Der One Identity Manager unterstützt die Anbindung von Active Directory-Umgebungen über einen integrierten Konnektor. Zusätzliche Active Directory relevante Funktionalitäten, wie beispielsweise Microsoft Exchange, Office Communication Services oder Active Directory Lightweight Directory Service (AD LDS) werden über diesen Konnektor nicht unterstützt.
Der One Identity Manager ist in der Standardkonfiguration der Prozesse und des Synchronisationsverhaltens das primäre System und arbeitet ohne die Ansteuerung von Arbeitsabläufen. Für das Standardverhalten wird ein administratives Benutzerkonto benötigt. Der integrierte Konnektor erlaubt jedoch auch die Ansteuerung von Arbeitsabläufen. Für diese Funktionalität müssen Sie gegebenenfalls die Prozesse im One Identity Manager benutzerdefiniert anpassen.
HINWEIS: Voraussetzung für die Verwaltung einer Active Directory-Umgebung im One Identity Manager ist die Installation des Active Directory Moduls und des Active Roles Moduls. Ausführliche Informationen zur Installation finden Sie im One Identity Manager Installationshandbuch.
HINWEIS: Dieses Handbuch geht nur auf die Besonderheiten bei der Verwendung des Konnektors ein. Ausführliche Informationen zur Verwaltung einer Active Directory-Umgebung mit dem One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.
Ausführliche Informationen zum Einsatz, Administration und Konfiguration eines Servers entnehmen Sie Ihrer One Identity Active Roles Dokumentation.
Für die Verwaltung einer Active Directory-Umgebung mittels One Identity Manager und spielen folgende Server eine Rolle:
-
Server
Server, der die Verbindung zum Active Directory Domänen-Controller herstellt. Der Synchronisationsserver verbindet sich gegen diesen Server.
-
Synchronisationsserver
Vom Synchronisationsserver wird die Kommunikation des One Identity Manager Service mit ausgeführt. Auf diesem Server ist der One Identity Manager Service mit dem Konnektor installiert. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver verbindet sich gegen den Server.
Der Konnektor des One Identity Manager verwendet das ADSI Interface für die Kommunikation mit einer Instanz. Der Konnektor wird für die Synchronisation und Provisionierung der Active Directory-Umgebung eingesetzt. Der Konnektor verbindet sich zu einer Instanz, die dann die Verbindung zum Active Directory Domänen-Controller herstellt.
Abbildung 1: Architektur für die Synchronisation
Szenario
Eine mit verwaltete Active Directory Domäne soll mit dem One Identity Manager verwaltet werden. Self-Service Manager wird nicht eingesetzt.
Bei der Installation der One Identity Manager-Datenbank wählen Sie eine der folgenden Editionen:
Die initiale Synchronisation der Active Directory Domäne mit dem One Identity Manager muss mit dem Konnektor erfolgen. Alle weiteren Synchronisationen erfolgen ebenfalls mit dem Konnektor.
Szenario
Eine mit verwaltete Active Directory Domäne soll mit dem One Identity Manager verwaltet werden. Self-Service Manager wird eingesetzt. Die Funktionalität soll in den IT Shop des One Identity Manager überführt werden.
Bei der Installation der One Identity Manager-Datenbank wählen Sie eine der folgenden Editionen:
Mit der One Identity Manager Active Directory Edition wird die Überführung der Funktionalität von Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt.
Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus:
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup.
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | ExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.
-
Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.
-
Kompilieren Sie die Datenbank.
Die Synchronisation der Active Directory Domäne mit dem One Identity Manager muss mit dem Konnektor erfolgen. Alle weiteren Synchronisationen erfolgen ebenfalls mit dem Konnektor.
Szenario
Eine mit dem One Identity Manager verwaltete Active Directory Domäne soll mit verwaltet werden. Die Synchronisation der Active Directory Domäne erfolgt bisher mit dem Active Directory Konnektor.
Um die Active Directory Domäne mit One Identity Active Roles zu verwalten
-
Löschen Sie im Synchronization Editor das bestehende Synchronisationsprojekt.
-
Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt unter Verwendung der Standardprojektvorlage für .
Detaillierte Informationen zum Thema
Der One Identity Manager unterstützt die Synchronisation mit in den Versionen 7.4.1, 7.4.3, 7.4.4, 7.4.5, 7.5, 7.5.2, 7.5.3 und 7.6.
Um die Objekte einer Active Directory-Umgebung initial in die One Identity Manager-Datenbank einzulesen
-
Stellen Sie ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.
-
Die One Identity Manager Bestandteile für die Verwaltung von Active Directory-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | ADS aktiviert ist. Die Bestandteile für die Unterstützung von sind verfügbar, wenn der Konfigurationsparameter TargetSystem | ADS | ARS aktiviert ist.
-
Prüfen Sie im Designer, ob die Konfigurationsparameter aktiviert sind. Anderenfalls aktivieren Sie die Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Mit der Installation der Module werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
- Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
-
Mit der One Identity Manager Active Directory Edition wird die Überführung der Funktionalität von Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt.
Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus:
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup.
HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | ExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.
Beispiel:
.*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS
-
Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.
-
Kompilieren Sie die Datenbank.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
TIPP: Bevor Sie die Synchronisation mit einer Active Directory Domäne einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
Detaillierte Informationen zum Thema