synchronisationsprojekt einzurichten
-
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.
-
Wählen Sie den Eintrag One Identity Manager Konnektor und klicken Sie Starten.
Der Projektassistent des Synchronization Editors wird gestartet.
-
Auf der Startseite des Projektassistenten klicken Sie Weiter.
-
Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.
-
Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.
-
Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.
Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und erfassen Sie die Eigenschaften der Remoteverbindung.
-
Zugriffsparameter
-
Server: Vollständiger Servername oder IP-Adresse des Servers.
Um einen vorhandenen Jobserver als Remoteverbindungsserver auszuwählen, klicken Sie und wählen Sie den Server aus der Auswahlliste. Es werden alle Jobserver angezeigt, für welche die Serverfunktion One Identity Manager Service installiert ausgewählt ist.
-
Port: Port, der für das RemoteConnectPlugin konfiguriert ist.
-
Authentifizierung
Wenn für das RemoteConnectPlugin SecretAuthentication konfiguriert ist:
Wenn für das RemoteConnectPlugin ADGroupAuthentication konfiguriert ist, sind hier keine Angaben erforderlich.
-
Optionen
-
Timeout bei Anfragen: Maximale Dauer für eine Serveranfrage in Sekunden. Wenn die Zeit überschritten ist, wird die Anfrage abgebrochen.
-
Akzeptiere selbstsignierte Zertifikate: Gibt an, ob selbstsignierte Zertifikate akzeptiert werden dürfen.
-
Auf der Seite Datenbanksystem auswählen wählen Sie das Datenbanksystem aus, für das Sie die Verbindung einrichten möchten.
-
Direkte Datenbankverbindung: Gibt an, ob eine direkte Verbindung zur Zentraldatenbank hergestellt werden soll.
-
Anwendungsserver: Gibt an, ob die Zentraldatenbank über einen Anwendungsserver verbunden werden soll.
Aktivieren Sie diese Option, wenn in der Zentraldatenbank andere Module installiert sind, als in der Arbeitsdatenbank, oder wenn die Zentraldatenbank mit einer älteren One Identity Manager Version betrieben wird.
-
REST API des Anwendungsservers verwenden: Gibt an, ob die REST API des Anwendungsservers für die Kommunikation mit der Zentraldatenbank genutzt werden soll.
WICHTIG: Aktivieren Sie diese Option, wenn die Zentraldatenbank mit einer älteren One Identity Manager Version betrieben wird.
-
Auf der Seite Verbindungsparameter geben Sie die Verbindungsdaten zur Zentraldatenbank an.
-
Für eine direkte Datenbankverbindung erfassen Sie folgende Daten:
-
Server: Datenbankserver.
-
(Optional) Windows Authentifizierung: Gibt an, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.
-
Nutzer: SQL Server-Anmeldename des Benutzer.
-
Kennwort: Kennwort für die SQL Server-Anmeldung des Benutzer.
-
Datenbank: Wählen Sie die Datenbank.
-
Für eine Verbindung über einen Anwendungsserver erfassen Sie die URL und das Kennwort des Synchronisationsbenutzers.
-
Um zusätzliche Informationen zur Datenbankverbindung zu erfassen, klicken Sie Erweiterte Optionen.
-
Klicken Sie Testen.
-
Auf der Seite Verschlüsselung geben Sie den privaten Schlüssel zur Entschlüsselung der Datenbank an.
-
Auf der Seite Weitere Einstellungen definieren Sie weitere Einstellungen, um das Verhalten des Konnektors anzupassen.
-
Versuche Datenfehler zu ignorieren: Gibt an, ob Objekte mit fehlerhaften Daten in die Zentraldatenbank synchronisiert werden sollen.
Standardmäßig werden Objekte mit fehlerhaften Daten nicht synchronisiert. Diese Objekte können synchronisiert werden, sobald die fehlerhaften Daten korrigiert wurden. In einzelnen Situationen kann es notwendig sein, solche Objekte dennoch zu synchronisieren und nur die fehlerhaften Objekteigenschaften zu ignorieren.
WICHTIG: Wenn Datenfehler ignoriert werden, wird die Performance beeinträchtigt. Die Synchronisation kann außerdem zu Datenverlust führen. Aktivieren Sie die Option nur im Ausnahmefall, wenn eine Korrektur der fehlerhaften Daten vor der Synchronisation nicht möglich ist.
HINWEIS:
-
Die Option kann nicht aktiviert werden, wenn die REST API des Anwendungsservers verwendet wird.
-
Fehler in Standardspalten, wie Primärschlüssel oder UID-Spalten, und Pflichteingabespalten können nicht ignoriert werden.
-
Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.
- Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.
- Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.
-
Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.
HINWEIS:
-
Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.
-
Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.
-
Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.
-
Auf der Seite Projektvorlage auswählen wählen Sie die Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.
- Um den Projektassistenten zu beenden, klicken Sie Fertig.
- Speichern Sie das Synchronisationsprojekt in der Datenbank.
An einem generierten Synchronisationsprojekt dürfen nur die Verbindungsdaten zu den verbundenen Systemen manuell geändert werden.
Verwandte Themen