サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2.1 - Anwenderhandbuch für den One Identity Manager Konnektor

Einrichten der Synchronisation mit dem One Identity Manager Konnektor Systemsynchronisation einrichten Synchronisation durch Individualkonfiguration einrichten Fehlerbehebung

Vorbereitung der Arbeitsdatenbank für die Einrichtung der Systemsynchronisation

Um die Systemsynchronisation fehlerfrei ausführen zu können, müssen einige Einstellungen auf der Arbeitsdatenbank vorgenommen werden. Sie können dafür die hier aufgeführten SQL Abfragen mit einem geeigneten Programm ausführen.

TIPP: Je nach Einsatzzweck der Arbeitsdatenbank kann es sinnvoll sein, weitere Anpassungen vorzunehmen. Prüfen Sie beispielsweise, ob Bildungsregeln auf den synchronisierten Spalten in der Arbeitsdatenbank deaktiviert werden sollten.

Verwenden der Modul GUID

Für alle Tabellen, die synchronisiert werden sollen, muss die Tabelleneigenschaft Modul GUID zulässig (DialogTable.IsModuleGUIDAllowed) aktiviert sein. Um diese Option zu aktivieren, führen Sie die folgende Abfrage zuerst auf der Zentraldatenbank und danach auf der Arbeitsdatenbank aus.

-- transfer customized configuration DialogTable.IsModuleGUIDAllowed from your central database 
-- => manual process required
select UID_DialogTable, 'Update DialogTable set IsModuleGUIDAllowed = 1 
    where IsModuleGUIDAllowed = 0 and UID_DialogTable = '''+UID_DialogTable+''' ' as ChangeStatement 
    from DialogTable where IsModuleGUIDAllowed = 1
--if you got an result, copy the commands and execute them in your work database
Deaktivieren aller Provisionierungsprozesse

Da mit der Arbeitsdatenbank keine Zielsysteme verbunden sind, sollten die Standard-Provisionierungsprozesse hier nicht ausgeführt werden. Führen Sie die Abfragen dafür auf der Arbeitsdatenbank aus.

Die folgende Abfrage deaktiviert alle Prozesse für die Tabellen:

  • PersonHasTSBAccountDef

  • PersonHasQERResource

  • TSBAccountDef (TSB_TSBAccountDef_AutoAssignToPerson und TSB_TSBAccountDef_AutoRemoveFromPerson)

-- deactivate all predefined provisioning processes
update JobChain set NoGenerate = 1, XDateUpdated = GETUTCDATE(), XUserUpdated = 'SysSyncInitialConfig' from JobChain JC 
    join JobEventGen JEG on JEG.UID_JobChain = JC.UID_JobChain 
    join QBMEvent JE on JE.UID_QBMEvent = JEG.UID_QBMEvent where 
        (
        JE.EventName in ('Insert', 'Update', 'Delete', 'Assign', 'Remove'
        or JC.UID_DialogTable in ('TSB-T-PersonHasTSBAccountDef', 'QER-T-PersonHasQERResource'
        or UID_JobChain in ('TSB-F9E8F1B2DA86E847A254E70A572A3832','TSB-EB76885961C6404FB7BB73FC1AC83153')
        ) 
        and dbo.QBM_FCVGUIDToModuleOwner(JC.UID_JobChain) <> 'CCC' 
        and NoGenerate = 0

Folgende Abfrage deaktiviert den Merge-Modus für die Einzelprovisionierung von Mitgliedschaften für alle Zuordnungstabellen.

-- deactivate merge for provisioning (DPRMemberShipAction) for all synchronized tables
update DPRNameSpaceHasDialogTable set IsAdHocSingleMemberShip = 0, WhereClause = Null

Folgende Abfrage verhindert, dass das Änderungsdatum für Abhängigkeiten an den Basistabellen von Zuordnungen aktualisiert wird.

-- deactivate XDateSubItem behavior for all synchronized tables
update QBMRelation set IsForUpdateXDateSubItem = 0 where UID_QBMRelation in 
    (
    select UID_QBMRelation from QBM_VQBMRelation r 
        join DialogTable t on r.UID_DialogTableChild=t.UID_DialogTable or r.UID_DialogTableParent=t.UID_DialogTable 
            where t.SystemSyncMode > 0 and r.IsForUpdateXDateSubItem = 1
    )
Zeitpläne deaktivieren

Folgende Abfrage deaktiviert alle Zeitpläne, mit Ausnahme von kundendefinierten Zeitplänen und Systemzeitplänen. Passen Sie diese Abfrage an den Einsatzzweck der Arbeitsdatenbank an. Führen Sie die Abfrage auf der Arbeitsdatenbank aus.

-- deactivate all not required schedules
-- allow only system and custom schedules as well as such ones belonging to reports and attestation
-- but disable all synchronization schedules except the system synchronization
update DialogSchedule 
    set Enabled = 0, XDateUpdated = GETUTCDATE(), XUserUpdated = 'SysSyncInitialConfig' 
        where Enabled = 1 and 
            (
            dbo.QBM_FCVGUIDToModuleOwner(UID_DialogSchedule) not in ('CCC','QBM','QER','RPS','ATT'
            or (Name like '%execution of Initial Synchronization%' and Name not like 'System Synchronization%')
            )
DBQueue Prozessor Aufträge für SAP Objekte deaktivieren

Da mit der Arbeitsdatenbank keine Zielsysteme verbunden sind, können DBQueue Prozessor Aufträge für die Verarbeitung von SAP Objekten deaktiviert werden. Führen Sie die Abfrage auf der Arbeitsdatenbank aus.

-- disable SAP/SBW DBQueueTask for generation SAPUserMandant and SAPBWUser
update QBMDBQueueTask 
    set ProcedureName = 'QBM_ZDBQueueVoidTask', CountParameter = 0, MaxInstance = 1, IsBulkEnabled = 0, QueryForRecalculate = Null 
        where UID_Task in ('SAP-K-SAPUserMandant', 'SBW-K-SAPBWUser')
Neuberechnung dynamischer Rollen deaktivieren

Wenn dynamische Rollen synchronisiert werden, dürfen dafür auf der Arbeitsdatenbank die Zuweisungen nicht neu berechnet werden, da hier gegebenenfalls noch nicht alle dafür benötigten Daten zur Verfügung stehen. Die Mitgliedschaften und Zuweisungen werden nur auf der Zentraldatenbank berechnet und durch die Synchronisation in die Arbeitsdatenbank übertragen.

WICHTIG: Für die Spalte DynamicGroup.IsRecalculationDeactivated (Keine Neuberechnung von Zuweisungen) darf in der Synchronisationskonfiguration keine Mappingrichtung festgelegt werden.

Um zu verhindern, dass Zuweisungen an synchronisierte dynamische Rollen berechnet werden

  1. Wählen Sie im Designer die Kategorie One Identity Manager Schema > Tabellen > Tabelle.

  2. Wählen Sie die Tabelle DynamicGroup und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.

  3. Wählen Sie in der Ansicht Tabelleneigenschaften den Tabreiter Tabellenskripte.

  4. Erfassen Sie im Feld Skript (OnSaving) folgendes Skript:

    If CBool(Connection.Variables("Transport")) AndAlso CBool(Connection.Variables("Projector")) Then
         Base.PutValue("IsRecalculationDeactivated", 1)
    End If
  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Bei dynamischen Rollen, die per Synchronisation in die Arbeitsdatenbank importiert werden, wird die Neuberechnung von Zuweisungen damit verhindert. Auf der Arbeitsdatenbank sind die Rollenmitgliedschaften wirksam, die durch die Synchronisation aus der Zentraldatenbank übertragen werden.

Verwandte Themen

Tabellen und Spalten für die Systemsynchronisation auswählen

Bevor Sie ein Synchronisationsprojekt für die Systemsynchronisation erstellen, kennzeichnen Sie alle Tabellen und Spalten, deren Inhalt synchronisiert werden soll.

HINWEIS: für die Auswahl der Tabellen und Spalten

  • Für jede ausgewählte Tabelle legen Sie für alle Primärschlüsselspalten und alle Pflichtspalten die Mappingrichtung fest.

  • Für jede ausgewählte Zuordnungstabelle legen Sie an den Spalten XOrigin und XIsInEffect die Mappingrichtung fest.

  • Für jede ausgewählte Tabelle, für die mehrspaltige Eindeutigkeiten definiert sind, legen Sie für alle Spalten, welche die eindeutige Gruppe bilden und die nicht automatisch befüllt werden, die Mappingrichtung fest.

  • Wenn eine Basistabelle und ihre Ableitungen ausgewählt sind (beispielsweise BaseTree und Department), dann legen Sie für diese Tabellen die selbe Synchronisationskonfiguration fest.

    • Gleicher Synchronisationsmodus für die Basistabelle und ihre Ableitungen

    • Gleiche zu mappende Spalten

    • Gleiche Mappingrichtung für diese Spalten

WICHTIG:

  • Wenn eine Zuordnungstabelle für die Synchronisation ausgewählt wurde und der Synchronisationsmodus Provisionierung in die Zentraldatenbank ausgewählt ist, dann muss an dieser Tabelle die Tabelleneigenschaft Zuweisung per Ereignis aktiviert sein, damit die Provisionierungsprozesse generiert werden.

    Wenn diese Tabelleneigenschaft aktiviert wird, nachdem ein Synchronisationsprojekt generiert wurde, dann muss das Synchronisationsprojekt neu generiert werden.

  • Wenn dynamische Rollen synchronisiert werden, dürfen dafür auf der Arbeitsdatenbank die Zuweisungen nicht neu berechnet werden, da hier gegebenenfalls noch nicht alle dafür benötigten Daten zur Verfügung stehen. Die Mitgliedschaften und Zuweisungen werden nur auf der Zentraldatenbank berechnet und durch die Synchronisation in die Arbeitsdatenbank übertragen.

    Für die Spalte DynamicGroup.IsRecalculationDeactivated (Keine Neuberechnung von Zuweisungen) darf in der Synchronisationskonfiguration keine Mappingrichtung festgelegt werden.

Um eine Tabelle für die Systemsynchronisation auszuwählen

  1. Wählen Sie im Designer die Kategorie One Identity Manager Schema.

  2. Wählen Sie die Tabelle aus und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.

  3. Wählen Sie in der Ansicht Tabelleneigenschaften den Tabreiter Systemsynchronisation.

  4. Bearbeiten Sie die folgenden Tabelleneigenschaften:

    • Synchronisationsmodus: Zulässige Synchronisationsrichtungen und Verarbeitungsmethoden für diese Tabelle. Aktivieren Sie alle Bit-Positionen, die für diese Tabelle zulässig sein sollen.

      Legen Sie fest,

      • in welche Richtung die Synchronisation ausgeführt werden soll,

      • ob Änderungen in die Zentraldatenbank provisioniert werden sollen,

      • welche Verarbeitungsmethoden für Anwendungsdaten angewendet werden sollen,

      • ob Systemdaten aktualisiert werden sollen,

      • welcher Zeitplan für die Synchronisation dieser Tabelle genutzt werden soll (Starthäufigkeit).

        Wenn keine der Bit-Positionen Synchronisation häufig starten oder Synchronisation sehr häufig starten aktiviert ist, wird die Synchronisation einmal täglich gestartet (Standard).

    • Spalten für alternative Regeln: Komma-getrennte Liste der Spalten, die für die Erstellung alternativer Object-Matching-Regeln verwendet werden sollen.

      Wenn der One Identity Manager Konnektor kein Systemobjekt durch die primäre Object-Matching-Regel identifizieren kann, wendet er die alternativen Regeln an, um ein passendes Systemobjekt zu ermitteln. Erfassen Sie die technischen Spaltennamen, aller Spalten, für die alternative Regeln generiert werden sollen.

    • CLR Typ für Projektgenerator: .NET-Klasse, die zur Berücksichtigung von Sonderfällen bei der Generierung eines Synchronisationsprojekts zwischen zwei One Identity Manager Datenbanken dient.

  5. Legen Sie für alle Spalten, die gemappt werden sollen, die zulässige Mappingrichtung fest.

    1. Wählen Sie im Schemaeditor die Spalte und bearbeiten Sie die Spalteneigenschaften.

    2. Wählen Sie auf dem Tabreiter Sonstiges, in der Auswahlliste Mappingrichtung alle zulässigen Mappingrichtungen.

  6. Führen Sie die Schritte 2 bis 5 für alle Tabellen aus, die synchronisiert werden sollen.

  7. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Um die Mappingrichtung für eine Spalte festzulegen

  1. Wählen Sie im Designer die Kategorie One Identity Manager Schema.

  2. Wählen Sie die Tabelle aus und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.

  3. Wählen Sie im Schemaeditor die Spalte und bearbeiten Sie die Spalteneigenschaften.

  4. Wählen Sie auf dem Tabreiter Sonstiges, in der Auswahlliste Mappingrichtung alle zulässigen Mappingrichtungen.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Wenn Sie die zu synchronisierenden Tabellen oder Spalten ändern, nachdem das Synchronisationsprojekt generiert wurde, wird das Synchronisationsprojekt automatisch aktualisiert.

Verwandte Themen

Benötigte Informationen für die Erstellung eines Synchronisationsprojektes für die Systemsynchronisation

Für die Einrichtung eines Synchronisationsprojekts für die Systemsynchronisation halten Sie die folgenden Informationen bereit.

Tabelle 1: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

Verbindungsdaten zur Zentraldatenbank

Für die direkte Datenbankverbindung:

  • Datenbankserver

  • Name der Datenbank

  • SQL Server-Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird

    Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Für die Verbindung über einen Anwendungsserver:

  • URL zum Anwendungsserver

  • Kennwort des Synchronisationsbenutzers

Verbindungsdaten zur Arbeitsdatenbank

  • Datenbankserver

  • Name der Datenbank

  • SQL Server-Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird

    Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Synchronisationsserver

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Installierte Komponenten:

  • One Identity Manager Service (gestartet)

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert und ein Authentifizierungsverfahren ist eingerichtet

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Synchronisationsprojekt für die Systemsynchronisation erstellen

HINWEIS: Auf einer Arbeitsdatenbank kann genau ein Synchronisationsprojekt für die Systemsynchronisation erstellt werden.

Beim Erstellen eines Synchronisationsprojekts unterstützt Sie ein Assistent. Dieser Assistent führt Sie durch alle Schritte, die zum initialen Einrichten der Synchronisation mit einem Zielsystem erforderlich sind. Wenn Sie alle erforderlichen Angaben für einen Schritt erfasst haben, klicken Sie Weiter.

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um das Synchronisationsprojekt einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag One Identity Manager Konnektor und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Startseite des Projektassistenten klicken Sie Weiter.

  2. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und erfassen Sie die Eigenschaften der Remoteverbindung.

  • Klicken Sie Weiter um den Systemverbindungsassistenten zur Erstellung der Verbindung zu einer One Identity Manager-Datenbank zu starten.

  1. Auf der Seite Datenbanksystem auswählen wählen Sie das Datenbanksystem aus, für das Sie die Verbindung einrichten möchten.

    • Direkte Datenbankverbindung: Gibt an, ob eine direkte Verbindung zur Zentraldatenbank hergestellt werden soll.

    • Anwendungsserver: Gibt an, ob die Zentraldatenbank über einen Anwendungsserver verbunden werden soll.

      Aktivieren Sie diese Option, wenn in der Zentraldatenbank andere Module installiert sind, als in der Arbeitsdatenbank, oder wenn die Zentraldatenbank mit einer älteren One Identity Manager Version betrieben wird.

    • REST API des Anwendungsservers verwenden: Gibt an, ob die REST API des Anwendungsservers für die Kommunikation mit der Zentraldatenbank genutzt werden soll.

      WICHTIG: Aktivieren Sie diese Option, wenn die Zentraldatenbank mit einer älteren One Identity Manager Version betrieben wird.

  2. Auf der Seite Verbindungsparameter geben Sie die Verbindungsdaten zur Zentraldatenbank an.

    • Für eine direkte Datenbankverbindung erfassen Sie folgende Daten:

      • Server: Datenbankserver.

      • (Optional) Windows Authentifizierung: Gibt an, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

      • Nutzer: SQL Server-Anmeldename des Benutzer.

      • Kennwort: Kennwort für die SQL Server-Anmeldung des Benutzer.

      • Datenbank: Wählen Sie die Datenbank.

    • Für eine Verbindung über einen Anwendungsserver erfassen Sie die URL und das Kennwort des Synchronisationsbenutzers.

    • Um zusätzliche Informationen zur Datenbankverbindung zu erfassen, klicken Sie Erweiterte Optionen.

    • Klicken Sie Testen.

  3. Auf der Seite Verschlüsselung geben Sie den privaten Schlüssel zur Entschlüsselung der Datenbank an.

  4. Auf der Seite Weitere Einstellungen definieren Sie weitere Einstellungen, um das Verhalten des Konnektors anzupassen.

    • Versuche Datenfehler zu ignorieren: Gibt an, ob Objekte mit fehlerhaften Daten in die Zentraldatenbank synchronisiert werden sollen.

      Standardmäßig werden Objekte mit fehlerhaften Daten nicht synchronisiert. Diese Objekte können synchronisiert werden, sobald die fehlerhaften Daten korrigiert wurden. In einzelnen Situationen kann es notwendig sein, solche Objekte dennoch zu synchronisieren und nur die fehlerhaften Objekteigenschaften zu ignorieren.

      WICHTIG: Wenn Datenfehler ignoriert werden, wird die Performance beeinträchtigt. Die Synchronisation kann außerdem zu Datenverlust führen. Aktivieren Sie die Option nur im Ausnahmefall, wenn eine Korrektur der fehlerhaften Daten vor der Synchronisation nicht möglich ist.

      HINWEIS:

      • Die Option kann nicht aktiviert werden, wenn die REST API des Anwendungsservers verwendet wird.

      • Fehler in Standardspalten, wie Primärschlüssel oder UID-Spalten, und Pflichteingabespalten können nicht ignoriert werden.

  5. Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.

    • Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.
    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.
  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS:

    • Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.

    • Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Projektvorlage auswählen wählen Sie die Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.

    • Wählen Sie Automatische One Identity Manager Synchronisation.

  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.
  2. Speichern Sie das Synchronisationsprojekt in der Datenbank.

An einem generierten Synchronisationsprojekt dürfen nur die Verbindungsdaten zu den verbundenen Systemen manuell geändert werden.

Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択