Für eine erfassen Sie folgende Details.
TIPP: Um die Regel aus einer Vorlage zu erstellen, klicken Sie
.
Tabelle 41: Details einer Property-Mapping-Regel
|
Regeltypen |
Für eine neue Regel wählen Sie den Regeltyp aus.
|
Wertevergleichsregel |
Vergleicht den Wert einer Schemaeigenschaft des One Identity Manager Schemas mit dem Wert einer Schemaeigenschaft des Zielsystemschemas. |
|
Mehrfachreferenzregel |
Vergleicht mehrwertige Schemaeigenschaften. Die Wertelisten werden elementweise verglichen. Fehlende Werte werden hinzugefügt; überzählige Werte werden gelöscht. | |
|
Regelname |
Bezeichnung der Regel. Innerhalb eines muss der Regelname eindeutig sein.
Um den Regelnamen zu ändern, klicken Sie  . Der Regelname wird als Schlüssel verwendet. Die Änderung des Regelnamens kann zu Fehlern führen. |
|
Anzeigename |
Anzeigename der Regel. |
|
|
Legen Sie die zulässige Mappingrichtung für das Mapping der ausgewählten Schemaeigenschaften fest.
|
Beide Richtungen |
Die Property-Mapping-Regel wird sowohl bei in das als auch bei Synchronisationen in den One Identity Manager angewendet. |
|
In das Zielsystem |
Die Property-Mapping-Regel wird nur bei Synchronisationen in das Zielsystem angewendet. |
|
In den One Identity Manager |
Die Property-Mapping-Regel wird nur bei Synchronisationen in den One Identity Manager angewendet. |
|
Nicht zuordnen |
Die Property-Mapping-Regel wird ignoriert.
Sie können diesen Wert setzen, um eine Property-Mapping-Regel zu deaktivieren. |
|
Vom Mapping übernehmen |
Es gilt die Mappingrichtung, die am Mapping festgelegt ist. | |
|
Einschränkung der Mappingrichtung bei der Neuanlage ignorieren |
Gibt an, ob die festgelegte Mappingrichtung bei der Neuanlage von Objekten ignoriert werden soll.
Wenn die Option aktiviert ist, wird die Property-Mapping-Regel auch dann ausgeführt, wenn die Mappingrichtung der entgegengesetzt ist. Property-Mapping-Regeln, denen keine Mappingrichtung zugeordnet ist, werden auch bei der Neuanlage von Objekten ignoriert.
Wenn die Option deaktiviert ist, gilt die festgelegte Mappingrichtung auch bei der Neuanlage von Objekten.
Beispiel:
Eine Telefonanlage soll über den One Identity Manager verwaltet werden. Für die Synchronisation der Telefonnummern gilt die Telefonanlage als primäres System. Als Mappingrichtung wird dafür In den One Identity Manager festgelegt. Die Telefonnummer ist im Zielsystem ein Pflichtwert.
Im One Identity Manager werden neue Personen angelegt. Jede Person erhält initial eine Telefonnummer. Diese Personen sollen durch die Synchronisation im Zielsystem angelegt werden. Damit die Telefonnummern bei der Synchronisation in das Zielsystem geschrieben werden, muss an der Property-Mapping-Regel die Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren aktiviert werden.
Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen. |
|
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
|
Kollisionsverhalten |
Legt fest, ob die Property-Mapping-Regel immer angewendet werden soll.
Objekte, die in einem verbundenen System (Ziel der Synchronisation)
-
geändert wurden, wobei die Änderungen noch nicht provisioniert sind,
-
sich in automatischen Verarbeitungsprozessen befinden, die noch nicht abgeschlossen sind,
-
oder anderweitig für Änderungen blockiert sind,
werden standardmäßig von der Synchronisation ausgeschlossen, um Datenkonflikte zu vermeiden. Die Synchronisation dieser Objekte wird, falls möglich, mit dem folgenden Synchronisationslauf wiederholt.
In seltenen Fällen kann es notwendig sein, dass einige Eigenschaften dieser Objekte dennoch sofort synchronisiert werden müssen, beispielsweise um sicherheitskritische Änderungen in das verbundene System zu übertragen.
-
Regel anwenden: Die Property-Mapping-Regel wird angewendet und überschreibt dadurch eventuelle Datenänderungen.
WICHTIG: Diese Option sollte nur im Ausnahmefall ausgewählt werden. Überprüfen Sie nachträglich die Datenänderungen, die dadurch gegebenenfalls überschrieben werden.
-
Regel nicht anwenden: Die Property-Mapping-Regel wird nicht ausgeführt, wenn das Objekt für Änderungen blockiert ist. Ist diese Option bei allen Property-Mapping-Regeln in diesem Mapping aktiviert, wird das Objekt komplett ausgelassen und von der Synchronisation nicht behandelt.
Das entspricht dem Standardverhalten.
Weitere Informationen finden Sie unter Verhalten bei gleichzeitiger Änderung von Synchronisationsobjekten. |
|
Schemaeigenschaft |
Wählen Sie die Schemaeigenschaften, die gemappt werden soll. |
|
Nicht überschreibend |
Der Wert der Schemaeigenschaft wird durch die Synchronisation nur dann geändert, wenn die Schemaeigenschaft keinen Wert enthält. |
|
Bedingung für Anwendung |
Bedingung, unter der die Property-Mapping-Regel angewendet wird.
Um die Bedingung mit dem Assistenten zu erstellen, klicken Sie Bedingung erstellen. Weitere Informationen finden Sie unter Assistent zur Eingabe von Filtern.
Beispiel: Left.CanonicalName = 'Managed Service Accounts'
Die Property-Mapping-Regel wird auf alle Objekte angewendet, die im One Identity Manager dem Container "Managed Service Accounts" zugeordnet sind. |
Tabelle 42: Zusätzliche Details einer Wertevergleichsregel
|
Mapping gegen die Synchronisationsrichtung erzwingen |
Wenn die Option aktiviert ist, wird die Property-Mapping-Regel auch dann angewendet, wenn die Mappingrichtung der Synchronisationsrichtung entgegengesetzt ist. Weitere Informationen finden Sie unter Mapping gegen die Synchronisationsrichtung.
Die Option kann nur aktiviert werden, wenn
Die Property-Mapping-Regel darf nicht in beide Richtungen ausgeführt werden. |
|
Unzulässige Änderungen erkennen |
Gibt an, ob unzulässige Änderungen erkannt und protokolliert werden sollen, wenn die Synchronisationsrichtung der Mappingrichtung entgegengesetzt ist.
Die Option kann nur aktiviert werden, wenn
- als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist,
- Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist.
Wenn die Option aktiviert ist, werden unzulässige Änderungen identifiziert und protokolliert. Das Protokoll kann nach der Synchronisation ausgewertet werden. Weitere Informationen finden Sie unter Auswerten der Synchronisation.
Wenn die Option nicht aktiviert ist, wird die Property-Mapping-Regel bei der Synchronisation ignoriert.
Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen. |
|
Unzulässige Änderungen korrigieren |
Gibt an, ob unzulässige Änderungen korrigiert werden sollen, wenn die Synchronisationsrichtung der Mappingrichtung entgegengesetzt ist.
Die Option kann nur aktiviert werden, wenn
- Unzulässige Änderungen erkennen aktiviert ist,
- als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist,
- Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist.
Wenn die Option aktiviert ist, wird die Property-Mapping-Regel bei der Synchronisation ausgeführt. Die im verbundenen System wir mit dem Wert aus dem primären System überschrieben. Somit werden unzulässige Änderungen korrigiert.
Wenn die Option nicht aktiviert ist, werden unzulässige Änderungen nur protokolliert.
Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen. |
|
Groß-/Kleinschreibung ignorieren |
Gibt an, ob Änderungen, die sich nur durch Groß- und Kleinschreibung unterscheiden, beim Mapping ignoriert werden sollen. Diese Option wirkt nur auf Schemaeigenschaften mit dem Datentyp Zeichenkette. |
|
Behandle den ersten Wert der Eigenschaft als Einzelwert |
Wenn eine mehrwertige Schemaeigenschaft über eine Wertevergleichsregel gemappt wird, wird der erste Wert aus der Werteliste als Einzelwert bei der Synchronisation berücksichtigt. |
|
Unterstützung des Merge-Modus deaktivieren |
Gibt an, ob der Merge-Modus für die Einzelprovisionierung von Mitgliedschaften in dieser Property-Mapping-Regel deaktiviert werden soll. Wenn die Option aktiviert ist, wird bei der von Mitgliedschaften die komplette Mitgliederliste auch dann übertragen, wenn an der der Merge-Modus aktiviert ist.
Weitere Informationen finden Sie unter Einzelprovisionierung von Mitgliedschaften. |
Tabelle 43: Zusätzliche Details einer Mehrfachreferenzregel
| Nur diese einschließen |
Wählen Sie in der Werteliste alle Mitglieder aus, die auf die Schemaeigenschaft des verbundenen Systems gemappt werden sollen. |
| Diese ausschließen |
Wählen Sie in der Werteliste alle Mitglieder aus, die nicht auf die Schemaeigenschaft des verbundenen Systems gemappt werden sollen. |
Object-Matching-Regeln ordnen die Schemaeigenschaften zu, über die Systemobjekte eindeutig identifiziert werden können. Beispielsweise können Active Directory Gruppen über die Schemaeigenschaften DistinguishedName und ObjectGUID eindeutig identifiziert werden.
Object-Matching-Regeln können aus Property-Mapping-Regeln erstellt oder neu angelegt werden. Wenn die Systemobjekte nur über mehrere Schemaeigenschaften eindeutig identifiziert werden können, können verschiedene Property-Mapping-Regeln über logische Operatoren zu einer verknüpft werden.
HINWEIS: Die Anwendung solcher Object-Matching-Regeln kann die verlangsamen. Nutzen Sie stattdessen eine virtuelle Schemaeigenschaft, um die für das Matching benötigten Schemaeigenschaften zu verknüpfen, und erstellen Sie eine Object-Matching-Regel mit der virtuellen Schemaeigenschaft.
Sind mehrere Object-Matching-Regeln eingerichtet, werden diese in der Reihenfolge ausgeführt, in der sie in der Regelansicht aufgelistet sind. Die oberste Regel ist die primäre Regel, alle weiteren werden als alternative Regeln bezeichnet. Wenn ein durch die primäre Regel eindeutig identifiziert werden konnte, werden die alternativen Regeln nicht ausgeführt. Wenn kein Systemobjekt durch die primäre Regel identifiziert werden konnte, wendet der One Identity Manager die nächste alternative Regel an, um ein passendes Systemobjekt zu ermitteln. Wird durch keine der Regeln ein passendes Systemobjekt identifiziert, dann hat das Objekt keinen Partner und wie als neu oder gelöscht behandelt.
Beispiel
Für das von Active Directory Gruppen sind folgende Object-Matching-Regeln definiert:
- Object GUID <-> Object-Guid (primäre Regel)
- Distinguished name <-> Obj-Dist-Name (alternative Regel)
- Object SID <-> Object-Sid (alternative Regel Nr. 2)
Die Eigenschaften einer Active Directory Gruppe wurden im One Identity Manager geändert. Bei der versucht der Active Directory Konnektor die Gruppe im Zielsystem über die Object GUID zu identifizieren. Es wird kein Objekt mit dieser Object GUID gefunden. Daher wird die alternative Object-Matching-Regel angewendet. Der Konnektor identifiziert ein Objekt mit demselben Distinguished name und aktualisiert dieses Objekt im Zielsystem.
HINWEIS:
-
Object-Matching-Regeln müssen Schemaeigenschaften verwenden, die lesbar sind. Schemaeigenschaften, die nur schreibbar sind, sind für die Identifikation der Systemobjekte nicht geeignet.
-
Schemaeigenschaften, die zur Identifikation der Systemobjekte genutzt werden, müssen einen Wert enthalten. Enthält eine der Schemaeigenschaften einen Leerwert, wird die Object-Matching-Regel ignoriert und die nächste alternative Regel angewendet.
-
Werden mehrere Systemobjekte gefunden, die das Matching-Kriterium erfüllen, erscheint eine Meldung im Synchronisationsprotokoll. Diese Objekte werden bei der weiteren Verarbeitung ignoriert.
Wenn mehrere Systemobjekte gefunden werden, liegen entweder in den verbundenen Systemen fehlerhafte Daten vor oder das Matching-Kriterium ist nicht eindeutig. Bereinigen Sie die Daten in den verbundenen Systemen und passen Sie die Object-Matching-Regeln an.
Um eine aus einer zu erstellen
- Wählen Sie die Kategorie .
- Wählen Sie in der Navigationsansicht ein Mapping.
- Wählen Sie in der Regelansicht die Property-Mapping-Regel aus.
- Klicken Sie in der Symbolleiste der Regelansicht
.
Es erscheint eine Meldung.
- Um die Property-Mapping-Regel in eine Object-Matching-Regel umzuwandeln, klicken Sie im Meldungsdialog Nein.
- ODER -
Um die Property-Mapping-Regel in eine Object-Matching-Regel umzuwandeln und eine Kopie der Property-Mapping-Regel anzulegen, klicken Sie im Meldungsdialog Ja.
Um eine neue Object-Matching-Regel zu erstellen
- Wählen Sie die Kategorie Mappings.
- Wählen Sie in der Navigationsansicht ein Mapping.
- Klicken Sie in der Symbolleiste der Regelansicht für Object-Matching-Regeln
.
- Wählen Sie den Regeltyp aus und erfassen Sie die Details der Regel.
- Klicken Sie OK.
Der One Identity Manager unterstützt Sie bei der Erstellung neuer Object-Matching-Regel auf der Basis bereits bestehender Regeln. Nutzen Sie dafür den Mapping-Assistenten.
Um eine Object-Matching-Regel mit dem Mapping-Assistenten zu erstellen
- Wählen Sie die Kategorie Mappings.
- Wählen Sie in der Navigationsansicht ein Mapping.
- Klicken Sie in der Menüleiste der Regelansicht für Object-Matching-Regeln .
- Folgen Sie den Anweisungen des Mapping-Assistenten.
- Prüfen Sie die neu erstellten Regeln.
