Der Synchronization Editor stellt Projektvorlagen bereit, mit denen die Synchronisation von Benutzerkonten und Berechtigungen der LDAP-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlagen, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einem LDAP Verzeichnis in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.
HINWEIS: Abhängig vom Schema können weitere Anpassungen bezüglich des Schemas und der Provisionierungsprozesse erforderlich sein.
Um die Objekte einer LDAP-Umgebung initial in die One Identity Manager-Datenbank einzulesen
-
Stellen Sie ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.
-
Die One Identity Manager Bestandteile für die Verwaltung von LDAP-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | LDAP aktiviert ist.
-
Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.
-
Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
- Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema
Bei der Synchronisation des One Identity Manager mit einer LDAP-Umgebung spielen folgende Benutzer eine Rolle.
Tabelle 2: Benutzer für die Synchronisation
| Benutzer für den Zugriff auf das LDAP Verzeichnis |
Es kann keine sinnvolle Minimalkonfiguration für das Benutzerkonto für die Synchronisation empfohlen werden, da die Berechtigungen vom eingesetzten LDAP Verzeichnisdienst abhängen. Die benötigten Berechtigungen entnehmen Sie daher der Dokumentation zum eingesetzten LDAP Verzeichnisdienst. |
| Benutzerkonto des One Identity Manager Service |
Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Rechte vergeben, Verzeichnisse und Dateien anlegen und bearbeiten.
Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.
Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.
Das Benutzerkonto benötigt Rechte für den internen Webservice.
HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"
Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.
In der Standardinstallation wird der One Identity Manager installiert unter:
- %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
- %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
|
| Benutzer für den Zugriff auf die One Identity Manager-Datenbank |
Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt. |
Verwandte Themen
Bei der Einrichtung eines Synchronisationsprojektes mit einem Active Directory Lightweight Directory Service (AD LDS) sind einige Besonderheiten zu beachten.
AD LDS unterstützt verschiedene Authentifizierungswege. Detaillierte Informationen zur AD LDS Authentifizierung finden Sie in der Microsoft TechNet Library.
Abhängig von der gewählten Authentifizierungsmethode ergeben sich unterschiedliche Einstellungen, die bei der Einrichtung eines Synchronisationsprojektes zu beachten sind.
Authentifizierung mittels AD LDS Sicherheitsprinzipal
Für die Authentifizierungsmethode wird ein Benutzerkonto verwendet, das sich direkt im AD LDS befindet.
-
Das Benutzerkonto muss Mitglied in der Gruppe Administratoren der AD LDS Instanz sein.
-
Das Benutzerkonto muss ein Kennwort besitzen.
Ist kein Kennwort angegeben, erfolgt einen anonyme Authentifizierung. Dies führt dazu, dass das Schema nicht gelesen werden kann und die Einrichtung des Synchronisationsprojektes fehlschlägt.
Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.
-
Die Authentifizierung muss mit SSL Verschlüsselung erfolgen.
-
Als Authentifizierungsmethode muss Basic verwendet werden.
-
Der Benutzername des Benutzerkontos für die Anmeldung am AD LDS ist mit dem definierten LDAP Namen (DN) anzugeben.
Syntaxbeispiel: CN=Administrator,OU=Users,DC=Doku,DC=Testlab,DC=dd
Authentifizierung mit Windows Sicherheitsprinzipal
Für die Authentifizierung wird ein Benutzerkonto verwendet, das sich auf einem lokalen Computer oder in einer Active Directory Domäne befindet.
Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.
-
Als Authentifizierungsmethode muss Negotiate verwendet werden.
-
Erfolgt die Authentifizierung ohne SSL Verschlüsselung, müssen die Nachrichtenvertraulichkeit (Sealing) und die Nachrichtenintegrität (Signing) aktiviert sein.
-
Erfolgt die Authentifizierung mit SSL Verschlüsselung, sollten die Nachrichtenvertraulichkeit (Sealing) und die Nachrichtenintegrität (Signing) deaktiviert sein.
-
Der Benutzername des Benutzerkonto für die Anmeldung am AD LDS ist mit dem Benutzerprinzipalnamen (User Prinicpal Name) anzugeben.
Syntaxbeispiel: Administrator@Doku.Testlab.dd
Authentifizierung mittels AD LDS Proxyobjekt
Für die Authentifizierung wird ein Benutzerkonto verwendet, das im AD LDS vorhanden ist und als Bindungsumleitung für ein lokales Benutzerkonto oder ein Benutzerkonto in einer Active Directory Domäne dient. Das lokale Benutzerkonto oder das Active Directory Benutzerkonto ist im AD LDS Proxyobjekt als Sicherheits-ID (SID) referenziert.
Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.
-
Die Authentifizierung muss mit SSL Verschlüsselung erfolgen.
-
Als Authentifizierungsmethode muss Basic verwendet werden.
-
Für die Anmeldung am AD LDS ist der Benutzername des AD LDS Proxyobjektes zu verwenden.
-
Der Benutzername ist mit dem definierten LDAP Namen (DN) anzugeben.
Syntaxbeispiel: CN=Administrator,OU=Users,DC=Doku,DC=Testlab,DC=dd
-
Als Kennwort für die Anmeldung ist das Kennwort des Benutzerkontos anzugeben, auf welches das AD LDS Proxyobjekt verweist.
Oracle Directory Server Enterprise Edition (DSEE) unterstützt keine seitenweise Suche. Aus diesem Grund muss der Konnektor in der Lage sein, die Liste der zu synchronisierenden Objekte eines Schematyps komplett auf einmal zu laden. Bei der Verwendung eines herkömmlichen Oracle DSEE LDAP Benutzers werden in größeren Verzeichnissen serverseitige Limits erreicht, die einen solchen Ladeversuch fehlschlagen lassen.
Mögliche Meldung:
Size Limit exceeded
Time Limit exceeded
Aus diesem Grund müssen diese Limits für den Synchronisationsbenutzer entfernt werden. Hierzu sind im Verzeichnis am Benutzer für die Synchronisation folgende LDAP Attribute zu setzen:
-
nsTimeLimit: Maximale Abfragezeit für eine Suchanfrage in Sekunden. Dieser Wert kann je nach Größe des Verzeichnisses erhöht oder verringert werden. (Empfehlung: 7200)
-
nsSizeLimit: Maximale Anzahl von Suchergebnissen für eine Suchanfrage. Dieser Wert kann je nach Größe des Verzeichnisses erhöht oder verringert werden. (Empfehlung: 500000)
