Im One Identity Manager Konfigurationshandbuch erhalten Sie einen Überblick über die Architektur des One Identity Manager und die Grundlagen zum Arbeiten mit Objekten im One Identity Manager. Es wird der Aufbau des One Identity Manager Schemas erläutert und Sie erfahren, wie Sie das One Identity Manager Schema kundenspezifisch anpassen und erweitern.
Es wird der erklärt, wie Sie die Benutzeroberfläche der Administrationswerkzeuge, insbesondere Manager und Launchpad, kundenspezifisch anpassen können. Sie erfahren, wie Sie die Menüführung erweitern, Formulare anpassen, Berichte erstellen oder kundenspezifische Anzeigetexte lokalisieren.
Es werden die Grundlagen der Prozessorchestrierung im One Identity Manager beschrieben. Sie erfahren, wie Sie Prozesse an Ihre Anforderungen anpassen und eigene Prozesse erstellen. Es wird erläutert, wie Sie die Aufzeichnung von Datenänderungen und Informationen aus der Prozessverarbeitung konfigurieren. Die erweiterten Konfigurationseinstellungen der Jobserver und des One Identity Manager Service werden beschrieben.
Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt.
HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.
Verfügbare Dokumentation
Die One Identity Manager-Dokumentation erreichen Sie im Manager und im Designer über das Menü Hilfe > Suchen. Die Online Version der One Identity Manager-Dokumentation finden Sie im Support-Portal unter Online-Dokumentation. Videos mit zusätzlichen Informationen finden Sie unter www.YouTube.com/OneIdentity.
Grundlage für den Aufbau des One Identity Manager ist eine klassische 3-Schichten-Architektur. Im One Identity Manager ist jedoch die Objektschicht (die Geschäftslogik) geteilt. Dies ermöglicht einen hohen Performance-Gewinn durch eine räumlich und zeitlich getrennte Verarbeitung.
Datenbankschicht
Die Datenbank stellt den Kern des One Identity Manager dar. Sie erfüllt die Hauptaufgaben der Datenhaltung und der Berechnung von Vererbungen. Vererbt werden können Eigenschaften von Objekten entlang von hierarchischen Strukturen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Bei der Datenhaltung bildet die Datenbank die zu verwaltenden Zielsysteme, die ERP-Strukturen sowie Regeln zur Compliance und Zugriffsberechtigungen ab.
Logisch ist die Datenbank in die zwei Bereiche der Nutzdaten und der Metadaten geteilt. Die Nutzdaten enthalten alle für die Datenpflege nötigen Informationen wie beispielsweise Informationen über Identitäten, Benutzerkonten, Gruppen, Mitgliedschaften und Betriebsdaten, Genehmigungsworkflows, Attestierungen, Rezertifizierungen und Complianceregeln.
Die Metadaten enthalten die Beschreibung des Anwendungsdatenmodell sowie Skripte für Format- und Bildungsvorschriften oder bedingte Wechselwirkungen. Die komplette Systemkonfiguration des One Identity Manager, die gesamten Einstellungen zur Steuerung der Frontends und die Queues für asynchrone Verarbeitung der Daten und Prozesse sind ebenfalls Teil der Metadaten.
Die Neuberechnung von Vererbungen wird durch die Triggerlogik der Datenbank ausgelöst. Die Trigger stellen dazu Verarbeitungsaufträge in eine als DBQueue bezeichnete Auftragsliste ein. Der DBQueue Prozessor verarbeitet diese Aufträge und berechnet die Vererbungen der jeweiligen Datenbankobjekte neu. Eine als Jobqueue bezeichnete Tabelle dient der Ablage von Verarbeitungsaufträgen, die von der Objektschicht auszuführen sind.
Als Datenbanksystem kommt SQL Server, eine verwaltete Instanz in Azure SQL-Datenbank, Azure SQL-Datenbank oder Amazon RDS for SQL Server zum Einsatz.
Objektschicht
Die Objektschicht ermöglicht den objektorientierten Zugriff auf die Daten der Datenbank. Die VI.DB.DLL erzeugt Entitäten für Objekte und Collections. Entitäten nutzen externe Services der Session zum Laden (EntitySource) und Speichern (UnitOfWork) von Datenobjekten. Speicheroperationen werden gruppiert, so dass mehrere Datenobjekte im Bulkverfahren gespeichert werden. Für jedes Objekt stehen die Standardereignisse Insert, Update und Delete zur Verfügung, die nach dem Speichern generiert werden können.
Jeder Entität sind eine oder mehrere Verarbeitungslogiken zugeordnet (EntityLogic). Diese fassen Operationen zusammen, die für eine Entität ausgeführt werden können. Für die unterschiedlichen Entitäten wurden eigene Customizer entwickelt. Ein Customizer ist eine EntityLogic, die ein definiertes Verhalten für eine Entität bereitstellt. Customizer führen Verarbeitungslogiken aus, die üblicherweise im Objektcode selbst implementiert würden, wie beispielsweise den gegenseitigen Ausschluss von Eigenschaften.
Jeder Eigenschaft des generierten Objekts kann eine Bildungsregel zugeordnet werden. Bildungsregeln werden zur Generierung von Nutzdaten oder zur Transformation von Werten eingesetzt. Über Bildungsregeln ist es möglich Eigenschaften von Objekten mit Standardwerten zu belegen oder den Wert einer Eigenschaft aus anderen Eigenschaften desselben oder anderer Objekte zu bilden.
One Identity Manager verwendet zur Abbildung von Geschäftsprozessen sogenannte Prozesse. Ein Prozess besteht aus Prozessschritten, die Verarbeitungsaufgaben darstellen und über Vorgänger-Nachfolger-Beziehungen miteinander verbunden sind. Dieses Funktionsprinzip erlaubt es, flexibel Aktionen und Abläufe an die Ereignisse von Objekten zu koppeln. Die Modellierung der Prozesse erfolgt über Prozessvorlagen. Die Umwandlung der als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkreten Prozess in der Jobqueue übernimmt der Jobgenerator.
Der One Identity Manager Service sorgt für die Verbreitung der in der One Identity Manager-Datenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbank- und Dateiebene. Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Ein Server, auf dem der One Identity Manager Service installiert ist, wird als Jobserver bezeichnet. Die Jobserver müssen in der One Identity Manager-Datenbank bekannt gegeben werden.
Der One Identity Manager Service holt die Prozessschritte aus der Jobqueue ab. Die Prozessschritte werden von Prozesskomponenten ausgeführt. Der One Identity Manager Service erzeugt dazu eine Instanz der benötigten Prozesskomponente und übergibt die Parameter des Prozessschrittes. Eine Entscheidungslogik überwacht die Ausführung der Prozessschritte und veranlasst abhängig vom gemeldeten Ausführungsergebnis die weitere Verarbeitung des Prozesses. Der One Identity Manager Service ermöglicht die parallele Verarbeitung von Prozessschritten, da er mehrere Instanzen von Prozesskomponenten erzeugen kann.
Der One Identity Manager Service ist die einzige Komponente des One Identity Manager, die berechtigt ist, Änderungen in den Zielsystemen auszuführen.
Streng betrachtet ist der One Identity Manager Service kein Bestandteil der Objektschicht, da er keine Geschäftslogik enthält. Der One Identity Manager Service stellt ein Hilfsmittel zur Realisierung der asynchronen Verarbeitung dar.
Abbildung 1: Objektschicht des One Identity Manager
Präsentationsschicht
Die Präsentationsschicht besteht aus Frontends die zur Eingabe und Ausgaben von Daten dienen. Für unterschiedliche Aufgabenstellungen gibt es verschiedene Frontends. Beispielsweise wird zur Konfiguration des One Identity Manager ein anderes Frontend verwendet als zur Verwaltung von Identitäten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsberechtigungen des jeweiligen Benutzers durch die Objektschicht bestimmt. Als Frontends stehen sowohl Clients als auch eine browserbasierte Lösung zur Verfügung.
Die Clients verbinden sich zu einem Anwendungsserver, der die Geschäftslogik hält. Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zur Verfügung und sorgt für eine sichere Verbindung zur Datenbank. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben.
Die Clients können alternativ ohne externen Anwendungsserver arbeiten und selbst die Objektschicht halten und direkt auf die Datenbankschicht zugreifen. In den Clients kommt in diesem Fall nur der Teil der Objektschicht zum Einsatz, der die Erfassungsprozesse abbildet.
Für den Einsatz browserbasierter Frontends wird auf einem Webserver eine Anwendung betrieben, die aus einer Renderengine für Webseiten besteht. Der Benutzer greift mittels eines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. Der Austausch zwischen Datenbank und Webserver kann über den Anwendungsserver oder direkt erfolgen.
Abbildung 2: Verteilung der Schichten mit Anwendungsserver
Abbildung 3: Verteilung der Schichten ohne Anwendungsserver
Durch die Objektschicht des One Identity Manager erfolgt der objektorientierte Zugriff auf die Tabellen und Datensätze.
Abbildung 4: Zugriff auf Tabellen und Datensätze
Dabei gelten folgende Abbildungen:
Objekte und Collections werden über Entitäten abgebildet. Entitäten sind die Dateneinheiten, die aus der Datenbank abgerufen und in der Datenbank gespeichert werden können. Eine Entität entspricht einer Zeile einer Tabelle in der Datenbank und enthält Datenspalten und einige Metawerte wie Anzeigewerte und Berechtigungen.
Entitäten können nur einige Spalten oder alle Spalten einer Tabelle enthalten. Im ersten Fall sind sie durch die IsPartial-Eigenschaft gekennzeichnet und können nicht geändert werden.
Es gibt drei Arten von Entitäten:
-
Nur Lesen (Read only)
Datenwerte können nur gelesen werden. Die Entitäten können nicht gespeichert werden.
-
Verzögerte Logik (Delayed logic)
Die Entitäten können geändert und gespeichert werden. Der verzögerte Logikmodus führt alle Regeln und Methoden der Geschäftslogik beim Speichern der Entität aus. Wenn die Entität gegen einen Anwendungsserver läuft, lebt die Entität auf der Client-Seite und verwendet keine Server-Ressourcen.
-
Interaktiv (Interactive)
Die Entitäten können geändert und gespeichert werden. Die zugrundeliegende Logik wird direkt nach der Änderung eines Wertes angewendet. Ihre primäre Anwendung sind Benutzeroberflächen, bei denen die Anwender das Ergebnis der Geschäftslogik direkt sehen wollen. Um die Logik ohne Einschränkung mit den Berechtigungen des Benutzers ausführen zu können, muss die Entität auf dem Anwendungsserver leben, wenn sie nicht direkt gegen eine Datenbank läuft.
Die Entitäten haben die folgenden Standardmethoden zum Ausführen der Datenbankoperationen.
Tabelle 1: Standardmethoden
EntitySource |
Erzeugen neuer Objekte und Collections oder Laden von Objekten und Collections. |
UnitOfWork |
Gruppieren von Speicheroperationen mehrerer Objekte und Collections. |
Discard |
Verwerfen von Objekten. |
MarkForDeletion |
Markieren der Objekte werden zum Löschen. Gelöscht wird erst beim Speichern. |
Beim Laden eines Objektes werden alle Spalten geladen. Beim Laden einer Collection werden aus Performancegründen nicht alle Spalten geladen. Es werden die Primärschlüsselspalten, alle Spalten, die im Anzeigemuster enthalten sind, und Spalten mit der Angabe, ob ein Objekt zum Löschen markiert ist, geladen. Definierte Anzeigemuster geben an, wie die einzelnen Objekte einer Collection im Frontend angezeigt werden. Die Standards für die Anzeigemuster jeder Tabelle sind im One Identity Manager Schema hinterlegt und können angepasst werden.
Objekte kennen die folgenden Standardereignisse, die als Folge des Speicherns generiert werden können.
Tabelle 2: Standardereignisse der Objekte
Insert |
Einfügen eines Objektes. |
Update |
Ändern eines Objektes. |
Delete |
Löschen eines Objektes. |
Assign |
Hinzufügen von M:N Zuweisungen. |
Remove |
Entfernen von M:N Zuweisungen. |
An diese Ereignisse können Prozesse gekoppelt werden, welche Aktionen in den verschiedenen Zielsystemen ausführen, wie beispielsweise Benutzerkonten anlegen, ein Homeverzeichnis auf einem Server anlegen oder Werte in die One Identity Manager-Datenbank schreiben.
Tabelle 3: Lebenszyklus eines Objektes
Einfügen eines Objektes. |
Objekt existiert nicht. |
Insert |
UID wird erzeugt, Objekt wird in die Datenbank eingefügt. |
Ändern von Eigenschaften. |
Objekt existiert in der Datenbank und ist geladen. |
Update |
Eigenschaften des Objektes werden geändert. |
Löschen des Objektes. |
Objekt existiert in der Datenbank und ist geladen. |
Delete |
Für Objekte, die die Eigenschaft Zum Löschen markiert ( XMarkedForDeletion) besitzen:
-
Es wird die Methode MarkForDeletion ausgeführt. Die Objekte werden zur weiteren Bearbeitung gesperrt.
-
Ist eine Löschverzögerung > 0 Tage konfiguriert, wird eine verzögerte Operation für das Löschen erzeugt. Die Objekte werden zunächst deaktiviert. Während dieser Zeit besteht die Möglichkeit, die Objekte wiederherzustellen. Beim Wiederherstellen eines gelöschten Objektes werden die Eigenschaften des Objektes wieder in den Zustand vor dem Löschen zurückgesetzt. Nach Ablauf der Löschverzögerung werden die Objekte endgültig gelöscht.
-
Objekte mit einer Löschverzögerung von 0 Tagen, werden sofort gelöscht.
Objekte, die keine Eigenschaft Zum Löschen markiert besitzen, werden sofort gelöscht. |
Alle Aktionen im One Identity Manager werden über die Objektschicht ausgeführt und in der One Identity Manager-Datenbank gespeichert. Jede Veränderung eines Objektes (Einfügen, Ändern und Löschen) wird innerhalb einer Transaktionsklammer ausgeführt. Ebenfalls fester Bestandteil einer solchen Transaktion ist das Erstellen der Verarbeitungsaufträge selbst. Nur wenn sowohl das Speichern der Änderung als auch das Erstellen der Verarbeitungsaufträge erfolgreich waren, wird die Transaktion erfolgreich abgeschlossen. Sollte innerhalb der Transaktion ein Fehler auftreten, erfolgt ein Rollback der gesamten Transaktion.
Nachfolgend wird der Ablauf beispielhaft für das Einfügen eines Objektes im One Identity Manager erläutert.
Folgende Aktionen werden im Frontend ausgeführt:
-
Einfügen eines neuen Objektes
-
Erfassen der Eigenschaften des Objektes
Abhängige Eigenschaften innerhalb des Objektes werden durch Bildungsregeln erzeugt. Im Customizer implementierte Nebenwirkungen, wie beispielsweise das gegenseitige Ausschließen bestimmter Eigenschaften, werden angewendet.
-
Speichern des Objektes
Nach dem Speichern des Objektes im Frontend, werden durch die Objektschicht die folgenden Schritte ausgeführt:
-
Starten einer Transaktion (Begin Transaction)
-
Parallele Verarbeitung der folgenden Schritte:
-
Speichern des Objektes in der Datenbank
-
Anwenden der Bildungsregeln und Formatierungsskripte für abhängige Objekte
-
Erzeugen der Verarbeitungsaufträge für den One Identity Manager Service in der Jobqueue
-
Erzeugen der Verarbeitungsaufträge für den DBQueue Prozessor in der DBQueue
-
Erzeugen der Einträge zur Aufzeichnung von Änderungen in einer Historie
-
Beenden der Transaktion im Erfolgsfall (Commit Transaction) oder Zurückrollen der Änderungen im Fehlerfall (Rollback Transaction)
Nachfolgende Abbildung verdeutlicht den Datenfluss beim Einfügen eines Objektes.
Abbildung 5: Datenfluss für das Einfügen eines Objektes