Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Identitäten Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM-Objekten im One Identity Manager
PAM Appliances PAM Benutzerkonten PAM Benutzergruppen PAM Assets PAM Assetgruppen PAM Assetkonten PAM Verzeichniskonten PAM Kontogruppen PAM Verzeichnisse PAM Partitionen PAM Nutzungsrechte PAM Zugriffsanforderungsrichtlinien Berichte über PAM-Objekte
PAM Zugriffsanforderungen Behandeln von PAM-Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Initiales Synchronisationsprojekt für One Identity Safeguard erstellen

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

HINWEIS: Pro Zielsystem und genutzter Standardprojektvorlage kann genau ein Synchronisationsprojekt erstellt werden.

Um ein initiales Synchronisationsprojekt für One Identity Safeguard einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp Privileged Account Management und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Startseite des Projektassistenten klicken Sie Weiter.

  2. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und erfassen Sie die Eigenschaften der Remoteverbindung.

  1. Auf der Seite Verbindungsparameter erfassen Sie folgende Informationen:

    • Appliance Hostname oder IP: Erfassen Sie den Hostname oder IP- Adresse der Appliance. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, ist hier die primäre Appliance einzutragen.

      HINWEIS: Dieser Wert muss angepasst werden, wenn sich die primäre Appliance innerhalb des Clusters ändert. Wenn auf der Seite Beschreibung der Appliance die Option Immer zu primärer Appliance im Cluster verbinden aktiviert ist, wird die primäre Appliance automatisch ermittelt.

    • Fingerabdruck des vertrauenswürdigen Zertifikates: Erfassen Sie den Fingerabdruck des vertrauenswürdigen Zertifikates, welches vom Synchronisationsbenutzer und vom Benutzerkonto des One Identity Manager Service genutzt wird.

    • Ignoriere SSL Verbindungsfehler: Diese Option sollten Sie nur zu Testzwecken aktivieren, da hier potentiell Verbindungen vertraut wird, die nicht sicher sind.

    • Klicken Sie Verbindungsdaten testen, um die Verbindung zu testen. Es wird versucht eine Verbindung zur Appliance aufzubauen.

  2. Auf der Seite Beschreibung der Appliance erfassen Sie folgende Informationen:

    • Anzeigename der Appliance:Erfassen Sie einen Anzeigenamen für die Anzeige in den One Identity Manager Werkzeugen.

    • Systembezeichner: Erfassen Sie einen eindeutigen Bezeichner zur Identifizierung der Appliance.

      VORSICHT: Der Systembezeichner muss die Appliance eindeutig beschreiben. Anhand der Systembezeichners werden die Appliances unterschieden. Die mehrfache Vergabe eines Bezeichners für unterschiedliche Appliances kann zu Fehlverhalten und Datenverlust führen.

    • Immer zu primärer Appliance im Cluster verbinden: Diese Option wird automatisch gesetzt, wenn beim Testen der Verbindungsdaten ein One Identity Safeguard Cluster erkannt wird. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, sollte diese Option aktiviert sein.

  3. Auf der letzten Seite des Systemverbindungsassistenten können Sie die Verbindungsdaten speichern.

    • Aktivieren Sie die Option Verbindung lokal speichern, um die Verbindungsdaten zu speichern. Diese können Sie bei der Einrichtung weiterer Synchronisationsprojekte nutzen.

    • Um den Systemverbindungsassistenten zu beenden und zum Projektassistenten zurückzukehren, klicken Sie Fertig.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS:

    • Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu.

    • Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 5: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Gibt an, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Gibt an, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.

    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.

    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.

  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver für dieses Zielsystem in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

      TIPP: Sie können auch einen vorhandenen Jobserver zusätzlich als Synchronisationsserver für dieses Zielsystem einsetzen.

      • Um einen Jobserver auszuwählen, klicken Sie .

      Diesem Jobserver wird die passende Serverfunktion automatisch zugewiesen.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

    4. HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.

  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:

    • Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

      Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    • Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    • Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration > Variablen angepasst werden.

Verwandte Themen

Synchronisationsprotokoll konfigurieren

Im Synchronisationsprotokoll werden alle Informationen, Hinweise, Warnungen und Fehler, die bei der Synchronisation auftreten, aufgezeichnet. Welche Informationen aufgezeichnet werden sollen, kann für jede Systemverbindung und für jeden Synchronisationsworkflow separat konfiguriert werden.

Um den Inhalt des Synchronisationsprotokolls für eine Systemverbindung zu konfigurieren

  1. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > Zielsystem.

    - ODER -

    Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie im Synchronization Editor die Kategorie Konfiguration > One Identity Manager Verbindung.

  2. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren.

  3. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.

  4. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  5. Klicken Sie OK.

Um den Inhalt des Synchronisationsprotokolls für einen Synchronisationsworkflow zu konfigurieren

  1. Wählen Sie im Synchronization Editor die Kategorie Workflows.

  2. Wählen Sie in der Navigationsansicht einen Workflow.

  3. Wählen Sie den Bereich Allgemein und klicken Sie Bearbeiten.

  4. Wählen Sie den Tabreiter Synchronisationsprotokoll.

  5. Aktivieren Sie die zu protokollierenden Daten.

    HINWEIS: Einige Inhalte erzeugen besonders viele Protokolldaten. Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  6. Klicken Sie OK.

Synchronisationsprotokolle werden für einen festgelegten Zeitraum aufbewahrt.

Um den Aufbewahrungszeitraum für Synchronisationsprotokolle anzupassen

  • Aktivieren Sie im Designer den Konfigurationsparameter DPR | Journal | LifeTime und tragen Sie die maximale Aufbewahrungszeit ein.

Verwandte Themen

Anpassen der Synchronisationskonfiguration für One Identity Safeguard

Mit dem Synchronization Editor haben Sie ein Synchronisationsprojekt für die initiale Synchronisation einer One Identity Safeguard Appliance eingerichtet. Mit diesem Synchronisationsprojekt können Sie PAM Objekte in die One Identity Manager-Datenbank einlesen. Wenn Sie Benutzerkonten und ihre Berechtigungen mit dem One Identity Manager verwalten, werden Änderungen in das Privileged Account Management System provisioniert.

HINWEIS: Wenn die Konfiguration von bereits bestehenden Synchronisationsprojekten angepasst werden soll, prüfen Sie, welche Auswirkungen die Änderungen auf die bereits synchronisierten Daten haben können.

Um die Datenbank und die One Identity Safeguard Appliance regelmäßig abzugleichen und Änderungen zu synchronisieren, passen Sie die Synchronisationskonfiguration an.

  • Um bei der Synchronisation den One Identity Manager als primäres System zu nutzen, erstellen Sie einen Workflow mit der Synchronisationsrichtung In das Zielsystem.

  • Um festzulegen, welche PAM Objekte und Datenbankobjekte bei der Synchronisation behandelt werden, bearbeiten Sie den Scope der Zielsystemverbindung und der One Identity Manager-Datenbankverbindung. Um Dateninkonsistenzen zu vermeiden, definieren Sie in beiden Systemen den gleichen Scope. Ist kein Scope definiert, werden alle Objekte synchronisiert.
  • Um allgemeingültige Synchronisationskonfigurationen zu erstellen, die erst beim Start der Synchronisation die notwendigen Informationen über die zu synchronisierenden Objekte erhalten, können Variablen eingesetzt werden. Variablen können beispielsweise in den Basisobjekten, den Schemaklassen oder den Verarbeitungsmethoden eingesetzt werden.

  • Mit Hilfe von Variablen kann ein Synchronisationsprojekt für die Synchronisation verschiedener Appliances eingerichtet werden. Hinterlegen Sie die Verbindungsparameter zur Anmeldung an der jeweiligen Appliance als Variablen.
  • Wenn sich das One Identity Manager Schema oder das Zielsystemschema geändert hat, aktualisieren Sie das Schema im Synchronisationsprojekt. Anschließend können Sie die Änderungen in das Mapping aufnehmen.

  • Um zusätzliche Schemaeigenschaften zu synchronisieren, aktualisieren Sie das Schema im Synchronisationsprojekt. Nehmen Sie die Schemaerweiterungen in das Mapping auf.

Ausführliche Informationen zum Konfigurieren einer Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Synchronisation in eine One Identity Safeguard Appliance konfigurieren

Das Synchronisationsprojekt für die initiale Synchronisation stellt je einen Workflow zum initialen Einlesen der Zielsystemobjekte (Initial Synchronization) und für die Provisionierung von Objektänderungen aus der One Identity Manager-Datenbank in das Zielsystem (Provisioning) bereit. Um bei der Synchronisation den One Identity Manager als primäres System zu nutzen, benötigen Sie zusätzlich einen Workflow mit der Synchronisationsrichtung In das Zielsystem.

Um eine Synchronisationskonfiguration für die Synchronisation in die Appliance zu erstellen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Prüfen Sie, ob die bestehenden Mappings für die Synchronisation in das Zielsystem genutzt werden können. Erstellen Sie bei Bedarf neue Mappings.

  3. Erstellen Sie mit dem Workflowassistenten einen neuen Workflow.

    Es wird ein Workflow mit der Synchronisationsrichtung In das Zielsystem angelegt.

  4. Erstellen Sie eine neue Startkonfiguration. Nutzen Sie dabei den neu angelegten Workflow.

  5. Speichern Sie die Änderungen.
  6. Führen Sie eine Konsistenzprüfung durch.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating