Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des generischen LDAP Konnektors Einstellungen des LDAP Konnektors V2

Konfigurationsparameter für die Verwaltung von LDAP-Umgebungen

Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten > Allgemein > Konfigurationsparameter.

Weitere Informationen finden Sie unter Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung.

Synchronisieren eines LDAP Verzeichnisses

Der One Identity Manager unterstützt die Synchronisation mit LDAP Version 3 konformen Verzeichnisservern.

HINWEIS:

Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und einem LDAP Verzeichnis sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einer LDAP Domäne in die One Identity Manager-Datenbank einzulesen,

  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene LDAP Domänen mit ein und demselben Synchronisationsprojekt zu synchronisieren,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einer LDAP Domäne einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis

Der Synchronization Editor stellt Projektvorlagen bereit, mit denen die Synchronisation von Benutzerkonten und Berechtigungen der LDAP-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlagen, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einem LDAP Verzeichnis in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

HINWEIS: Abhängig vom Schema können weitere Anpassungen bezüglich des Schemas und der Provisionierungsprozesse erforderlich sein.

HINWEIS: Bei Objekten, die aus verschiedenen Verzeichnisdiensten importiert werden, und in der One Identity Manager-Datenbank den identischen kanonischen Namen und definierten Namen besitzen, kann es zu doppelten Anzeigewerten in laufenden Attestierungen, beispielsweise bei Systemberechtigungen, und in Berichten über Zielsystemobjekten und Zielsystemberechtigungen kommen. Gegebenenfalls müssen kundenspezifische Anpassungen an den Attestierungsverfahren und Berichten vorgenommen werden.

Um die Objekte einer LDAP-Umgebung initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.

  2. Die One Identity Manager Bestandteile für die Verwaltung von LDAP-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | LDAP aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

  3. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  4. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation mit einem LDAP Verzeichnis

Bei der Synchronisation des One Identity Manager mit einer LDAP-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzer für den Zugriff auf das LDAP Verzeichnis

Es kann keine sinnvolle Minimalkonfiguration für das Benutzerkonto für die Synchronisation empfohlen werden, da die Berechtigungen vom eingesetzten LDAP Verzeichnisdienst abhängen. Die benötigten Berechtigungen entnehmen Sie daher der Dokumentation zum eingesetzten LDAP Verzeichnisdienst.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating