Chatta subito con l'assistenza
Chat con il supporto

Identity Manager 8.1.5 - Administrationshandbuch für Privileged Account Governance

Abbilden eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Vorbereiten eines Remoteverbindungsservers für den Zugriff auf die One Identity Safeguard Appliance

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert

  • Windows PowerShell Version 5 oder höher ist installiert

  • Windows PowerShell Modul safeguard-ps ist installiert

  • One Identity Safeguard Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen und des Zertifikates des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer One Identity Safeguard Appliance

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und einer One Identity Safeguard Appliance einzurichten. Nachfolgend sind die Schritte für die initiale Einrichtung eines Synchronisationsprojektes beschrieben. Ausführliche Informationen zur Einrichtung der Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Nach der initialen Einrichtung können Sie innerhalb des Synchronisationsprojektes die Workflows anpassen und weitere Workflows konfigurieren. Nutzen Sie dazu den Workflow-Assistenten im Synchronization Editor. Der Synchronization Editor bietet zusätzlich verschiedene Konfigurationsmöglichkeiten für ein Synchronisationsprojekt an.

Verwandte Themen

Benötigte Informationen für die Erstellung eines Synchronisationsprojektes

Für die Einrichtung des Synchronisationsprojektes halten Sie die folgenden Informationen bereit.

Tabelle 4: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes

Angaben

Erläuterungen

Hostname oder IP der Appliance

Hostname oder IP-Adresse der One Identity Safeguard Appliance. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, ist hier die primäre Appliance einzutragen.

HINWEIS: Dieser Wert muss angepasst werden, wenn sich die primäre Appliance innerhalb des Clusters ändert. Wenn im Systemverbindungsassistenten die Option Immer zu primärer Appliance im Cluster verbinden aktiviert ist, wird die primäre Appliance automatisch ermittelt.

Fingerabdruck des vertrauenswürdigen Zertifikates

Fingerabdruck des vertrauenswürdigen Zertifikates, welches vom Synchronisationsbenutzer und vom Benutzerkonto des One Identity Manager Service genutzt wird.

Weitere Informationen finden Sie unter Benutzer und Berechtigungen für die Synchronisation mit einer One Identity Safeguard Appliance.

Synchronisationsserver für die Appliance

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem One Identity Safeguard Konnektor installiert sein.

Tabelle 5: Zusätzliche Eigenschaften für den Jobserver
Eigenschaft Wert
Serverfunktion One Identity Safeguard Konnektor
Maschinenrolle Server | Jobserver | Privileged Account Management

Weitere Informationen finden Sie unter Systemanforderungen für den One Identity Safeguard Synchronisationsserver.

Verbindungsdaten zur One Identity Manager-Datenbank

  • Datenbankserver

  • Datenbank

  • SQL Server Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Weitere Informationen finden Sie unter Vorbereiten eines Remoteverbindungsservers für den Zugriff auf die One Identity Safeguard Appliance.

Initiales Synchronisationsprojekt für One Identity Safeguard erstellen

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um ein initiales Synchronisationsprojekt für One Identity Safeguard einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  1. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Seite Verbindungsparameter erfassen Sie folgende Informationen:

    • Appliance Hostname oder IP: Erfassen Sie den Hostname oder IP- Adresse der Appliance. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, ist hier die primäre Appliance einzutragen.

      HINWEIS: Dieser Wert muss angepasst werden, wenn sich die primäre Appliance innerhalb des Clusters ändert. Wenn auf der Seite Beschreibung der Appliance die Option Immer zu primärer Appliance im Cluster verbinden aktiviert ist, wird die primäre Appliance automatisch ermittelt.

    • Fingerabdruck des vertrauenswürdigen Zertifikates: Erfassen Sie den Fingerabdruck des vertrauenswürdigen Zertifikates, welches vom Synchronisationsbenutzer und vom Benutzerkonto des One Identity Manager Service genutzt wird.

    • Ignoriere SSL Verbindungsfehler: Diese Option sollten Sie nur zu Testzwecken aktivieren, da hier potentiell Verbindungen vertraut wird, die nicht sicher sind.

    • Klicken Sie Verbindungsdaten testen, um die Verbindung zu testen. Es wird versucht eine Verbindung zur Appliance aufzubauen.

  2. Auf der Seite Beschreibung der Appliance erfassen Sie folgende Informationen:

    • Anzeigename der Appliance:Erfassen Sie einen Anzeigenamen für die Anzeige in den One Identity Manager Werkzeugen.

    • Systembezeichner: Erfassen Sie einen eindeutigen Bezeichner zur Identifizierung der Appliance.

      VORSICHT: Der Systembezeichner muss die Appliance eindeutig beschreiben. Anhand der Systembezeichners werden die Appliances unterschieden. Die mehrfache Vergabe eines Bezeichners für unterschiedliche Appliances kann zu Fehlverhalten und Datenverlust führen.

    • Immer zu primärer Appliance im Cluster verbinden: Diese Option wird automatisch gesetzt, wenn beim Testen der Verbindungsdaten ein One Identity Safeguard Cluster erkannt wird. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, sollte diese Option aktiviert sein.

  3. Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.

    • Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.

    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS: Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu. Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 6: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Angabe, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Angabe, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.
    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.
  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

      HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.
  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

    Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    HINWEIS: Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    HINWEIS: Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration | Variablen angepasst werden.
Verwandte Themen
Related Documents

The document was helpful.

Seleziona valutazione

I easily found the information I needed.

Seleziona valutazione