Chat now with support
Chat mit Support

Identity Manager 8.2.1 - Administrationshandbuch für Active Roles Integration

Integration mit One Identity Active Roles Synchronisieren einer Active Directory-Umgebung über One Identity Active Roles Interaktion mit Active Roles Arbeitsabläufen Interaktion mit Active Roles Richtlinien Verwalten der Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für One Identity Active Roles Einstellungen des Active Roles Konnektors

Active Directory Benutzerkonten und Active Directory Kontakte über Kontendefinitionen verwalten

Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten und Kontakte Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für die Domäne bekannt, werden die Benutzerkonten und Kontakte mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten und Kontakte sind somit im Zustand Linked (verbunden).

Um die Benutzerkonten und Kontakte über Kontendefinitionen zu verwalten, weisen Sie diesen Benutzerkonten und Kontakten eine Kontendefinition und einen Automatisierungsgrad zu.

Um die Benutzerkonten und Kontakte über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.

  2. Weisen Sie der Domäne die Kontendefinition zu.

  3. Weisen Sie den Benutzerkonten im Zustand Linked (verbunden) die Kontendefinition zu. Es wird der Standardautomatisierungsgrad der Kontendefinition für das Benutzerkonto übernommen.

    1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten > Verbunden aber nicht konfiguriert > <Domäne>.

      - ODER -

      Wählen Sie im Manager die Kategorie Active Directory > Kontakte > Verbunden aber nicht konfiguriert > <Domäne>.

    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

    3. Wählen Sie in der Auswahlliste Kontendefinition die Kontendefinition.

    4. Wählen Sie die Benutzerkonten, die die Kontendefinition erhalten sollen.

    5. Speichern Sie die Änderungen.

Ausführliche Informationen zu Kontendefinitionen für Active Directory Benutzerkonten und Kontakte finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Fehleranalyse

Bei der Analyse und Behebung von Synchronisationsfehlern unterstützt Sie der Synchronization Editor auf verschiedene Weise.

  • Synchronisation simulieren

    Die Simulation ermöglicht es, das Ergebnis einer Synchronisation abzuschätzen. Dadurch können beispielsweise Fehler in der Synchronisationskonfiguration aufgedeckt werden.

  • Synchronisation analysieren

    Für die Analyse von Problemen während der Synchronisation, beispielsweise unzureichender Performance, kann der Synchronisationsanalysebericht erzeugt werden.

  • Meldungen protokollieren

    Der One Identity Manager bietet verschiedene Möglichkeiten zur Protokollierung von Meldungen. Dazu gehören das Synchronisationsprotokoll, die Protokolldatei des One Identity Manager Service, die Protokollierung von Meldungen mittels NLog und weitere.

  • Startinformation zurücksetzen

    Wenn eine Synchronisation irregulär abgebrochen wurde, beispielsweise weil ein Server nicht erreichbar war, muss die Startinformation manuell zurückgesetzt werden. Erst danach kann die Synchronisation erneut gestartet werden.

Ausführliche Informationen zu diesen Themen finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Datenfehler bei der Synchronisation ignorieren

Standardmäßig werden Objekte mit fehlerhaften Daten nicht synchronisiert. Diese Objekte können synchronisiert werden, sobald die fehlerhaften Daten korrigiert wurden. In einzelnen Situationen kann es notwendig sein, solche Objekte dennoch zu synchronisieren und nur die fehlerhaften Objekteigenschaften zu ignorieren. Dieses Verhalten kann für die Synchronisation in den One Identity Manager konfiguriert werden.

Um Datenfehler bei der Synchronisation in den One Identity Manager zu ignorieren

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.

  3. In der Ansicht Allgemein klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  4. Auf der Seite Weitere Einstellungen aktivieren Sie Versuche Datenfehler zu ignorieren.

    Diese Option ist nur wirksam, wenn am Synchronisationsworkflow Bei Fehler fortsetzen eingestellt ist.

    Fehler in Standardspalten, wie Primärschlüssel oder UID-Spalten, und Pflichteingabespalten können nicht ignoriert werden.

  5. Speichern Sie die Änderungen.

WICHTIG: Wenn die Option aktiviert ist, versucht der One Identity Manager Speicherfehler zu ignorieren, die auf Datenfehler in einer einzelnen Spalte zurückgeführt werden können. Dabei wird die Datenänderung an der betroffenen Spalte verworfen und das Objekt anschließend neu gespeichert. Das beeinträchtigt die Performance und führt zu Datenverlust.

Aktivieren Sie die Option nur im Ausnahmefall, wenn eine Korrektur der fehlerhaften Daten vor der Synchronisation nicht möglich ist.

Interaktion mit Active Roles Arbeitsabläufen

In der Standardkonfiguration der Prozesse und des Synchronisationsverhaltens arbeitet der integrierte Active Roles Konnektor ohne die Ansteuerung von Active Roles Arbeitsabläufen. Änderungen werden sofort in die Active Directory-Umgebung publiziert. Für das Standardverhalten wird ein administratives Benutzerkonto benötigt, das Mitglied in der Gruppe der Active Roles Administratoren ist.

Der im One Identity Manager integrierte Active Roles Konnektor erlaubt jedoch auch die Ansteuerung von Active Roles Arbeitsabläufen. Das bedeutet, dass für jede Operation, in Active Roles die mit einem Arbeitsablauf verbunden ist, dieser Arbeitsablauf ausgelöst wird.

Wenn der Active Roles Konnektor Arbeitsabläufe auslösen soll, dann müssen Sie gegebenenfalls die Prozesse benutzerdefiniert so anpassen, dass die Prozesse auf die Ausführung der Arbeitsabläufe und somit die Ausführung der erwünschten Änderungen im Active Directory warten. Dies ist erforderlich, da die im One Identity Manager definierten Active Directory Prozesse synchron ausgeführt werden. Um Sie bei der Abfrage der möglichen Status der Arbeitsabläufe zu unterstützen, enthält der Active Roles Konnektor zusätzliche Funktionen.

Ob Arbeitsabläufe angesteuert werden, ist abhängig der Konfiguration der Domäne und den Berechtigungen des One Identity Manager Service Benutzerkontos.

HINWEIS: Ist das Benutzerkonto des One Identity Manager Services Mitglied in der Gruppe der Active Roles Administratoren werden Arbeitsabläufe unabhängig von der Option immer umgangen.

Informationen zu Active Roles Arbeitsabläufen entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

Die nachfolgende Tabelle zeigt die Zusammenhänge.

Tabelle 5: Zusammenhänge zur Ansteuerung von Active Roles Arbeitsabläufen
Das Benutzerkonto ist Mitglied der Active Roles Administratoren? Die Option "Active Roles Arbeitsabläufe ausführen" ist gesetzt? Die Operation ist mit Active Roles Arbeitsabläufen verbunden? Ergebnis

Ja

Ja

Nein

Die Operation wird sofort ausgeführt.

Ja

Nein

Nein

Die Operation wird sofort ausgeführt.

Ja

Ja

Ja

Die Operation wird sofort ohne Ansteuerung der Arbeitsabläufe ausgeführt.

Ja

Nein

Ja

Die Operation wird sofort ohne Ansteuerung der Arbeitsabläufe ausgeführt.

Nein

Ja

Nein

Die Operation wird sofort ausgeführt.

Nein

Nein

Nein

Die Operation wird sofort ausgeführt.

Nein

Ja

Ja

Die Operation löst die Arbeitsabläufe aus und wird abhängig vom finalen Status ausgeführt.

Nein

Nein

Ja

Die Operation wird abgebrochen und eine Fehlermeldung ausgegeben.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen