Chat now with support
Chat with Support

Identity Manager 9.1.2 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Mitgliedschaften löschen

Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, können im One Identity Manager auf einer Direktzuweisung beruhen oder durch Vererbung entstanden sein. Die Herkunft der Mitgliedschaft ist in der Zuweisungstabelle in der Spalte XOrigin hinterlegt. Vererbte Mitgliedschaften können bei einer SynchronisationGeschlossen nicht gelöscht werden, solange die Quelle der Vererbung existiert. Wenn vererbte Mitgliedschaften im ZielsystemGeschlossen gelöscht werden, werden diese bei der Synchronisation als ausstehend markiert, unabhängig davon, welche VerarbeitungsmethodeGeschlossen gewählt wurde.

Beim Löschen von Mitgliedschaften durch die Synchronisation werden folgende Fälle unterschieden:

Tabelle 72: Mitgliedschaften löschen
Herkunft der Mitgliedschaft Verarbeitungsmethode Delete Verarbeitungsmethode MarkAsOutstanding
nur direkt Die Mitgliedschaft wird sofort bei der Synchronisation gelöscht. Die Mitgliedschaft wird bei der Synchronisation als ausstehend markiert.
nur vererbt Die Mitgliedschaft wird bei der Synchronisation als ausstehend markiert. Die Mitgliedschaft wird bei der Synchronisation als ausstehend markiert.
direkt und vererbt Die Mitgliedschaft wird bei der Synchronisation als ausstehend markiert. Der Verweis auf die direkte Zuweisung wird entfernt (Wert der Spalte XOrigin wird aktualisiert). Die Mitgliedschaft wird bei der Synchronisation als ausstehend markiert.

Ausstehende Mitgliedschaften müssen einzeln nachbearbeitet werden. Sie können diese Mitgliedschaften publizieren, wenn die Quelle der Vererbung weiterhin besteht. Oder Sie setzen den Status zurück und entfernen die Quelle der Vererbung.

Beispiel

Ben King hat ein Active Directory Benutzerkonto, das Mitglied der Active Directory Gruppe "Backup Operators" ist. Diese Mitgliedschaft wird durch die Initialsynchronisation in die One Identity Manager-Datenbank eingelesen und als direkte Mitgliedschaft in der Tabelle ADSAccountInADSGroup gespeichert (XOrigin = '1'). Ben King wird Mitglied der GeschäftsrolleGeschlossen "Projekt A". Dieser Geschäftsrolle ist die Active Directory Gruppe "Backup Operators" zugewiesen. Dadurch wird Ben Kings Benutzerkonto indirekt Mitglied dieser Active Directory Gruppe (ADSAccountInADSGroup.XOrigin = '3'). Im Zielsystem wird die Gruppenmitgliedschaft gelöscht. Die gelöschte Mitgliedschaft wird bei der nächsten Synchronisation sofort in der One Identity Manager-Datenbank gelöscht (ADSAccountInADSGroup.XOrigin = '2'). Da die Mitgliedschaft in der One Identity Manager-Datenbank noch aufgrund der Vererbung besteht, wird sie als ausstehend markiert. Die ausstehende Mitgliedschaft muss im ZielsystemabgleichGeschlossen nachbearbeitet werden. Hierbei gibt es zwei Möglichkeiten:

  1. Die Zuweisungen zur Geschäftsrolle "Projekt A" sind korrekt.

    Die Methode "Publizieren" wird angewendet. Die Mitgliedschaft wird im Zielsystem erneut angelegt.

  2. Die Abbildung im Zielsystem ist korrekt.
    • Die Methode "Status zurücksetzen" wird angewendet.
    • Die Zuweisung der Active Directory Gruppe zur Geschäftsrolle "Projekt A" oder Ben Kings Mitgliedschaft in dieser Geschäftsrolle muss entfernt werden. Daraufhin wird die Gruppenmitgliedschaft aus der Tabelle ADSAccountInADSGroup gelöscht.

Die Methode "Löschen" kann nicht angewendet werden.

Verwandte Themen

Ausstehende Objekte automatisch behandeln

Nach einer SynchronisationGeschlossen sollten keine oder nur eine überschaubare Anzahl von Objekten als ausstehend markiert sein. Diese können einzeln geprüft und über den ZielsystemabgleichGeschlossen weiterbehandelt werden. Wenn bei der Synchronisation zahlreiche Objekte als ausstehend markiert werden, kann eine einzelne Bearbeitung der Objekte zu aufwändig sein. Der One Identity Manager stellt CustomizerGeschlossen-Methoden bereit, um ausstehende Objekte automatisiert zu behandeln. Diese Methoden können in Skripten oder ProzessenGeschlossen aufgerufen werden.

HINWEIS: Wenn bei der Synchronisation zahlreiche Objekte als ausstehend markiert werden, kann eine fehlerhafte Datensituation zugrunde liegen. Bevor Sie die Methoden anwenden, beheben Sie die Ursache für die fehlerhafte Datensituation.

Aufrufsyntax: <Methode> ("<Tabelle>", "<Bedingung>")

Die Methoden benötigen zwei Parameter:

  • Tabelle

    Tabelle, welche die ausstehenden Objekte enthält, die verarbeitet werden sollen.

  • Bedingung

    Bedingung, welche die zu verarbeitenden Objekte einschränkt.

    Mit der Bedingung XMarkedForDeletion & 2 = 2 werden alle ausstehenden Objekte der angegebenen Tabelle selektiert. Sie können die Bedingung erweitern, um die zu verarbeitenden Objekte weiter einzuschränken.

Methode: BulkDeleteOutstanding

Löscht die ausstehenden Objekte aus der One Identity Manager-Datenbank.

Beispiel für einen Methodenaufruf: BulkDeleteOutstanding ("ADSAccount", "XMarkedForDeletion & 2 = 2")

Löscht alle ausstehenden Objekte der Tabelle ADSAccount in der Datenbank.

Methode: BulkDeleteOutstandingState

Setzt den Status der ausstehenden Objekte zurück.

Beispiel für einen Methodenaufruf: BulkDeleteOutstandingState ("ADSAccount", "XMarkedForDeletion & 2 = 2")

Setzt den Status aller ausstehenden Objekte der Tabelle ADSAccount zurück.

Methode: BulkPublishOutstanding

Publiziert die ausstehenden Objekte in das ZielsystemGeschlossen.

Beispiel für einen Methodenaufruf: BulkPublishOutstanding ("ADSAccount", "XMarkedForDeletion & 2 = 2")

Publiziert alle ausstehenden Objekte der Tabelle ADSAccount.

Beispiel für einen Methodenaufruf per Prozess

Um beispielsweise den Status aller Active Directory Benutzerkonten, die während einer Synchronisation massenweise als ausstehend markiert wurden, per Prozessaufruf zurückzusetzen, definieren Sie einen Prozess und nutzen Sie im ProzessschrittGeschlossen die ProzessfunktionGeschlossen CallMethod. Übergeben Sie der Prozessfunktion folgende Parameter:

Prozessfunktion: CallMethod

MethodName: Value = "BulkDeleteOutstandingState"

ObjectType: Value = "DPRNameSpace"

WhereClause: Value = "Ident_DPRNameSpace = 'ADS'"

Param1: Value = "ADSAccount"

Param2: Value = "XMarkedForDeletion & 2 = 2"

Ausführliche Informationen über die Erstellung von Prozessen finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Unterstützung bei der Analyse von Synchronisationsproblemen

Für die Analyse von Problemen während der SynchronisationGeschlossen, beispielsweise unzureichender Performance, kann ein Bericht erzeugt werden. Der Bericht enthält Informationen wie beispielsweise:

  • Ergebnisse der Konsistenzprüfung

  • Einstellungen zur RevisionsfilterungGeschlossen

  • Verwendeter ScopeGeschlossen

  • Analyse des Synchronisationspuffers

  • Zugriffszeiten auf die Objekte in der One Identity Manager-Datenbank und im Zielsystem

Um den Synchronisationsanalysebericht zu erstellen

  1. Wählen Sie das Menü Hilfe > Synchronisationsanalysebericht erstellen und beantworten Sie die Sicherheitsabfrage mit Ja.

    Die Generierung des Berichts nimmt einige Zeit in Anspruch. Er wird in einem separaten Fenster angezeigt.

  2. Drucken Sie den Bericht oder Speichern Sie ihn in einem der verschiedenen Ausgabeformate.

Einrichten der Synchronisation mit den Standardkonnektoren

Der One Identity Manager stellt Konnektoren für die SynchronisationGeschlossen folgender Zielsysteme bereit:

  • Direkt unterstützte Zielsysteme

    Für die Abbildung und Verarbeitung der Zielsystemobjekte werden separate Module bereitgestellt. Für jedes ZielsystemGeschlossen gibt es einen eigenen Konnektor. Dazu gehören beispielsweise folgende Zielsysteme:

    • Active Directory
    • SharePoint
    • SAP R/3

    Die Konnektoren für die direkt unterstützten Zielsysteme sind in den Administrationshandbüchern der jeweiligen Module beschrieben.

  • Cloud-Anwendungen

    Mit dem SCIM Konnektor können Cloud-Anwendungen an das ModulGeschlossen Universal Cloud Interface des One Identity Manager angebunden werden. Über den Universal Cloud Interface Konnektor werden die Cloud Objekte in das Modul Cloud Systems Management übertragen und können hier mit Personen verbunden werden.

    Ausführliche Informationen finden Sie in den folgenden Handbüchern:

    • One Identity Manager Administrationshandbuch für die Anbindung von Cloud-Anwendungen
    • One Identity Manager Administrationshandbuch für die Anbindung einer Universal Cloud Interface-Umgebung
  • CSV-Dateien

    Mit dem CSV KonnektorGeschlossen können Daten zwischen CSV-Dateien und der One Identity Manager-Datenbank ausgetauscht werden. In diesem Zusammenhang bilden die CSV-Dateien das Zielsystem.

    Ausführliche Informationen finden Sie im One Identity Manager Anwenderhandbuch für den CSV Konnektor.

  • One Identity Manager-Datenbanken

    Mit dem One Identity Manager Konnektor können One Identity Manager-Datenbanken mit derselben Produktversion synchronisiert werden.

    Ausführliche Informationen finden Sie im One Identity Manager Anwenderhandbuch für den One Identity Manager KonnektorGeschlossen.

  • Nicht direkt unterstützte Zielsysteme

    Mit dem Windows PowerShell Konnektor können Zielsysteme an den One Identity Manager angebunden werden, die nicht direkt durch den One Identity Manager unterstützt werden. Für Leseoperationen und Schreiboperationen im Zielsystem werden Windows PowerShell Cmdlets ausgeführt.

    Ausführliche Informationen finden Sie im One Identity Manager Anwenderhandbuch für den Windows PowerShell KonnektorGeschlossen.

  • Andere Datenbanksysteme

    Mit dem generischen DatenbankkonnektorGeschlossen können externe Datenbanken mit der One Identity Manager-Datenbank synchronisiert werden.

    Ausführliche Informationen finden Sie in den folgenden Handbüchern:

    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von DB2 (LUW)-Datenbanken
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von MySQL Datenbanken
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von Oracle Database
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von SQLite Datenbanken
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von SQL Server Datenbanken
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor für den CData ADO.NET Provider
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor für den generischen ADO.NET Provider
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von SAP HANA Datenbanken
    • One Identity Manager Anwenderhandbuch für den generischen Datenbankkonnektor zur Verbindung von PostgreSQL Datenbanken
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating