Was ist ein Scope
Der legt fest, welcher Teilausschnitt eines verbundenen Systems synchronisiert werden soll. Der Scope wird sowohl für das zu synchronisierende als auch für das One Identity Manager festgelegt. Ist kein Scope definiert, werden alle Objekte des verbundenen Systems synchronisiert.
Beispiel:
Die Active Directory Domänen "xyz" und "uvw" werden mit dem One Identity Manager verwaltet. Aus der Active Directory Domäne "xyz" sollen die Container "abc", "def" und "ghi" synchronisiert werden. Für die Zielsystemverbindung und die One Identity Manager- wird ein Scope definiert, der genau diese Objekte filtert. Die Active Directory Domäne "uvw" soll zunächst nicht synchronisiert werden.
Abbildung 8: Beispiel für eine Scopedefinition
Um einen Scope festzulegen, werden und definiert.
Hierarchiefilter
Einige Zielsysteme bieten eine zusätzliche Möglichkeit, um den Scope festzulegen: den . Dieser Filter schränkt die Menge der zu ladenden Objekte direkt im Zielsystem ein. Er ist damit gleichermaßen effektiv wie der Systemfilter. Der Hierarchiefilter wird auf Basis der realen Objekte des Zielsystems aufgebaut. Die Objekte werden in ihrer hierarchischen Struktur angezeigt. In dieser Hierarchie werden alle Objekte markiert, die durch den Scope erfasst werden sollen. Alle nicht-markierten Objekte bleiben außerhalb des Scope und werden bei der nicht berücksichtigt. Der Hierarchiefilter kann nur auf Objekte, nicht jedoch auf deren Schemaeigenschaften angewendet werden. Um Schemaeigenschaften als Kriterium in die Scopedefinition einzubeziehen, erstellen Sie zusätzlich einen Objektfilter.
Ein vollständig definierter Hierarchiefilter kann in eine Variable umgewandelt werden. Damit kann der Filter in einem spezialisierten neu definiert und somit für verschiedene Synchronisationskonfigurationen genutzt werden.
Referenzscope
In der One Identity Manager-Datenbank können Referenzen zu Objekten verschiedener Zielsysteme abgebildet werden. Damit diese Referenzen aufgelöst werden können, muss bei der Synchronisation eines Zielsystems der Scope auf die referenzierten Zielsysteme ausgedehnt werden. Dazu kann für jede Systemverbindung zusätzlich ein definiert werden. Analog kann der Referenzscope auch für die Datenbankverbindung angegeben werden. Dabei können Referenzen zu Teilausschnitten der One Identity Manager-Datenbank aufgelöst werden, die nicht durch den allgemeinen Scope erfasst sind.
Wenn kein Referenzscope definiert ist, wird der allgemeine Scope auch für die Referenzauflösung genutzt.
Beispiel
Die Active Directory Domänen "xyz" und "uvw" befinden sich in einer Vertrauensstellung. Benutzerkonten aus beiden Domänen sind Mitglieder in Active Directory Gruppen der Active Directory Domäne "xyz". Damit bei der Synchronisation der Gruppenmitgliedschaften die referenzierten Benutzerkonten der Domäne "uvw" zugeordnet werden können, wird ein Referenzscope definiert. Im Referenzscope ist festgelegt, dass referenzierte Objekte auch in der Active Directory Domäne "uvw" gesucht werden sollen.
Wenn kein Referenzscope definiert ist, werden bei der Synchronisation der Gruppenmitgliedschaften der Active Directory Domäne "xyz" für die Benutzerkonten der Active Directory Domäne "uvw" die Active Directory SIDs ermittelt und im des One Identity Manager eingetragen.
Wie funktioniert die Revisionsfilterung
Beim Start der werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die .
Voraussetzungen
- Das Zielsystem unterstützt die Revisionsfilterung.
Diese Information liefert der .
- Die Schematypen besitzen eine , die als gekennzeichnet ist.
Diese Schemaeigenschaft hält die Information über die letzte Änderung der Objekte vor.
Beispiel für Active Directory Gruppen:
- im : USN-Changed
- im One Identity Manager : Date
- Die Revisionsfilterung ist für den Synchronisationsworkflow zugelassen.
Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden. Die Einstellung am ist für alle Synchronisationen mit diesem Workflow gültig. Um Synchronisationen mit dem selben Workflow zu unterschiedlichen Zeiten, mit und ohne Revisionsfilterung auszuführen, erstellen Sie unterschiedliche Startkonfigurationen und legen Sie die Revisionsfilterung an den Startkonfigurationen fest.
Um die Revisionsfilterung an einem Workflow zuzulassen
-
Öffnen Sie im das .
- Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag nutzen.
Weitere Informationen finden Sie unter Workflow bearbeiten.
Um die Revisionsfilterung an einer zuzulassen
Weitere Informationen finden Sie unter Vorgehen: Startkonfigurationen bearbeiten.
Üblicherweise hält jedes Objekt eine Information über seine letzte Änderung vor. Bei der Synchronisation wird der höchste Wert der Änderungsinformationen aller synchronisierten Objekte eines Schematyps als Revision in der One Identity Manager-Datenbank gespeichert (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Bei der nächsten Synchronisation mit diesem Workflow werden die Änderungsinformationen der Objekte mit der in der One Identity Manager-Datenbank gespeicherten Revision verglichen. Dabei werden die Objektpaare ermittelt, bei denen mindestens ein Objekt eine neuere Änderungsinformation besitzt als bei der letzten Synchronisation. Dadurch werden nur die Objekte aktualisiert, die sich seit der letzten Synchronisation verändert haben.
Bezugsgröße für die Revisionsfilterung ist immer die letzte Synchronisation eines Schematyps mit dem selben Workflow. Die Tabelle DPRRevisionStore erhält pro Workflow und einen Eintrag.
Die Synchronisation wird zusätzlich beschleunigt, wenn die Änderungsinformation am Schematyp auch gelöschte Objekte berücksichtigt. Wenn die Objekte eines Schematyps weder neu eingefügt noch geändert oder gelöscht wurden, kann der Synchronisationsschritt komplett ausgelassen werden. Es müssen keine Objekte für den Abgleich geladen werden. Ob diese Optimierung genutzt werden kann, ist abhängig davon, ob das Zielsystem die entsprechenden Änderungsinformationen bereitstellt.
Um die optimierte Revisionsfilterung zu nutzen
-
Aktivieren Sie im den Common | TableRevision.
Bei jeder Änderung in einer Tabelle wird nun das Revisionsdatum für diese Tabelle aktualisiert. Diese Informationen werden in der Tabelle QBMTableRevision, Spalte RevisionDate gespeichert. So erkennt One Identity Manager, ob in einer Tabelle Objekte hinzugefügt, geändert oder gelöscht wurden.
HINWEIS: Der One Identity Manager stellt einen zeitgesteuerten bereit, der den Inhalt der Tabelle DPRRevisionStore regelmäßig bereinigt. Dabei werden Einträge für Schematypen, die in der Synchronisationskonfiguration nicht mehr genutzt werden, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt.
HINWEIS: Wenn der Konfigurationsparameter Common | TableRevision deaktiviert wird, werden alle Revisionsdaten in der Tabelle QBMTableRevision gelöscht.
Wie funktioniert die Abhängigkeitsauflösung
Zwischen den Schemaklassen können Abhängigkeiten bestehen, die es erfordern, dass mehrfach ausgeführt werden. Beispielsweise können Objektreferenzen erst gesetzt werden, wenn das referenzierte Objekt angelegt wurde. Ebenso können Abhängigkeiten zwischen den Schemaeigenschaften innerhalb einer bestehen.
Abbildung 9: Beispiel für einen mit abhängigen Schemaklassen und Schemaeigenschaften
Der One Identity Manager kann solche Abhängigkeiten automatisch auflösen. Dabei werden die Synchronisationsschritte so zusammengestellt, dass zuerst die referenzierten Objekte und danach alle abhängigen Objekte synchronisiert werden. Wenn Abhängigkeiten innerhalb einer Schemaklasse bestehen, werden zusätzliche Synchronisationsschritte eingefügt, um die abhängigen Schemaeigenschaften zu synchronisieren. Die endgültige Reihenfolge der Synchronisationsschritte kann im Bericht Ausführungsplan eingesehen werden.
HINWEIS: Wenn Abhängigkeiten zwischen Schemaklassen bestehen, müssen diese Schemaklassen durch ein und denselben Workflow synchronisiert werden, damit die Abhängigkeiten automatisch aufgelöst werden können.
Abbildung 10: Beispiel für einen Workflow mit automatischer Abhängigkeitsauflösung
Um die automatische Abhängigkeitsauflösung einzurichten
Nutzen Sie standardmäßig die automatische Abhängigkeitsauflösung. Nur wenn damit einzelne Abhängigkeiten nicht aufgelöst werden können, wählen Sie die manuelle Abhängigkeitsauflösung. Das kann beispielsweise notwendig sein, wenn sich zwei Objekte gegenseitig als Pflichteigenschaft referenzieren.
HINWEIS: Wenn die Abhängigkeitsauflösung auf Manuell eingestellt ist, überprüft der One Identity Manager bei der Synchronisation nicht, ob Abhängigkeiten zwischen Schemaklassen und Schemaeigenschaften bestehen. Die Synchronisationsschritte werden in der Reihenfolge abgearbeitet, die in der Workflowansicht dargestellt ist.
Wenn Abhängigkeiten bestehen, die nicht aufgelöst werden können, endet die Synchronisation mit Fehlern.
Um Abhängigkeiten manuell aufzulösen
-
Ermitteln Sie die Schemaeigenschaften, zwischen denen Abhängigkeiten bestehen.
-
Erstellen Sie einen Workflow mit Synchronisationsschritten, die folgende Kriterien berücksichtigen:
-
Synchronisationsschritte für Schemaklassen ohne Objektabhängigkeiten
-
Synchronisationsschritte für Schemaklassen mit Objekten, die in anderen Schemaklassen referenziert werden
-
Synchronisationsschritte für Schemaklassen und Schemaeigenschaften, die abhängige Objekte referenzieren
-
Aktivieren Sie die Option Schritt dient nur zur Konfliktnachbehandlung der Abhängigkeitsauflösung.
Diese Synchronisationsschritte werden nur für Objekte ausgeführt, die in beiden verbundenen Systemen vorhanden sind.
-
Schließen Sie die Property-Mapping-Regeln für abhängigen Schemaeigenschaften ein. Nutzen Sie dafür den Regelfilter. Alle Property-Mapping-Regeln, die bereits in den vorangegangenen Schritte ausgeführt wurden, können ausgeschlossen werden.
-
Legen Sie die Reihenfolge der Synchronisationsschritte so fest, dass zuerst alle Synchronisationsschritte für a), anschließend alle Synchronisationsschritte für b) und zuletzt alle Synchronisationsschritte für c) ausgeführt werden.
-
Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:
Abhängigkeitsauflösung: Manuell
Weitere Informationen finden Sie unter Workflow bearbeiten.
Beispiel für eine manuelle Abhängigkeitsauflösung
Benutzerkonten (Account) referenzieren eine primäre Systemberechtigung (_EntitlementPrimary) und an Systemberechtigungen (Entitlement) muss ein als Manager zugewiesen sein (UID_ManagerAccount).
Es wird ein Synchronisationsworkflow mit folgenden Synchronisationsschritten definiert:
-
Benutzerkonten (Account)
Ausgeschlossene Regel: Regel für die primäre Systemberechtigung (UID_EntitlementPrimary)
Schritt dient nur zur Konfliktnachbehandlung der Abhängigkeitsauflösung: deaktiviert
-
Systemberechtigungen (Entitlement)
Schritt dient nur zur Konfliktnachbehandlung der Abhängigkeitsauflösung: deaktiviert
Die für die Manager der Systemberechtigungen (UID_ManagerAccount) kann eingeschlossen bleiben, da die referenzierten Benutzerkonten bereits in Schritt 1 synchronisiert werden.
-
Benutzerkonten (Account)
Schritt dient nur zur Konfliktnachbehandlung der Abhängigkeitsauflösung: aktiviert
Eingeschlossene Regel: Regel für die primäre Systemberechtigung (UID_EntitlementPrimary)
Alle anderen Property-Mapping-Regeln sollten ausgeschlossen werden.
Nicht-auflösbare Referenzen
Wenn ein referenziertes Objekt nicht in der One Identity Manager-Datenbank existiert, kann die Objektreferenz bei der nicht aufgelöst werden. Nicht-auflösbare Objektreferenzen werden in einen geschrieben (Tabelle DPRAttachedDataStore). Damit ist sicher gestellt, dass diese Referenzen erhalten bleiben und bei der im Zielsystem nicht gelöscht werden.
Beispiel
Eine Active Directory Gruppe hat einen Kontomanager, der einer Domäne angehört, die im aktuellen Synchronisationslauf nicht synchronisiert wird. Der Kontomanager ist auch in der One Identity Manager-Datenbank nicht vorhanden.
Bei der Synchronisation wird kein Kontomanager zugeordnet. Damit die Zuordnung erhalten bleibt, wird die Objektreferenz mit dem definierten Namen des Kontomanagers im Synchronisationspuffer gespeichert.
Bei jeder Synchronisation versucht der One Identity Manager den Synchronisationspuffer zu bereinigen. Wenn die referenzierten Objekte in der One Identity Manager-Datenbank vorhanden sind, können die Referenzen aufgelöst und die Einträge aus dem Synchronisationspuffer gelöscht werden. Wann der Synchronisationspuffer bereinigt wird, ist abhängig von der Art der Synchronisation (mit oder ohne ) und vom Wartungsmodus.
Tabelle 21: Wartung für nicht aufgelöste Objektreferenzen
Unabhängig vom Wartungsmodus gilt: |
Objektreferenzen werden für alle Synchronisationsobjekte bereinigt, die bereits in der One Identity Manager-Datenbank vorhanden sind. |
Objektreferenzen werden nur für geänderte Objekte bereinigt. |
Keine |
Es gibt keinen zusätzlichen Auftrag zur Bereinigung des Synchronisationspuffers. |
Betroffene Objekte immer synchronisieren |
Ohne Wirkung. |
Für Objekte, die nicht aufgelöste Referenzen haben, wird der Revisionsfilter aufgehoben. Damit werden die Objektreferenzen auch für die Objekte bereinigt, die seit der letzten Synchronisation nicht geändert wurden. |
Vollständige Wartung nach jeder Synchronisation |
Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. |
Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Zusätzlich werden die Objektreferenzen auch für die Objekte bereinigt, die nicht geändert wurden. |
Für die Auflösung der Objektreferenzen kann die Anzahl der Wiederholversuche angegeben werden. Mehrere Wiederholungen können beispielsweise erforderlich sein für Objekte, die eine mehrstufige Hierarchie abbilden. Mit jedem Wiederholversuch kann jeweils eine Hierarchieebene für ein Objekt aufgelöst werden.
Um den Wartungsmodus einzustellen
HINWEIS: Der One Identity Manager stellt einen zeitgesteuerten bereit, der den Inhalt der Tabelle DPRAttachedDataStore regelmäßig bereinigt. Dabei werden Einträge für Objekte, die in der One Identity Manager-Datenbank nicht mehr vorhanden sind, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt.