Erweiterte Einstellungen des generischen LDAP Konnektors
WICHTIG: Änderungen an den erweiterten Einstellungen sollten nur von erfahrenen Benutzern des Synchronization Editors und erfahrenen Systemadministratoren vorgenommen werden.
Mit dem Systemverbindungsassistenten können Sie bei Bedarf folgende erweiterte Eigenschaften des generischen Konnektors konfigurieren:
-
Definition von Hilfsklassen von Typ Auxiliary
-
Definition virtueller Klassen für nicht RFC konforme Abbildungen von Objekten
-
Definition von Systemattributen zur Objektidentifikation, Revisionsattributen und zusätzlichen funktionalen Attributen
-
Definition weiterer Attribute für die Unterstützung dynamischer Gruppen
HINWEIS: Um die erweiterten Einstellungen vorzunehmen, aktivieren Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen konfigurieren (Expertenmodus).
Hilfsklassen definieren
Auf der Seite Hilfsklassen definieren wählen Sie die strukturellen Klassen, die vom LDAP Konnektor als Hilfsklassen betrachtet werden sollen. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.
Mehrere zugewiesene strukturelle Klassen führen dazu, das ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Hilfsklassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.
HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.
Hilfsklassen zuordnen
Auf der Seite Hilfsklassen zuordnen weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu.
Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.
HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.
Virtuelle Klassen definieren
Auf der Seite Virtuelle Klassen definieren Sie zusätzliche virtuelle Klassen. Objekte, die aus mehreren strukturelle Klassen bestehen, können nur in LDAP Systemen erstellt werden, die nicht RFC-konform sind. Sie bestehen aus zwei oder mehr unterschiedlichen Klassen, die nicht voneinander abgeleitet sind, beispielsweise OrganisationalUnit und inetOrgPerson.
Um eine virtuelle Klasse zu erstellen
-
Klicken Sie im Systemverbindungsassistenten auf der Seite Virtuelle Klassen im Bereich Konfigurierte virtuelle Klassen und erfassen Sie im Eingabefeld Virtuelle Klasse die Bezeichnung der virtuellen Klasse.
-
Wählen Sie im Bereich Strukturelle Klassen wählen die strukturelle Klassen, die auf die virtuelle Klasse abgebildet werden.
Zusätzliche Systemattribute festlegen
Auf der Seite Systemattribute legen Sie fest, welches Attribut des LDAP Systems verwendet werden soll, um die Objekte eindeutig zu identifizieren.
-
Im Bereich Attribut für die Objektidentifikation wählen Sie das Attribut, mit dem Objekte eindeutig im LDAP zu identifizieren sind. Das Attribut muss eindeutig sein und an allen Objekten im LDAP vorhanden sein.
-
Im Bereich Revisionsattribute legen Sie fest, welche Attribute für Revisionsfilterung genutzt werden.
-
Im Bereich Zusätzliche funktionale Attribute legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die Attribute werden nur ermittelt, wenn sie explizit angegeben sind.
HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.
Attribute für die Unterstützung dynamischer Gruppen definieren
Wenn der LDAP Server dynamische Gruppen unterstützt, markieren Sie auf der Seite Auswahl von Eigenschaften dynamischer Gruppen, die Attribute, welche die URL mit Suchinformationen enthalten, um die Mitglieder von dynamischen Gruppen zu bestimmen, beispielsweise memberURL.
Verwandte Themen
Erweiterte Schemakonfiguration mit dem LDAP Konnektor V2
Durch die Vorkonfiguration des Konnektors, die Sie im Systemverbindungsassistenten wählen können, sind bereits die erforderlichen Schemakonfigurationen eingerichtet. Sollte es in Ausnahmefällen erforderlich sein, weitere Anpassungen vorzunehmen, können Sie im Systemverbindungsassistenten die Schematypen, Schemaeigenschaften oder Methoden konfigurieren.
WICHTIG: Änderungen an der Schemakonfiguration sollten nur von erfahrenen Benutzern des Synchronization Editors und erfahrenen Systemadministratoren vorgenommen werden.
HINWEIS: Um die erweiterten Einstellungen vorzunehmen, aktivieren Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen anzeigen.
Auf der Seite Konnektor Schemakonfiguration wird ein hierarchisches Metaschema mit den Schematypen, die entstehen werden, angezeigt. Sie können Schemaklassen, Methoden und Schemaeigenschaften bearbeiten, erstellen oder löschen. Die dargestellten Informationen sind an die Informationen im Synchronization Editor angelehnt.
Nutzen Sie diese Einstellungen beispielsweise um:
-
festzulegen, welche Schemaeigenschaft für die Revisionsfilterung genutzt werden soll
-
festzulegen, über welche Schemaeigenschaft ein Objekt eindeutig identifiziert werden kann
-
bei Bedarf virtuelle Schematypen zu definieren
Implementierungen
HINWEIS: Die globalen Einstellungen für die Implementierungen für Lesen und Schreiben sind auf der Seite Konnektor Schemakonfiguration am Eintrag Schema hinterlegt.
Tabelle 7: Implementierungen
Implementierung für Abfragen |
Implementierung, die für das Abrufen von Einträgen vom LDAP Server verwendet wird.
Die DefaultQueryStrategy-Implementierung verwendet die konfigurierte LDAP Verbindung zum Abrufen von Einträgen. |
Implementierung für Typauslösung |
Implementierung die LDAP Einträge inspiziert, die vom LDAP Server zurückgeliefert wurden und versucht, den entsprechenden Konnektor-Schematyp für das resultierende Konnektor-Objekt zu ermitteln.
Die DefaultSchemaTypeResolveStrategy-Implementierung versucht, die strukturelle Objektklasse des zurückgelieferten Objektes zu bestimmen und anschließend einen Schematyp mit dem gleichen Namen zu finden |
Implementierung für Lesen |
Implementierung zur Konvertierung von Werten einer Schemaeigenschaft basierend auf einem LDAP Eintrag. |
Referenzbehandlung |
Implementierung zur Erzeugung oder Auflösung von Referenzwerten einer Schemaeigenschaft eines LDAP Eintrages. Eine Referenz in LDAP ist gewöhnlicherweise eine Eigenschaft, welche über den definierten Namen auf einen anderen Eintrag verweist. |
Implementierung für Commit |
Implementierung, die verwendet wird, wenn Einträge vom Konnektor auf dem LDAP Server gespeichert werden.
Die DefaultCommitStrategy-Implementierung führt die Methoden Insert, Update oder Delete in Abhängigkeit vom Objektzustand aus. |
Implementierung für Insert-Methode |
Implementierung für die Insert-Methode der Schematypen.
Die DefaultInsertMethodStrategy-Implementierung sendet add-Anfragen an den LDAP Server um neue Einträge zu erzeugen. |
Implementierung für Update-Methode |
Implementierung für die Update-Methode der Schematypen.
Die DefaultUpdateMethodStrategy-Implementierung sendet modify- und modifydn-Anfragen an den LDAP Server um Änderungen an vorhandenen Einträgen zu publizieren. |
Implementierung für Delete-Methode |
Implementierung für die Delete-Methode der Schematypen.
Die DefaultDeleteMethodStrategy-Implementierung sendet delete-Anfragen an den LDAP Server um vorhandene Einträge zu löschen. |
Handler für Schemaeigenschaften
DNBackLinkPropertyHandler |
Handler für Rückwärtsverweise. Der Handler sorgt für die Auslösung von Rückwärtsverweisen zwischen Schemaeigenschaften.
Beispiel:
Der Handler wird für die Schemaeigenschaft Member der Gruppe konfiguiert. Als Eigenschaft für Rückwärtsverweise wird die Schemaeigenschaft MemberOf ausgewählt.
Bei der Zuweisung eines Benutzerkontos an eine Gruppen wird im Zielsystem das Benutzerkonto in der Schemaeigenschaft Member der Gruppe eingetragen. Der Handler ermittelt das referenzierte Objekt, in diesem Fall das Benutzerkonto und trägt in der Schemaeigenschaft MemberOf den Verweis auf die Gruppe ein. |
MirrorPropertyHandler |
Handler für Spiegeleigenschaften. Mit diesem Handler werden die Werte und Änderungen der Schemaeigenschaft, für die der Handler definiert ist, auf die unter Spiegeleigenschaft ausgewählte Schemaeigenschaft übertragen.
Beispiel:
Der Handler wird für die Schemaeigenschaft Member der Gruppe konfiguiert. Als Spiegeleigenschaft wird die Eigenschaft equivalentToMe ausgewählt.
Bei der Zuweisung eines Benutzerkontos an eine Gruppen wird im Zielsystem das Benutzerkonto in der Schemaeigenschaft Member der Gruppe eingetragen. Diese Änderung wird ebenfalls in die Schemaeigenschaft equivalentToMe der Gruppe übernommen, |
RdnPropertyHandler |
Der Handler behandelt die virtuelle Schemaeigenschaft vrtEntryRDN. Die Schemaeigenschaft vrtEntryRDN repräsentiert den relativen definierten Namen eines Eintrages. Der definierte Name setzt sich aus einem oder mehreren Paaren von Attributname-Attributwert-Kombinationen mit der Syntax <Attributname>=<AttributWert>[+<Attributname>=<AttributWert>] zusammen.
Beispiele:
CN=Ben King
OU=Sales
CN=Clara Harris+UID=char
Der Handler sorgt beim Setzen eines Wertes für vrtEntryRDN dafür, dass die entsprechend referenzierten Eigenschaften des LDAP Eintrages analog gesetzt werden.
Beispiele:
Für den vrtEntryRDN mit dem Wert CN=Ben King wird Eigenschaft CN wird auf den Wert Ben King gesetzt.
Für den vrtEntryRDN mit dem Wert OU=Sales wird die Eigenschaft OU wird auf den Wert Sales gesetzt.
Für den vrtEntryRDN mit dem Wert CN=Clara Harris+UID=char wird Eigenschaft CN auf den Wert Clara Harris gesetzt, die UID erhält den Wert char. |
DefaultValueModificationHandler |
Der Handler sorgt dafür, dass immer mindestens ein definierter Standardwert auf eine Schemaeigenschaft geschrieben wird. Dies kann aktuell ein Freitext oder der Distinguished Namen des Objektes sein, an dem der Wert definiert ist, beispielsweise eine Gruppe.
Initial und bei Änderung der Schemaeigenschaft, der der Handler zugewiesen wurde, wird eine Operation CheckForDefaultValueAction eingestellt.
Der Handler sorgt für folgendes Verhalten:
-
Wenn das Objekt gerade neu angelegt wird , wird geprüft, ob die Schemaeigenschaft einen Wert hat. Ist dies nicht der Fall, wird der Standardwert auf die Schemaeigenschaft geschrieben.
-
Handelt es sich um eine Änderung, wird zunächst die Eigenschaft aus dem Zielsystem geladen.
Es wird zwischen folgenden Fällen unterschieden:
-
Im LDAP steht der Standardwert bereits auf der Schemaeigenschaft. Durch die anstehende Änderung wird ein anderer (zusätzlicher) Wert auf die Schemaeigenschaft geschrieben.
Der Standardwert wird aus der Schemaeigenschaft im LDAP entfernt und der neue Wert wird auf die Schemaeigenschaft geschrieben.
-
Im LDAP steht der Standardwert noch nicht auf der Schemaeigenschaft. Durch die anstehende Änderung soll die Schemaeigenschaft geleert werden, beispielsweise der letzte Wert entfernt werden.
Der Standardwert wird auf die Schemaeigenschaft im LDAP geschrieben. |
Um einen Schematyp zu bearbeiten
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp aus.
Im rechten Bereich der Ansicht werden die Eigenschaften des Schematyps angezeigt.
Um einen einfachen virtuellen Schematyp zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema einen Schematyp aus und klicken Sie .
-
Bearbeiten Sie die Eigenschaften des Schematyps.
Um einen virtuellen Schematyp aus mehreren Schemaklassen zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema die Schemaklassen, die kombiniert werden sollen mittels Strg + Auswahl und klicken Sie .
-
Bearbeiten Sie die Eigenschaften des Schematyps.
Um einen virtuellen Schematyp zu löschen
Um eine Methode zu bearbeiten
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Methods die Methode.
Im rechten Bereich der Ansicht werden die Eigenschaften der Methode angezeigt.
Um eine Methode zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie den Eintrag Methods und klicken Sie .
- Bearbeiten Sie die Eigenschaften der Methode.
Um eine Methode zu löschen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Methods die Methode und klicken Sie .
Um eine Schemaeigenschaft zu bearbeiten
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Properties die Schemaeigenschaft.
Im rechten Bereich der Ansicht werden die Attribute der Schemaeigenschaft angezeigt.
Um eine virtuelle Schemaeigenschaft zu erstellen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie den Eintrag Properties und klicken Sie .
- Bearbeiten Sie die Details der Schemaeigenschaft.
Um eine virtuelle Schemaeigenschaft zu löschen
-
Wählen Sie im Systemverbindungsassistenten auf der Seite Konnektor Schemakonfiguration im Bereich Schema den Schematyp.
-
Wählen Sie unter Properties die Schemaeigenschaft und klicken Sie .
Verwandte Themen
Schema aktualisieren
Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.
Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.
Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:
-
ein Schema geändert wurde, durch:
-
Änderungen am Zielsystemschema
-
unternehmensspezifische Anpassungen des One Identity Manager Schemas
-
eine Update-Migration des One Identity Manager
-
ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
-
die Aktivierung des Synchronisationsprojekts
-
erstmaliges Speichern des Synchronisationsprojekts
-
Komprimieren eines Schemas
Um das Schema einer Systemverbindung zu aktualisieren
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
- ODER -
Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.
-
Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die Schemadaten werden neu geladen.
Um ein Mapping zu bearbeiten
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Mappings.
-
Wählen Sie in der Navigationsansicht das Mapping.
Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.
Beschleunigung der Synchronisation durch Revisionsfilterung
Beim Start der Synchronisation werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.
LDAP unterstützt die Revisionsfilterung. Als Revisionszähler werden die Revisionsattribute genutzt, die bei der Einrichtung des Synchronisationsprojektes definiert wurden. In der Standardinstallation werden das Erstellungsdatum und Datum der letzten Änderung der LDAP Objekte genutzt. Jede Synchronisation speichert ihr letztes Ausführungsdatum in der One Identity Manager-Datenbank. (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Beim nächsten Synchronisationslauf werden nur noch jene Objekte gelesen, die sich seit diesem Datum verändert haben. Anhand des Vergleichs werden unnötige Aktualisierungen von Objekten, die sich seit dem letzten Synchronisationslauf nicht verändert haben, vermieden.
Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die durch die Synchronisation geändert werden, werden bei der nächsten Synchronisation nochmals geladen und überprüft. Die zweite Synchronisation nach der Initialsynchronisation ist daher noch nicht deutlich schneller.
Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.
Um die Revisionsfilterung an einem Workflow zuzulassen
Um die Revisionsfilterung an einer Startkonfiguration zuzulassen
HINWEIS: Beim Einrichten der initialen Synchronisation geben Sie bereits im Projektassistenten an, ob die Revisionsfilterung genutzt werden soll.
Ausführliche Informationen zur Revisionsfilterung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.