Wie funktioniert die Abhängigkeitsauflösung
Zwischen den Schemaklassen können Abhängigkeiten bestehen, die es erfordern, dass mehrfach ausgeführt werden. Beispielsweise können Objektreferenzen erst gesetzt werden, wenn das referenzierte Objekt angelegt wurde. Ebenso können Abhängigkeiten zwischen den Schemaeigenschaften innerhalb einer bestehen.
Abbildung 9: Beispiel für einen mit abhängigen Schemaklassen und Schemaeigenschaften
Der One Identity Manager kann solche Abhängigkeiten automatisch auflösen. Dabei werden die Synchronisationsschritte so zusammengestellt, dass zuerst die referenzierten Objekte und danach alle abhängigen Objekte synchronisiert werden. Wenn Abhängigkeiten innerhalb einer Schemaklasse bestehen, werden zusätzliche Synchronisationsschritte eingefügt, um die abhängigen Schemaeigenschaften zu synchronisieren. Die endgültige Reihenfolge der Synchronisationsschritte kann im Bericht "Ausführungsplan" eingesehen werden.
HINWEIS: Wenn Abhängigkeiten zwischen Schemaklassen bestehen, müssen diese Schemaklassen durch ein und denselben Workflow synchronisiert werden, damit die Abhängigkeiten automatisch aufgelöst werden können!
Abbildung 10: Beispiel für einen Workflow mit automatischer Abhängigkeitsauflösung
Um die automatische Abhängigkeitsauflösung einzurichten
Nutzen Sie standardmäßig die automatische Abhängigkeitsauflösung. Nur wenn damit einzelne Abhängigkeiten nicht aufgelöst werden können, wählen Sie die manuelle Abhängigkeitsauflösung. Das könnte beispielsweise notwendig sein, wenn sich zwei Objekte gegenseitig als Pflichteigenschaft referenzieren.
HINWEIS: Wenn die Abhängigkeitsauflösung auf "Manuell" eingestellt ist, überprüft der One Identity Manager bei der nicht, ob Abhängigkeiten zwischen Schemaklassen und Schemaeigenschaften bestehen. Die Synchronisationsschritte werden in der Reihenfolge abgearbeitet, die in der Workflowansicht dargestellt ist.
Wenn Abhängigkeiten bestehen, die nicht aufgelöst werden können, endet die Synchronisation mit Fehlern!
Um Abhängigkeiten manuell aufzulösen
- Ermitteln Sie die Schemaeigenschaften, zwischen denen Abhängigkeiten bestehen.
- Erstellen Sie einen Workflow mit Synchronisationsschritten, die folgende Kriterien berücksichtigen:
- Synchronisationsschritte, die nicht abhängige und referenzierte Objekte synchronisieren.
Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften ausgeschlossen werden.
- Synchronisationsschritte, die abhängige Objekte referenzieren.
Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften eingeschlossen werden.
- Legen Sie die Reihenfolge der Synchronisationsschritte so fest, dass zuerst alle Synchronisationsschritte für a) und danach alle Synchronisationsschritte für b) ausgeführt werden.
- Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:
| Abhängigkeitsauflösung: |
Manuell |
Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.
Verwandte Themen
Nicht-auflösbare Referenzen
Wenn ein referenziertes Objekt nicht in der One Identity Manager-Datenbank existiert, kann die Objektreferenz bei der nicht aufgelöst werden. Nicht-auflösbare Objektreferenzen werden in einen geschrieben (Tabelle DPRAttachedDataStore). Damit ist sicher gestellt, dass diese Referenzen erhalten bleiben und bei der im Zielsystem nicht gelöscht werden.
Beispiel:
Eine Active Directory Gruppe hat einen Kontomanager, der einer Domäne angehört, die im aktuellen Synchronisationslauf nicht synchronisiert wird. Der Kontomanager ist auch in der One Identity Manager-Datenbank nicht vorhanden.
Bei der Synchronisation wird kein Kontomanager zugeordnet. Damit die Zuordnung erhalten bleibt, wird die Objektreferenz mit dem definierten Namen des Kontomanagers im Synchronisationspuffer gespeichert.
Bei jeder Synchronisation versucht der One Identity Manager den Synchronisationspuffer zu bereinigen. Wenn die referenzierten Objekte in der One Identity Manager-Datenbank vorhanden sind, können die Referenzen aufgelöst und die Einträge aus dem Synchronisationspuffer gelöscht werden. Wann der Synchronisationspuffer bereinigt wird, ist abhängig von der Art der Synchronisation (mit oder ohne ) und vom Wartungsmodus.
Tabelle 22: Wartung für nicht aufgelöste Objektreferenzen
| Unabhängig vom Wartungsmodus gilt: |
Objektreferenzen werden für alle Synchronisationsobjekte bereinigt, die bereits in der One Identity Manager-Datenbank vorhanden sind. |
Objektreferenzen werden nur für geänderte Objekte bereinigt. |
| Keine |
Es gibt keinen zusätzlichen Auftrag zur Bereinigung des Synchronisationspuffers. |
| Betroffene Objekte immer synchronisieren |
Ohne Wirkung. |
Für Objekte, die nicht aufgelöste Referenzen haben, wird der Revisionsfilter aufgehoben. Damit werden die Objektreferenzen auch für die Objekte bereinigt, die seit der letzten Synchronisation nicht geändert wurden. |
| Vollständige Wartung nach jeder Synchronisation |
Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. |
Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Zusätzlich werden die Objektreferenzen auch für die Objekte bereinigt, die nicht geändert wurden. |
Für die Auflösung der Objektreferenzen kann die Anzahl der Wiederholversuche angegeben werden. Mehrere Wiederholungen können beispielsweise erforderlich sein für Objekte, die eine mehrstufige Hierarchie abbilden. Mit jedem Wiederholversuch kann jeweils eine Hierarchieebene für ein Objekt aufgelöst werden.
Um den Wartungsmodus einzustellen
HINWEIS: Der One Identity Manager stellt einen zeitgesteuerten Prozessauftrag bereit, der den Inhalt der Tabelle DPRAttachedDataStore regelmäßig bereinigt. Dabei werden Einträge für Objekte, die in der One Identity Manager-Datenbank nicht mehr vorhanden sind, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt.
Verwandte Themen
Synchronisationsrichtung und Mappingrichtung
Für die eines Zielsystems mit dem One Identity Manager muss festgelegt werden, welches der verbundenen Systeme als Datenmaster gilt. Das Mastersystem wird in der Synchronisationskonfiguration durch die festgelegt. Die Richtung, in der die Schemaeigenschaften gemappt werden sollen, kann davon abweichen. Daher muss im der Schemaeigenschaften die zulässige angegeben werden.
Tabelle 23: Synchronisationsrichtung
| |
in welche Richtung eine konkrete Synchronisation durchgeführt wird |
| |
in welche Richtung Synchronisationen durchgeführt werden |
| Synchronisationsschritt |
bei welcher Synchronisationsrichtung der Schritt ausgeführt wird |
Tabelle 24: Zulässige Mappingrichtung
| Mapping |
bei welcher Synchronisationsrichtung die Property-Mapping-Regeln angewendet werden |
| |
bei welcher Synchronisationsrichtung diese Property-Mapping-Regel angewendet wird |
Der One Identity Manager synchronisiert zwei verbundene Systeme in die Richtung, die in der Startkonfiguration oder am Workflow angegeben ist. Dabei wird ein Synchronisationsschritt nur dann ausgeführt, wenn die am Schritt festgelegte Synchronisationsrichtung mit der Richtung, in der die aktuelle Synchronisation durchgeführt wird, übereinstimmt. Wenn die am Mapping zugelassene Mappingrichtung der aktuellen Synchronisationsrichtung entspricht, werden die Systemobjekte dieser synchronisiert. Dabei prüft der One Identity Manager, welche Property-Mapping-Regeln bei der aktuellen Synchronisationsrichtung angewendet werden dürfen. Wenn die Mappingrichtung einer Property-Mapping-Regel von der aktuellen Synchronisationsrichtung abweicht, wird diese Property-Mapping-Regel ignoriert.
Abbildung 11: Beispiel für die Wirkung der festgelegten Synchronisationsrichtung und zulässigen Mappingrichtung
Verwandte Themen
Mapping gegen die Synchronisationsrichtung
Für einzelne Schemaeigenschaften kann es erforderlich sein, den Wert einer bei jedem Synchronisationslauf unmittelbar aus dem verbundenen System in das zu übernehmen. Für diese Schemaeigenschaften gibt es Property-Mapping-Regeln, deren der Synchronisationsrichtung entgegengesetzt ist. Standardmäßig werden diese Regeln nicht ausgeführt. Um den Wert dieser Schemaeigenschaften noch während der Synchronisation zu übertragen, muss die Ausführung dieser Regeln erzwungen werden. Dieses Verhalten wird an den Property-Mapping-Regeln konfiguriert.
Voraussetzungen
Um das Mapping einer Schemaeigenschaft gegen die Synchronisationsrichtung zu erzwingen
Property-Mapping-Regeln, bei denen diese Option aktiviert ist, werden nach Abschluss eines ausgeführt. Dabei werden Änderungen entgegen der Synchronisationsrichtung aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.
Ablauf der Synchronisation
- Während ein Synchronisationsschritt ausgeführt wird, werden alle Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entgegengesetzt ist, ignoriert. Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entspricht, werden ausgeführt.
- Beim Abschluss des Synchronisationsschritts werden alle Änderungen im verbundenen System gespeichert.
-
Alle Property-Mapping-Regeln, an denen Mapping gegen die Synchronisationsrichtung erzwingen aktiviert ist, werden erneut ausgeführt. Für die beteiligten Schemaeigenschaften werden Änderungen aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.
HINWEIS: Die Property-Mapping-Regeln werden nach Abschluss des Synchronisationsschritts auch dann erneut ausgeführt, wenn im Synchronisationsschritt keine Verarbeitungsmethoden angegeben sind.
Nutzen Sie die Option Mapping gegen die Synchronisationsrichtung erzwingen für Schemaeigenschaften, die aufgrund technischer Einschränkungen nicht im Mastersystem der Synchronisation bearbeitet werden können.
HINWEIS: Die Option wird auch bei der von Objektänderungen berücksichtigt.
Beispiel
Eine Active Directory-Umgebung soll über den One Identity Manager verwaltet werden. Für die Synchronisation beider Systeme gilt der One Identity Manager als Mastersystem. Die Objekt GUID der Benutzerkonten wird jedoch nicht im One Identity Manager, sondern in der Active Directory-Umgebung gebildet. Für die Objekt GUID eines Benutzerkontos gilt damit eine abweichende Mappingrichtung. Um die Objekt GUID noch während des Synchronisationslaufs aus dem Zielsystem in den One Identity Manager zu übertragen, muss das Mapping gegen die Synchronisationsrichtung für diese Schemaeigenschaft erzwungen werden.
Tabelle 25: Konfiguration der Synchronisation
|
Synchronisationsrichtung: |
In das Zielsystem |
|
Property-Mapping-Regel für die Schemaeigenschaften: |
ADSAccount.ObjectGUID - User.ObjectGUID |
|
Mappingrichtung: |
In den One Identity Manager |
|
Mapping gegen die Synchronisationsrichtung erzwingen: |
aktiviert |
Ablauf der Synchronisation
Situation: Ein neues Active Directory Benutzerkonto wurde im One Identity Manager angelegt.
- Das Benutzerkonto wird durch die Synchronisation im Zielsystem angelegt.
- Die Property-Mapping-Regel für die Objekt GUID wird ignoriert, da die Mappingrichtung entgegengesetzt ist.
- Sobald alle Property-Mapping-Regeln des Synchronisationsschritts verarbeitet wurden, wird das Benutzerkonto im Zielsystem gespeichert. Im Zielsystem wird ein Wert für User.ObjectGUID ermittelt.
- Nach Abschluss des Synchronisationsschritts wird die Property-Mapping-Regel für die Objekt GUID erneut ausgeführt. Die Objekt GUID wird aus der Active Directory-Umgebung in den One Identity Manager übertragen.
Verwandte Themen
