지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Google Workspace-Umgebung

Abbilden einer Google Workspace-Umgebung im One Identity Manager Synchronisieren einer Google Workspace Kunden-Umgebung
Einrichten der Initialsynchronisation einer Google Workspace Kunden-Umgebung Anpassen der Synchronisationskonfiguration für Google Workspace Kunden-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Google Workspace Benutzerkonten und Identitäten
Kontendefinitionen für Google Workspace Benutzerkonten Automatische Zuordnung von Identitäten zu Google Workspace Benutzerkonten Identitäten manuell mit Google Workspace Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für Google Workspace Benutzerkonten festlegen
Bereitstellen von Anmeldeinformationen für Google Workspace Benutzerkonten Managen von Google Workspace Berechtigungszuweisungen Abbilden von Google Workspace Objekten im One Identity Manager
Google Workspace Kunden Google Workspace Benutzerkonten Google Workspace Gruppen Google Workspace Produkte und SKUs Google Workspace Organisationen Google Workspace Domains Google Workspace Domain-Aliasse Google Workspace Admin-Rollen Google Workspace Admin-Berechtigungen Google Workspace Admin-Rollen-Zuordnungen Google Workspace externe E-Mail-Adressen Berichte über Google Workspace Objekte
Behandeln von Google Workspace Objekten im Web Portal Basisdaten für die Verwaltung einer Google Workspace Kunden-Umgebung Beheben von Fehlern beim Anbinden einer Google Workspace Kunden-Umgebung Konfigurationsparameter für die Verwaltung einer Google Workspace-Umgebung Standardprojektvorlage für Google Workspace API-Bereiche für das Dienstkonto Verarbeitungsmethoden von Google Workspace Systemobjekten Besonderheiten bei der Zuweisung von Google Workspace Gruppen

Neu angelegte Google Workspace Benutzerkonten werden als ausstehend markiert

Wenn kurz nach der Provisionierung neuer Benutzerkonten in die Kunden-Umgebung eine Synchronisation in die One Identity Manager-Datenbank ausgeführt wird, kann es vorkommen, dass diese Benutzerkonten im One Identity Manager als ausstehend markiert werden (oder gelöscht werden, je nach Konfiguration der Synchronisation). Der Fehler tritt nur auf, wenn im Synchronisationsprojekt für das Zielsystem ein Scope definiert wurde.

Wahrscheinliche Ursache

Das Anlegen eines neuen Benutzerkontos in Google Workspace dauert etwa 24 Stunden. Wenn innerhalb dieser 24 Stunden eine Synchronisation in die One Identity Manager-Datenbank gestartet wird, kann der beschriebene Fehler auftreten.

Lösung

Damit der Fehler nicht auftritt

  • Vermeiden Sie die Definition eines Scopes für das Zielsystem.

Wenn ein Scope benötigt wird

  1. Konfigurieren Sie die Synchronisation von Benutzerkonten so, dass Objekte, die im One Identity Manager nicht vorhanden sind, als ausstehend markiert werden.

  2. Wenn der Fehler auftritt, führen Sie einen Zielsystemabgleich durch.

    Weitere Informationen finden Sie unter Ausstehende Objekte nachbearbeiten.

    1. Wählen Sie die Objekte, die fälschlicherweise als ausstehend markiert wurden.
    2. Wenden Sie die Methode Zurücksetzen an.

      Die Markierung Ausstehend wird entfernt. Bei der nächsten Synchronisation, die nach den 24 Stunden ausgeführt wird, sollte der Fehler nicht mehr auftreten.

Ausführliche Informationen zur Definition eines Scopes und zur Festlegung von Verarbeitungsmethoden für Synchronisationsschritte finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Konfigurationsparameter für die Verwaltung einer Google Workspace-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 46: Konfigurationsparameter für die Synchronisation einer Google Workspace

Konfigurationsparameter

Bedeutung bei Aktivierung

TargetSystem | GoogleApps

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems Google Workspace. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | GoogleApps | Accounts

Parameter zur Konfiguration der Angaben zu Google Workspace Benutzerkonten.

TargetSystem | GoogleApps | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | GoogleApps | Accounts | InitialRandomPassword | SendTo

Angabe, welche Identität die E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Identität oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird die E-Mail an die im Konfigurationsparameter TargetSystem | GoogleApps | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | GoogleApps | Accounts | InitialRandomPassword | SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto verwendet.

TargetSystem | GoogleApps | Accounts | InitialRandomPassword | SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Identität - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | GoogleApps | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Identität - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | GoogleApps | Accounts | PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte Benutzerkonten.

TargetSystem | GoogleApps | Accounts | TransferJPegPhoto

Der Konfigurationsparameter legt fest, ob bei Änderung des Bildes in den Stammdaten der Identität dieses an bestehende Google Workspace Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Identitätenstammdaten publiziert.

TargetSystem | GoogleApps | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | GoogleApps | MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | GoogleApps | PersonAutoDefault

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | GoogleApps | PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Identitäten zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | GoogleApps | PersonAutoFullsync

Modus für die automatische Identitätenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | GoogleApps | PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Identitätenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

Standardprojektvorlage für Google Workspace

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 47: Abbildung der Google Workspace Schematypen auf Tabellen im One Identity Manager Schema
Schematyp in Google Workspace Tabelle im One Identity Manager Schema
AdminPrivilege GAPPrivilege
AdminRole GAPAdminRole
AdminRoleAssignment GAPOrgAdminRole
Customer GAPCustomer
Domain GAPDomain
DomainAlias GAPDomainAlias
Group GAPGroup
OrgUnit GAPOrgUnit
ProductAndSku GAPPaSku
User GAPUser
UserAddress GAPUserAddress
UserEmail GAPUserEmail
UserExternalId GAPUserExternalId

UserIm

GAPUserIM

UserOrganization

GAPUserOrganization

UserPhone

GAPUserPhone

UserRelation

GAPUserRelation

UserWebsite

GAPUserWebSite

API-Bereiche für das Dienstkonto

In der Google Admin-Konsole muss die Client-ID des Dienstkontos auf verschiedene API-Bereiche autorisiert werden.

Für den Lese- und Schreibzugriff:

https://www.googleapis.com/auth/admin.directory.customer, 
https://www.googleapis.com/auth/admin.directory.device.chromeos, 
https://www.googleapis.com/auth/admin.directory.device.mobile, 
https://www.googleapis.com/auth/admin.directory.device.mobile.action, 
https://www.googleapis.com/auth/admin.directory.domain, 
https://www.googleapis.com/auth/admin.directory.group, 
https://www.googleapis.com/auth/admin.directory.group.member, 
https://www.googleapis.com/auth/admin.directory.notifications, 
https://www.googleapis.com/auth/admin.directory.orgunit, 
https://www.googleapis.com/auth/admin.directory.resource.calendar, 
https://www.googleapis.com/auth/admin.directory.rolemanagement, 
https://www.googleapis.com/auth/admin.directory.user, 
https://www.googleapis.com/auth/admin.directory.user.alias, 
https://www.googleapis.com/auth/admin.directory.user.security, 
https://www.googleapis.com/auth/admin.directory.userschema, 
https://www.googleapis.com/auth/apps.groups.settings, 
https://www.googleapis.com/auth/admin.datatransfer, 
https://www.googleapis.com/auth/apps.licensing

Für den Nur-Lese-Zugriff:

https://www.googleapis.com/auth/admin.directory.customer.readonly, 
https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly, 
https://www.googleapis.com/auth/admin.directory.device.mobile.readonly, 
https://www.googleapis.com/auth/admin.directory.domain.readonly, 
https://www.googleapis.com/auth/admin.directory.group.readonly, 
https://www.googleapis.com/auth/admin.directory.group.member.readonly, 
https://www.googleapis.com/auth/admin.directory.orgunit.readonly, 
https://www.googleapis.com/auth/admin.directory.resource.calendar.readonly, 
https://www.googleapis.com/auth/admin.directory.rolemanagement.readonly, 
https://www.googleapis.com/auth/admin.directory.user.readonly, 
https://www.googleapis.com/auth/admin.directory.user.alias.readonly, 
https://www.googleapis.com/auth/admin.directory.userschema.readonly, 
https://www.googleapis.com/auth/apps.groups.settings, 
https://www.googleapis.com/auth/admin.datatransfer.readonly, 
https://www.googleapis.com/auth/apps.licensing
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택