Chat now with support
Chat with Support

Identity Manager 8.2.1 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Mapping gegen die Synchronisationsrichtung

Für einzelne Schemaeigenschaften kann es erforderlich sein, den Wert einer SchemaeigenschaftGeschlossen bei jedem Synchronisationslauf unmittelbar aus dem verbundenen SystemGeschlossen in das primäre System der SynchronisationGeschlossen zu übernehmen. Für diese Schemaeigenschaften gibt es Property-Mapping-Regeln, deren MappingrichtungGeschlossen der Synchronisationsrichtung entgegengesetzt ist. Standardmäßig werden diese Regeln nicht ausgeführt. Um den Wert dieser Schemaeigenschaften noch während der Synchronisation zu übertragen, muss die Ausführung dieser Regeln erzwungen werden. Dieses Verhalten wird an den Property-Mapping-Regeln konfiguriert.

Voraussetzungen
  • An der Property-Mapping-RegelGeschlossen ist die Option Unzulässige ÄnderungenGeschlossen erkennen deaktiviert.

Um das MappingGeschlossen einer Schemaeigenschaft gegen die Synchronisationsrichtung zu erzwingen

Property-Mapping-Regeln, bei denen diese Option aktiviert ist, werden nach Abschluss eines SynchronisationsschrittsGeschlossen ausgeführt. Dabei werden Änderungen entgegen der Synchronisationsrichtung aus dem verbundenen System in das primäre System der Synchronisation übertragen.

Ablauf der Synchronisation

  1. Während ein Synchronisationsschritt ausgeführt wird, werden alle Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entgegengesetzt ist, ignoriert. Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entspricht, werden ausgeführt.
  2. Beim Abschluss des Synchronisationsschritts werden alle Änderungen im verbundenen System gespeichert.
  3. Alle Property-Mapping-Regeln, an denen Mapping gegen die Synchronisationsrichtung erzwingen aktiviert ist, werden erneut ausgeführt. Für die beteiligten Schemaeigenschaften werden Änderungen aus dem verbundenen System in das primäre System der Synchronisation übertragen.

    HINWEIS: Die Property-Mapping-Regeln werden nach Abschluss des Synchronisationsschritts auch dann erneut ausgeführt, wenn im Synchronisationsschritt keine Verarbeitungsmethoden angegeben sind.

Nutzen Sie die Option Mapping gegen die Synchronisationsrichtung erzwingen für Schemaeigenschaften, die aufgrund technischer Einschränkungen nicht im primären System der Synchronisation bearbeitet werden können.

HINWEIS: Die Option wird auch bei der ProvisionierungGeschlossen von Objektänderungen berücksichtigt.
Beispiel

Eine Active Directory-Umgebung soll über den One Identity Manager verwaltet werden. Für die Synchronisation beider Systeme gilt der One Identity Manager als primäres System. Die Objekt GUID der Benutzerkonten wird jedoch nicht im One Identity Manager, sondern in der Active Directory-Umgebung gebildet. Für die Objekt GUID eines Benutzerkontos gilt damit eine abweichende Mappingrichtung. Um die Objekt GUID noch während des Synchronisationslaufs aus dem Zielsystem in den One Identity Manager zu übertragen, muss das Mapping gegen die Synchronisationsrichtung für diese Schemaeigenschaft erzwungen werden.

Tabelle 26: Konfiguration der Synchronisation

Konfigurationseinstellung

Wert

Synchronisationsrichtung:

In das Zielsystem

Property-Mapping-Regel für die Schemaeigenschaften:

ADSAccount.ObjectGUID - User.ObjectGUID

Mappingrichtung:

In den One Identity Manager

Mapping gegen die Synchronisationsrichtung erzwingen:

aktiviert

Ablauf der Synchronisation

Situation: Ein neues Active Directory Benutzerkonto wurde im One Identity Manager angelegt.

  1. Das Benutzerkonto wird durch die Synchronisation im Zielsystem angelegt.
  2. Die Property-Mapping-Regel für die Objekt GUID wird ignoriert, da die Mappingrichtung entgegengesetzt ist.
  3. Sobald alle Property-Mapping-Regeln des Synchronisationsschritts verarbeitet wurden, wird das Benutzerkonto im Zielsystem gespeichert. Im Zielsystem wird ein Wert für User.ObjectGUID ermittelt.
  4. Nach Abschluss des Synchronisationsschritts wird die Property-Mapping-Regel für die Objekt GUID erneut ausgeführt. Die Objekt GUID wird aus der Active Directory-Umgebung in den One Identity Manager übertragen.
Verwandte Themen

Unzulässige Änderungen erkennen

Für das MappingGeschlossen einzelner Schemaeigenschaften kann es erforderlich sein, eins der verbundenen Systeme als primäres System festzulegen. Die Property-Mapping-Regeln für diese Schemaeigenschaften haben eine MappingrichtungGeschlossen, die nur in eine Richtung zeigt. Wenn die Bearbeitung dieser Schemaeigenschaften in keinem der verbundenen Systeme technisch eingeschränkt ist, können deren Werte auch in dem System geändert werden, das nicht das primäre System ist.

Wenn die SynchronisationsrichtungGeschlossen mit der Mappingrichtung übereinstimmt, werden diese Änderungen bei der nächsten Synchronisation überschrieben.

Wenn die Synchronisationrichtung der Mappingrichtung entgegengesetzt ist, entstehen inkonsistente Daten, die durch die Synchronisation nicht korrigiert werden, da die Property-Mapping-Regeln nicht ausgeführt werden. Solche Änderungen gelten als "unzulässige ÄnderungenGeschlossen". Dabei wird als Änderung jede Differenz zwischen den ObjekteigenschaftenGeschlossen der verbundenen Systeme betrachtet, unabhängig davon, in welchem System das Objekt tatsächlich geändert wurde.

Unzulässige Änderungen können bei der Synchronisation erkannt (Rogue DetectionGeschlossen), protokolliert und korrigiert (Rogue Correction) werden. Das entsprechende Verhalten konfigurieren Sie an den Property-Mapping-Regeln.

Voraussetzungen
  • An der Property-Mapping-RegelGeschlossen ist die Mappingrichtung In das ZielsystemGeschlossen oder In den One Identity Manager festgelegt.
  • An der Property-Mapping-Regel ist die Option Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert.

Um unzulässige Änderungen zu erkennen und zu protokollieren

Um unzulässige Änderungen zu korrigieren

  • Aktivieren Sie an der Property-Mapping-Regel zusätzlich Unzulässige Änderungen korrigieren.
HINWEIS: Unzulässige Änderungen können nur dann korrigiert werden, wenn die Schemaeigenschaft, die durch diese Korrektur geändert werden soll, schreibbar ist.

Ablauf der Synchronisation mit Änderungserkennung

  1. Eine Property-Mapping-Regel, deren Mappingrichtung der aktuellen Synchronisationsrichtung entgegengesetzt ist, wird identifiziert.

  2. Wenn Unzulässige Änderungen erkennen aktiviert ist, prüft der One Identity Manager die vorhandenen Objekte der verbundenen Systeme auf unzulässige Änderungen. Unzulässige Änderungen werden protokolliert.

    Das Protokoll kann nach der Synchronisation ausgewertet werden. Weitere Informationen finden Sie unter Auswerten der Synchronisation.

  3. Wenn Unzulässige Änderungen korrigieren aktiviert ist, führt der One Identity Manager die Property-Mapping-Regel aus. Die Objekteigenschaft im verbundenen System wird mit dem Wert aus dem primären System überschrieben.

HINWEIS: Unzulässige Änderungen werden auch bei der ProvisionierungGeschlossen von Objektänderungen behandelt.

Die Änderungserkennung kann insbesondere dann sinnvoll genutzt werden, wenn ein Synchronisations- und ein ProvisionierungsworkflowGeschlossen konfiguriert sind, dass heißt, wenn als Synchronisationsrichtung In den One Identity Manager festgelegt ist und für einzelne Schemaeigenschaften die Mappingrichtung In das Zielsystem. Dabei werden nur Änderungen an diesen Schemaeigenschaften, die im Zielsystem vorgenommen wurden, als unzulässige Änderungen identifiziert.

Beispiel

Für die Synchronisation von Active Directory Gruppen ist die Synchronisationsrichtung In den One Identity Manager festgelegt. Die Gruppen und ihre Eigenschaften werden in der Active Directory-Umgebung erstellt, bearbeitet und gelöscht. Lediglich der Kontomanager einer Gruppe soll im One Identity Manager zugewiesen und geändert werden.

Tabelle 27: Konfiguration der Synchronisation

Konfigurationseinstellung

Wert

Synchronisationsrichtung:

In den One Identity Manager

Property-Mapping-Regel für die Schemaeigenschaften:

ADSGroup.ObjectKeyManager - Group.Name of manager

Mappingrichtung:

In das Zielsystem

Unzulässige Änderungen erkennen:

aktiviert

Unzulässige Änderungen korrigieren:

aktiviert

Durch die Synchronisation werden neue Gruppen im One Identity Manager angelegt. Im One Identity Manager wird ein Kontomanager zugewiesen. Diese Änderung wird in die Zielsystem-Umgebung provisioniert.

Für die Bearbeitung des Kontomanagers gibt es im Zielsystem keine technische Einschränkung. Wenn der Kontomanager in der Active Directory-Umgebung geändert wird, entsteht eine Datendifferenz, also eine unzulässige Änderung. Bei einer erneuten Synchronisation wird diese Änderungen erkannt, protokolliert und rückgängig gemacht. Dabei wird die Property-Mapping-Regel ausgeführt und der Wert im Zielsystem mit dem Wert aus der One Identity Manager-Datenbank überschrieben.

Es kann sinnvoll sein, die Änderungserkennung zusammen mit der Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren zu nutzen. Wie im Beispiel wird in der Active Directory-Umgebung eine neue Gruppe angelegt. Dabei wird initial ein Kontomanager zugewiesen.

Durch die Synchronisation wird die Gruppe im One Identity Manager angelegt, der Kontomanager bleibt jedoch leer, da die Property-Mapping-Regel nicht ausgeführt wird.

Noch bevor im One Identity Manager der Kontomanager zugewiesen wird, wird die Active Directory-Umgebung erneut synchronisiert. Dabei wird eine unzulässige Änderung erkannt (Leerwert in der Datenbank - zugewiesener Kontomanager im Zielsystem). Daraufhin wird der Wert im Zielsystem korrigiert und so der Kontomanager im Zielsystem gelöscht.

Um solche Situationen zu vermeiden, aktivieren Sie die Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren. Dadurch wird die Property-Mapping-Regel für den Kontomanager bereits beim Anlegen der Gruppe ausgeführt und der Kontomanager in der Datenbank zugewiesen. Bei der darauffolgenden Synchronisation wird keine unzulässige Änderung erkannt, da der Kontomanager in beiden verbundenen Systemen identisch ist.

Um eine Property-Mapping-Regel bei Neuanlage auszuführen

Verwandte Themen

Synchronisation von Benutzerdaten mit verschiedenen Systemen

Quelle für die im One Identity Manager verwalteten Benutzerdaten und Berechtigungen können verschiedene Systeme sein. Beispielsweise sollen die Benutzerkonten einer SAP R/3-Umgebung im One Identity Manager verwaltet werden. Die zugehörigen Personendaten werden jedoch über den CSV-Konnektor aus einem anderen System in die Datenbank importiert.

Der CSV-Import kann dazu führen, dass Objekte geändert werden, die aus der SynchronisationGeschlossen mit einem anderen ZielsystemGeschlossen stammen. Beispielsweise ändern sich aufgrund von Bildungsregeln der Vor- und Nachname eines SAP Benutzerkontos, wenn sich durch den CSV-Import der Vor- und Nachname einer Person ändern. Die Änderungen am SAP Benutzerkonto sollen in diesem Fall sofort in die SAP R/3-Umgebung provisioniert werden. Zur Veranschaulichung werden die angebundenen Zielsysteme im Folgenden als "primäre Systeme" bezeichnet; die Systeme, deren Daten über den CSV-Konnektor synchronisiert werden, als "sekundäre Systeme".

Abbildung 12: Beispiel für die Synchronisation von Benutzerdaten mit verschiedenen Zielsystemen

An den SynchronisationsschrittenGeschlossen kann angegeben werden, ob die Daten aus einem sekundären System stammen. In diesem Fall, werden Änderungen sofort (noch während der Synchronisation) in die primären Systeme provisioniert. Umgekehrt dürfen die Provisionierungsprozesse nicht starten, wenn die primären Systeme synchronisiert werden.

Um die sofortige ProvisionierungGeschlossen bei der Synchronisation eines sekundären Systems zu konfigurieren

  1. Öffnen Sie das SynchronisationsprojektGeschlossen des sekundären Systems.

    Weitere Informationen finden Sie unter Vorgehen: Synchronisationsprojekt bearbeiten.

  2. Bearbeiten Sie die Eigenschaften der Synchronisationsschritte.

    Aktivieren Sie auf dem Tabreiter Allgemein die Option Datenimport.

    Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

HINWEIS: Um die sofortige Provisionierung bei der Synchronisation eines primären Systems zu verhindern, öffnen Sie das Synchronisationsprojekt des primären Systems und deaktivieren Sie in den Synchronisationsschritten die Option Datenimport!

Wenn die Option Datenimport aktiviert ist, wird die Session-Variable FullSync=FALSE gesetzt. Wenn die Option deaktiviert ist, wird die Session-Variable FullSync=TRUE gesetzt. Verschiedene ProzesseGeschlossen, Skripte und Bildungsregeln in der One Identity Manager-Datenbank werden nur ausgeführt, wenn FullSync=FALSE gesetzt ist. Das heißt in diesem Zusammenhang, sie werden nur bei der Synchronisation mit einem sekundären System ausgeführt. Bei der Synchronisation mit einem primären System werden diese Prozesse, Skripte und Bildungsregeln ignoriert.

Verwandte Themen

Objekte im One Identity Manager löschen

Um Objekte, die im ZielsystemGeschlossen nicht vorhanden sind, durch die SynchronisationGeschlossen im One Identity Manager zu löschen, stehen zwei Möglichkeiten zur Verfügung.

  1. Die Objekte werden sofort bei der Synchronisation gelöscht.

    Welche Objekte gelöscht wurden, ist im Synchronisationsprotokoll ersichtlich.

    HINWEIS: Mitgliedschaften, die aufgrund einer Vererbung bestehen, können nicht sofort gelöscht werden. Sie werden immer als ausstehend markiert.
  2. Die Objekte werden bei der Synchronisation als ausstehend markiert.

    Ausstehende Objekte müssen im One Identity Manager nachbearbeitet werden. Sie können dabei gelöscht oder in das Zielsystem publiziert werden. Damit kann verhindert werden, dass Objekte aufgrund einer fehlerhaften Datensituation oder einer fehlerhaften Synchronisationskonfiguration gelöscht werden.

    Ausstehende Objekte

    • können im One Identity Manager nicht bearbeitet werden,

    • werden bei jeder weiteren Synchronisation ignoriert,

    • werden bei der Vererbungsberechnung ignoriert.

    Das heißt, sämtliche Mitgliedschaften und Zuweisungen bleiben solange erhalten, bis die ausstehenden Objekte nachbearbeitet wurden.

Um Objekte im One Identity Manager sofort zu löschen

  1. Bearbeiten Sie die Eigenschaften der SynchronisationsschritteGeschlossen.

    Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

  2. Wählen Sie den Tabreiter Verarbeitung.
  3. Legen Sie die Verarbeitungsmethoden fest. Wählen Sie:
    Bei der Synchronisation vom Zielsystem in den One Identity Manager VerarbeitungsmethodeGeschlossen (technischer Name)
    Objekte, die nur im One Identity Manager vorhanden sind: Delete

Um Objekte im One Identity Manager als ausstehend zu markieren

  1. Bearbeiten Sie die Eigenschaften der Synchronisationsschritte.

    Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

  2. Wählen Sie den Tabreiter Verarbeitung.
  3. Legen Sie die Verarbeitungsmethoden fest. Wählen Sie:
    Bei der Synchronisation vom Zielsystem in den One Identity Manager Verarbeitungsmethode (technischer Name)
    Objekte, die nur im One Identity Manager vorhanden sind: MarkAsOutstanding

Ausstehende Objekte können solange nicht im One Identity Manager bearbeitet werden, bis sie überprüft wurden. Sie werden bei jeder weiteren Synchronisation ignoriert.

Um ausstehende Objekte im One Identity Manager zu löschen

  1. Starten Sie den Manager.
  2. Wählen Sie die Kategorie <ZielsystemtypGeschlossen> | ZielsystemabgleichGeschlossen: <Zielsystemtyp> | <Tabelle>.
  1. Wählen Sie die Objekte aus, die Sie löschen möchten. Mehrfachauswahl ist möglich.
  2. Klicken Sie .
  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Die ausgewählten Objekte werden sofort in der One Identity Manager-Datenbank gelöscht. Eine Löschverzögerung wird nicht berücksichtigt. Die Markierung "Ausstehend" wird für diese Objekte entfernt.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating