Standardmäßig werden Objekte mit fehlerhaften Daten nicht synchronisiert. Diese Objekte können synchronisiert werden, sobald die fehlerhaften Daten korrigiert wurden. In einzelnen Situationen kann es notwendig sein, solche Objekte dennoch zu synchronisieren und nur die fehlerhaften Objekteigenschaften zu ignorieren. Dieses Verhalten kann für die Synchronisation in den One Identity Manager konfiguriert werden.
Um Datenfehler bei der Synchronisation in den One Identity Manager zu ignorieren
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.
-
In der Ansicht Allgemein klicken Sie Verbindung bearbeiten.
Der Systemverbindungsassistent wird gestartet.
-
Auf der Seite Weitere Einstellungen aktivieren Sie Versuche Datenfehler zu ignorieren.
Diese Option ist nur wirksam, wenn am Synchronisationsworkflow Bei Fehler fortsetzen eingestellt ist.
Fehler in Standardspalten, wie Primärschlüssel oder UID-Spalten, und Pflichteingabespalten können nicht ignoriert werden.
- Speichern Sie die Änderungen.
WICHTIG: Wenn die Option aktiviert ist, versucht der One Identity Manager Speicherfehler zu ignorieren, die auf Datenfehler in einer einzelnen Spalte zurückgeführt werden können. Dabei wird die Datenänderung an der betroffenen Spalte verworfen und das Objekt anschließend neu gespeichert. Das beeinträchtigt die Performance und führt zu Datenverlust.
Aktivieren Sie die Option nur im Ausnahmefall, wenn eine Korrektur der fehlerhaften Daten vor der Synchronisation nicht möglich ist.
Wenn ein Zielsystemkonnektor das Zielsystem zeitweilig nicht erreichen kann, können Sie den Offline-Modus für dieses Zielsystem aktivieren. Damit können Sie verhindern, dass zielsystemspezifische Prozesse in der Jobqueue eingefroren werden und später manuell reaktiviert werden müssen.
Ob der Offline-Modus für eine Zielsystemverbindung grundsätzlich verfügbar ist, wird am Basisobjekt des jeweiligen Synchronisationsprojekts festgelegt. Sobald ein Zielsystem tatsächlich nicht erreichbar ist, kann diese Zielsystemverbindungen über das Launchpad offline und anschließend wieder online geschaltet werden.
Im Offline-Modus werden alle dem Basisobjekt zugewiesenen Jobserver angehalten. Dazu gehören der Synchronisationsserver und alle an der Lastverteilung beteiligten Jobserver. Falls einer der Jobserver auch andere Aufgaben übernimmt, dann werden diese ebenfalls nicht verarbeitet.
Voraussetzungen
Der Offline-Modus kann nur unter bestimmten Voraussetzungen für ein Basisobjekt zugelassen werden.
-
Der Synchronisationsserver wird für kein anderes Basisobjekt als Synchronisationsserver genutzt.
-
Wenn dem Basisobjekt eine Serverfunktion zugewiesen ist, darf keiner der Jobserver mit dieser Serverfunktion eine andere Serverfunktion (beispielsweise Aktualisierungsserver) haben.
-
Es muss ein dedizierter Synchronisationsserver eingerichtet sein, der ausschließlich die Jobqueue für dieses Basisobjekt verarbeitet. Gleiches gilt für alle Jobserver, die über die Serverfunktion ermittelt werden.
Um den Offline-Modus für ein Basisobjekt zuzulassen
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Basisobjekte.
-
Wählen Sie in der Dokumentenansicht das Basisobjekt und klicken Sie .
-
Aktivieren Sie Offline-Modus verfügbar.
- Klicken Sie OK.
- Speichern Sie die Änderungen.
WICHTIG: Um Dateninkonsistenzen zu vermeiden, sollten Offline-Phasen kurz gehalten werden.
Die Zahl der nachträglich zu verarbeitenden Prozesse ist abhängig vom Umfang der Änderungen in der One Identity Manager-Datenbank mit Auswirkungen auf das Zielsystem während der Offline-Phase. Um Datenkonsistenz zwischen One Identity Manager-Datenbank und Zielsystem herzustellen, müssen alle anstehenden Prozesse verarbeitet werden, bevor eine Synchronisation gestartet wird.
Nutzen Sie den Offline-Modus möglichst nur, um kurzzeitige Systemausfälle, beispielsweise Wartungsfenster, zu überbrücken.
Um ein Zielsystem als offline zu kennzeichnen
-
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
-
Wählen Sie Verwalten > Systemüberwachung > Zielsysteme als offline kennzeichnen.
-
Klicken Sie Starten.
Der Dialog Offline-Systeme verwalten wird geöffnet. Im Bereich Basisobjekte werden die Basisobjekte aller Zielsystemverbindungen angezeigt, für die der Offline-Modus zugelassen ist.
-
Wählen Sie das Basisobjekt, dessen Zielsystemverbindung nicht verfügbar ist.
-
Klicken Sie Offline schalten.
- Bestätigen Sie die Sicherheitsabfrage mit OK.
Damit werden die dem Basisobjekt zugewiesenen Jobserver angehalten. Es werden keine Synchronisations- und Provisionierungsaufträge ausgeführt. In Job Queue Info wird angezeigt, wenn ein Jobserver offline geschaltet wurde und die entsprechenden Aufträge nicht verarbeitet werden.
Ausführliche Informationen zum Offline-Modus finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Verwandte Themen
Für die Verwaltung einer Exchange Online-Umgebung im One Identity Manager sind folgende Basisdaten relevant.
-
Kontendefinitionen
Um Benutzerkonten automatisch an Identitäten zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Identität noch kein Benutzerkonto in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Identität ein neues Benutzerkonto erzeugt.
Weitere Informationen finden Sie unter Kontendefinitionen für Exchange Online E-Mail Benutzer und Exchange Online E-Mail Kontakte.
-
Kennwortrichtlinien
Der unterstützt Sie beim Erstellen von komplexen Kennwortrichtlinien beispielsweise für Systembenutzerkennwörter, das zentrale Kennwort von Identitäten sowie für Kennwörter für die einzelnen Zielsysteme. Kennwortrichtlinien werden sowohl bei der Eingabe eines Kennwortes durch den Anwender als auch bei der Generierung von Zufallskennwörtern angewendet.
In der Standardinstallation werden vordefinierte Kennwortrichtlinien mitgeliefert, die Sie nutzen können und bei Bedarf an Ihre Anforderungen anpassen können. Zusätzlich können Sie eigene Kennwortrichtlinien definieren.
Für die Verwendung von Kennwortrichtlinien werden die Konfigurationseinstellungen für Azure Active Directory genutzt. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.
-
Initiales Kennwort für neue E-Mail Benutzer
Um das initiale Kennwort für E-Mail Benutzer zu vergeben, stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Tragen Sie beim Erstellen eines E-Mail Benutzers ein Kennwort ein oder verwenden Sie ein zufällig generiertes initiales Kennwort.
Für die Generierung von Zufallskennwörtern für neue E-Mail Benutzer werden die Konfigurationseinstellungen für Azure Active Directory genutzt. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.
-
E-Mail-Benachrichtigungen über die Anmeldeinformationen
Bei Erstellung eines neuen E-Mail Benutzers werden die Anmeldeinformationen an definierte Empfänger versendet. Dabei werden zwei Benachrichtigungen versendet, die den Benutzernamen und das initiale Kennwort enthalten. Zur Erzeugung der Benachrichtigungen werden Mailvorlagen genutzt.
Für das Versenden der Anmeldeinformationen werden die Konfigurationseinstellungen für Azure Active Directory genutzt. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.
-
Zielsystemtypen
Zielsystemtypen werden für die Konfiguration des Zielsystemabgleichs benötigt. An den Zielsystemtypen werden die Tabellen gepflegt, die ausstehende Objekte enthalten können. Es werden Einstellungen für die Provisionierung von Mitgliedschaften und die Einzelobjektsynchronisation vorgenommen. Zusätzlich dient der Zielsystemtyp zur Abbildung der Objekte im Unified Namespace.
Weitere Informationen finden Sie unter Ausstehende Objekte nachbehandeln.
-
Zielsystemverantwortliche
Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Identitäten zu, die berechtigt sind, alle Exchange Online Objekte im One Identity Manager zu bearbeiten.
Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Mandanten mit Exchange Online einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.
Weitere Informationen finden Sie unter Zielsystemverantwortliche für Exchange Online.
-
Server
Für die Verarbeitung der Exchange Online-spezifischen Prozesse im One Identity Manager müssen die Server mit ihren Serverfunktionen bekannt sein. Dazu gehört beispielsweise der Synchronisationsserver.
Weitere Informationen finden Sie unter Jobserver für Exchange Online-spezifische Prozessverarbeitung.
HINWEIS: Exchange Online Benutzerpostfächer werden über das Zuweisen und das Entfernen von Lizenzen über Azure Active Directory Abonnements erstellt beziehungsweise gelöscht. Weitere Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.
Um E-Mail Benutzer oder E-Mail Kontakte automatisch an Identitäten zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Identität noch keinen E-Mail Benutzer oder E-Mail Kontakt in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Identität ein neuer E-Mail Benutzer oder ein neuer E-Mail Kontakt erzeugt.
Ausführliche Informationen zu Kontendefinitionen finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Für den Einsatz einer Kontendefinition sind die folgenden Schritte erforderlich:
-
Erstellen von Kontendefinitionen
-
Konfigurieren der Automatisierungsgrade
-
Erstellen der Abbildungsvorschriften für die IT Betriebsdaten
-
Erfassen der IT Betriebsdaten
-
Zuweisen der Kontendefinitionen an Identitäten und Zielsysteme
Detaillierte Informationen zum Thema