Chat now with support
Chat with Support

Identity Manager 9.1 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Operationen für Provisionierung und Einzelobjektsynchronisation

Sowohl für die ProvisionierungGeschlossen von Objektänderungen als auch für die EinzelobjektsynchronisationGeschlossen muss festgelegt werden, welcher SynchronisationsworkflowGeschlossen diese Aufgabe übernehmen soll. Beim Einrichten der Synchronisation mit den Standard-Projektvorlagen werden die dafür benötigten Einzelobjektoperationen angelegt. Wenn Sie eigene Provisionierungsprozesse erstellen oder kundenspezifische Tabellen in die Provisionierung oder Einzelobjektsynchronisation einbinden möchten, definieren Sie eigene Einzelobjektoperationen.

Um Einzelobjektoperationen zu definieren

  1. Wählen Sie im DesignerGeschlossen die Kategorie Prozess-Orchestrierung | Einzelobjektoperationen.

  2. Wählen Sie das Menü Objekt | Neu.

  3. Bearbeiten Sie die Eigenschaften der Operation.

  4. Speichern Sie die Änderungen.
  5. Nutzen Sie diese Operation im Prä-Skript zur Generierung des Provisionierungsprozesses oder des ProzessesGeschlossen für die Einzelobjektsynchronisation als Parameter für das Skript DPR_GetAdHocData.

Tabelle 84: Einzelobjektoperationen
Eigenschaft Beschreibung
Bezeichnung Bezeichnung der Operation.
Synchronisationsworkflow WorkflowGeschlossen, der die Provisionierung oder Einzelobjektsynchronisation ausführen soll.
Systemverbindung Zielsystemverbindung für das zu nutzende Zielsystem.
Tabelle Tabelle, für welche die Operation definiert wird. Die Provisionierung oder Einzelobjektsynchronisation kann nur für die Objekte dieser Tabelle ausgeführt werden.
Anzeigename Anzeigename der Operation in der Benutzeroberfläche der One Identity Manager Werkzeuge.
Beschreibung Freitextfeld für zusätzliche Erläuterungen.
Bearbeitungsstatus Wird nur One Identity Manager-intern verwendet.

Lastverteilung bei der Provisionierung und Einzelobjektsynchronisation

ProvisionierungGeschlossen und EinzelobjektsynchronisationGeschlossen können beschleunigt werden, indem die Verarbeitung der ProzesseGeschlossen auf mehrere JobserverGeschlossen verteilt wird. Dafür wird an den Basisobjekten festgelegt, welche Jobserver die Objekte parallel verarbeiten sollen.

Die Lastverteilung kann eingesetzt werden, um Lastspitzen aufzufangen, beispielsweise wenn an einer Hochschule zu Semesterbeginn zahlreiche neue Benutzerkonten angelegt und in das Zielsystem provisioniert werden.

Muss nach einer Umstrukturierung im Zielsystem eine Eigenschaft an den Benutzerkonten geändert werden, können alle betroffenen Benutzerkonten ausgewählt und die Änderung der Eigenschaft per Einzelobjektsynchronisation in die One Identity Manager-Datenbank eingelesen werden.

Für solche Fälle werden die benötigten Jobserver konfiguriert. Pro BasisobjektGeschlossen wird eine ServerfunktionGeschlossen definiert und an die Jobserver zugewiesen. Alle so gekennzeichneten Jobserver führen die Prozesse zur Provisionierung und Einzelobjektsynchronisation parallel aus.

HINWEIS: Die Lastverteilung sollte nicht permanent für Provisionierungen oder Einzelobjektsynchronisationen eingesetzt werden. Durch die parallele Verarbeitung der Objekte kann es beispielsweise vorkommen, dass Abhängigkeiten nicht aufgelöst werden, da die referenzierten Objekte von einem anderen Jobserver noch nicht vollständig verarbeitet wurden.

Sobald die Lastverteilung nicht mehr benötigt wird, stellen Sie sicher, dass der SynchronisationsserverGeschlossen die Prozesse zur Provisionierung und Einzelobjektsynchronisation ausführt.

Um die Lastverteilung für ein Zielsystem zu konfigurieren

  1. Konfigurieren Sie die Server und geben Sie diese im One Identity Manager als Jobserver bekannt.

    • Für Jobserver, die an der Lastverteilung teilnehmen, muss die Option Keine Prozesszuteilung deaktiviert sein.

    • Weisen Sie diesen Jobservern die Standard-Serverfunktion des jeweiligen Zielsystems zu.

    Alle Jobserver müssen auf dasselbe Zielsystem zugreifen können, wie der Synchronisationsserver für das jeweilige Basisobjekt. Ausführliche Informationen zur Einrichtung der Synchronisationsserver finden Sie in den Administrationshandbüchern zur Anbindung der Zielsystemumgebung.

  2. Erstellen Sie im Synchronization EditorGeschlossen für das Basisobjekt des Zielsystems eine Serverfunktion.

    1. Auf dem Stammdatenformular des Basisobjekts klicken Sie neben dem Eingabefeld Serverfunktion.

    2. Erfassen Sie die Bezeichnung der Serverfunktion.

    3. Aktivieren Sie alle Jobserver, denen diese Serverfunktion zugewiesen werden soll.

      Aktivieren Sie nur die Jobserver, die auf dasselbe Zielsystem zugreifen können, wie der Synchronisationsserver des Basisobjekts.

    4. Klicken Sie OK.

Um den Synchronisationsserver ohne Lastverteilung zu nutzen

  • Entfernen Sie im Synchronization Editor die Serverfunktion vom Basisobjekt.
Einschränkungen

Die Lastverteilung wird nur genutzt, wenn die Anzahl der maximalen Instanzen für die ausgeführte ProzessfunktionGeschlossen oder ProzesskomponenteGeschlossen auf 0 oder > 1 gesetzt ist.

Keine Lastverteilung erfolgt, wenn die Anzahl der maximalen Instanzen an der Prozessfunktion oder Prozesskomponente auf 1 oder -1 gesetzt ist. Das betrifft Prozesse, welche eine der folgenden Prozessfunktionen nutzen:

  • AdHocProjectionSingle
  • AdHocProjectionSinglex86
  • UpdateProjectionSingle
  • UpdateProjectionSinglex86

Diese Prozessfunktionen werden beispielsweise von verschiedenen Provisionierungsprozessen für die Zielsystemtypen HCL Domino und Google Workspace genutzt.

Ausführliche Informationen zu Prozessfunktionen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema

Synchronisationsprojekte automatisiert erstellen und aktualisieren

SynchronisationsprojekteGeschlossen können automatisiert erstellt werden. Das kann beispielsweise nützlich sein, wenn Sie Synchronisationsprojekte für verschiedene Active Directory Domänen einrichten möchten, welche die gleiche Konfiguration haben sollen. Per Kommandozeilenbefehl oder Windows PowerShell CmdLet wird ein neues Synchronisationsprojekt erzeugt. Dabei wird die Konfiguration eines Referenzprojekts übernommen. Die Konfiguration des Referenzprojekts wird als Konfigurationssdatei bereitgestellt. In der Konfigurationssdatei können alle Einstellungen angepasst werden. Für veränderliche Einstellungen, wie das zu verbindende ZielsystemGeschlossen oder Kennwörter, definieren Sie Parameter, die beim Aufruf des Kommandos die zu verwendenden Werte erhalten.

Auf die gleiche Weise können bestehende Synchronisationsprojekte mit bereitgestellten Patches aktualisiert werden. Über ein Referenzprojekt wird eine Konfigurationsdatei bereitgestellt, die eine Liste aller anzuwendenden Patches enthält. Es können nur Patches angewendet werden, die keine Benutzereingaben erfordern.

Um die automatische Erstellung von Synchronisationsprojekten einzurichten

  1. Aktivieren Sie im Synchronization EditorGeschlossen den Expertenmodus.

  2. Erstellen Sie das Referenzprojekt mit dem Projektassistenten.

    1. Erstellen Sie ein neues Synchronisationsprojekt.

      • (Optional) Wenn für die automatisch zu erstellenden Synchronisationsprojekte eine Remoteverbindung genutzt werden soll, dann stellen Sie die Remoteverbindung bereits beim Erstellen des Referenzprojektes her.
    2. Auf der letzten Seite des Projektassistenten klicken Sie Konfiguration speichern.

    3. Wählen Sie den Speicherort für die Konfigurationsdatei und vergeben Sie einen Dateinamen.

      Die Datei wird als Synchronization Editor Workspace Datei mit der Erweiterung sews gespeichert.

    4. Beenden Sie den Projektassistenten.

  3. Passen Sie die Synchronisationskonfiguration in der Konfigurationsdatei an.

    • Prüfen Sie die gespeicherten Einstellungen und passen Sie die Werte an.

    • Erstellen Sie Parameter für veränderliche Einstellungen.

  4. Um Synchronisationsprojekte mit dieser Konfiguration zu erstellen,

  5. Um Synchronisationsprojekte automatisiert zu erzeugen, erstellen Sie Skripte, welche das Synchronization Editor Command Line Interface oder das Synchronization Editor Module for Windows PowerShell ausführen.

Um die automatische Aktualisierung von Synchronisationsprojekten einzurichten

  1. Aktivieren Sie im Synchronization Editor den Expertenmodus.

  2. Erstellen Sie die Konfigurationsdatei.

    1. Öffnen Sie das Referenzprojekt.

    2. (Optional) Wenn für die automatisch zu aktualisierenden Synchronisationsprojekte eine Remoteverbindung genutzt werden soll, dann stellen Sie jetzt die Remoteverbindung her.

    3. Wählen Sie das Menü Bearbeiten | Synchronisationsprojekt aktualisieren.

    4. Wählen Sie im Bereich Verfügbare Patches die Patches aus, die angewendet werden sollen. Wählen Sie mindestens einen Patch oder Meilenstein aus. Mehrfachauswahl ist möglich.

    5. Klicken Sie Konfiguration speichern.

    6. Wählen Sie den Speicherort für die Konfigurationsdatei und vergeben Sie einen Dateinamen.

      Die Datei wird als Synchronization Editor Workspace Datei mit der Erweiterung sews gespeichert.

  3. Passen Sie die Synchronisationskonfiguration in der Konfigurationsdatei an.

    • Prüfen Sie die gespeicherten Einstellungen und passen Sie die Werte an.

    • Erstellen Sie Parameter für veränderliche Einstellungen.

  4. Um Synchronisationsprojekte mit dieser Konfiguration zu aktualisieren,

    • Rufen Sie das Synchronization Editor Command Line Interface auf.

      - ODER -

    • Laden Sie das Synchronization Editor Module for Windows PowerShell.

  5. Um Synchronisationsprojekte automatisiert zu aktualisieren, erstellen Sie Skripte, welche das Synchronization Editor Command Line Interface oder das Synchronization Editor Module for Windows PowerShell ausführen.

TIPP: Eine Konfigurationsdatei, die zum Einrichten neuer Synchronisationsprojekte erstellt wurde, kann auch für die Aktualisierung der Synchronisationsprojekte genutzt werden. Erweitern Sie die Konfigurationsdatei um den benötigten Editor und Parameter.

Detaillierte Informationen zum Thema

Anpassen der Konfigurationsdatei

In der Konfigurationsdatei werden alle Daten, die zum Erstellen oder Aktualisieren eines SynchronisationsprojektsGeschlossen benötigt werden, im XML-Format gespeichert. Die Datei gliedert sich in drei Hauptbereiche:

Struktur der Konfigurationsdatei

<?xml version="1.0" encoding="utf-8"?>

<SynchronizationEditorWorkspace Version="1.0">

<Parameters>

...

</Parameters>

<Global>

...

</Global>

<Editors>

...

</Editors>

</SynchronizationEditorWorkspace>

Um auf Basis dieser Konfigurationsdatei Synchronisationsprojekte zu erstellen oder zu aktualisieren, passen Sie die Einstellungen an. Wenn mit der Konfigurationsdatei verschiedene Synchronisationsprojekte erzeugt oder aktualisiert werden sollen, verwenden Sie Parameter für alle veränderlichen Werte.

Um die Konfigurationsdatei anzupassen

  1. Bestimmen Sie die veränderlichen Werte.

  2. Definieren Sie Parameter für jeden dieser Werte.

  3. Ersetzen Sie die Werte durch die Parameter.

Beispiel

Es sollen Synchronisationsprojekte für verschiedene Active Directory Domänen in unterschiedlichen One Identity Manager-Datenbanken auf ein und demselben Datenbankserver erstellt werden. Für eine dieser Domänen wurde das Synchronisationsprojekt mit dem Projektassistenten erstellt. Die Konfigurationsdatei dieses Referenzprojekts muss soweit angepasst werden, dass sie für alle anderen Domänen genutzt werden kann.

Folgende Einstellungen müssen angepasst werden:

  • Definieren Sie Parameter für die One Identity Manager-Datenbank, den Datenbankbenutzer, den Systembenutzer und dessen Kennwort.

  • Definieren Sie Parameter für den Namen der Domäne, den Domänen-Controller, den Active Directory Benutzer und dessen Kennwort.

  • Definieren Sie einen Parameter für den Anzeigenamen des Synchronisationsprojekts, wenn mehrere Synchronisationsprojekte in einer Datenbank angelegt werden sollen.

  • Ersetzen Sie die entsprechenden Werte in den globalen Definitionen und in den Definitionen des Editors durch diese Parameter.

    WICHTIG: Die Verbindungsdaten zur One Identity Manager-Datenbank in den globalen Definitionen (WorkDatabase.ConnectionString) und in den Definitionen des Editors (MainConnection.ConnectionParameter) müssen identisch sein. Wenn Sie diese Werte durch Parameter ersetzen, nutzen Sie jeweils die selben Parameter.

    Folgende Tabelle zeigt die notwendigen Anpassungen in der Konfigurationsdatei anhand eines Referenzprojekts aus einer SQL Server Datenbank. Ausführliche Informationen über die Verbindungsdaten zu einer SQL Server Datenbank finden Sie imOne Identity Manager Installationshandbuch. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

    Anpassungen in der Konfigurationsdatei für neue Synchronisationsprojekte:

    • WorkDatabase.ConnectionString

      data source=<Datenbankserver>;initial catalog=<Datenbank>;
      user id=<Nutzer>;pooling=False;Password=$DBPassword$

      Ersetzen Sie <Datenbank> und <Nutzer> durch Parameter, beispielsweise $Database$ und $DBUser$.

    • WorkDatabase.AuthenticationString

      Module=<AuthentifizierungsmodulGeschlossen>;User[VI.DB_USER]=<Systembenutzer>;(Password)Password[VI.DB_Password]=<Kennwort>

      Ersetzen Sie <Systembenutzer> und <Kennwort> durch Parameter, beispielsweise $SystemUser$ und $SystemPassword$.

    • MainConnection.ConnectionParameter

      Authentication=ProjectorAuthenticator;
      data source=<Datenbankserver>;DBFactory="VI.DB.ViSqlFactory, VI.DB";
      initial catalog=<Datenbank>;password="<DBPassword>";pooling=False;
      user id=<Nutzer>

      Ersetzen Sie <Systembenutzer> und <Kennwort> durch Parameter, beispielsweise $SystemUser$ und $SystemPassword$.

    • ConnectedSystemConnection.ConnectionParameter

      ADAuthentication=<Authentifizierungsart>;
      ADEnableras=<Remote Access Service>;
      ADEnablerecyclebin=<Active Directory Papierkorb>;
      ADEnableterminal=<Terminal-Dienst>;
      ADPort=<Port>;ADRootdn="<Definierter Name der Domäne>";
      ADServer=<Domänen-Controller>;
      ADTypeEnableExtensions=<Typklassen erlaubt>;
      ADTypeExtensions=<Typklassendefinition>;
      baseloginaccount=<Active Directory Benutzer>;
      basepassword="<Active Directory Kennwort>"

      Ersetzen Sie <Definierter Name der Domäne>, <Domänen-Controller>, <Active Directory Benutzer> und <Active Directory Kennwort> durch Parameter.

    • ShellDisplay

      <Anzeigename des Synchronisationsprojekts>

      Ersetzen Sie <Anzeigename des Synchronisationsprojekts> durch einen Parameter, wenn mehrere Synchronisationsprojekte in einer Datenbank angelegt werden sollen.

Weitere Informationen finden Sie unter Konfigurationsdatei zum Erstellen neuer Synchronisationsprojekte.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating