Erweiterte Schemakonfiguration mit dem LDAP Konnektor V2
Durch die Vorkonfiguration des Konnektors, die Sie im Systemverbindungsassistenten wählen können, sind bereits die erforderlichen Schemakonfigurationen eingerichtet. Sollte es in Ausnahmefällen erforderlich sein, weitere Anpassungen vorzunehmen, können Sie im Systemverbindungsassistenten die Schematypen, Schemaeigenschaften oder Methoden konfigurieren.
WICHTIG: Änderungen an der Schemakonfiguration sollten nur von erfahrenen Benutzern des Synchronization Editors und erfahrenen Systemadministratoren vorgenommen werden.
HINWEIS: Um die erweiterten Einstellungen vorzunehmen, aktivieren Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen anzeigen.
Auf der Seite Konnektor Schemakonfiguration wird ein hierarchisches Metaschema mit den Schematypen, die entstehen werden, angezeigt. Sie können Schemaklassen, Methoden und Schemaeigenschaften bearbeiten, erstellen oder löschen. Die dargestellten Informationen sind an die Informationen im Synchronization Editor angelehnt.
Nutzen Sie diese Einstellungen beispielsweise um:
-
festzulegen, welche Schemaeigenschaft für die Revisionsfilterung genutzt werden soll
-
festzulegen, über welche Schemaeigenschaft ein Objekt eindeutig identifiziert werden kann
-
bei Bedarf virtuelle Schematypen zu definieren
Implementierungen
HINWEIS: Die globalen Einstellungen für die Implementierungen für Lesen und Schreiben sind auf der Seite Konnektor Schemakonfiguration am Eintrag Schema hinterlegt.
Tabelle 6: Implementierungen
Implementierung für Abfragen |
Implementierung, die für das Abrufen von Einträgen vom LDAP Server verwendet wird.
Die DefaultQueryStrategy-Implementierung verwendet die konfigurierte LDAP Verbindung zum Abrufen von Einträgen. |
Implementierung für Typauslösung |
Implementierung die LDAP Einträge inspiziert, die vom LDAP Server zurückgeliefert wurden und versucht, den entsprechenden Konnektor-Schematyp für das resultierende Konnektor-Objekt zu ermitteln.
Die DefaultSchemaTypeResolveStrategy-Implementierung versucht, die strukturelle Objektklasse des zurückgelieferten Objektes zu bestimmen und anschließend einen Schematyp mit dem gleichen Namen zu finden |
Implementierung für Lesen |
Implementierung zur Konvertierung von Werten einer Schemaeigenschaft basierend auf einem LDAP Eintrag. |
Referenzbehandlung |
Implementierung zur Erzeugung oder Auflösung von Referenzwerten einer Schemaeigenschaft eines LDAP Eintrages. Eine Referenz in LDAP ist gewöhnlicherweise eine Eigenschaft, welche über den definierten Namen auf einen anderen Eintrag verweist. |
Implementierung für Commit |
Implementierung, die verwendet wird, wenn Einträge vom Konnektor auf dem LDAP Server gespeichert werden.
Die DefaultCommitStrategy-Implementierung führt die Methoden Insert, Update oder Delete in Abhängigkeit vom Objektzustand aus. |
Implementierung für Insert-Methode |
Implementierung für die Insert-Methode der Schematypen.
Die DefaultInsertMethodStrategy-Implementierung sendet add-Anfragen an den LDAP Server um neue Einträge zu erzeugen. |
Implementierung für Update-Methode |
Implementierung für die Update-Methode der Schematypen.
Die DefaultUpdateMethodStrategy-Implementierung sendet modify- und modifydn-Anfragen an den LDAP Server um Änderungen an vorhandenen Einträgen zu publizieren. |
Implementierung für Delete-Methode |
Implementierung für die Delete-Methode der Schematypen.
Die DefaultDeleteMethodStrategy-Implementierung sendet delete-Anfragen an den LDAP Server um vorhandene Einträge zu löschen. |
Handler für Schemaeigenschaften
DNBackLinkPropertyHandler |
Handler für Rückwärtsverweise. Der Handler sorgt für die Auslösung von Rückwärtsverweisen zwischen Schemaeigenschaften.
Beispiel:
Der Handler wird für die Schemaeigenschaft Member der Gruppe konfiguiert. Als Eigenschaft für Rückwärtsverweise wird die Schemaeigenschaft MemberOf ausgewählt.
Bei der Zuweisung eines Benutzerkontos an eine Gruppen wird im Zielsystem das Benutzerkonto in der Schemaeigenschaft Member der Gruppe eingetragen. Der Handler ermittelt das referenzierte Objekt, in diesem Fall das Benutzerkonto und trägt in der Schemaeigenschaft MemberOf den Verweis auf die Gruppe ein. |
MirrorPropertyHandler |
Handler für Spiegeleigenschaften. Mit diesem Handler werden die Werte und Änderungen der Schemaeigenschaft, für die der Handler definiert ist, auf die unter Spiegeleigenschaft ausgewählte Schemaeigenschaft übertragen.
Beispiel:
Der Handler wird für die Schemaeigenschaft Member der Gruppe konfiguiert. Als Spiegeleigenschaft wird die Eigenschaft equivalentToMe ausgewählt.
Bei der Zuweisung eines Benutzerkontos an eine Gruppen wird im Zielsystem das Benutzerkonto in der Schemaeigenschaft Member der Gruppe eingetragen. Diese Änderung wird ebenfalls in die Schemaeigenschaft equivalentToMe der Gruppe übernommen, |
RdnPropertyHandler |
Der Handler behandelt die virtuelle Schemaeigenschaft vrtEntryRDN. Die Schemaeigenschaft vrtEntryRDN repräsentiert den relativen definierten Namen eines Eintrages. Der definierte Name setzt sich aus einem oder mehreren Paaren von Attributname-Attributwert-Kombinationen mit der Syntax <Attributname>=<AttributWert>[+<Attributname>=<AttributWert>] zusammen.
Beispiele:
CN=Ben King
OU=Sales
CN=Clara Harris+UID=char
Der Handler sorgt beim Setzen eines Wertes für vrtEntryRDN dafür, dass die entsprechend referenzierten Eigenschaften des LDAP Eintrages analog gesetzt werden.
Beispiele:
Für den vrtEntryRDN mit dem Wert CN=Ben King wird Eigenschaft CN wird auf den Wert Ben King gesetzt.
Für den vrtEntryRDN mit dem Wert OU=Sales wird die Eigenschaft OU wird auf den Wert Sales gesetzt.
Für den vrtEntryRDN mit dem Wert CN=Clara Harris+UID=char wird Eigenschaft CN auf den Wert Clara Harris gesetzt, die UID erhält den Wert char. |
DefaultValueModificationHandler |
Der Handler sorgt dafür, dass immer mindestens ein definierter Standardwert auf eine Schemaeigenschaft geschrieben wird. Dies kann aktuell ein Freitext oder der Distinguished Namen des Objektes sein, an dem der Wert definiert ist, beispielsweise eine Gruppe.
Initial und bei Änderung der Schemaeigenschaft, der der Handler zugewiesen wurde, wird eine Operation CheckForDefaultValueAction eingestellt.
Der Handler sorgt für folgendes Verhalten:
-
Wenn das Objekt gerade neu angelegt wird , wird geprüft, ob die Schemaeigenschaft einen Wert hat. Ist dies nicht der Fall, wird der Standardwert auf die Schemaeigenschaft geschrieben.
-
Handelt es sich um eine Änderung, wird zunächst die Eigenschaft aus dem Zielsystem geladen.
Es wird zwischen folgenden Fällen unterschieden:
-
Im LDAP steht der Standardwert bereits auf der Schemaeigenschaft. Durch die anstehende Änderung wird ein anderer (zusätzlicher) Wert auf die Schemaeigenschaft geschrieben.
Der Standardwert wird aus der Schemaeigenschaft im LDAP entfernt und der neue Wert wird auf die Schemaeigenschaft geschrieben.
-
Im LDAP steht der Standardwert noch nicht auf der Schemaeigenschaft. Durch die anstehende Änderung soll die Schemaeigenschaft geleert werden, beispielsweise der letzte Wert entfernt werden.
Der Standardwert wird auf die Schemaeigenschaft im LDAP geschrieben. |
Um einen Schematyp zu bearbeiten
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp aus.
Im rechten Bereich der Ansicht werden die Eigenschaften des Schematyps angezeigt.
Um einen einfachen virtuellen Schematyp zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema einen Schematyp aus und klicken Sie .
-
Bearbeiten Sie die Eigenschaften des Schematyps.
Um einen virtuellen Schematyp aus mehreren Schemaklassen zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema die Schemaklassen, die kombiniert werden sollen mittels Strg + Auswahl und klicken Sie .
-
Bearbeiten Sie die Eigenschaften des Schematyps.
Um einen virtuellen Schematyp zu löschen
Um eine Methode zu bearbeiten
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Methods die Methode.
Im rechten Bereich der Ansicht werden die Eigenschaften der Methode angezeigt.
Um eine Methode zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie den Eintrag Methods und klicken Sie .
- Bearbeiten Sie die Eigenschaften der Methode.
Um eine Methode zu löschen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Methods die Methode und klicken Sie .
Um eine Schemaeigenschaft zu bearbeiten
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Properties die Schemaeigenschaft.
Im rechten Bereich der Ansicht werden die Attribute der Schemaeigenschaft angezeigt.
Um eine virtuelle Schemaeigenschaft zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie den Eintrag Properties und klicken Sie .
- Bearbeiten Sie die Details der Schemaeigenschaft.
Um eine virtuelle Schemaeigenschaft zu löschen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Properties die Schemaeigenschaft und klicken Sie .
Verwandte Themen
Schema aktualisieren
Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.
Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.
Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:
-
ein Schema geändert wurde, durch:
-
Änderungen am Zielsystemschema
-
unternehmensspezifische Anpassungen des One Identity Manager Schemas
-
eine Update-Migration des One Identity Manager
-
ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
-
die Aktivierung des Synchronisationsprojekts
-
erstmaliges Speichern des Synchronisationsprojekts
-
Komprimieren eines Schemas
Um das Schema einer Systemverbindung zu aktualisieren
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
- ODER -
Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.
-
Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die Schemadaten werden neu geladen.
Um ein Mapping zu bearbeiten
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Mappings.
-
Wählen Sie in der Navigationsansicht das Mapping.
Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.
Beschleunigung der Synchronisation durch Revisionsfilterung
Beim Start der Synchronisation werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.
LDAP unterstützt die Revisionsfilterung. Als Revisionszähler werden die Revisionsattribute genutzt, die bei der Einrichtung des Synchronisationsprojektes definiert wurden. In der Standardinstallation werden das Erstellungsdatum und Datum der letzten Änderung der LDAP Objekte genutzt. Jede Synchronisation speichert ihr letztes Ausführungsdatum in der One Identity Manager-Datenbank. (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Beim nächsten Synchronisationslauf werden nur noch jene Objekte gelesen, die sich seit diesem Datum verändert haben. Anhand des Vergleichs werden unnötige Aktualisierungen von Objekten, die sich seit dem letzten Synchronisationslauf nicht verändert haben, vermieden.
Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die durch die Synchronisation geändert werden, werden bei der nächsten Synchronisation nochmals geladen und überprüft. Die zweite Synchronisation nach der Initialsynchronisation ist daher noch nicht deutlich schneller.
Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.
Um die Revisionsfilterung an einem Workflow zuzulassen
Um die Revisionsfilterung an einer Startkonfiguration zuzulassen
HINWEIS: Beim Einrichten der initialen Synchronisation geben Sie bereits im Projektassistenten an, ob die Revisionsfilterung genutzt werden soll.
Ausführliche Informationen zur Revisionsfilterung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Provisionierung von Mitgliedschaften konfigurieren
Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:
-
Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.
Beispiel: Liste von Benutzerkonten in der Eigenschaft Member einer LDAP Gruppe (GroupOfNames)
-
Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
-
Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.
Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.
Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.
Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen
-
Wählen Sie im Manager die Kategorie LDAP > Basisdaten zur Konfiguration > Zielsystemtypen.
-
Wählen Sie in der Ergebnisliste den Zielsystemtyp LDAP.
-
Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
-
Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.
-
Klicken Sie Merge-Modus.
HINWEIS:
-
Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.
-
Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.
Beispiel: LDAPAccountInLDAPGroup, LDAPGroupInLDAPGroup und LDAPMachineInLDAPGroup
- Speichern Sie die Änderungen.
Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.
HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.
Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.
Um die originale Bedingung wiederherzustellen
-
Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.
-
Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.
- Speichern Sie die Änderungen.
HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.
Beispiel für eine Bedingung an der Zuordnungstabelle LDAPAccountInLDAPGroup:
exists (select top 1 1 from LDAPGroup g
where g.UID_LDAPGroup = i.UID_LDAPGroup
and <einschränkende Bedingung>)
Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.