Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Identitäten zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Benötigte Informationen für die Erstellung eines Synchronisationsprojektes

WICHTIG: Für eine erfolgreiche Authentifizierung müssen der Domänen–Controller und die Domäne per DNS Anfrage aufgelöst werden können. Ist die DNS Auflösung nicht möglich, wird die Verbindung zum Zielsystem mit Fehlermeldung abgelehnt.

Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.

Tabelle 5: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

Vollständiger Name der Domäne

Vollständiger Name der Domäne.

Benutzerkonto und Kennwort zur Anmeldung an der Domäne

Benutzerkonto und Kennwort zur Anmeldung an der Domäne. Dieses Benutzerkonto wird für den Zugriff auf die Domäne verwendet. Stellen Sie ein Benutzerkonto mit ausreichenden Berechtigungen bereit. Weitere Informationen finden Sie unter Benutzer und Berechtigungen für die Synchronisation mit dem Active Directory.

DNS Name des Domänen-Controllers

Vollständiger Name des Domänen-Controllers, gegen den sich der Synchronisationsserver verbindet, um auf die Active Directory Objekte zuzugreifen.

Beispiel:

<Name des Servers>.<Vollqualifizierter Domänenname>

Kommunikationsport auf dem Domänen-Controller

Kommunikationsport auf dem Domänen-Controller. LDAP Standard-Kommunikationsport ist Port 389.

Authentifizierungsart

Eine Verbindung zum Zielsystem kann nur hergestellt werden, wenn die richtige Authentifizierungsart gewählt wird. Als Standard wird die Authentifizierungsart Secure verwendet.

Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Synchronisationsserver für das Active Directory

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem Active Directory Konnektor installiert sein.

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

  • Serverfunktion: Active Directory Konnektor

  • Maschinenrolle: Server | Job Server | Active Directory

Weitere Informationen finden Sie unter Systemanforderungen für den Active Directory Synchronisationsserver.

Verbindungsdaten zur One Identity Manager-Datenbank

  • Datenbankserver

  • Name der Datenbank

  • SQL Server-Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird

    Die Verwendung der integrierten Windows-Authentifizierung wird nicht empfohlen. Sollten Sie das Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert und ein Authentifizierungsverfahren ist eingerichtet

  • Active Directory Konnektor ist installiert

  • Zielsystemspezifische Komponenten sind installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Initiales Synchronisationsprojekt für eine Active Directory Domäne erstellen

WICHTIG: Für eine erfolgreiche Authentifizierung müssen der Domänen–Controller und die Domäne per DNS Anfrage aufgelöst werden können. Ist die DNS Auflösung nicht möglich, wird die Verbindung zum Zielsystem mit Fehlermeldung abgelehnt.

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.

Um ein initiales Synchronisationsprojekt für eine Active Directory Domäne einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp Active Directory und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Startseite des Projektassistenten klicken Sie Weiter.

  2. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und erfassen Sie die Eigenschaften der Remoteverbindung.

  1. Auf der Seite Domänenauswahl legen Sie die zu synchronisierende Active Directory Domäne fest.

    • Wählen Sie in der Auswahlliste Domäne die Domäne oder tragen Sie den vollständigen Domänennamen ein.

  2. Auf der Seite Anmeldedaten geben Sie das Benutzerkonto für den Zugriff auf die Domäne an. Dieses Benutzerkonto wird zur Synchronisation der Active Directory Objekte genutzt.

    1. Um ein definiertes Benutzerkonto zu verwenden, erfassen Sie das Benutzerkonto und das Kennwort zur Anmeldung am Zielsystem.

      - ODER -

      Wenn Sie die Angabe leer lassen, wird das Benutzerkonto des aktuell angemeldeten Benutzers genutzt. Im Fall der Synchronisation ist dies das Benutzerkonto, unter dem der One Identity Manager Service läuft. Das Benutzerkonto benötigt die unter Benutzer und Berechtigungen für die Synchronisation mit dem Active Directory beschriebenen Berechtigungen.

      HINWEIS: Wenn Sie kein Benutzerkonto angeben, dann wird während der Konfiguration im Synchronization Editor ebenfalls das Benutzerkonto des aktuell angemeldeten Benutzers verwendet.

      Das Benutzerkonto, das für den Synchronization Editor verwendet wird, weicht gegebenenfalls vom Benutzerkonto des One Identity Manager Service ab. In diesem Fall wird empfohlen, das RemoteConnectPlugin zu verwenden. Damit ist sichergestellt, dass das gleiche Benutzerkonto während Konfiguration im Synchronization Editor als auch im Dienstkontext verwendet wird.

    2. Klicken Sie im Bereich Anmeldedaten verifizieren auf Test, um die Verbindung zur Domäne zu testen.

  3. Auf der Seite Verbindungsoptionen konfigurieren geben Sie den Domänen-Controller für die Synchronisation an und legen fest, mit welchen Optionen die Verbindung erfolgen soll.

    • Im Bereich Binding Optionen legen Sie die Authentifizierungsart für die Anmeldung am Zielsystem fest. Als Standard wird die Authentifizierungsart Secure verwendet.

    • Im Bereich Domänen-Controller wählen oder eingeben legen Sie den Domänen-Controller fest.

      1. Wählen Sie in der Auswahlliste Domänen-Controller einen vorhandenen Domänen-Controller aus oder tragen Sie den vollständiger Name des Domänen-Controllers direkt ein.

      2. Geben Sie im Eingabefeld Port den Kommunikationsport auf dem Domänen-Controller an. LDAP Standard-Kommunikationsport ist Port 389.

      3. Legen Sie über die Option SSL verwenden fest, ob eine sichere Verbindung verwendet werden soll.

      4. Klicken Sie Test, um die Verbindung zu testen. Es wird versucht eine Verbindung zum Domänen-Controller aufzubauen.

  4. Auf der Seite Konnektor Funktionen legen Sie zusätzliche Einstellungen für die Synchronisation fest. Erfassen Sie die folgenden Einstellungen.

    Tabelle 6: Zusätzliche Einstellungen
    Eigenschaft Beschreibung

    Bei Anlage Objekte mit gleichem Distinguished Name oder GUID aus dem Papierkorb wiederherstellen.

    Gibt an, ob gelöschte Active Directory Objekte beim Einfügen berücksichtigt werden sollen. Aktivieren Sie diese Option, wenn beim Einfügen eines Objektes zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll.

    Erlaube das Lesen und Schreiben von Eigenschaften des Remote Access Service (RAS).

    Gibt an, ob Remote Access Service (RAS) Eigenschaften synchronisiert werden sollen. Wenn die Option nicht aktiviert ist, werden in der Synchronisation Standardwerte angenommen. Es werden jedoch keine Eigenschaften gelesen oder geschrieben. Sie können diese Optionen zu einem späteren Zeitpunkt konfigurieren.

    Erlaube das Lesen und Schreiben von Eigenschaften des Terminal-Dienstes.

    Gibt an, ob die Terminalserver-Eigenschaften synchronisiert werden sollen. Wenn die Option nicht aktiviert ist, werden in der Synchronisation Standardwerte angenommen. Es werden jedoch keine Eigenschaften gelesen oder geschrieben. Sie können diese Optionen zu einem späteren Zeitpunkt konfigurieren.

    HINWEIS: Das Einlesen der Terminalserver-Eigenschaften und RAS-Eigenschaften verlangsamt unter Umständen die Synchronisation.

  5. (Optional) Auf der Seite Zusätzliche Active Directory Einstellungen können Sie festlegen, ob das bei der Synchronisation verwendete Schema angepasst werden soll. Es können zusätzliche Hilfsklassen zu strukturellen Klassen hinzufügt werden. Die Erweiterungsmethoden gelten für die strukturelle Klasse und abgeleitete Klassen. Diese Konfiguration ist nur im Expertenmodus möglich.

  6. Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.

    • Aktivieren Sie die Option Verbindung auf dem Computer lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.

    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS:

    • Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.

    • Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 7: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Gibt an, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Gibt an, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.

    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.

  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver für dieses Zielsystem in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

      TIPP: Sie können auch einen vorhandenen Jobserver zusätzlich als Synchronisationsserver für dieses Zielsystem einsetzen.

      • Um einen Jobserver auszuwählen, klicken Sie .

      Diesem Jobserver wird die passende Serverfunktion automatisch zugewiesen.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

    4. HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.

  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:

    • Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

      Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    • Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    • Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration > Variablen angepasst werden.

Verwandte Themen

Synchronisationsprotokoll konfigurieren

Im Synchronisationsprotokoll werden alle Informationen, Hinweise, Warnungen und Fehler, die bei der Synchronisation auftreten, aufgezeichnet. Welche Informationen aufgezeichnet werden sollen, kann für jede Systemverbindung und für jeden Synchronisationsworkflow separat konfiguriert werden.

Um den Inhalt des Synchronisationsprotokolls für eine Systemverbindung zu konfigurieren

  1. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > Zielsystem.

    - ODER -

    Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > One Identity Manager Verbindung.

  2. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.

  3. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.

  4. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  5. Klicken Sie OK.

Um den Inhalt des Synchronisationsprotokolls für einen Synchronisationsworkflow zu konfigurieren

  1. Wählen Sie im Synchronization Editor die Kategorie Workflows.

  2. Wählen Sie in der Navigationsansicht einen Workflow.

  3. Wählen Sie den Bereich Allgemein und klicken Sie Bearbeiten.

  4. Wählen Sie den Tabreiter Synchronisationsprotokoll.

  5. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  6. Klicken Sie OK.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter DPR | Journal | LifeTime und tragen Sie die maximale Aufbewahrungszeit ein.

Verwandte Themen

Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen

Mit dem Synchronization Editor haben Sie ein Synchronisationsprojekt für die initiale Synchronisation einer Active Directory Domäne eingerichtet. Mit diesem Synchronisationsprojekt können Sie Active Directory Objekte in die One Identity Manager-Datenbank einlesen. Wenn Sie Benutzerkonten und ihre Berechtigungen mit dem One Identity Manager verwalten, werden Änderungen in die Active Directory-Umgebung provisioniert.

Um die Datenbank und die Active Directory-Umgebung regelmäßig abzugleichen und Änderungen zu synchronisieren, passen Sie die Synchronisationskonfiguration an.

  • Um bei der Synchronisation den One Identity Manager als primäres System zu nutzen, erstellen Sie einen Workflow mit der Synchronisationsrichtung In das Zielsystem.

  • Um allgemeingültige Synchronisationskonfigurationen zu erstellen, die erst beim Start der Synchronisation die notwendigen Informationen über die zu synchronisierenden Objekte erhalten, können Variablen eingesetzt werden. Variablen können beispielsweise in den Basisobjekten, den Schemaklassen oder den Verarbeitungsmethoden eingesetzt werden.

  • Mit Hilfe von Variablen kann ein Synchronisationsprojekt für die Synchronisation verschiedener Domänen eingerichtet werden. Hinterlegen Sie die Verbindungsparameter zur Anmeldung an den Domänen als Variablen.

  • Um festzulegen, welche Active Directory Objekte und Datenbankobjekte bei der Synchronisation behandelt werden, bearbeiten Sie den Scope der Zielsystemverbindung und der One Identity Manager-Datenbankverbindung. Um Dateninkonsistenzen zu vermeiden, definieren Sie in beiden Systemen den gleichen Scope. Ist kein Scope definiert, werden alle Objekte synchronisiert.

  • Wenn sich das One Identity Manager Schema oder das Zielsystemschema geändert hat, aktualisieren Sie das Schema im Synchronisationsprojekt. Anschließend können Sie die Änderungen in das Mapping aufnehmen.

  • Um zusätzliche Schemaeigenschaften zu synchronisieren, aktualisieren Sie das Schema im Synchronisationsprojekt. Nehmen Sie die Schemaerweiterungen in das Mapping auf.

Ausführliche Informationen zum Konfigurieren einer Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating