サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Synchronisationsprotokoll konfigurieren Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren Synchronisationsprojekte kopieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Lastverteilung bei der Provisionierung und Einzelobjektsynchronisation

ProvisionierungGeschlossen und EinzelobjektsynchronisationGeschlossen können beschleunigt werden, indem die Verarbeitung der ProzesseGeschlossen auf mehrere JobserverGeschlossen verteilt wird. Dafür wird an den Basisobjekten festgelegt, welche Jobserver die Objekte parallel verarbeiten sollen.

Die Lastverteilung kann eingesetzt werden, um Lastspitzen aufzufangen, beispielsweise wenn an einer Hochschule zu Semesterbeginn zahlreiche neue Benutzerkonten angelegt und in das Zielsystem provisioniert werden.

Muss nach einer Umstrukturierung im Zielsystem eine Eigenschaft an den Benutzerkonten geändert werden, können alle betroffenen Benutzerkonten ausgewählt und die Änderung der Eigenschaft per Einzelobjektsynchronisation in die One Identity Manager-Datenbank eingelesen werden.

Für solche Fälle werden die benötigten Jobserver konfiguriert. Pro BasisobjektGeschlossen wird eine ServerfunktionGeschlossen definiert und an die Jobserver zugewiesen. Alle so gekennzeichneten Jobserver führen die Prozesse zur Provisionierung und Einzelobjektsynchronisation parallel aus.

HINWEIS: Die Lastverteilung sollte nicht permanent für Provisionierungen oder Einzelobjektsynchronisationen eingesetzt werden. Durch die parallele Verarbeitung der Objekte kann es beispielsweise vorkommen, dass Abhängigkeiten nicht aufgelöst werden, da die referenzierten Objekte von einem anderen Jobserver noch nicht vollständig verarbeitet wurden.

Sobald die Lastverteilung nicht mehr benötigt wird, stellen Sie sicher, dass der SynchronisationsserverGeschlossen die Prozesse zur Provisionierung und Einzelobjektsynchronisation ausführt.

Um die Lastverteilung für ein Zielsystem zu konfigurieren

  1. Konfigurieren Sie die Server und geben Sie diese im One Identity Manager als Jobserver bekannt.

    • Für Jobserver, die an der Lastverteilung teilnehmen, muss die Option Keine Prozesszuteilung deaktiviert sein.

    • Weisen Sie diesen Jobservern die Standard-Serverfunktion des jeweiligen Zielsystems zu.

    Alle Jobserver müssen auf dasselbe Zielsystem zugreifen können, wie der Synchronisationsserver für das jeweilige Basisobjekt. Ausführliche Informationen zur Einrichtung der Synchronisationsserver finden Sie in den Administrationshandbüchern zur Anbindung der Zielsystemumgebung.

  2. Erstellen Sie im Synchronization EditorGeschlossen für das Basisobjekt des Zielsystems eine Serverfunktion.

    1. Auf dem Stammdatenformular des Basisobjekts klicken Sie neben dem Eingabefeld Serverfunktion.

    2. Erfassen Sie die Bezeichnung der Serverfunktion.

    3. Aktivieren Sie alle Jobserver, denen diese Serverfunktion zugewiesen werden soll.

      Aktivieren Sie nur die Jobserver, die auf dasselbe Zielsystem zugreifen können, wie der Synchronisationsserver des Basisobjekts.

    4. Klicken Sie OK.

Um den Synchronisationsserver ohne Lastverteilung zu nutzen

  • Entfernen Sie im Synchronization Editor die Serverfunktion vom Basisobjekt.
Einschränkungen

Die Lastverteilung wird nur genutzt, wenn die Anzahl der maximalen Instanzen für die ausgeführte ProzessfunktionGeschlossen oder ProzesskomponenteGeschlossen auf 0 oder > 1 gesetzt ist.

Keine Lastverteilung erfolgt, wenn die Anzahl der maximalen Instanzen an der Prozessfunktion oder Prozesskomponente auf 1 oder -1 gesetzt ist. Das betrifft Prozesse, welche eine der folgenden Prozessfunktionen nutzen:

  • AdHocProjectionSingle
  • AdHocProjectionSinglex86
  • UpdateProjectionSingle
  • UpdateProjectionSinglex86

Diese Prozessfunktionen werden beispielsweise von verschiedenen Provisionierungsprozessen für die Zielsystemtypen HCL Domino und Google Workspace genutzt.

Ausführliche Informationen zu Prozessfunktionen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema

Synchronisationsprojekte automatisiert erstellen und aktualisieren

SynchronisationsprojekteGeschlossen können automatisiert erstellt werden. Das kann beispielsweise nützlich sein, wenn Sie Synchronisationsprojekte für verschiedene Active Directory Domänen einrichten möchten, welche die gleiche Konfiguration haben sollen. Per Kommandozeilenbefehl oder Windows PowerShell CmdLet wird ein neues Synchronisationsprojekt erzeugt. Dabei wird die Konfiguration eines Referenzprojekts übernommen. Die Konfiguration des Referenzprojekts wird als Konfigurationssdatei bereitgestellt. In der Konfigurationssdatei können alle Einstellungen angepasst werden. Für veränderliche Einstellungen, wie das zu verbindende ZielsystemGeschlossen oder Kennwörter, definieren Sie Parameter, die beim Aufruf des Kommandos die zu verwendenden Werte erhalten.

Auf die gleiche Weise können bestehende Synchronisationsprojekte mit bereitgestellten Patches aktualisiert werden. Über ein Referenzprojekt wird eine Konfigurationsdatei bereitgestellt, die eine Liste aller anzuwendenden Patches enthält. Es können nur Patches angewendet werden, die keine Benutzereingaben erfordern.

Um die automatische Erstellung von Synchronisationsprojekten einzurichten

  1. Aktivieren Sie im Synchronization EditorGeschlossen den Expertenmodus.

  2. Erstellen Sie das Referenzprojekt mit dem Projektassistenten.

    1. Erstellen Sie ein neues Synchronisationsprojekt.

      • (Optional) Wenn für die automatisch zu erstellenden Synchronisationsprojekte eine Remoteverbindung genutzt werden soll, dann stellen Sie die Remoteverbindung bereits beim Erstellen des Referenzprojektes her.
    2. Auf der letzten Seite des Projektassistenten klicken Sie Konfiguration speichern.

    3. Wählen Sie den Speicherort für die Konfigurationsdatei und vergeben Sie einen Dateinamen.

      Die Datei wird als Synchronization Editor Workspace Datei mit der Erweiterung sews gespeichert.

    4. Beenden Sie den Projektassistenten.

  3. Passen Sie die Synchronisationskonfiguration in der Konfigurationsdatei an.

    • Prüfen Sie die gespeicherten Einstellungen und passen Sie die Werte an.

    • Erstellen Sie Parameter für veränderliche Einstellungen.

  4. Um Synchronisationsprojekte mit dieser Konfiguration zu erstellen,

  5. Um Synchronisationsprojekte automatisiert zu erzeugen, erstellen Sie Skripte, welche das Synchronization Editor Command Line Interface oder das Synchronization Editor Module for Windows PowerShell ausführen.

Um die automatische Aktualisierung von Synchronisationsprojekten einzurichten

  1. Aktivieren Sie im Synchronization Editor den Expertenmodus.

  2. Erstellen Sie die Konfigurationsdatei.

    1. Öffnen Sie das Referenzprojekt.

    2. (Optional) Wenn für die automatisch zu aktualisierenden Synchronisationsprojekte eine Remoteverbindung genutzt werden soll, dann stellen Sie jetzt die Remoteverbindung her.

    3. Wählen Sie das Menü Bearbeiten | Synchronisationsprojekt aktualisieren.

    4. Wählen Sie im Bereich Verfügbare Patches die Patches aus, die angewendet werden sollen. Wählen Sie mindestens einen Patch oder Meilenstein aus. Mehrfachauswahl ist möglich.

    5. Klicken Sie Konfiguration speichern.

    6. Wählen Sie den Speicherort für die Konfigurationsdatei und vergeben Sie einen Dateinamen.

      Die Datei wird als Synchronization Editor Workspace Datei mit der Erweiterung sews gespeichert.

  3. Passen Sie die Synchronisationskonfiguration in der Konfigurationsdatei an.

    • Prüfen Sie die gespeicherten Einstellungen und passen Sie die Werte an.

    • Erstellen Sie Parameter für veränderliche Einstellungen.

  4. Um Synchronisationsprojekte mit dieser Konfiguration zu aktualisieren,

    • Rufen Sie das Synchronization Editor Command Line Interface auf.

      - ODER -

    • Laden Sie das Synchronization Editor Module for Windows PowerShell.

  5. Um Synchronisationsprojekte automatisiert zu aktualisieren, erstellen Sie Skripte, welche das Synchronization Editor Command Line Interface oder das Synchronization Editor Module for Windows PowerShell ausführen.

TIPP: Eine Konfigurationsdatei, die zum Einrichten neuer Synchronisationsprojekte erstellt wurde, kann auch für die Aktualisierung der Synchronisationsprojekte genutzt werden. Erweitern Sie die Konfigurationsdatei um den benötigten Editor und Parameter.

Detaillierte Informationen zum Thema

Anpassen der Konfigurationsdatei

In der Konfigurationsdatei werden alle Daten, die zum Erstellen oder Aktualisieren eines SynchronisationsprojektsGeschlossen benötigt werden, im XML-Format gespeichert. Die Datei gliedert sich in drei Hauptbereiche:

Struktur der Konfigurationsdatei

<?xml version="1.0" encoding="utf-8"?>

<SynchronizationEditorWorkspace Version="1.0">

<Parameters>

...

</Parameters>

<Global>

...

</Global>

<Editors>

...

</Editors>

</SynchronizationEditorWorkspace>

Um auf Basis dieser Konfigurationsdatei Synchronisationsprojekte zu erstellen oder zu aktualisieren, passen Sie die Einstellungen an. Wenn mit der Konfigurationsdatei verschiedene Synchronisationsprojekte erzeugt oder aktualisiert werden sollen, verwenden Sie Parameter für alle veränderlichen Werte.

Um die Konfigurationsdatei anzupassen

  1. Bestimmen Sie die veränderlichen Werte.

  2. Definieren Sie Parameter für jeden dieser Werte.

  3. Ersetzen Sie die Werte durch die Parameter.

Beispiel

Es sollen Synchronisationsprojekte für verschiedene Active Directory Domänen in unterschiedlichen One Identity Manager-Datenbanken auf ein und demselben Datenbankserver erstellt werden. Für eine dieser Domänen wurde das Synchronisationsprojekt mit dem Projektassistenten erstellt. Die Konfigurationsdatei dieses Referenzprojekts muss soweit angepasst werden, dass sie für alle anderen Domänen genutzt werden kann.

Folgende Einstellungen müssen angepasst werden:

  • Definieren Sie Parameter für die One Identity Manager-Datenbank, den Datenbankbenutzer, den Systembenutzer und dessen Kennwort.

  • Definieren Sie Parameter für den Namen der Domäne, den Domänen-Controller, den Active Directory Benutzer und dessen Kennwort.

  • Definieren Sie einen Parameter für den Anzeigenamen des Synchronisationsprojekts, wenn mehrere Synchronisationsprojekte in einer Datenbank angelegt werden sollen.

  • Ersetzen Sie die entsprechenden Werte in den globalen Definitionen und in den Definitionen des Editors durch diese Parameter.

    WICHTIG: Die Verbindungsdaten zur One Identity Manager-Datenbank in den globalen Definitionen (WorkDatabase.ConnectionString) und in den Definitionen des Editors (MainConnection.ConnectionParameter) müssen identisch sein. Wenn Sie diese Werte durch Parameter ersetzen, nutzen Sie jeweils die selben Parameter.

    Folgende Tabelle zeigt die notwendigen Anpassungen in der Konfigurationsdatei anhand eines Referenzprojekts aus einer SQL Server Datenbank. Ausführliche Informationen über die Verbindungsdaten zu einer SQL Server Datenbank finden Sie imOne Identity Manager Installationshandbuch. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

    Anpassungen in der Konfigurationsdatei für neue Synchronisationsprojekte:

    • WorkDatabase.ConnectionString

      data source=<Datenbankserver>;initial catalog=<Datenbank>;
      user id=<Nutzer>;pooling=False;Password=$DBPassword$

      Ersetzen Sie <Datenbank> und <Nutzer> durch Parameter, beispielsweise $Database$ und $DBUser$.

    • WorkDatabase.AuthenticationString

      Module=<AuthentifizierungsmodulGeschlossen>;User[VI.DB_USER]=<Systembenutzer>;(Password)Password[VI.DB_Password]=<Kennwort>

      Ersetzen Sie <Systembenutzer> und <Kennwort> durch Parameter, beispielsweise $SystemUser$ und $SystemPassword$.

    • MainConnection.ConnectionParameter

      Authentication=ProjectorAuthenticator;
      data source=<Datenbankserver>;DBFactory="VI.DB.ViSqlFactory, VI.DB";
      initial catalog=<Datenbank>;password="<DBPassword>";pooling=False;
      user id=<Nutzer>

      Ersetzen Sie <Systembenutzer> und <Kennwort> durch Parameter, beispielsweise $SystemUser$ und $SystemPassword$.

    • ConnectedSystemConnection.ConnectionParameter

      ADAuthentication=<Authentifizierungsart>;
      ADEnableras=<Remote Access Service>;
      ADEnablerecyclebin=<Active Directory Papierkorb>;
      ADEnableterminal=<Terminal-Dienst>;
      ADPort=<Port>;ADRootdn="<Definierter Name der Domäne>";
      ADServer=<Domänen-Controller>;
      ADTypeEnableExtensions=<Typklassen erlaubt>;
      ADTypeExtensions=<Typklassendefinition>;
      baseloginaccount=<Active Directory Benutzer>;
      basepassword="<Active Directory Kennwort>"

      Ersetzen Sie <Definierter Name der Domäne>, <Domänen-Controller>, <Active Directory Benutzer> und <Active Directory Kennwort> durch Parameter.

    • ShellDisplay

      <Anzeigename des Synchronisationsprojekts>

      Ersetzen Sie <Anzeigename des Synchronisationsprojekts> durch einen Parameter, wenn mehrere Synchronisationsprojekte in einer Datenbank angelegt werden sollen.

Weitere Informationen finden Sie unter Konfigurationsdatei zum Erstellen neuer Synchronisationsprojekte.

Parameterdefinitionen

Definieren Sie zuerst alle Parameter für die variablen Einstellungen. Die Parameter können in den globalen Definitionen und in den Definitionen des Editors genutzt werden.

Tabelle 83: Parameterdefinition

Attribut

Beschreibung

Parameter Name

Name des Parameters.

Display

Anzeigename des Parameters.

IsQueryParameter

Angabe, ob der Wert des Parameters durch den Benutzer eingegeben werden soll.

  • False: Der Parameterwert wird beim Kommandoaufruf übergeben.

  • True: Der Parameterwert wird nach dem Kommandoaufruf abgefragt. Der Benutzer muss einen Wert erfassen. Diese Einstellung kann beispielsweise genutzt werden, um ein Kennwort abzufragen.

IsSecret

Angabe, ob der Wert des Parameters angezeigt werden darf.

  • False: Der Wert des Parameters wird bei einer Benutzereingabe angezeigt.

  • True: Der Wert des Parameters wird bei einer Benutzereingabe maskiert.

Example value

Standardwert, der verwendet werden soll, wenn beim Kommandoaufruf oder bei der Benutzereingabe kein Wert übergeben wird. Wenn kein Standardwert definiert ist, muss der Wert beim Kommandoaufruf oder durch Benutzereingabe angegeben werden.

ValueFormat

Format des Parameterwertes. Zulässige Werte sind:

  • DBConnectionParameterValue: Der Wert wird als Verbindungsparameter für die Anmeldung an der One Identity Manager-Datenbank formatiert. Sonderzeichen werden maskiert.

  • ConnectorConnectionParameterValue: Der Wert wird als Verbindungsparameter für den Konnektor formatiert. Sonderzeichen werden maskiert.

  • Default: Der Wert des Parameters wird so verarbeitet, wie er angegeben wurde.

Wenn kein ValueFormat definiert ist, wird der Wert des Parameters so verarbeitet, wie er angegeben wurde.

Inherit

Parameter, dessen Wert vererbt wird.

Damit kann ein Parameterwert in unterschiedlichen Formaten verwendet werden, beispielsweise wenn Sonderzeichen auf verschiedene Weise maskiert werden müssen.

Beispiel:

<Parameter Name="DBPassword" ValueFormat="DBConnectionParameterValue" IsQueryParameter="True" IsSecret="True" />

<Parameter Name="OneIMConnectorDBPassword" ValueFormat="ConnectorConnectionParameterValue" Inherit="DBPassword" />

Der Parameter OneIMConnectorDBPassword erbt den Wert vom Parameter DBPassword, formatiert diesen aber anders. Der Parameter DBPassword wird in den globalen Definitionen verwendet; der Parameter OneIMConnectorDBPassword wird in den Definitionen des Editors verwendet.

Wenn SynchronisationsprojekteGeschlossen automatisiert erstellt oder aktualisiert werden sollen, muss in dem entsprechenden Aufruf nur der Parameter DBPassword abgefragt werden. Dessen Wert wird an den Parameter OneIMConnectorDBPassword übernommen.

SynchronizationEditor.CLI.exe --CreateShell -V ... /SetParam DBPassword="P$ wor1"

関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択