Chat now with support
Chat with Support

Identity Manager 9.1.2 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Änderung einer Mitgliedschaft kennzeichnen

Um zu kennzeichnen, ob eine Mitgliedschaft geändert wurde, wird an der Basistabelle einer Zuordnung die Information über die letzte Änderung der Mitgliedschaft in der Spalte Änderungsdatum für Abhängigkeiten (XDateSubItem) gepflegt. Bei der ProvisionierungGeschlossen von geänderten Mitgliedschaften entscheidet der One Identity Manager anhand dieses Datums, welche Objekte aktualisiert werden müssen. Bei einer SynchronisationGeschlossen mit RevisionsfilterungGeschlossen wird der höchste Wert aus XDateSubItem und XDateUpdated als RevisionszählerGeschlossen für die Datenbankobjekte genutzt.

Wenn im One Identity Manager eine Mitgliedschaft geändert wird, muss das Änderungsdatum für Abhängigkeiten aktualisiert werden, damit die Änderung provisioniert werden kann.

Voraussetzungen

  • Die Basistabelle hat die Spalte XDateSubItem.

  • An der Tabellenbeziehung zwischen ZuordnungstabelleGeschlossen und Basistabelle ist die Eigenschaft Änderungsdatum für Abhängigkeiten aktualisieren wahr (QBMRelation.IsForUpdateXDateSubItem = TRUE).

Abbildung 13: Abbildung von Mitgliedschaften in der One Identity Manager-Datenbank

Bei Änderung einer Mitgliedschaft (durch Einfügen, Löschen oder Zurücksetzen des Status "Ausstehend") wird ein Auftrag zur Aktualisierung der Spalte XDateSubItem der Basistabelle in die DBQueueGeschlossen eingestellt (QBM-K-XDateSubItemUpdate). Gegebenenfalls werden weitere Verarbeitungsaufträge, beispielsweise zur Vererbungsberechnung, in die DBQueue eingestellt. Diese Aufträge werden zuerst abgearbeitet. Der Auftrag QBM-K-XDateSubItemUpdate wird zurückgestellt bis alle Verarbeitungsaufträge für das geänderte Objekt und für das ModulGeschlossen, zu dem das Objekt gehört, abgearbeitet sind. Werden währenddessen weitere Mitgliedschaften in diesem Modul geändert, werden diese Änderungen durch den bestehenden Auftrag zur Aktualisierung der Spalte XDateSubItem gesammelt und anschließend gemeinsam weiterverarbeitet. Sobald der Auftrag QBM-K-XDateSubItemUpdate ausgeführt wird, wird ein Update-Auftrag für die Spalte XDateSubItem an der Basistabelle in die JobqueueGeschlossen eingestellt. Der Wert dieser Spalte wird aktualisiert. Daraufhin wird der Auftrag zur Provisionierung der geänderten Mitgliedschaft in die Jobqueue eingestellt.

Abbildung 14: Verarbeitung der Änderung einer Mitgliedschaft im One Identity Manager

Beispiel

Die Mitgliedschaft eines Active Directory Benutzerkontos in einer Active Directory Gruppe wird im One Identity Manager gelöscht (Tabelle ADSAccountInADSGroup). An der Active Directory Gruppe wird das Änderungsdatum für Abhängigkeiten aktualisiert (ADSGroup.XDateSubItem). Die Änderung der Mitgliedschaft für diese Active Directory Gruppe wird in das Zielsystem provisioniert. Bei der nächsten Synchronisation mit Revisionsfilterung wird das XDateSubItem als höchstes Änderungsdatum für den Revisionszähler ermittelt und gegen die RevisionGeschlossen des Schematyps im ZielsystemschemaGeschlossen verglichen.

Verwandte Themen

Einzelprovisionierung von Mitgliedschaften

Bei der ProvisionierungGeschlossen von Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:

  • Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.

    Beispiele: Liste von Benutzerkonten in der Eigenschaft Member einer Gruppe - ODER - Liste von Profilen in der Eigenschaft MemberOf eines Benutzerkontos

  • Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.

  • Ein ProvisionierungsworkflowGeschlossen und Provisionierungsprozesse sind eingerichtet.

Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.

Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Dafür muss an den ZuordnungstabellenGeschlossen die Option Merge-Modus aktiviert sein (DPRNameSpaceHasDialogTable.IsAdHocSingleMemberShip = TRUE). Ausführliche Informationen zum Setzen dieser Option finden Sie in den Administrationshandbüchern für die Anbindung der einzelnen Zielsysteme.

Für alle Tabellen, die so gekennzeichnet sind, werden bei der Provisionierung zusätzliche Verarbeitungsschritte ausgeführt.

  1. Im DBQueue ProzessorGeschlossen wird ein Auftrag zur Aktualisierung der Tabelle DPRMemberShipAction eingestellt. Diese Tabelle enthält die geänderten Objekte und die auszuführenden Operationen.
  2. Die Mitgliederliste des geänderten Objekts wird gegen die Tabelle DPRMemberShipAction abgeglichen. Damit wird bei Änderung einer Mitgliedschaft nicht die gesamte Mitgliederliste im Zielsystem aktualisiert. Es wird nur die einzelne geänderte Mitgliedschaft in die Mitgliederliste übertragen. Änderungen an den Mitgliedschaften des geänderten Objekts, die zwischenzeitlich im Zielsystem vorgenommen wurden, werden damit nicht überschrieben.
  3. Sobald eine Änderung erfolgreich ins Zielsystem provisioniert wurde, wird der Eintrag aus der Tabelle DPRMemberShipAction gelöscht. Tritt während der Provisionierung ein Fehler auf, verbleibt der Eintrag in der Tabelle.
Tabelle 27: Verarbeitung der Einträge in der Tabelle DPRMemberShipAction
Provisionierungsprozess Eintrag in DPRMemberShipAction Kommentar
erfolgreich wird gelöscht  
fehlgeschlagen bleibt erhalten Wird bei der Provisionierung einer beliebigen neuen Änderung des Objekts erneut verarbeitet und bei Erfolg gelöscht.
reaktiviert wird erneut verarbeitet  
fehlgeschlagen und gelöscht bleibt erhalten Wird im Rahmen der täglichen Wartungsarbeiten gelöscht.

Im Rahmen dieser Wartungsarbeiten werden alle Einträge gelöscht, für die kein Provisionierungsauftrag in der JobqueueGeschlossen vorhanden ist.

HINWEIS: Bei einer SynchronisationGeschlossen wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.

Performance-Speicher-Optimierung

Während der SynchronisationGeschlossen werden Datenpakete in den Arbeitsspeicher geladen, um Synchronisationsobjekte gleichzeitig verarbeiten zu können. Um die Synchronisation zu beschleunigen, kann die Größe dieser Datenpakete erhöht werden. Dabei wird jedoch mehr Arbeitsspeicher benötigt. Standardmäßig ist die Größe der Datenpakete so gewählt, dass das Verhältnis von Speicherbedarf und Performance ausbalanciert ist. Dennoch können während der Synchronisation Speicherprobleme auftreten. Das ist oftmals abhängig von der Konfiguration der Systemumgebung, der Menge der zu synchronisierenden Daten und der konkreten Synchronisationskonfiguration. Um solche Speicherprobleme zu vermeiden, kann die Größe des genutzten Speichers reguliert werden. Das Maß dieser Änderung wird über den Performance-Speicher-FaktorGeschlossen bestimmt.

Da die Menge der zu verarbeitenden Daten von Objekttyp zu Objekttyp sehr unterschiedlich sein kann, kann der Performance-Speicher-Faktor für jeden SynchronisationsschrittGeschlossen separat festgelegt werden. Wenn während der Synchronisation Speicherprobleme auftreten, ermitteln Sie zunächst, die davon betroffenen Synchronisationsschritte. Verringern Sie dann den Performance-Speicher-Faktor für diese Synchronisationsschritte bis ein optimales Verhältnis von Speicherbedarf und Performance erreicht ist.

Um den Performance-Speicher-Faktor für einen Synchronisationsschritt anzupassen

  1. Bearbeiten Sie die Eigenschaften des Synchronisationsschritts.

    Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

  2. Wählen Sie den Tabreiter Erweitert.
  3. Stellen Sie den Performance-Speicher-Faktor über den Schieberegler ein.
    • Um den Speicherbedarf zu verringern, schieben Sie den Regler nach links. Die Performance verringert sich.

      - ODER -

    • Um die Performance zu erhöhen, schieben Sie den Regler nach rechts. Es wird mehr Arbeitsspeicher benötigt.
  4. Klicken Sie OK.

TIPP: An der StartkonfigurationGeschlossen können Sie den Speicherbedarf für alle zu verarbeitenden Daten gleichermaßen anpassen. Sie können hier den Nachladeschwellwert, die Partitionsgröße und den Richtwert für die Massenverarbeitung einstellen. Diese Einstellungen sind nur im Expertenmodus möglich. Weitere Informationen finden Sie unter Erweiterte Eigenschaften einer Startkonfiguration.

Der Performance-Speicher-Faktor gibt den prozentualen Anteil an, mit dem Nachladeschwellwert, Partitionsgröße und Richtwert für die Massenverarbeitung auf einen Objekttyp angewendet werden.

Verwandte Themen

Ladeperformance verbessern

Um die Performance beim Laden eines SynchronisationsprojektsGeschlossen zu verbessern, können die Konfigurationsdaten des Synchronisationsprojekts als SchattenkopieGeschlossen in der One Identity Manager-Datenbank gespeichert werden. Danach wird das Synchronisationsprojekt nur noch aus dieser Schattenkopie geladen. Das Projekt lädt dadurch deutlich schneller. Die Schattenkopie wird in der Spalte Konfigurationsdaten (DPRShell.ShadowCopy) gespeichert.

Wenn Sie diese Option nutzen möchten, beachten Sie folgende Besonderheiten:

  • In der Schattenkopie werden keine Änderungen gespeichert, die außerhalb des Synchronization EditorGeschlossen direkt in der Datenbank durchgeführt wurden.

  • Wenn die One Identity Manager-Datenbank mit dem Programm Crypto ConfigurationGeschlossen verschlüsselt oder entschlüsselt wird, dann wird die Schattenkopie gelöscht.

  • Wenn Änderungen am Synchronisationsprojekt in eine andere Datenbank exportiert werden, dann wird die Schattenkopie in der anderen Datenbank gelöscht. Damit wird sichergestellt, dass die Schattenkopie keine veralteten Konfigurationsdaten enthält.

    Voraussetzung: Das Transportpaket wurde mit dem Exportkriterium Transport von Synchronisationsprojekten erstellt.

  • Wenn die Option Schattenkopie aktivieren aktiviert ist, wird im Rahmen der täglichen Wartungsaufträge geprüft, ob eine Schattenkopie gespeichert ist. Fehlt die Schattenkopie, wird sie angelegt.

Um die Schattenkopie zu aktivieren

  1. Bearbeiten Sie die Eigenschaften des Synchronisationsprojekts.

  2. Auf dem Tabreiter Allgemein aktivieren Sie Schattenkopie aktivieren.
  3. (Optional) Wenn die Schattenkopie nur erstellt werden soll, wenn das Synchronisationsprojekt aktiviert ist, aktivieren Sie Nur wenn das Synchronisationsprojekt aktiviert wurde.
  4. Klicken Sie OK.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating