サポートと今すぐチャット
サポートとのチャット

Identity Manager 8.2.1 - Konfigurationshandbuch

Über dieses Handbuch Softwarearchitektur des One Identity Manager Kundenspezifische Änderungen an der One Identity Manager Standardkonfiguration Anpassen der One Identity Manager Basiskonfiguration Grundlagen zum One Identity Manager Schema
Übersicht über das One Identity Manager Schema Tabellenarten und Standardspalten im One Identity Manager Datenmodell Hinweise zur Bearbeitung von Tabellendefinitionen und Spaltendefinitionen Tabellendefinitionen Spaltendefinitionen Tabellenbeziehungen Dynamische Fremdschlüssel Unterstützung von Dateigruppen
Bearbeiten der Benutzeroberfläche
Objektdefinitionen für die Benutzeroberfläche Menüführung der Benutzeroberfläche Formulare für die Benutzeroberfläche Statistiken im One Identity Manager Erweitern des Launchpad Methodendefinitionen für die Benutzeroberfläche Anwendungen für die Gestaltung der Benutzeroberfläche Symbole und Bilder für die Gestaltung der Benutzeroberfläche Verwenden vordefinierter Datenbankabfragen
Lokalisierung im One Identity Manager Prozess-Orchestrierung im One Identity Manager
Abbildung von Prozessen im One Identity Manager
Bearbeiten von Prozessen mit dem Prozesseditor Definieren von Prozessen Prozessgenerierung simulieren Gültigkeitsprüfung eines Prozesses Kompilieren von Prozessen Verwenden von prozesslokalen Variablen und globalen Variablen für die Prozessdefinition Schwellwerte für die Verarbeitung von Prozessen Festlegen des ausführenden Servers Benachrichtigung zur Verarbeitung von Prozessschritten Automatisierte Ausführung von Prozessen Übersicht über die Prozesskomponenten
Einrichten von Jobservern
Arbeitsweise des One Identity Manager Service Prozessüberwachung zur Nachverfolgung von Änderungen Bedingte Kompilierung mittels Präprozessorbedingungen Skripte im One Identity Manager
Verwendung von Visual Basic .NET-Skripten Hinweise zur Ausgabe von Meldungen Hinweise zur Verwendung von Datumswerten Hinweise zur Verwendung von Windows PowerShell Skripten Verwendung der $-Notation Verwendung von base Objekt Aufruf von Funktionen Prä-Skripte zur Verwendung in Prozessen und Prozessschritten Verwendung von Session Services Verwendung der #LD-Notation Skriptbibliothek Unterstützung bei der Bearbeitung von Skripten im Skripteditor Skripte mit dem Skripteditor erstellen und bearbeiten Skripte im Skripteditor kopieren Skripte im Skripteditor testen Kompilieren eines Skriptes im Skripteditor testen Überschreiben von Skripten Berechtigungen zu Ausführen von Skripten Bearbeiten und Testen von Skriptcode mit dem System Debugger Erweitertes Debugging im Object Browser
One Identity Manager Abfragesprache Berichte im One Identity Manager Erweiterung des One Identity Manager Schemas um kundenspezifische Tabellen oder Spalten Webservice Integration One Identity Manager als SCIM 2.0 Serviceprovider SOAP Web Service One Identity Manager als SPML Provisioning Service Provider Verarbeitung von DBQueue Aufträgen Konfigurationsdateien des One Identity Manager Service

Authentifizierung des SCIM Plugins am One Identity Manager

Zum Zugriff auf die One Identity Manager-Datenbank muss sich das SCIM Plugin authentifizieren. Die Authentifizierung erfolgt über die One Identity Manager Authentifizierungsmodule. Ausführliche Informationen erhalten Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Die Authentifizierungsmodule werden in der folgenden Reihenfolge überprüft und das erste erfolgreiche Authentifizierungsmodul zur Anmeldung verwendet. Stellen Sie sicher, dass das mindestens ein Authentifizierungsmodul aktiviert und konfiguriert ist.

  1. Person (Person)

  2. Active Directory Benutzerkonto (ADSAccount)

  3. Person (rollenbasiert) (RoleBasedPerson)

  4. Active Directory Benutzerkonto (rollenbasiert) (RoleBasedADSAccount)

  5. HTTP Header (rollenbasiert) (RoleBasedHTTPHeader)

  6. HTTP Header (HTTPHeader)

  7. OAuth 2.0/OpenID Connect (rollenbasiert) (OAuthRoleBased)

Verwandte Themen

Besonderheiten bei der Generierung des SCIM Schemas

Das am Endpunkt /Schemas exportierte SCIM 2.0 Schema wird aus dem One Identity Manager Schema generiert. Die zu berücksichtigenden Tabellendefinitionen und zu publizierenden M:N-Abbildungen sind vorgegeben. Es entsteht pro Tabelle eine Datenobjektbeschreibung mit einfachen und komplexen Eigenschaften.

Spalten einer Tabelle

Die Spalten einer Tabelle werden auf einfache Eigenschaften integraler Typen abgebildet.

Fremdschlüssel-Beziehungen

Die Fremdschlüssel-Beziehungen einer Tabelle werden nur dann in das Schema aufgenommen, wenn die Zieltabelle der Referenz ebenfalls Bestandteil des Schemas ist. In diesem Fall wird eine komplexe Eigenschaft mit dem Spaltennamen des Fremdschlüssels publiziert. Diese komplexe Eigenschaft besitzt die Eigenschaften value, $ref und displayName.

Die komplexe Eigenschaft wird im Schema mit dem Attribut „returned“ : „request“ gekennzeichnet. Um diese Daten lesen zu können, muss die Eigenschaft vom SCIM Client explizit über den URL–Parameter attributes angefordert werden.

Beispiel:

https://<servername>.<domainname>/ApiServer/scim/v2/Locality/0294ce3c-8286-4641-bc13-9bcd4a2fd714?attributes=cn,City,UID_PersonHead

M:N-Tabellen

M:N-Tabellen werden unter der komplexen Eigenschaft members im Schema publiziert. Dies gilt auch, wenn mehrere M:N-Tabellen zu berücksichtigen sind. Diese komplexe Eigenschaft definiert ein Array von Unterelementen, die die Eigenschaften value, type, $ref und display besitzen.

Die komplexe Eigenschaft members wird im Schema mit dem Attribut „returned“ : „request“ gekennzeichnet. Um diese Daten lesen zu können, muss die Eigenschaft vom SCIM Client explizit über den URL–Parameter attributes angefordert werden.

Beispiel:

http://<servername>.<domainname>/ApiServer/scim/v2/UNSGroupB/94bbe614-0a6e-4659-8fe9-20da94d967c8?attributes=cn,members

Bei mehreren zusammengefassten M:N-Tabellen erfolgt die Unterscheidung, aus welcher Tabelle das jeweilige Element stammt, anhand des Wertes in der Eigenschaft type. Bei schreibenden Zugriffen auf die Eigenschaft ist darauf zu achten, dass der Wert in der Eigenschaft type mit übergeben wird. Die als korrekt akzeptierten Werte sind im Schema am jeweiligen type-Subattribut als Liste in canonicalValues definiert.

Ist der Wert für type für den SCIM Client nicht ermittelbar, so kann dieser leer gelassen werden und nicht mit im PUT- oder PATCH-Request übertragen werden. Das SCIM Plugin versucht den korrekten type zu ermitteln. Dabei wird das Element anhand seiner in der Eigenschaft value übergebenen ID in allen One Identity Manager Tabellen gesucht, die Teil der members-Definition sind. Wird das Objekt dabei gefunden, kann die Operation ausgeführt werden.

Anfragen an das SCIM Plugin

Anfragen an die Basis-URL

Die SCIM 2.0 Spezifikation sieht optionale Anfragen an die Basis-URL des SCIM Serviceproviders vor. Diese Anfragen können optional einen Filterausdruck enthalten. Dies dient vorwiegend der Suche nach Objekten, wenn deren Endpunkt nicht genau bekannt ist und somit der Endpunkt-übergreifenden Suche.

Das SCIM Plugin unterstützt diese Anfragen. Im Filter sind nur logische OR-Verknüpfungen und die Vergleichsoperatoren eq, sw, ew sowie co zugelassen, die sich auf die Metainformation Resourcetype beziehen müssen.

Beispiel:

https://<servername>.<domainname>/ApiServer/scim/v2?filter=(meta.Resourcetype eq “Locality”) or (meta.Resourcetype sw “D”)

Das Ergebnis kann eine Liste von Objekten verschiedenen Typs enthalten, wobei die Anzahl der zurückgelieferten Elemente 10.000 aus Last- und Performance-Gründen nicht überschreiten darf. Andernfalls wird eine Fehlermeldung von Typ tooMany zurückgegeben. Die Suchbedingung sollte verfeinert werden und das Ergebnis stärker einschränken.

Anfragen an eine Endpunkt-URL

Die SCIM 2.0 Spezifikation sieht bei Anfragen an die über /ResourceTypes definierten Endpunkte optional die Parameter filter, attributes, count und startIndex vor. Bei Anfragen mit der ID eines konkreten Objektes (die URL enthält die id des Objektes) sind die Parameter excludedAttributes und attributes erlaubt. Das SCIM Plugin unterstützt diese Parameter.

Bei Anfragen an einen Endpunkt wird eine Liste aller Elemente (oder aller Elemente, die dem Filter entsprechen) zurückgegeben. So kann vom SCIM Client ein indexbasiertes Paging mit Angabe der gewünschten Anzahl von Sätzen pro Seite initiiert werden (Parameter count und startIndex).

Beispiel: Anfrage an einen Endpunkt

http://<servername>.<domainname>/ApiServer/scim/v2/Person

Beispiel: Anfrage der ersten 100 Elemente an einen Endpunkt mit Paging

http://<servername>.<domainname>/ApiServer/scim/v2/Person?startindex=1&count=100

Beispiel: Anfrage an einen Endpunkt mit Filter

http://<servername>.<domainname>/ApiServer/scim/v2/Person?filter=InternalName co "Y"

Beispiel: Anfrage an einen Endpunkt mit Filter und Ausgabe von zwei zusätzlichen Eigenschaften

http://<servername>.<domainname>/ApiServer/scim/v2/Person?filter=InternalName co "Y"&attributes=ExitDate,TechnicalEntryDate

Beispiel: Anfrage eines Objektes an einen Endpunkt

http://<servername>.<domainname>/ApiServer/scim/v2/UNSGroupB/94bbe614-0a6e-4659-8fe9-20da94d967c8

Beispiel: Anfrage von konkreten Eigenschaften eines Objektes an einen Endpunkt

http://<servername>.<domainname>/ApiServer/scim/v2/UNSGroupB/94bbe614-0a6e-4659-8fe9-20da94d967c8?attributes=cn,members

SOAP Web Service

Der SOAP Web Service des One Identity Manager stellt eine SOAP Schnittstelle zum Zugriff auf das One Identity Manager Objektmodell bereit. Der SOAP Web Service verwaltet einen Verbindungspool. Nicht jeder Aufruf öffnet eine neue Verbindung. Mit dem SOAP Web Service werden nicht alle Funktionen der Objektschicht unterstützt. Der SOAP Web Service stellt die Methoden für Einzelobjekte, Objektlisten und Funktionsaufrufe zur Verfügung.

Tabelle 184: Methoden für Einzelobjekte
Methode Beschreibung

CreateSingleObject

Anlegen eines neuen einzelnen Objektes.

GetCompleteSingleObject

Laden eines einzelnen vollständigen Objektes aus der Datenbank mit allen Parametern.

GetCompleteSingleObjectEx

Funktionalität analog zu GetCompleteSingleObject mit der Unterstützung eines mehrspaltigen Primärschlüssels.

GetSingleObject

Laden eines einzelnen Objektes aus der Datenbank.

GetSingleObjectEx

Funktionalität analog zu GetSingleObject mit der Unterstützung eines mehrspaltigen Primärschlüssels.

ChangeSingleObject

Speichern der Veränderungen eines einzelnen Objektes.

ChangeSingleObjectEx

Funktionalität analog zu ChangeSingleObject mit der Unterstützung eines mehrspaltigen Primärschlüssels.

DeleteSingleObject

Löschen eines einzelnen Objektes.

DeleteSingleObjectEx

Funktionalität analog zu DeleteSingleObject mit der Unterstützung eines mehrspaltigen Primärschlüssels.

Exists

Existiert ein bestimmtes Einzelobjekt?

ExistsEx

Funktionalität analog zu Exists mit der Unterstützung eines mehrspaltigen Primärschlüssels.

GetSingleProperty

Holen eines Einzelwertes eines Objektes.

GetSinglePropertyEx

Funktionalität analog zu GetSingleProperty mit der Unterstützung eines mehrspaltigen Primärschlüssels.

Tabelle 185: Methoden für Objektlisten
Methode Beschreibung

GetListObject

Laden einer Liste von Objekten.

GetListObjectWithDisplays

Laden einer Liste von Objekten mit Angabe zusätzlich zum Primärschlüssel zu ladender Spalten.

Tabelle 186: Methoden für Funktionsaufrufe
Funktion Beschreibung

InvokeCustomizer

Aufruf einer Customizer-Methode auf einem Objekt.

InvokeCustomizerEx

Funktionalität analog zu InvokeCustomizer mit der Unterstützung eines mehrspaltigen Primärschlüssels.

InvokeDialogMethod

Aufruf einer Dialogmethode auf einem Dialogobjekt.

InvokeDialogMethodEx

Funktionalität analog zu InvokeDialogMethod mit der Unterstützung eines mehrspaltigen Primärschlüssels.

FireGenEvent

Generieren der Prozesse eines bestimmten Ereignisses.

FireGenEventEx

Funktionalität analog zu FireGenEvent mit der Unterstützung eines mehrspaltigen Primärschlüssels.

Detaillierte Informationen zum Thema
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択