Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Über dieses Handbuch Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen der Synchronisationskonfiguration für LDAP-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von LDAP Benutzerkonten und Personen Managen von Mitgliedschaften in LDAP Gruppen Bereitstellen von Anmeldeinformationen für LDAP Benutzerkonten Abbildung von LDAP Objekten im One Identity Manager
LDAP Domänen LDAP Containerstrukturen LDAP Benutzerkonten LDAP Gruppen LDAP Computer Berichte über LDAP Objekte
Behandeln von LDAP Objekten im Web Portal Basisdaten für die Verwaltung einer LDAP-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des LDAP Konnektors V2

Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)

Wenn ein Zielsystemkonnektor das Zielsystem zeitweilig nicht erreichen kann, können Sie den Offline-Modus für dieses Zielsystem aktivieren. Damit können Sie verhindern, dass zielsystemspezifische Prozesse in der Jobqueue eingefroren werden und später manuell reaktiviert werden müssen.

Ob der Offline-Modus für eine Zielsystemverbindung grundsätzlich verfügbar ist, wird am Basisobjekt des jeweiligen Synchronisationsprojekts festgelegt. Sobald ein Zielsystem tatsächlich nicht erreichbar ist, kann diese Zielsystemverbindungen über das Launchpad offline und anschließend wieder online geschaltet werden.

Im Offline-Modus werden alle dem Basisobjekt zugewiesenen Jobserver angehalten. Dazu gehören der Synchronisationsserver und alle an der Lastverteilung beteiligten Jobserver. Falls einer der Jobserver auch andere Aufgaben übernimmt, dann werden diese ebenfalls nicht verarbeitet.

Voraussetzungen

Der Offline-Modus kann nur unter bestimmten Voraussetzungen für ein Basisobjekt zugelassen werden.

  • Der Synchronisationsserver wird für kein anderes Basisobjekt als Synchronisationsserver genutzt.

  • Wenn dem Basisobjekt eine Serverfunktion zugewiesen ist, darf keiner der Jobserver mit dieser Serverfunktion eine andere Serverfunktion (beispielsweise Aktualisierungsserver) haben.

  • Es muss ein dedizierter Synchronisationsserver eingerichtet sein, der ausschließlich die Jobqueue für dieses Basisobjekt verarbeitet. Gleiches gilt für alle Jobserver, die über die Serverfunktion ermittelt werden.

Um den Offline-Modus für ein Basisobjekt zuzulassen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Basisobjekte.

  3. Wählen Sie in der Dokumentenansicht das Basisobjekt und klicken Sie .

  4. Aktivieren Sie Offline-Modus verfügbar.

  5. Klicken Sie OK.
  6. Speichern Sie die Änderungen.

WICHTIG: Um Dateninkonsistenzen zu vermeiden, sollten Offline-Phasen kurz gehalten werden.

Die Zahl der nachträglich zu verarbeitenden Prozesse ist abhängig vom Umfang der Änderungen in der One Identity Manager-Datenbank mit Auswirkungen auf das Zielsystem während der Offline-Phase. Um Datenkonsistenz zwischen One Identity Manager-Datenbank und Zielsystem herzustellen, müssen alle anstehenden Prozesse verarbeitet werden, bevor eine Synchronisation gestartet wird.

Nutzen Sie den Offline-Modus möglichst nur, um kurzzeitige Systemausfälle, beispielsweise Wartungsfenster, zu überbrücken.

Um ein Zielsystem als offline zu kennzeichnen

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

  2. Wählen Sie Verwalten > Systemüberwachung > Zielsysteme als offline kennzeichnen.

  3. Klicken Sie Starten.

    Der Dialog Offline-Systeme verwalten wird geöffnet. Im Bereich Basisobjekte werden die Basisobjekte aller Zielsystemverbindungen angezeigt, für die der Offline-Modus zugelassen ist.

  4. Wählen Sie das Basisobjekt, dessen Zielsystemverbindung nicht verfügbar ist.

  5. Klicken Sie Offline schalten.

  6. Bestätigen Sie die Sicherheitsabfrage mit OK.

    Damit werden die dem Basisobjekt zugewiesenen Jobserver angehalten. Es werden keine Synchronisations- und Provisionierungsaufträge ausgeführt. In Job Queue Info wird angezeigt, wenn ein Jobserver offline geschaltet wurde und die entsprechenden Aufträge nicht verarbeitet werden.

Ausführliche Informationen zum Offline-Modus finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Managen von LDAP Benutzerkonten und Personen

Zentraler Bestandteil des One Identity Manager ist die Abbildung von Personen mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager-Datenbank eingelesen und mit den Personen verbunden werden. Für jede Person kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Personen werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager-Datenbank konsistent.

Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Person mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Personen und ihre Benutzerkonten zu verknüpfen:

  • Personen erhalten ihre Benutzerkonten automatisch über Kontendefinitionen.

    Hat eine Person noch kein Benutzerkonto in einer LDAP Domäne, wird durch die Zuweisung der Kontendefinition an eine Person über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

    Wenn Sie Benutzerkonten über Kontendefinitionen verwalten, können Sie das Verhalten von Benutzerkonten beim Deaktivieren oder Löschen von Personen festlegen.

  • Beim Einfügen eines Benutzerkontos wird automatisch eine vorhandene Person zugeordnet oder im Bedarfsfall eine neue Person erstellt. Dabei werden die Personenstammdaten anhand vorhandener Benutzerkontenstammdaten erzeugt. Dieser Mechanismus kann eingesetzt werden, wenn ein neues Benutzerkonto manuell oder durch eine Synchronisation erstellt wird. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Für die automatische Personenzuordnung definieren Sie Kriterien, anhand derer die Personen ermittelt werden sollen.

  • Personen und Benutzerkonten können manuell erfasst und einander zugeordnet werden.

Ausführliche Informationen zu den Grundlagen zur Behandlung und Administration von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Kontendefinitionen für LDAP Benutzerkonten

Um Benutzerkonten automatisch an Personen zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Person noch kein Benutzerkonto in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Person ein neues Benutzerkonto erzeugt.

Aus den Personenstammdaten resultieren die Daten für das Benutzerkonto im jeweiligen Zielsystem. Die Personen müssen ein zentrales Benutzerkonto besitzen. Über die primäre Zuordnung der Person zu einem Standort, einer Abteilung, einer Kostenstelle oder einer Geschäftsrolle und die Zuweisung der IT Betriebsdaten zu diesen Unternehmensstrukturen wird automatisch die Zuteilung der IT Betriebsdaten zum Benutzerkonto der Person geregelt. Die Verarbeitung erfolgt über Bildungsregeln. In der Standardinstallation sind vordefinierte Bildungsregeln zur Ermittlung der benötigten Daten für die Benutzerkonten enthalten. Bei Bedarf können Sie die Bildungsregeln kundenspezifisch anpassen.

Für eine Kontendefinition legen Sie Automatisierungsgrade für die Behandlung der Benutzerkonten fest. Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbten Eigenschaften der Person an das Benutzerkonto. So kann beispielsweise eine Person mehrere Benutzerkonten in einem Zielsystem besitzen:

  • Standardbenutzerkonto, welches alle Eigenschaften über die Person erbt

  • Administratives Benutzerkonto, das zwar mit der Person verbunden ist, aber keine Eigenschaften von der Person erben soll

Ausführliche Informationen zu den Grundlagen zu Kontendefinitionen, Automatisierungsgraden und zur Ermittlung der gültigen IT Betriebsdaten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Für den Einsatz einer Kontendefinition sind die folgenden Schritte erforderlich:

  • Erstellen von Kontendefinitionen

  • Konfigurieren der Automatisierungsgrade

  • Erstellen der Abbildungsvorschriften für die IT Betriebsdaten

  • Erfassen der IT Betriebsdaten

  • Zuweisen der Kontendefinitionen an Personen und Zielsysteme

Detaillierte Informationen zum Thema

Kontendefinitionen erstellen

Um eine Kontendefinition zu erstellen

  1. Wählen Sie im Manager die Kategorie LDAP > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular erfassen Sie die Stammdaten der Kontendefinition.

  4. Speichern Sie die Änderungen.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating