Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Beschleunigung der Synchronisation

Zur Beschleunigung der Azure Active Directory Synchronisation unterstützt der Azure Active Directory Konnektor das Verfahren der Delta-Synchronisation. Das Verfahren beruht auf der Delta-Abfrage-Funktion von Microsoft Graph. Es werden die Schematypen User (Benutzerkonto), Group (Gruppe) und DirectoryRole (Administratorrolle) unterstützt. Die Delta-Synchronisation ist standardmäßig nicht aktiviert, sondern muss kundenspezifisch eingerichtet werden.

Inbetriebnahme der Delta-Synchronisation
  1. Einrichtung eines regulären Azure Active Directory Synchronisationsprojektes.

  2. Ausführen einer initialen Synchronisation.

  3. Anpassen des Konfigurationsparameters TargetSystem | AzureAD | DeltaTokenDirectory.

    Der Konfigurationsparameter enthält das Verzeichnis, in dem die Delta-Token-Dateien abgelegt werden. Passen Sie im Designer den Wert des Konfigurationsparameter an. Stellen Sie sicher, dass das Benutzerkonto des One Identity Manager Service Schreibrechte auf das Verzeichnis hat.

  4. (Optional) Anpassen des Prozesses AAD_Organization_DeltaSync.

    Der Prozess besteht aus drei Prozessschritten. Jeder Prozessschritt behandelt einen der drei unterstützten Schematypen. Jeder Prozessschritt ist so konfiguriert, dass alle unterstützten Delta-Eigenschaften des jeweiligen Schematyps synchronisiert werden. Des Weiteren legt jeder dieser Prozessschritte eine eigene Delta-Token-Datei an. Die Reihenfolge der Prozessschritte wurde wie folgt festgelegt:

    • Synchronisieren der Benutzerkonten (Prozessschritt Synchronize User)

    • Synchronisieren der Gruppen (Prozessschritt Synchronize Group)

    • Synchronisieren der Administratorrollen (Prozessschritt Synchronize DirectoryRole)

    Stellen Sie bei kundenspezifischen Anpassungen sicher, dass der Prozess nur generiert wird, wenn kein gleichartiger Prozess in der Jobqueue vorhanden ist. Ebenso darf der Prozess nicht während einer regulären Synchronisation starten.

  5. (Optional) Anpassen der Verarbeitungsskripte für die unterstützten Schematypen.

    • Verarbeiten der Benutzerkonten (Skript AAD_ProcessDeltaQueryUser)

    • Verarbeiten der Gruppen (Skript AAD_ProcessDeltaQueryGroup)

    • Verarbeiten der Administratorrollen (Skript AAD_ProcessDeltaQueryDirectoryRole)

    Das Skript AAD_ProcessDeltaQueryGroup wurde mit umfangreichen Kommentaren versehen, um eine Bearbeitung und kundenspezifische Weiterentwicklung zu vereinfachen.

  6. Anpassen und Aktivieren des Zeitplanes Azure Active Directory Delta-Synchronisation.

    Der Zeitplan sorgt für die regelmäßige Ausführung der Delta-Synchronisation der Azure Active Directory Mandanten. Der Zeitplan ist im Standard auf ein Ausführungsintervall von 15 Minuten eingestellt. Passen Sie im Designer das Ausführungsintervall bei Bedarf an. Aktivieren Sie den Zeitplan.

Ablauf der Delta-Synchronisation
  1. Für einen Schematyp (Benutzerkonto, Gruppe, Administratorrolle) wird eine initiale Abfrage ausgeführt. Die initiale Abfrage liefert die komplette Liste für den Schematyp, beispielsweise alle Benutzerkonten, mit den abgefragten Eigenschaften. Des Weiteren wird ein Statustoken zurück geliefert. Das Statustoken stellt den Datenzustand zum Zeitpunkt der Abfrage im Azure Active Directory dar.

    Das Statustoken und die abgefragten Eigenschaften werden in eine Delta-Token-Datei geschrieben. Im Standard erfolgt keine initiale Verarbeitung der Daten.

    Ablagestruktur der Delta-Token-Datei:

    <Verzeichnis laut Konfigurationsparameter TargetSystem | AzureAD | DeltaTokenDirectory>\<UID_AADOrganization>_<SchemaTyp>Query.token

    Beispiel:

    C:\Temp\OneIM\DeltaToken\2da43fd4-ce7b-48af-9a00-686e5e3fb8a5_UserQuery.token

  2. Die weiteren Abfragen werden mit dem Statustoken der vorherigen Abfrage ausgeführt. Sie liefern zusätzlich zum neuen Statustoken nur die Objekte, die sich seit der letzten Abfrage geändert haben.

    • Es wird versucht neue Objekte anzulegen, falls alle Pflichteigenschaften abgefragt wurden.

    • Objekte, die im Zielsystem gelöscht wurden, werden generell als Ausstehend markiert.

    Objekte, bei denen ein Verarbeitungsfehler aufgetreten ist, werden in den Meldungen des Prozessschritts protokolliert.

    Das neue Statustoken wird in die Delta-Token-Datei geschrieben.

Einschränkungen

Hinsichtlich der Wiederholfestigkeit hat das Verfahren der Differenzabfragen gewisse Einschränkungen. Wurde ein Statustoken einmal verwendet, ist es im Zweifel ungültig und die Abfrage kann nicht erneut ausgeführt werden. Tritt bei der Verarbeitung der Rückgabedaten ein Fehler auf, kann die entsprechende Änderung erst im nächsten regulären Synchronisationslauf eingelesen werden. Dies trifft beispielsweise auf gemeldete neue Mitgliedschaften einer Gruppe zu, wenn das Mitglied selbst noch nicht eingelesen wurde.

Ein weiterer Nachteil ist die Laufzeit der Initialabfrage und der initialen Verarbeitung der Daten. Von dieser Verarbeitung wird dringend abgeraten. Da die initiale Verarbeitung innerhalb der regulären Synchronisation erfolgen sollte, wird empfohlen in den Prozessschritten den Parameter DoNotProcessOffset auf den Wert True zu setzen (Standard).

Ebenfalls ist zu berücksichtigen, dass nicht alle Eigenschaften mittels Microsoft Graph API Delta-Abfrage abgefragt werden können.

Passen die Daten der Delta-Token-Datei nicht zu den Aufrufparametern einer Abfrage, wird die vorhandene Datei in <alterName>.backup umbenannt, um den Statustoken nicht zu verlieren und eine neue Datei angelegt. In diesem Fall wird eine neue Initialabfrage ausgeführt. Dies geschieht auch, wenn die Datei nicht vorhanden oder leer ist.

Unterstützte Schematypen

Die folgenden Tabellen enthalten die unterstützten Schematypen mit den unterstützen Eigenschaften. Sofern neue Objekte in die Datenbank importiert werden sollen, müssen die Pflichteigenschaften in der Delta-Synchronisation mit angefragt werden.

Tabelle 6: Unterstützte Eigenschaften für Benutzerkonten (Schematyp: User)

Eigenschaft

Pflicht

Anmerkungen

AccountEnabled

 

 

AgeGroup

 

 

BusinessPhones

 

 

City

 

 

CompanyName

 

 

ConsentProvidedForMinor

 

 

Country

 

 

Department

 

 

DisplayName

X

 

ExternalUserState

 

 

ExternalUserStateChangeDateTime

 

 

GivenName

 

 

ID

X

 

JobTitle

 

 

LastPasswordChangeDateTime

 

 

LegalAgeGroupClassification

 

 

Licenses

 

Bei Abfrage dieser Eigenschaft wird eine zusätzliche Abfrage nach den Status der Zuweisung (LicenseAssignmentStates) des Benutzerkontos ausgeführt. Die Laufzeit erhöht sich dadurch stark.

Enthält eine Liste von Objekten mit den Eigenschaften DisabledPlans, SkuId, AssignedByGroup, State und Error.

Mail

 

 

MailNickname

 

 

Manager

 

 

MobilePhone

 

 

OfficeLocation

 

 

OnPremisesDistinguishedName

 

 

OnPremisesDomainName

 

 

OnPremisesImmutableId

 

 

OnPremisesLastSyncDateTime

 

 

OnPremisesSamAccountName

 

 

OnPremisesSecurityIdentifier

 

 

OnPremisesSyncEnabled

 

 

OnPremisesUserPrincipalName

 

 

PostalCode

 

 

PreferredLanguage

 

 

ProxyAddresses

 

 

State

 

 

StreetAddress

 

 

Surname

 

 

UsageLocation

 

 

UserDomain

x

 

UserPrincipalName

x

 

UserType

x

 

Tabelle 7: Unterstützte Eigenschaften für Gruppen (Schematyp: Group)

Eigenschaft

Pflicht

Anmerkungen

Description

 

 

DisplayName

x

 

GroupTypes

x

 

ID

x

 

Licenses

 

Enthält eine Liste von Objekten mit den Eigenschaften DisabledPlans und SkuId.

Mail

 

 

MailEnabled

x

 

MailNickName

x

 

Members

 

Die Eigenschaft ist nicht in einer initialer Abfrage verfügbar. Das Ergebnis enthält den Schematyp und die ID.

OnPremisesSecurityIdentifier

 

 

OnPremisesSyncEnabled

 

 

Owners

 

Die Eigenschaft ist nicht in einer initialer Abfrage verfügbar. Das Ergebnis enthält den Schematyp und die ID.

ProxyAddresses

 

 

SecurityEnabled

x

 

Tabelle 8: Unterstützte Eigenschaften für Administratorrollen (Schematyp: DirectoryRole)

Eigenschaft

Pflicht

Anmerkungen

Description

 

 

DisplayName

x

 

ID

x

 

Members

 

Die Eigenschaft ist nicht in einer initialer Abfrage verfügbar. Das Ergebnis enthält den Schematyp und die ID.

Provisionierung von Mitgliedschaften konfigurieren

Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:

  • Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.

    Beispiel: Liste von Benutzerkonten in der Eigenschaft Members einer Azure Active Directory Gruppen (Group)

  • Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.

  • Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.

Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.

Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.

Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Basisdaten zur Konfiguration > Zielsystemtypen.

  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp Azure Active Directory.

  3. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.

  4. Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.

  5. Klicken Sie Merge-Modus.

    HINWEIS:

    • Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.

    • Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.

      Beispiel: AADUserInGroup und AADGroupInGroup

  6. Speichern Sie die Änderungen.

Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.

HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.

Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.

Um die originale Bedingung wiederherzustellen

  1. Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.

  2. Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.

  3. Speichern Sie die Änderungen.

HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.

Beispiel für eine Bedingung an der Zuordnungstabelle AADUserInGroup:

exists (select top 1 1 from AADGroup g
where g.UID_AADGroup = i.UID_AADGroup
and <einschränkende Bedingung>)

Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Einzelobjektsynchronisation konfigurieren

Änderungen an einem einzelnen Objekt im Zielsystem können sofort in die One Identity Manager-Datenbank übertragen werden, ohne dass eine vollständige Synchronisation der Zielsystem-Umgebung gestartet werden muss. Die Einzelobjektsynchronisation kann nur für Objekte ausgeführt werden, die in der One Identity Manager-Datenbank bereits vorhanden sind. Es werden die Änderungen an den gemappten Objekteigenschaften übernommen. Gehört zu diesen Objekteigenschaften eine Mitgliederliste, werden auch die Einträge in der Zuordnungstabelle aktualisiert. Ist das Objekt im Zielsystem nicht mehr vorhanden, wird es in der One Identity Manager-Datenbank gelöscht.

Voraussetzungen
  • Es gibt einen Synchronisationsschritt, der die Änderungen am geänderten Objekt in den One Identity Manager einlesen kann.

  • Für die Tabelle, die das geänderte Objekt enthält, ist der Pfad zum Basisobjekt der Synchronisation festgelegt.

Für Synchronisationsprojekte, die mit der Standard-Projektvorlage erstellt wurden, ist die Einzelobjektsynchronisation vollständig konfiguriert. Wenn Sie kundenspezifische Tabellen in solch ein Synchronisationsprojekt einbeziehen möchten, müssen Sie die Einzelobjektsynchronisation für diese Tabellen konfigurieren. Ausführliche Informationen dazu finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Um den Pfad zum Basisobjekt der Synchronisation für eine kundenspezifische Tabelle festzulegen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Basisdaten zur Konfiguration > Zielsystemtypen.

  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp Azure Active Directory.

  3. Wählen Sie die Aufgabe Synchronisationstabellen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die kundenspezifische Tabelle zu, für die Sie die Einzelobjektsynchronisation nutzen möchten.

  5. Speichern Sie die Änderungen.
  6. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.

  7. Wählen Sie die kundenspezifische Tabelle und erfassen Sie den Pfad zum Basisobjekt.

    Geben Sie den Pfad zum Basisobjekt in der ObjectWalker-Notation der VI.DB an.

    Beispiel: FK(UID_AADOrganization).XObjectKey

  8. Speichern Sie die Änderungen.
Verwandte Themen

Beschleunigung der Provisionierung und Einzelobjektsynchronisation

Um Lastspitzen aufzufangen, kann die Verarbeitung der Prozesse zur Provisionierung und Einzelobjektsynchronisation auf mehrere Jobserver verteilt werden. Damit können die Provisionierung und Einzelobjektsynchronisation beschleunigt werden.

HINWEIS: Die Lastverteilung sollte nicht permanent für Provisionierungen oder Einzelobjektsynchronisationen eingesetzt werden. Durch die parallele Verarbeitung der Objekte kann es beispielsweise vorkommen, dass Abhängigkeiten nicht aufgelöst werden, da die referenzierten Objekte von einem anderen Jobserver noch nicht vollständig verarbeitet wurden.

Sobald die Lastverteilung nicht mehr benötigt wird, stellen Sie sicher, dass der Synchronisationsserver die Prozesse zur Provisionierung und Einzelobjektsynchronisation ausführt.

Um die Lastverteilung zu konfigurieren

  1. Konfigurieren Sie die Server und geben Sie diese im One Identity Manager als Jobserver bekannt.

    • Für Jobserver, die an der Lastverteilung teilnehmen, muss die Option Keine Prozesszuteilung deaktiviert sein.

    • Weisen Sie diesen Jobservern die Serverfunktion Azure Active Directory Konnektor zu.

    Alle Jobserver müssen auf den gleichen Azure Active Directory Mandanten zugreifen können, wie der Synchronisationsserver für das jeweilige Basisobjekt.

  2. Weisen Sie im Synchronization Editor an das Basisobjekt eine kundendefinierte Serverfunktion zu.

    Über diese Serverfunktion werden alle Jobserver identifiziert, welche für die Lastverteilung genutzt werden sollen.

    Wenn für das Basisobjekt noch keine kundendefinierte Serverfunktion vorhanden ist, erstellen Sie hier eine neue.

    Ausführliche Informationen zur Bearbeitung von Basisobjekten finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

  3. Weisen Sie diese Serverfunktion im Manager an alle Jobserver zu, welche die Prozesse zur Provisionierung und Einzelobjektsynchronisation für das Basisobjekt verarbeiten sollen.

    Wählen Sie nur die Jobserver, welche die gleiche Konfiguration wie der Synchronisationsserver des Basisobjekts haben.

Sobald alle Prozesse verarbeitet wurden, soll wieder der Synchronisationsserver die Provisionierung und Einzelobjektsynchronisation ausführen.

Um den Synchronisationsserver ohne Lastverteilung zu nutzen

  • Entfernen Sie im Synchronization Editor die Serverfunktion vom Basisobjekt.

Ausführliche Informationen zur Lastverteilung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen