Chat now with support
Chat with Support

Identity Manager 9.1 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Details einer Property-Mapping-Regel

Für eine Property-Mapping-RegelGeschlossen erfassen Sie folgende Details.

TIPP: Um die Regel aus einer Vorlage zu erstellen, klicken Sie .
Tabelle 41: Details einer Property-Mapping-Regel

Detail

Beschreibung

Regeltypen

Für eine neue Regel wählen Sie den Regeltyp aus.

Wertevergleichsregel

Vergleicht den Wert einer Schemaeigenschaft des One Identity Manager Schemas mit dem Wert einer Schemaeigenschaft des Zielsystemschemas.

Mehrfachreferenzregel

Vergleicht mehrwertige Schemaeigenschaften. Die Wertelisten werden elementweise verglichen. Fehlende Werte werden hinzugefügt; überzählige Werte werden gelöscht.

Regelname

Bezeichnung der Regel. Innerhalb eines MappingsGeschlossen muss der Regelname eindeutig sein.

Um den Regelnamen zu ändern, klicken Sie . Der Regelname wird als Schlüssel verwendet. Die Änderung des Regelnamens kann zu Fehlern führen.

Anzeigename

Anzeigename der Regel.

MappingrichtungGeschlossen

Legen Sie die zulässige Mappingrichtung für das Mapping der ausgewählten Schemaeigenschaften fest.

Beide Richtungen

Die Property-Mapping-Regel wird sowohl bei SynchronisationenGeschlossen in das ZielsystemGeschlossen als auch bei Synchronisationen in den One Identity Manager angewendet.

In das Zielsystem

Die Property-Mapping-Regel wird nur bei Synchronisationen in das Zielsystem angewendet.

In den One Identity Manager

Die Property-Mapping-Regel wird nur bei Synchronisationen in den One Identity Manager angewendet.

Nicht zuordnen

Die Property-Mapping-Regel wird ignoriert.

Sie können diesen Wert setzen, um eine Property-Mapping-Regel zu deaktivieren.

Vom Mapping übernehmen

Es gilt die Mappingrichtung, die am Mapping festgelegt ist.

Einschränkung der Mappingrichtung bei der Neuanlage ignorieren

Gibt an, ob die festgelegte Mappingrichtung bei der Neuanlage von Objekten ignoriert werden soll.

Wenn die Option aktiviert ist, wird die Property-Mapping-Regel auch dann ausgeführt, wenn die Mappingrichtung der SynchronisationsrichtungGeschlossen entgegengesetzt ist. Property-Mapping-Regeln, denen keine Mappingrichtung zugeordnet ist, werden auch bei der Neuanlage von Objekten ignoriert.

Wenn die Option deaktiviert ist, gilt die festgelegte Mappingrichtung auch bei der Neuanlage von Objekten.

Beispiel:

Eine Telefonanlage soll über den One Identity Manager verwaltet werden. Für die Synchronisation der Telefonnummern gilt die Telefonanlage als primäres System. Als Mappingrichtung wird dafür In den One Identity Manager festgelegt. Die Telefonnummer ist im Zielsystem ein Pflichtwert.

Im One Identity Manager werden neue Personen angelegt. Jede Person erhält initial eine Telefonnummer. Diese Personen sollen durch die Synchronisation im Zielsystem angelegt werden. Damit die Telefonnummern bei der Synchronisation in das Zielsystem geschrieben werden, muss an der Property-Mapping-Regel die Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren aktiviert werden.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Kollisionsverhalten

Legt fest, ob die Property-Mapping-Regel immer angewendet werden soll.

Objekte, die in einem verbundenen System (Ziel der Synchronisation)

  • geändert wurden, wobei die Änderungen noch nicht provisioniert sind,

  • sich in automatischen Verarbeitungsprozessen befinden, die noch nicht abgeschlossen sind,

  • oder anderweitig für Änderungen blockiert sind,

werden standardmäßig von der Synchronisation ausgeschlossen, um Datenkonflikte zu vermeiden. Die Synchronisation dieser Objekte wird, falls möglich, mit dem folgenden Synchronisationslauf wiederholt.

In seltenen Fällen kann es notwendig sein, dass einige Eigenschaften dieser Objekte dennoch sofort synchronisiert werden müssen, beispielsweise um sicherheitskritische Änderungen in das verbundene System zu übertragen.

  • Regel anwenden: Die Property-Mapping-Regel wird angewendet und überschreibt dadurch eventuelle Datenänderungen.

    WICHTIG: Diese Option sollte nur im Ausnahmefall ausgewählt werden. Überprüfen Sie nachträglich die Datenänderungen, die dadurch gegebenenfalls überschrieben werden.

  • Regel nicht anwenden: Die Property-Mapping-Regel wird nicht ausgeführt, wenn das Objekt für Änderungen blockiert ist. Ist diese Option bei allen Property-Mapping-Regeln in diesem Mapping aktiviert, wird das Objekt komplett ausgelassen und von der Synchronisation nicht behandelt.

    Das entspricht dem Standardverhalten.

Weitere Informationen finden Sie unter Verhalten bei gleichzeitiger Änderung von Synchronisationsobjekten.

Schemaeigenschaft

Wählen Sie die Schemaeigenschaften, die gemappt werden soll.

Nicht überschreibend

Der Wert der Schemaeigenschaft wird durch die Synchronisation nur dann geändert, wenn die Schemaeigenschaft keinen Wert enthält.

Bedingung für Anwendung

Bedingung, unter der die Property-Mapping-Regel angewendet wird.

Um die Bedingung mit dem Assistenten zu erstellen, klicken Sie Bedingung erstellen. Weitere Informationen finden Sie unter Assistent zur Eingabe von Filtern.

Beispiel: Left.CanonicalName = 'Managed Service Accounts'

Die Property-Mapping-Regel wird auf alle Objekte angewendet, die im One Identity Manager dem Container "Managed Service Accounts" zugeordnet sind.

Tabelle 42: Zusätzliche Details einer Wertevergleichsregel

Detail

Beschreibung

Mapping gegen die Synchronisationsrichtung erzwingen

Wenn die Option aktiviert ist, wird die Property-Mapping-Regel auch dann angewendet, wenn die Mappingrichtung der Synchronisationsrichtung entgegengesetzt ist. Weitere Informationen finden Sie unter Mapping gegen die Synchronisationsrichtung.

Die Option kann nur aktiviert werden, wenn

  • Unzulässige Änderungen erkennen deaktiviert ist,
  • als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist.

Die Property-Mapping-Regel darf nicht in beide Richtungen ausgeführt werden.

Unzulässige Änderungen erkennen

Gibt an, ob unzulässige Änderungen erkannt und protokolliert werden sollen, wenn die Synchronisationsrichtung der Mappingrichtung entgegengesetzt ist.

Die Option kann nur aktiviert werden, wenn

  • als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist,
  • Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist.

Wenn die Option aktiviert ist, werden unzulässige Änderungen identifiziert und protokolliert. Das Protokoll kann nach der Synchronisation ausgewertet werden. Weitere Informationen finden Sie unter Auswerten der Synchronisation.

Wenn die Option nicht aktiviert ist, wird die Property-Mapping-Regel bei der Synchronisation ignoriert.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Unzulässige Änderungen korrigieren

Gibt an, ob unzulässige Änderungen korrigiert werden sollen, wenn die Synchronisationsrichtung der Mappingrichtung entgegengesetzt ist.

Die Option kann nur aktiviert werden, wenn

  • Unzulässige Änderungen erkennen aktiviert ist,
  • als Mappingrichtung In das Zielsystem oder In den One Identity Manager ausgewählt ist,
  • Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert ist.

Wenn die Option aktiviert ist, wird die Property-Mapping-Regel bei der Synchronisation ausgeführt. Die ObjekteigenschaftGeschlossen im verbundenen System wir mit dem Wert aus dem primären System überschrieben. Somit werden unzulässige Änderungen korrigiert.

Wenn die Option nicht aktiviert ist, werden unzulässige Änderungen nur protokolliert.

Weitere Informationen finden Sie unter Unzulässige Änderungen erkennen.

Groß-/Kleinschreibung ignorieren

Gibt an, ob Änderungen, die sich nur durch Groß- und Kleinschreibung unterscheiden, beim Mapping ignoriert werden sollen. Diese Option wirkt nur auf Schemaeigenschaften mit dem Datentyp Zeichenkette.

Behandle den ersten Wert der Eigenschaft als Einzelwert

Wenn eine mehrwertige Schemaeigenschaft über eine Wertevergleichsregel gemappt wird, wird der erste Wert aus der Werteliste als Einzelwert bei der Synchronisation berücksichtigt.

Unterstützung des Merge-Modus deaktivieren

Gibt an, ob der Merge-Modus für die Einzelprovisionierung von Mitgliedschaften in dieser Property-Mapping-Regel deaktiviert werden soll. Wenn die Option aktiviert ist, wird bei der ProvisionierungGeschlossen von Mitgliedschaften die komplette Mitgliederliste auch dann übertragen, wenn an der ZuordnungstabelleGeschlossen der Merge-Modus aktiviert ist.

Weitere Informationen finden Sie unter Einzelprovisionierung von Mitgliedschaften.

Tabelle 43: Zusätzliche Details einer Mehrfachreferenzregel
Mitgliederfilter Beschreibung
Nur diese einschließen Wählen Sie in der Werteliste alle Mitglieder aus, die auf die Schemaeigenschaft des verbundenen Systems gemappt werden sollen.
Diese ausschließen Wählen Sie in der Werteliste alle Mitglieder aus, die nicht auf die Schemaeigenschaft des verbundenen Systems gemappt werden sollen.

Object-Matching-Regeln bearbeiten

Object-Matching-Regeln ordnen die Schemaeigenschaften zu, über die Systemobjekte eindeutig identifiziert werden können. Beispielsweise können Active Directory Gruppen über die Schemaeigenschaften DistinguishedName und ObjectGUID eindeutig identifiziert werden.

Object-Matching-Regeln können aus Property-Mapping-Regeln erstellt oder neu angelegt werden. Wenn die Systemobjekte nur über mehrere Schemaeigenschaften eindeutig identifiziert werden können, können verschiedene Property-Mapping-Regeln über logische Operatoren zu einer Object-Matching-RegelGeschlossen verknüpft werden.

HINWEIS: Die Anwendung solcher Object-Matching-Regeln kann die SynchronisationGeschlossen verlangsamen. Nutzen Sie stattdessen eine virtuelle Schemaeigenschaft, um die für das Matching benötigten Schemaeigenschaften zu verknüpfen, und erstellen Sie eine Object-Matching-Regel mit der virtuellen Schemaeigenschaft.

Sind mehrere Object-Matching-Regeln eingerichtet, werden diese in der Reihenfolge ausgeführt, in der sie in der Regelansicht aufgelistet sind. Die oberste Regel ist die primäre Regel, alle weiteren werden als alternative Regeln bezeichnet. Wenn ein SystemobjektGeschlossen durch die primäre Regel eindeutig identifiziert werden konnte, werden die alternativen Regeln nicht ausgeführt. Wenn kein Systemobjekt durch die primäre Regel identifiziert werden konnte, wendet der One Identity Manager die nächste alternative Regel an, um ein passendes Systemobjekt zu ermitteln. Wird durch keine der Regeln ein passendes Systemobjekt identifiziert, dann hat das Objekt keinen Partner und wie als neu oder gelöscht behandelt.

Beispiel

Für das MappingGeschlossen von Active Directory Gruppen sind folgende Object-Matching-Regeln definiert:

  • Object GUID <-> Object-Guid (primäre Regel)
  • Distinguished name <-> Obj-Dist-Name (alternative Regel)
  • Object SID <-> Object-Sid (alternative Regel Nr. 2)

Die Eigenschaften einer Active Directory Gruppe wurden im One Identity Manager geändert. Bei der ProvisionierungGeschlossen versucht der Active Directory Konnektor die Gruppe im Zielsystem über die Object GUID zu identifizieren. Es wird kein Objekt mit dieser Object GUID gefunden. Daher wird die alternative Object-Matching-Regel angewendet. Der Konnektor identifiziert ein Objekt mit demselben Distinguished name und aktualisiert dieses Objekt im Zielsystem.

HINWEIS:

  • Object-Matching-Regeln müssen Schemaeigenschaften verwenden, die lesbar sind. Schemaeigenschaften, die nur schreibbar sind, sind für die Identifikation der Systemobjekte nicht geeignet.

  • Schemaeigenschaften, die zur Identifikation der Systemobjekte genutzt werden, müssen einen Wert enthalten. Enthält eine der Schemaeigenschaften einen Leerwert, wird die Object-Matching-Regel ignoriert und die nächste alternative Regel angewendet.

  • Werden mehrere Systemobjekte gefunden, die das Matching-Kriterium erfüllen, erscheint eine Meldung im Synchronisationsprotokoll. Diese Objekte werden bei der weiteren Verarbeitung ignoriert.

    Wenn mehrere Systemobjekte gefunden werden, liegen entweder in den verbundenen Systemen fehlerhafte Daten vor oder das Matching-Kriterium ist nicht eindeutig. Bereinigen Sie die Daten in den verbundenen Systemen und passen Sie die Object-Matching-Regeln an.

Vorgehen: Object-Matching-Regeln erstellen

Um eine Object-Matching-RegelGeschlossen aus einer Property-Mapping-RegelGeschlossen zu erstellen

  1. Wählen Sie die Kategorie MappingsGeschlossen.
  2. Wählen Sie in der Navigationsansicht ein Mapping.
  3. Wählen Sie in der Regelansicht die Property-Mapping-Regel aus.
  4. Klicken Sie in der Symbolleiste der Regelansicht .

    Es erscheint eine Meldung.

  5. Um die Property-Mapping-Regel in eine Object-Matching-Regel umzuwandeln, klicken Sie im Meldungsdialog Nein.

    - ODER -

    Um die Property-Mapping-Regel in eine Object-Matching-Regel umzuwandeln und eine Kopie der Property-Mapping-Regel anzulegen, klicken Sie im Meldungsdialog Ja.

Um eine neue Object-Matching-Regel zu erstellen

  1. Wählen Sie die Kategorie Mappings.
  2. Wählen Sie in der Navigationsansicht ein Mapping.
  3. Klicken Sie in der Symbolleiste der Regelansicht für Object-Matching-Regeln .
  4. Wählen Sie den Regeltyp aus und erfassen Sie die Details der Regel.
  5. Klicken Sie OK.

Der One Identity Manager unterstützt Sie bei der Erstellung neuer Object-Matching-Regel auf der Basis bereits bestehender Regeln. Nutzen Sie dafür den Mapping-Assistenten.

Um eine Object-Matching-Regel mit dem Mapping-Assistenten zu erstellen

  1. Wählen Sie die Kategorie Mappings.
  2. Wählen Sie in der Navigationsansicht ein Mapping.
  3. Klicken Sie in der Menüleiste der Regelansicht für Object-Matching-Regeln .
  4. Folgen Sie den Anweisungen des Mapping-Assistenten.
  5. Prüfen Sie die neu erstellten Regeln.

Vorgehen: Object-Matching-Regeln bearbeiten

Um eine Object-Matching-RegelGeschlossen zu bearbeiten

  1. Wählen Sie die Kategorie MappingsGeschlossen.
  2. Wählen Sie in der Navigationsansicht ein Mapping.
  3. Doppelklicken Sie auf die Object-Matching-Regel, die Sie bearbeiten möchten.
  4. Bearbeiten Sie die Details der Regel.
  5. Klicken Sie OK.
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating