Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung

Verwalten einer Exchange Online-Umgebung Einrichten der Synchronisation mit einer Exchange Online-Umgebung Basisdaten für die Verwaltung einer Exchange Online-Umgebung Konfigurationsparameter für die Verwaltung einer Exchange Online-Umgebung Standardprojektvorlagen für Exchange Online Verarbeitung von Systemobjekten

Vorbereiten eines Remoteverbindungsservers für den Zugriff auf die Exchange Online-Umgebung

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert

  • Windows PowerShell 5.1 oder höher ist installiert

  • Exchange Online PowerShell V2 Modul ist installiert

  • Exchange Online Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Exchange Online-Umgebung

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und Exchange Online-Umgebung einzurichten. Nachfolgend sind die Schritte für die initiale Einrichtung eines Synchronisationsprojektes beschrieben.

HINWEIS: Beachten Sie bei der Einrichtung der Synchronisation die unter Besonderheiten zur Synchronisation von Exchange Online-Umgebungen beschriebenen Empfehlungen.

WICHTIG: Erstellen Sie für jede Exchange Online-Umgebung ein eigenes Synchronisationsprojekt.

Nach der initialen Einrichtung können Sie innerhalb des Synchronisationsprojektes die Workflows anpassen und weitere Workflows konfigurieren. Nutzen Sie dazu den Workflow-Assistenten im Synchronization Editor. Der Synchronization Editor bietet zusätzlich verschiedene Konfigurationsmöglichkeiten für ein Synchronisationsprojekt an.

WICHTIG: Für eine erfolgreiche Authentifizierung muss Exchange Online per DNS Anfrage erreicht werden können. Ist die DNS Auflösung nicht möglich, wird die Verbindung zum Zielsystem mit Fehlermeldung abgelehnt.

Voraussetzungen für die Erstellung eines Synchronisationsprojektes
  • Die Synchronisation der Azure Active Directory-Umgebung wird regelmäßig ausgeführt.
  • Der Azure Active Directory Mandant ist im One Identity Manager bekannt.

Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.

Tabelle 3: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

Benutzername und Kennwort zur Anmeldung

Benutzerkonto und Kennwort zur Authentifizierung am Exchange Online.

Beispiel:

<user>@<domain.com>
<Benutzername des Synchronisationsnutzers>@yourorganisation.onmicrosoft.com

Stellen Sie ein Benutzerkonto mit ausreichend Berechtigungen bereit. Weitere Informationen finden Sie unter Benutzer und Berechtigungen für die Synchronisation mit einer Exchange Online-Umgebung.

Synchronisationsserver für Exchange Online

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem Exchange Online Konnektor installiert sein.

Tabelle 4: Zusätzliche Eigenschaften für den Jobserver
Eigenschaft Wert
Serverfunktion Exchange Online Konnektor
Maschinenrolle Server/Jobserver/Azure Active Directory/ExchangeOnline

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Verbindungsdaten zur One Identity Manager-Datenbank

  • Datenbankserver

  • Datenbank

  • SQL Server Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Weitere Informationen finden Sie unter Vorbereiten eines Remoteverbindungsservers für den Zugriff auf die Exchange Online-Umgebung.

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um ein initiales Synchronisationsprojekt für eine Exchange Online-Umgebung einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp Exchange Online und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Seite Verbindungsparameter erfassen Sie die Anmeldeinformationen für die Verbindung zum Exchange Online.
    Tabelle 5: Verbindungsparameter zum Exchange Online
    Eigenschaft Beschreibung
    Benutzername (user@domain)

    Vollqualifizierter Name (FQDN) des Benutzerkonto zur Anmeldung.

    Beispiel:

    <user>@<domain.com>
    sync.user@yourorganisation.onmicrosoft.com

    Kennwort Kennwort zum Benutzerkonto.

    Mit Satz hinzufügen können Sie weitere Verbindungsparameter eingeben. Damit legen Sie mehrere Synchronisationsbenutzer an. Diese werden vom Exchange Online Konnektor zyklisch abgefragt, wenn Anfragen an Exchange Online gesendet werden. Durch die Verwendung mehrere Synchronisationsbenutzer wird der Einschränkungsgrenzwert langsamer erreicht.

    Ausführliche Information zur Einschränkungsgrenzwerte in Exchange Online finden Sie in der Exchange Online Dokumentation von Microsoft.

    Um die Verbindungsparameter einzeln zu testen, klicken Sie innerhalb des Satzes. Klicken Sie Alle Sätze prüfen um alle Sätze auf einmal zu prüfen.

    Klicken Sie Weiter.

  2. Klicken Sie danach Fertig um zurück zum Projektassistent zu gehen.
  3. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.
  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 6: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Angabe, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Angabe, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.
    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.
  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

      HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.
  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

    Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    HINWEIS: Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    HINWEIS: Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration | Variablen angepasst werden.

Um den Inhalt des Synchronisationsprotokolls zu konfigurieren

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration | Zielsystem.
  3. Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.
  4. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.
  5. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.
  6. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  7. Klicken Sie OK.

Um regelmäßige Synchronisationen auszuführen

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Konfiguration | Startkonfigurationen.
  3. Wählen Sie in der Dokumentenansicht eine Startkonfiguration aus und klicken Sie Zeitplan bearbeiten.
  4. Bearbeiten Sie die Eigenschaften des Zeitplans.
  5. Um den Zeitplan zu aktivieren, klicken Sie Aktiviert.
  6. Klicken Sie OK.

Um die initiale Synchronisation manuell zu starten

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Konfiguration | Startkonfigurationen.

  3. Wählen Sie in der Dokumentenansicht eine Startkonfiguration und klicken Sie Ausführen.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
Verwandte Themen

Erweiterte Einstellungen für den Exchange Online Konnektor

Im Projektassistenten des Synchronization Editors können Sie auf der Seite Verbindungen zu Exchange Online festlegen, ob Sie erweiterte Einstellungen benötigen. Diese Einstellungen erlauben Ihnen folgende Optionen der Kommunikation mit Exchange Online zu ändern:

  • die Anzahl der gleichzeitigen Verbindungen pro Verbindungsparametersatz
  • die Definition der Windows PowerShell Befehle
Anzahl der gleichzeitigen Verbindungen pro Verbindungsparametersatz

WICHTIG: Diese Option sollte nur mit Anweisungen eines Support-Mitarbeiters geändert werden. Änderungen an dieser Einstellung haben weitreichende Auswirkungen in der Synchronisation und müssen deshalb sehr vorsichtig behandelt werden.

Mit dieser Option können Sie die Anzahl der gleichzeitigen Verbindungen pro Verbindungsparametersatz beziehungsweise pro Benutzerkonto für die Synchronisation festlegen. Die Einstellung legt fest, wie viele gleichzeitige Verbindungen pro Benutzerkonto erstellt werden können. Der Standardwert ist 2. Serverseitig lässt Exchange Online aktuell 3 Verbindungen pro Benutzer zu.

Wenn sich der Exchange Online Konnektor verbindet, erstellt er eine Windows PowerShell Sitzung pro Verbindungsparametersatz unabhängig von der Anzahl der anschließenden Anfragen. Weitere Verbindungen werden dynamisch hinzugefügt falls sie benötigt werden, zum Beispiel, beim Laden mehrerer Objekte während der Synchronisation.

Die maximale Anzahl der Sitzungen, die gegen Exchange Online erstellt werden können, können Sie mit folgender Formel berechnen:

Maximale Anzahl Windows PowerShell Sitzungen = Anzahl Verbindungsparametersätze * Wert in Anzahl der gleichzeitiger Verbindungen pro Verbindungsparametersatz

Die minimale Anzahl der Sitzungen, die gegen Exchange Online erstellt werden können, ist gleich der Anzahl der Verbindungsparametersätze.

Um die Anzahl der gleichzeitigen Verbindungen zu ändern

  1. Auf der Seite Verbindung zu Exchange Online im Verbindungsassistent des Synchronization Editors wählen Sie die Option Erweiterte Einstellungen anzeigen und klicken Sie Weiter.
  2. Geben Sie einen Wert zwischen 1 und 3 im Eingabefeld gleichzeitige Verbindungen pro Verbindungsparametersatz ein.
  3. Auf der Seite Verbindungsparameter erfassen Sie die Anmeldeinformationen für die Verbindung zum Exchange Online. Weitere Informationen finden Sie unter Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Exchange Online-Umgebung
  4. Klicken Sie Fertig zum beenden.
Anpassen der Konnektordefinition

Mit dieser Einstellung können Sie die Definition anpassen, die vom Konnektor verwendet wird, um Ein- und Ausgaben zwischen den Exchange Online Cmdlets und dem Schema der Synchronization Engine umzusetzen.

WICHTIG: Die Konnektordefinition sollte nur mit Anweisungen eines Support-Mitarbeiters geändert werden. Änderungen an dieser Einstellung haben weitreichende Auswirkungen in der Synchronisation und müssen deshalb sehr vorsichtig behandelt werden.

HINWEIS: Eine angepasste Konnektordefinition wird nicht standardmäßig überschrieben, wenn eine neue Version des Konnektors beziehungsweise eine aktualisierte Konnektordefinition herausgegeben wird.

Um die Konnektordefinition anzupassen

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Konfiguration | Zielsystem.

  3. Klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  4. Auf der Startseite des Systemverbindungsassistenten aktivieren Sie Erweiterte Einstellungen anzeigen.

  5. Auf der Seite Erweiterte Einstellungen passen Sie die Konnektordefinition an.

    1. Wählen Sie die Option Konnektordefinition anpassen.

    2. Bearbeiten Sie die Definition in Absprache mit dem Support-Mitarbeiter. Sie können folgende Aktionen ausführen:

      • Mit laden Sie die Definition aus einer Datei.

      • Mit prüfen Sie die Definition auf Fehler.

      • Mit zeigen Sie die Unterschiede zur Standardversion an.

  6. Speichern Sie die Änderungen.

Synchronisationsergebnisse anzeigen

Die Ergebnisse der Synchronisation werden im Synchronisationsprotokoll zusammengefasst. Der Umfang des Synchronisationsprotokolls kann für jede Systemverbindung separat festgelegt werden. Der One Identity Manager stellt verschiedene Berichte bereit, in denen die Synchronisationsergebnisse nach verschiedenen Kriterien aufbereitet sind.

Um das Protokoll einer Synchronisation anzuzeigen

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Protokolle.

  3. Klicken Sie in der Symbolleiste der Navigationsansicht .

    In der Navigationsansicht werden die Protokolle aller abgeschlossenen Synchronisationsläufe angezeigt.

  4. Wählen Sie per Maus-Doppelklick das Protokoll, das angezeigt werden soll.

    Die Auswertung der Synchronisation wird als Bericht angezeigt. Sie können diesen Bericht speichern.

Um das Protokoll einer Provisionierung anzuzeigen

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Protokolle.

  3. Klicken Sie in der Symbolleiste der Navigationsansicht .

    In der Navigationsansicht werden die Protokolle aller abgeschlossenen Provisionierungsprozesse angezeigt.

  4. Wählen Sie per Maus-Doppelklick das Protokoll, das angezeigt werden soll.

    Die Auswertung der Provisionierung wird als Bericht angezeigt. Sie können diesen Bericht speichern.

Die Protokolle sind in der Navigationsansicht farblich gekennzeichnet. Die Kennzeichnung gibt den Ausführungsstatus der Synchronisation/Provisionierung wieder.

TIPP: Die Protokolle werden auch im Manager unter der Kategorie <Zielsystemtyp> | Synchronisationsprotokolle angezeigt.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter DPR | Journal | LifeTime und tragen Sie die maximale Aufbewahrungszeit ein.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating