Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für die Datenarchivierung

Archivierung der Datenänderungen

Alle im One Identity Manager erfassten Datenänderungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Historische Daten der One Identity Manager-Datenbank werden in zyklischen Abständen in eine One Identity Manager History Database übertragen. Diese One Identity Manager History Database stellt somit das Veränderungsarchiv dar. In der One Identity Manager History Database erfolgen statistische Auswertungen, die die Darstellungen von Trends oder Verläufen vereinfachen. Die Auswertung der historischen Daten erfolgt über die TimeTrace-Funktion oder über Berichte.

Inbetriebnahme einer One Identity Manager History Database

Bei der Inbetriebnahme einer History Database sollten Sie Perfomanceüberlegungen berücksichtigen. Abhängig vom Datenvolumen der One Identity Manager-Datenbank, den für die Archivierung aufzuzeichnenden Daten und deren Änderungshäufigkeit kann es erforderlich sein, in gewissen Zeitabständen (beispielsweise jährlich, quartalsweise oder monatlich) weitere One Identity Manager History Database zu erstellen.

Die Einrichtung einer Arbeitsumgebung für eine One Identity Manager History Database umfasst folgende Schritte:

  • Einrichten einer administrativen Arbeitsstation
  • Erstellen und Migrieren der One Identity Manager History Database
  • Installieren und Konfigurieren eines One Identity Manager Service für die One Identity Manager History Database
  • Bekanntgeben der Quelldatenbank
  • Einrichten des Archivierungsverfahrens
Detaillierte Informationen zum Thema

Berechtigungen für die One Identity Manager History Database

Für den Einsatz einer einer One Identity Manager History Database werden folgende Benutzer unterschieden.

Installationsbenutzer

Der Installationsbenutzer wird für die initiale Installation einer One Identity Manager History Database mit dem Configuration Wizard benötigt. Für den Installationsbenutzer müssen eine SQL Server Anmeldung und ein Datenbankbenutzer mit den folgenden Berechtigungen zur Verfügung gestellt werden.

SQL Server:

  • Mitglied der Serverrolle dbcreator

    Die Serverrolle wird nur benötigt, wenn die Datenbank durch den Configuration Wizard erstellt wird.

  • Mitglied der Serverrolle securityadmin

    Diese Serverrolle wird für die Erstellung der SQL Server Anmeldungen benötigt.

  • Berechtigung view server state und Berechtigung alter any connection mit der Option with grant option

    Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

  • Berechtigung alter any server role

    Die Berechtigung wird benötigt, um die Serverrolle für den administrativen Benutzer zu erzeugen.

msdb-Datenbank:

  • Berechtigung Select mit der Option with grant option für die Tabellen dbo.sysjobs, dbo.sysjobschedules und dbo.sysjobactivity

    Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Berechtigung alter any user

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.

  • Berechtigung alter any role

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.

master-Datenbank:

  • Berechtigung alter any user

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.

  • Berechtigung alter any role

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.

  • Berechtigung Execute mit der Option with grant option für die Prozedur xp_readerrorlog

    Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.

One Identity Manager History Database:

  • Mitglied der Datenbankrolle db_owner

    Diese Datenbankrolle wird nur benötigt, wenn bei der Installation des Schemas mit dem Configuration Wizard eine vorhandene Datenbank verwendet werden soll.

Administrativer Benutzer

Der administrative Benutzer wird durch Komponenten des One Identity Manager verwendet, die Berechtigungen auf Serverebene und Datenbankebene benötigen, beispielsweise der Configuration Wizard, der DBQueue Prozessor oder der One Identity Manager Service.

Für den administrativen Benutzer werden während der Installation einer One Identity Manager History Database mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • Serverrolle OneIMAdminRole_<DatabaseName>

    • Berechtigung alter any server role

      Die Berechtigung wird benötigt, um die Serverrolle für den Konfigurationsbenutzer zu erzeugen.

    • Berechtigung view any definition

      Die Berechtigung wird benötigt, um die SQL Server Anmeldungen für den Konfigurationsbenutzer und den Endbenutzer mit den entsprechenden Datenbankbenutzern zu verbinden.

  • SQL Server Anmeldung <DatabaseName>_Admin

    • Mitglied der Serverrolle OneIMAdminRole_<DatabaseName>

    • Berechtigung view server state und Berechtigung alter any connection mit der Option with grant option

      Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

msdb-Datenbank:

  • Datenbankrolle OneIMRole_<DatabaseName>
    • Mitglied der Datenbankrolle SQLAgentUserRole

      Die Datenbankrolle wird zum Ausführen von Datenbankschedules benötigt.

    • Berechtigung Select für die Tabellen dbo.sysjobs, dbo.sysjobschedules und dbo.sysjobactivity

      Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Datenbankbenutzer OneIM_<DatabaseName>
    • Mitglied der Datenbankrolle OneIMRole_<DatabaseName>

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

master-Datenbank:

  • Datenbankrolle OneIMRole_<DatabaseName>

    • Berechtigung Execute für die Prozedur xp_readerrorlog

      Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.

  • Datenbankbenutzer OneIM_<DatabaseName>
    • Mitglied der Datenbankrolle OneIMRole_<DatabaseName>

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

One Identity Manager History Database:

  • Datenbankbenutzer Admin

    • Mitglied in Datenbankrolle db_owner

      Die Datenbankrolle wird benötigt, um eine Datenbank mit dem Configuration Wizard zu aktualisieren.

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

Konfigurationsbenutzer

Der Konfigurationsbenutzer kann Konfigurationsaufgaben innerhalb des One Identity Manager ausführen, beispielsweise mit dem Designer arbeiten. Konfigurationsbenutzer benötigen Berechtigungen auf Serverebene und Datenbankebene.

Für Konfigurationsbenutzer werden während der Installation einer One Identity Manager History Database mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • Serverrolle OneIMConfigRole_<DatabaseName>

    • Berechtigung view server state und Berechtigung alter any connection

      Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

  • SQL Anmeldung <DatabaseName>_Config

    • Mitglied der Serverrolle OneIMConfigRole_<DatabaseName>

One Identity Manager History Database:

  • Datenbankrolle OneIMConfigRoleDB

    • Berechtigungen Create Procedure, Delete, Select, Create table, Update, Checkpoint, Create View, Insert, Execute, Create function auf die Datenbank
  • Datenbankbenutzer Config

    • Mitglied der Datenbankrolle OneIMConfigRoleDB
    • Der Datenbankbenutzer wird mit der SQL Server Anmeldung <DatabaseName>_Config verbunden.
Endbenutzer

Endbenutzer erhalten nur Berechtigungen auf Datenbankebene, um beispielsweise Aufgaben mit dem HistoryDB Manager zu erfüllen.

Für Endbenutzer werden während der Installation einer One Identity Manager History Database mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • SQL Anmeldung <DatabaseName>_User

One Identity Manager History Database:

  • Datenbankrolle OneIMUserRoleDB

    • Berechtigungen Insert, Update, Select, Delete auf ausgewählte Tabellen der Datenbank
    • Berechtigung View Definition auf die Datenbank
    • Berechtigungen Execute und References für einzelne Funktionen, Prozeduren und Typen
  • Datenbankbenutzer User

    • Mitglied der Datenbankrolle OneIMUserRoleDB
    • Der Datenbankbenutzer wird mit der SQL Server Anmeldung <DatabaseName>_User verbunden.
Hinweise zur Nutzung der integrierten Windows Authentifizierung

Die integrierte Windows Authentifizierung kann für den One Identity Manager Service und die Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows Gruppen zur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server Anmeldung empfohlen.

Um die integrierte Windows Authentifizierung einzusetzen

  • Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server Anmeldung ein.
  • Tragen Sie als Standardschema dbo ein.
  • Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu.

Erweiterte Konfiguration für die Datenübernahme

Für die Datenübernahme gibt es folgende Szenarien:

  • Szenario 1: One Identity Manager History Database und One Identity Manager-Datenbank befinden sich auf einem Datenbankserver.
  • Szenario 2: One Identity Manager History Database und One Identity Manager-Datenbank befinden sich auf verschiedenen Datenbankservern. Der Verbindungsserver wird durch den One Identity Manager Service der One Identity Manager History Database erzeugt.
  • Szenario 3: One Identity Manager History Database und One Identity Manager-Datenbank befinden sich auf verschiedenen Datenbankservern. Es wird ein Verbindungsserver bereitgestellt.
Szenario 1:

HINWEIS: Wenn Sie mit dem sa arbeiten, sind keine weiteren Schritte erforderlich.

Wenn Sie mit abgestuften Berechtigungen auf Serverebene und Datenbankebene arbeiten, erstellen Sie im Designer in der One Identity Manager-Datenbank einen Datenbankbenutzer für die Datenübernahme.

Um den Datenbankbenutzer in der One Identity Manager-Datenbank einzurichten

  1. Wählen Sie im Designer die Kategorie Basisdaten | Sicherheitseinstellungen | Datenbankserverberechtigungen | Datenbankserver-Anmeldungen.

  2. Klicken Sie und erfassen Sie folgende Informationen:

    Anmeldename: SQL Server Anmeldung des Benutzers, mit dem die Prozessverarbeitung in der History Database (DialogDatabase.ConnectionString) erfolgt.

    Datenbankbenutzer: Name des Datenbankbenutzers.

  3. Wählen Sie den Tabreiter Datenbank- oder Serverrolle und weisen Sie die Rolle Datenbank: Rolle für Datenarchivierung zu.

  4. Speichern Sie die Änderungen.

Der DBQueue Prozessor erzeugt in der One Identity Manager-Datenbank die Datenbankrolle OneIMHistoryRoleDB und den Datenbankbenutzer. Der Datenbankbenutzer wird mit der SQL Server Anmeldung verbunden und in die Datenbankrolle aufgenommen.

Szenario 2:

HINWEIS: Wenn Sie mit dem sa arbeiten, sind keine weiteren Schritte erforderlich.

Wenn Sie mit abgestuften Berechtigungen auf Serverebene und Datenbankebene arbeiten, sind zusätzliche Berechtigungen zum Erstellen eines Verbindungsservers und für die Datenübernahme erforderlich.

  • Um einen Verbindungsserver zu erstellen, benötigt der Benutzer, mit dem die Prozessverarbeitung in der History Database (DialogDatabase.ConnectionString) erfolgt, die folgenden Berechtigungen auf Serverebene:

    • Berechtigung alter any linked server

      Die Berechtigung wird zum Erstellen und Löschen eines Verbindungsservers benötigt. Der Verbindungsserver ermöglicht die Ausführung verteilter Abfragen.

    • Berechtigung alter any login

      Die Berechtigung wird zum Erstellen und Löschen einer Zuordnung von Anmeldenamen auf dem lokalen Server und einem Anmeldenamen auf dem Verbindungsserver benötigt.

  • Erstellen Sie auf dem Datenbankserver, auf dem die One Identity Manager-Datenbank liegt, eine SQL Server Anmeldung für die Datenübernahme.

  • Erstellen Sie im Designer in der One Identity Manager-Datenbank einen Datenbankbenutzer.

    Um den Datenbankbenutzer in der One Identity Manager-Datenbank einzurichten

    1. Wählen Sie im Designer die Kategorie Basisdaten | Sicherheitseinstellungen | Datenbankserverberechtigungen | Datenbankserver-Anmeldungen.

    2. Klicken Sie und erfassen Sie folgende Informationen:

      Anmeldename: SQL Server Anmeldung für die Datenübernahme.

      Datenbankbenutzer: Datenbankbenutzer.

    3. Wählen Sie den Tabreiter Datenbank- oder Serverrolle und weisen Sie die Rolle Datenbank: Rolle für Datenarchivierung zu.

    4. Speichern Sie die Änderungen.

    Der DBQueue Prozessor erzeugt in der One Identity Manager-Datenbank die Datenbankrolle OneIMHistoryRoleDB und den Datenbankbenutzer. Der Datenbankbenutzer wird mit der SQL Server Anmeldung verbunden und in die Datenbankrolle aufgenommen.

Szenario 3:
  • Erstellen Sie auf dem Datenbankserver, auf dem die One Identity Manager-Datenbank liegt, eine SQL Server Anmeldung für die Datenübernahme.

  • Erstellen Sie im Designer in der One Identity Manager-Datenbank einen Datenbankbenutzer.

    Um den Datenbankbenutzer in der One Identity Manager-Datenbank einzurichten

    1. Wählen Sie im Designer die Kategorie Basisdaten | Sicherheitseinstellungen | Datenbankserverberechtigungen | Datenbankserver-Anmeldungen.

    2. Klicken Sie und erfassen Sie folgende Informationen:

      Anmeldename: SQL Server Anmeldung für die Datenübernahme.

      Datenbankbenutzer: Datenbankbenutzer.

    3. Wählen Sie den Tabreiter Datenbank- oder Serverrolle und weisen Sie die Rolle Datenbank: Rolle für Datenarchivierung zu.

    4. Speichern Sie die Änderungen.

    Der DBQueue Prozessor erzeugt in der One Identity Manager-Datenbank die Datenbankrolle OneIMHistoryRoleDB und den Datenbankbenutzer. Der Datenbankbenutzer wird mit der SQL Server Anmeldung verbunden und in die Datenbankrolle aufgenommen.

  • Richten Sie den Verbindungsserver ein und referenzieren Sie die SQL Server Anmeldung für die Datenübernahme.

    Um einen Verbindungsserver bereitzustellen, wird empfohlen, die SQL Prozeduren sp_addlinkedserver, sp_setNetname und sp_addlinkedsrvlogin zu nutzen.

  • Halten Sie den Namen des Verbindungsserver bereit. Diesen benötigen Sie bei Bekanntgabe der Quelldatenbank in der One Identity Manager History Database.

  • Aktivieren Sie in der One Identity Manager History Database den Konfigurationsparameter HDB | UseNamedLinkedServer.

Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente