Chat now with support
Chat mit Support

Identity Manager 9.3 - Konfigurationshandbuch

Über dieses Handbuch Softwarearchitektur des One Identity Manager Kundenspezifische Änderungen an der One Identity Manager Standardkonfiguration Anpassen der One Identity Manager Basiskonfiguration Grundlagen zum One Identity Manager Schema
Übersicht über das One Identity Manager Schema Tabellenarten und Standardspalten im One Identity Manager Datenmodell Hinweise zur Bearbeitung von Tabellendefinitionen und Spaltendefinitionen Tabellendefinitionen Spaltendefinitionen Tabellenbeziehungen Dynamische Fremdschlüssel Unterstützung von Dateigruppen
Volltextsuche im One Identity Manager Lokalisierung im One Identity Manager Prozess-Orchestrierung im One Identity Manager
Abbildung von Prozessen im One Identity Manager
Bearbeiten von Prozessen mit dem Prozesseditor Definieren von Prozessen Prozessgenerierung simulieren Gültigkeitsprüfung eines Prozesses Kompilieren von Prozessen testen Änderungen von Prozessen übernehmen und kompilieren Verwenden von prozesslokalen Variablen und globalen Variablen für die Prozessdefinition Schwellwerte für die Verarbeitung von Prozessen Festlegen des ausführenden Servers Benachrichtigung zur Verarbeitung von Prozessschritten Automatisierte Ausführung von Prozessen Übersicht über die Prozesskomponenten
Einrichten von Jobservern
Arbeitsweise des One Identity Manager Service Prozessüberwachung zur Nachverfolgung von Änderungen Bedingte Kompilierung mittels Präprozessorbedingungen Skripte im One Identity Manager
Verwendung von Visual Basic .NET-Skripten Hinweise zur Verwendung von Datumswerten Hinweise zur Verwendung von PowerShell Skripten Verwendung der $-Notation Verwendung von base Objekt Aufruf von Funktionen Prä-Skripte zur Verwendung in Prozessen und Prozessschritten Verwendung von Session Services Verwendung der #LD-Notation Anzeigen von Meldungen in der Benutzeroberfläche Referenzieren von Paketen und Dateien in Skripten Skriptbibliothek Unterstützung bei der Bearbeitung von Skripten im Skripteditor Skripte mit dem Skripteditor erstellen und bearbeiten Skripte im Skripteditor kopieren Skripte im Skripteditor testen Kompilieren von Skripten im Skripteditor testen Änderungen von Skripten übernehmen und kompilieren Überschreiben von Skripten Berechtigungen zu Ausführen von Skripten Bearbeiten und Testen von Skriptcode mit dem System Debugger Erweitertes Debugging im Object Browser
One Identity Manager Abfragesprache Bearbeiten der Benutzeroberfläche
Objektdefinitionen für die Benutzeroberfläche Menüführung der Benutzeroberfläche Formulare für die Benutzeroberfläche Statistiken im One Identity Manager Erweitern des Launchpad Methodendefinitionen für die Benutzeroberfläche Anwendungen für die Gestaltung der Benutzeroberfläche Symbole und Bilder für die Gestaltung der Benutzeroberfläche Verwenden vordefinierter Datenbankabfragen
Berichte im One Identity Manager Erweiterung des One Identity Manager Schemas um kundenspezifische Tabellen oder Spalten Webservice Integration One Identity Manager als SCIM 2.0 Serviceprovider Verarbeitung von DBQueue Prozessor-Aufträgen Aufbau der Konfigurationsdatei Jobservice.cfg

EventLogLogWriter zur Protokollierung konfigurieren

Der EventLogLogWriter schreibt die Meldungen des One Identity Manager Service in ein Ereignisprotokoll. Das Ereignisprotokolls können Sie beispielsweise über die Ereignisanzeige in der Microsoft Management Console anzeigen.

Den EventLogLogWriter konfigurieren Sie im Modul LogWriter.

Tabelle 69: Parameter des EventLogLogWriter

Parameter

Beschreibung

Ereignis-ID (EventID)

ID mit der Meldungen in das Ereignisprotokoll geschrieben werden.

Ereignisprotokoll (EventLog)

Name des Ereignisprotokolls, in das die Meldungen geschrieben werden. Mit dem Standardwert Application werden die Meldungen in das Anwendungsprotokoll geschrieben.

HINWEIS: Wenn mehrere One Identity Manager Service auf einem Server Ereignisprotokolle schreiben, achten Sie darauf, dass die ersten 8 Buchstaben des Protokollnamens auf diesem Server eindeutig sind.

Kategorie (Category)

Kategorie mit der Meldungen in das Ereignisprotokoll geschrieben werden.

Quelle (Source)

Bezeichnung für die Quelle mit der Meldungen in das Ereignisprotokoll geschrieben werden.

Schweregrad (LogSeverity)

Informationsgrad der protokollierten Meldungen.

Zulässige Werte sind:

  • Info: Alle Meldungen werden in das Ereignisprotokoll geschrieben. Das Ereignisprotokoll wird schnell groß und unübersichtlich.

  • Warning: Nur Warnungen und Ausnahmefehler werden in das Ereignisprotokoll geschrieben (Standard).

  • Serious: Nur Ausnahmefehler werden in das Ereignisprotokoll geschrieben.

Der One Identity Manager Service protokolliert Meldungen standardmäßig nur im Ereignisprotokoll Application.

Um ein Ereignisprotokoll mit einem anderen Namen zu verwenden

  1. Legen Sie die Datei, in die der One Identity Manager Service schreiben soll, manuell auf dem Jobserver an. Nutzen Sie dafür beispielsweise PowerShell.

    1. Führen Sie auf dem Jobserver PowerShell als Administrator aus.

    2. Führen Sie folgendes CmdLet aus:

      New-EventLog -Source "Foobar" -LogName "<Dateiname>"

  2. Geben Sie diesen Dateinamen in der Konfigurationsdatei des One Identity Manager Service im Modul EventLogLogWriter als Namen für das Ereignisprotokoll an.

  3. Starten Sie den Computer neu.

  4. Starten Sie den One Identity Manager Service neu.

Verwandte Themen

One Identity Manager Service als Proxyserver konfigurieren

In einer hierarchischen Serverstruktur kann ein Server als Proxyserver für andere Server dienen. Der Proxyserver fragt in einem definierten Zeitintervall nach, ob für einen Server Prozessschritte zur Verarbeitung bereitstehen und verschickt diese an den nachfolgenden Server. Die Einrichtung eines Proxyservers empfiehlt sich, wenn die Anfragelast zur Datenbank minimiert werden soll.

Die Konfiguration nehmen Sie im Modul Dispatcher vor.

Tabelle 70: Parameter des Moduls Dispatcher

Parameter

Beschreibung

Wirkt als Proxy für andere Server (IsProxy)

Gibt an, ob der Server als Proxyserver arbeiten soll. Für einen Server, der als Proxyserver arbeiten soll, aktivieren Sie diese Option.

Proxy-Abfrageintervall (ProxyIntervall)

Zeitraum in Sekunden, nachdem der Proxyserver stellvertretend für andere Server eine erneute Abfrage an die Datenbank starten soll.

Die folgenden Richtwerte dienen zur Orientierung für die Konfiguration der Abfrageintervalle des One Identity Manager Service in einer kaskadierenden Umgebung:

Tabelle 71: Richtwerte für die Abfrageintervalle des One Identity Manager Service
Parameter Kopfserver (direkt an die Datenbank angebunden) Blattserver (per HTTP oder File angebunden)

JobServiceDestination.StartInterval

90 Sekunden

600 Sekunden

JobServiceDestination.StatisticInterval

360 Sekunden

600 Sekunden

Dispatcher.ProxyInterval

180 Sekunden

Dispatcher.IsProxy

True

False

Der Proxymodus des Kopfservers sorgt dafür, dass dieser stellvertretend für die Blattserver Prozessschritte im kürzeren Proxyintervall abfragt. Beim Neustart des Kopfservers kann es zwar etwas dauern, bis alle Blattserver ihre erste Anfrage gestellt haben (in diesem Fall maximal 600 Sekunden), das System schwingt sich dann aber ein.

Abbildung 14: Konfigurationsbeispiel für einen Dispatcher

Konfigurationseinstellungen zum Verhalten des One Identity Manager Service

Im Modul Connection nehmen Sie spezielle Konfigurationseinstellungen zum Verhalten des One Identity Manager Service vor.

Tabelle 72: Parameter des Moduls Connection

Parameter

Beschreibung

BLOB-Lese-Operationen protokollieren (LogBlobReads)

Gibt an, ob Lese-Operationen auf Text- und Binär-LOB (BLOB)-Felder in das SQL Protokoll geschrieben werden.

Cache-Typ (CacheType)

Gibt an, wie die Daten gecached werden. Der Standardwert ist MultipleFiles.

Direkte Verbindung ohne Verfügbarkeitstest (DirectConnection)

Gibt an, ob direkt zur Zieldatenbank verbunden werden soll, ohne vorher die Verfügbarkeit oder den Status zu testen. Dies erlaubt Tools, die keine Datenbankwechsel innerhalb der Verbindung zulassen, die Verbindung zu tracen.

HINWEIS: Die Option kann Migrationen beeinflussen, da die Verbindungen immer geöffnet werden.

Fingerabdruck des Tokenzertifikats (TokenCertificateThumbprint)

Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

Max. parallele Anfragen (MaxParallelQueries)

Maximale Anzahl von Datenbankanfragen, die parallel ausgeführt werden sollen. Standardwert ist 4.

Max. Schreibverzögerung in Clustern (MaxWriteDelay)

Maximale Zeitverzögerung, nach der Schreiboperationen auf alle Knoten im Cluster angekommen sind. Die Angabe erfolgt in Sekunden. Standardwert ist 10 Sekunden.

Nachladeintervall für Cache (CacheReloadInterval)

Intervall in Sekunden, nach dem der lokale Cache aktualisiert werden soll. Dieser Parameter überschreibt die Einstellung des Konfigurationsparameters Common | CacheReload | Interval.

Nachladeton unterdrücken (NoReloadBeep)

Mit Aktivierung des Parameters wird das akustische Signal beim Nachladen von gecachten Systemdaten abgeschaltet.

Regulärer Ausdruck für Stacketrace-Positionen (ObjectDumpStackExpression)

Der reguläre Ausdruck legt fest, wann ein Stacktrace zusätzlich in das Objektprotokoll geschrieben werden soll. Wenn die aktuelle Zeile des Objektprotokolls auf den regulären Ausdruck passt, wird der Stacktrace mit in das Objektprotokoll geschrieben.

Beispiel: "Lastname"

Enthält die aktuelle Zeile den Wert "Lastname", so wird zusätzlich der Stacktrace in das Protokoll übernommen.

HINWEIS: Der Parameter wird zur Fehlerlokalisierung eingesetzt. Die Aktivierung des Parameters wird im normalen Betrieb aus Performancegründen nicht empfohlen.

Schlüssel für vertrauenswürdige Quellen (TrustedSourceKey)

Schlüssel, der den vertrauenswürdigen Zugriff auf das System erlaubt.

Session-Zertfikate auf Gültigkeit prüfen (CheckSessionCertificate)

Gibt an, ob Sitzungszertifikate auf Gültigkeit geprüft werden.

Teste Session-Zertifikate nicht auf Rückrufe (DoNotCheckSessionCertificate)

Gibt an, ob Sitzungszertifikate auf Zertifikatsrückrufe geprüft werden. Aktivieren Sie die Option, wenn die Prüfung nicht erfolgen soll.

Tokenzertifikatdatei (TokenCertificateFile)

Zertifikatsdatei des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens. Das Zertifikat muss RSA-Verschlüsselung mit SHA1, SHA256 oder SHA512 unterstützen und den privaten Schlüssel enthalten.

Unterstütze Read-Only-Replikate in Azure (SupportReadScaleOut)

Gibt an, ob ein zweiter Pool für Read-Only-Anfragen in Azure unterstützt wird. Wenn die Option aktiviert ist, werden Read-Only-Anfragen über die Read-Only-Replikate verteilt. Diese Funktion steht in den Tarifen Premium und Unternehmenskritisch von Azure zur Verfügung. Ausführliche Informationen finden Sie unter https://docs.microsoft.com/en-us/azure/azure-sql/database/read-scale-out.

Verzeichnis für Generierungsprotokolle (JobGenLogDir)

Verzeichnis der Protokolldateien, in denen die vom One Identity Manager Service erzeugten Anweisungen zur Prozessgenerierung aufgezeichnet werden.

HTTP-Authentifizierung konfigurieren

Jeder One Identity Manager Service arbeitet automatisch als HTTP Server. Welche Dienste der One Identity Manager Service zur Verfügung stellt, hängt von der Konfiguration der Plugins ab. Über dieses Modul legen Sie fest, wie die Authentifizierung am HTTP Server erfolgt, um auf die Dienste zuzugreifen, beispielsweise zur Anzeige der Protokolldatei oder der Statusanzeige.

Als Modultypen stehen zur Auswahl:

  • BasicHttpAuthentication

    Mit diesem Authentifizierungstyp geben Sie ein bestimmtes Benutzerkonto für den Zugriff auf den HTTP Server an.

    Parameter des Moduls sind:

    • Benutzerkonto (User): Benutzerkonto zur Anmeldung.

    • Kennwort (Password): Kennwort des Benutzerkontos.

  • SessionHttpAuthentication

    Die Benutzer können sich mit den Authentifizierungsmodulen anmelden, die der Anwendung Job Server zugewiesen sind und aktiviert sind.

    Die Benutzer benötigen die Programmfunktion JobServer_Status.

    Tabelle 73: Parameter des Moduls

    Parameter

    Beschreibung

    ID des Jobsproviders (ProviderID)

    ID des Jobproviders, dessen konfigurierte Verbindung für die Anmeldung genutzt werden soll. Es muss sich dabei entweder um einen MSSQLJobProvider oder einen AppServerJobProvider handeln. Ist die Angabe leer, wird der erste Jobprovider genutzt.

    Anwendungs-URL (AppUrl)

    (Optional) Diese Option wird nur benötigt, wenn sich der Benutzer über OAuth2 oder OpenID Connect anmelden können soll. Die URL muss dem Wert in der Spalte QBMWebApplication.BaseURL entsprechen. An die Webanwendung ist eine OAuth 2.0/OpenID Connect Konfiguration zugewiesen.

    Als Weiterleitungs-URL muss in der Konfiguration und im angebundenen externen System die folgende URL angegeben werden.

    https://<jobserver>:<port>/login

    Bereinigung nach Inaktivität (RemoveSessionAfterInactivity)

    Gibt an nach welcher Zeitspanne die Sitzung aus dem Speicher entfernt wird. Beim nächsten Zugriff wird die Sitzung transparent für den Benutzer wieder aufgebaut. Standardwert ist 00:10:00.

    Format der Zeitangabe:

    Stunden:Minuten:Sekunden

    Sitzungs-Timeout (SessionTimeout)

    Gibt an, wie lange eine Sitzung bestehen bleibt. Nach Ablauf dieser Zeitspanne oder bei Neustart des Jobservers wird die Sitzung beendet. Standardwert ist 1.00:00:30.

    Format der Zeitangabe:

    Tage.Stunden:Minuten:Sekunden

    Ausführliche Informationen zu den Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

  • WindowsHttpAuthentication

    Über diesen Authentifizierungstyp legen Sie eine Active Directory Gruppe fest, deren Benutzer sich am HTTP Server authentifizieren können.

    Parameter des Moduls sind:

    • Gruppe (Role): Active Directory Gruppe. Es kann entweder eine Sicherheits-ID (SID) oder der Active Directory Gruppenname in der Domäne des Jobservers angegeben werden. Befindet sich die Active Directory Gruppe nicht in der Domäne des Jobservers, muss die SID verwendet werden.

    • Anmeldefehler debuggen (DebugLoginErrors): (Optional) Daten zu Benutzerkonten und Gruppen werden ins Protokoll geschrieben, um Anmeldeprobleme zu debuggen. Diese Option darf in Produktionsumgebungen nicht gesetzt werden, da Gruppenzuordnungen protokolliert werden können.

HINWEIS: Wenn kein Modul angegeben ist, dann ist keine Authentifizierung erforderlich. In diesem Fall können alle Benutzer auf die Dienste zugreifen.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen