Erweiterte Einstellungen für den Exchange Online Konnektor
Im Projektassistenten des Synchronization Editors können Sie auf der Seite Verbindungen zu Exchange Online festlegen, ob Sie erweiterte Einstellungen benötigen. Diese Einstellungen erlauben Ihnen folgende Optionen der Kommunikation mit Exchange Online zu ändern:
Anzahl der gleichzeitigen Verbindungen pro Verbindungsparametersatz
WICHTIG: Diese Option sollte nur mit Anweisungen eines Support-Mitarbeiters geändert werden. Änderungen an dieser Einstellung haben weitreichende Auswirkungen in der Synchronisation und müssen deshalb sehr vorsichtig behandelt werden.
Mit dieser Option können Sie die Anzahl der gleichzeitigen Verbindungen pro Verbindungsparametersatz beziehungsweise pro Benutzerkonto für die Synchronisation festlegen. Die Einstellung legt fest, wie viele gleichzeitige Verbindungen pro Benutzerkonto erstellt werden können. Der Standardwert ist 2. Serverseitig lässt Exchange Online 3 Verbindungen pro Benutzer zu.
Wenn sich der Exchange Online Konnektor verbindet, erstellt er eine PowerShell Sitzung pro Verbindungsparametersatz unabhängig von der Anzahl der anschließenden Anfragen. Weitere Verbindungen werden dynamisch hinzugefügt falls sie benötigt werden, zum Beispiel beim Laden mehrerer Objekte während der Synchronisation.
Die maximale Anzahl der Sitzungen, die gegen Exchange Online erstellt werden können, können Sie mit folgender Formel berechnen:
Maximale Anzahl PowerShell Sitzungen = Anzahl Verbindungsparametersätze * Wert in Anzahl der gleichzeitiger Verbindungen pro Verbindungsparametersatz
Die minimale Anzahl der Sitzungen, die gegen Exchange Online erstellt werden können, ist gleich der Anzahl der Verbindungsparametersätze.
Abbildung 2: Ermittlung der Sitzungen
Um die Anzahl der gleichzeitigen Verbindungen zu ändern
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
-
Klicken Sie Verbindung bearbeiten.
Der Systemverbindungsassistent wird gestartet.
-
Auf der Startseite des Systemverbindungsassistenten aktivieren Sie Erweiterte Einstellungen anzeigen.
-
Auf der Seite Erweiterte Einstellungen geben Sie im Eingabefeld gleichzeitige Verbindungen pro Verbindungsparametersatz einen Wert zwischen 1 und 3 ein.
-
Folgen Sie den weiteren Anweisungen des Systemverbindungsassistenten.
- Speichern Sie die Änderungen.
Anpassen der Konnektordefinition
|
VORSICHT: Die Konnektordefinition sollte nur mit Anweisungen eines Support-Mitarbeiters geändert werden. Änderungen an dieser Einstellung haben weitreichende Auswirkungen in der Synchronisation und müssen deshalb sehr vorsichtig behandelt werden. |
WICHTIG: Anpassungen an der Konnektordefinition sollten nur temporär genutzt werden, um bei Bedarf Problem zu umgehen.
WICHTIG: Eine angepasste Konnektordefinition wird nicht standardmäßig überschrieben, wenn eine neue Version des Konnektors beziehungsweise eine aktualisierte Konnektordefinition herausgegeben wird. Es werden keine Patches angewendet.
Wenn Sie die Konnektordefinition anpassen, müssen Sie bei Bedarf Ihre Änderungen manuell auf eine neue Version des Konnektors beziehungsweise eine aktualisierte Konnektordefinition übernehmen.
Mit dieser Einstellung kann die Definition angepasst werden, die vom Konnektor verwendet wird, um beispielsweise Ein- und Ausgaben zwischen den Exchange Online Cmdlets und dem Schema der Synchronization Engine umzusetzen.
Um die Konnektordefinition anzupassen
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
-
Klicken Sie Verbindung bearbeiten.
Der Systemverbindungsassistent wird gestartet.
-
Auf der Startseite des Systemverbindungsassistenten aktivieren Sie Erweiterte Einstellungen anzeigen.
-
Auf der Seite Erweiterte Einstellungen passen Sie die Konnektordefinition an.
-
Wählen Sie die Option Konnektordefinition anpassen.
-
Bearbeiten Sie die Definition in Absprache mit dem Support-Mitarbeiter. Sie können folgende Aktionen ausführen:
-
Mit laden Sie die Definition aus einer Datei.
-
Mit prüfen Sie die Definition auf Fehler.
-
Mit zeigen Sie die Unterschiede zur Standardversion an.
-
Folgen Sie den weiteren Anweisungen des Systemverbindungsassistenten.
- Speichern Sie die Änderungen.
Schema aktualisieren
Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.
Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.
Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:
-
ein Schema geändert wurde, durch:
-
Änderungen am Zielsystemschema
-
unternehmensspezifische Anpassungen des One Identity Manager Schemas
-
eine Update-Migration des One Identity Manager
-
ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
-
die Aktivierung des Synchronisationsprojekts
-
erstmaliges Speichern des Synchronisationsprojekts
-
Komprimieren eines Schemas
Um das Schema einer Systemverbindung zu aktualisieren
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
- ODER -
Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.
-
Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die Schemadaten werden neu geladen.
Um ein Mapping zu bearbeiten
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Mappings.
-
Wählen Sie in der Navigationsansicht das Mapping.
Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.
Beschleunigung der Exchange Online Synchronisation durch Revisionsfilterung
Beim Start der Synchronisation werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.
Exchange Online unterstützt die Revisionsfilterung für die Schematypen Mailbox, MailUser, MailContact, MailPublicFolder, DistributionGroup, DynamicDistributionGroup und UnifiedGroup.
Wie die Änderungszeitpunkte für die Revisionsfilterung ermittelt werden, konfigurieren Sie über die folgenden Verbindungsparameter im Synchronisationsprojekt.
-
Verwende lokale Serverzeit als Revision: Ist der Wert True, wird die lokale Serverzeit des Synchronisationsservers für die Revisionsfilterung genutzt (Standard). Damit ist es nicht erforderlich Zielsystemobjekte zur Revisionsbestimmung zu laden. Ist der Wert False, wird das Änderungsdatum der zugrunde liegenden Azure Active Directory Objekte für die Revisionsfilterung verwendet.
Variable: CP_UseLocalServerTimeAsRevision
-
Max. Zeitabweichung (lokal/remote) in Minuten: Angabe der maximalen Zeitdifferenz in Minuten zwischen dem Synchronisationsserver und dem Exchange Online Server. Standardwert sind 60 Minuten. Ist die Zeitdifferenz größer als 60 Minuten, passen Sie den Wert an.
Variable: CP_LocalServerRevisionMaxDifferenceInMinutes
Der Zeitpunkt, der sich aus der lokalen Serverzeit und der maximalen Zeitabweichung ergibt, wird als Revision in der One Identity Manager-Datenbank (Tabelle DPRRevisionStore, Spalte Value) gespeichert. Wird nicht die lokale Serverzeit verwendet, erfolgt die Ermittlung der Revision aus den Änderungszeitpunkten der Objekte.
Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Beim nächsten Synchronisationslauf werden nur noch jene Objekte gelesen, die sich seit diesem Datum verändert haben. Anhand des Vergleichs werden unnötige Aktualisierungen von Objekten, die sich seit dem letzten Synchronisationslauf nicht verändert haben, vermieden.
Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die durch die Synchronisation geändert werden, werden bei der nächsten Synchronisation nochmals geladen und überprüft. Die zweite Synchronisation nach der Initialsynchronisation ist daher noch nicht deutlich schneller.
Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.
Um die Revisionsfilterung an einem Workflow zuzulassen
Um die Revisionsfilterung an einer Startkonfiguration zuzulassen
Ausführliche Informationen zur Revisionsfilterung sowie zur Anpassung der Verbindungsparameter und zur Bearbeitung von Variablen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Verwandte Themen
Provisionierung von Mitgliedschaften konfigurieren
Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:
-
Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.
Beispiel: Liste von Postfächern in der Eigenschaft AcceptMessagesOnlyFrom eines Exchange Online Postfachs (Mailbox)
-
Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
-
Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.
Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.
Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.
Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen
-
Wählen Sie im Manager die Kategorie Azure Active Directory > Basisdaten zur Konfiguration > Zielsystemtypen.
-
Wählen Sie in der Ergebnisliste den Zielsystemtyp Exchange Online.
-
Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
-
Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.
-
Klicken Sie Merge-Modus.
HINWEIS:
-
Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.
-
Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.
- Speichern Sie die Änderungen.
Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.
HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.
Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.
Um die originale Bedingung wiederherzustellen
-
Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.
-
Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.
- Speichern Sie die Änderungen.
HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.
Beispiel für eine Bedingung an der Zuordnungstabelle O3EUnifiedGroupAcceptRcpt:
exists (select top 1 1 from O3EUnifiedGroup g
where g.UID_O3EUnifiedGroup = i.UID_O3EUnifiedGroup
and <einschränkende Bedingung>)
Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.