Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Einrichten der Synchronisation mit einer Active Directory-Umgebung Basisdaten für die Verwaltung einer Active Directory-Umgebung
Einrichten von Kontendefinitionen Kennwortrichtlinien Initiales Kennwort für neue Active Directory Benutzerkonten E-Mail-Benachrichtigungen über Anmeldeinformationen Benutzerkontennamen Zielsystemverantwortliche Bearbeiten eines Servers
Active Directory Domänen Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Erfassen der Stammdaten für Active Directory Benutzerkonten Zusätzliche Aufgaben für die Verwaltung von Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Deaktivieren von Active Directory Benutzerkonten Löschen und Wiederherstellen von Active Directory Benutzerkonten
Active Directory Kontakte Active Directory Gruppen Active Directory Sicherheits-IDs Active Directory Containerstrukturen Active Directory Computer Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Anhang: Standardprojektvorlage für Active Directory Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Schema aktualisieren

Schema aktualisieren

Während ein SynchronisationsprojektClosed bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.

Wenn sich das ZielsystemschemaClosed oder das One Identity Manager SchemaClosed geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das MappingClosed der Schemaeigenschaften eingearbeitet werden.

Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:

  • ein Schema geändert wurde, durch:
    • Änderungen am Zielsystemschema
    • unternehmensspezifische Anpassungen des One Identity Manager Schemas
    • eine Update-Migration des One Identity Manager
  • ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
    • die Aktivierung des Synchronisationsprojekts
    • erstmaliges Speichern des Synchronisationsprojekts
    • Komprimieren eines Schemas

Um das Schema einer Systemverbindung zu aktualisieren

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization EditorClosed.

  2. Wählen Sie die Kategorie Konfiguration | Zielsystem.

    - ODER -

    Wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.

  3. Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Die Schemadaten werden neu geladen.

Um ein Mapping zu bearbeiten

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Mappings.
  3. Wählen Sie in der Navigationsansicht das Mapping.

    Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Hinweis: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.

Beschleunigung der Synchronisation durch Revisionsfilterung

Beschleunigung der Synchronisation durch Revisionsfilterung

Beim Start der SynchronisationClosed werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.

Active Directory unterstützt die Revisionsfilterung. Als Revisionszähler wird die Update Sequence Number (USN) der Active Directory Objekte genutzt. Die Update Sequence Number (USN) ist eine fortlaufende Nummer, die bei Veränderungen an Active Directory Objekten inkrementiert wird. Auf jedem Domänen-Controller hat ein Active Directory Objekt eine eigene USN. Bei der Synchronisation wird die höchste USN der rootDSE, die am Domänen-Controller ermittelt werden kann, als RevisionClosed in der One Identity Manager-Datenbank gespeichert (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben WorkflowClosed genutzt. Bei der Synchronisation mit diesem Workflow werden die USN der Active Directory Objekte mit der in der One Identity Manager Datenbank gespeicherten Revision verglichen. Dabei werden die Objektpaare ermittelt, bei denen mindestens ein Objekt eine neuere USN besitzt als bei der letzten Synchronisation. Auf diese Weise werden nur die Objekte aktualisiert, die sich seit der letzten Synchronisation geändert haben.

Die Revisionsbestimmung erfolgt zu Beginn einer Synchronisation. Objekte, die nach diesem Zeitpunkt geändert werden, werden erst mit der nächsten Synchronisation erfasst.

Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.

Um die Revisionsfilterung an einem Workflow zuzulassen

  • Öffnen Sie das SynchronisationsprojektClosed im Synchronization EditorClosed.

  • Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag RevisionsfilterClosed nutzen.

Um die Revisionsfilterung an einer StartkonfigurationClosed zuzulassen

  • Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  • Bearbeiten Sie die Eigenschaften der Startkonfiguration. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.

Hinweis: Beim Einrichten der initialen Synchronisation geben Sie bereits im Projektassistenten an, ob die Revisionsfilterung genutzt werden soll.

Ausführliche Informationen zur Revisionsfilterung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Nachbehandlung ausstehender Objekte

Nachbehandlung ausstehender Objekte

Objekte, die im ZielsystemClosed nicht vorhanden sind, können bei der SynchronisationClosed in den One Identity Manager als ausstehend gekennzeichnet werden. Damit kann verhindert werden, dass Objekte aufgrund einer fehlerhaften Datensituation oder einer fehlerhaften Synchronisationskonfiguration gelöscht werden.

Objekte, die als ausstehend gekennzeichnet wurden,

  • können im One Identity Manager nicht bearbeitet werden,
  • werden bei jeder weiteren Synchronisation ignoriert,
  • müssen im One Identity Manager einzeln nachbearbeitet werden.

Führen Sie dafür einen Zielsystemabgleich durch.

Um ausstehende Objekte nachzubearbeiten

  1. Wählen Sie die Kategorie Active Directory | Zielsystemabgleich: Active Directory.

    In der Navigationsansicht werden alle Tabellen angezeigt, die dem ZielsystemtypClosed Active Directory als Synchronisationstabellen zugewiesen sind.

  1. Wählen Sie in der Navigationsansicht die Tabelle, für die sie ausstehende Objekte nachbearbeiten möchten.

    Das Formular für den Zielsystemabgleich wird geöffnet. Hier werden alle Objekte angezeigt, die als ausstehend markiert sind.

    TIPP:

    Um die Objekteigenschaften eines ausstehenden Objekts anzuzeigen

    1. Wählen Sie auf dem Formular für den Zielsystemabgleich das Objekt.
    2. Öffnen Sie das Kontextmenü und klicken Sie Objekt anzeigen.
  1. Wählen Sie die Objekte, die Sie nachbearbeiten möchten. Mehrfachauswahl ist möglich.
  2. Klicken Sie in der Formularsymbolleiste eins der folgenden Symbole, um die jeweilige Methode auszuführen.
    Tabelle 10: Methoden zur Behandlung ausstehender Objekte

    Symbol

    Methode

    Beschreibung

    Löschen

    Das Objekt wird sofort in der One Identity Manager Datenbank gelöscht. Eine Löschverzögerung wird nicht berücksichtigt. Die Markierung "Ausstehend" wird für das Objekt entfernt.

    Indirekte Mitgliedschaften können nicht gelöscht werden.

    Publizieren

    Das Objekt wird im Zielsystem eingefügt. Die Markierung "Ausstehend" wird für das Objekt entfernt.

    Die Methode löst das Ereignis "HandleOutstanding" aus. Dadurch wird ein zielsystemspezifischer Prozess ausgeführt, der den Provisionierungsprozess für das Objekt anstößt.

    Voraussetzungen:

    • Das Publizieren ist für die Tabelle, die das Objekt enthält, zugelassen.
    • Der Zielsystemkonnektor kann schreibend auf das Zielsystem zugreifen.

    Zurücksetzen

    Die Markierung "Ausstehend" wird für das Objekt entfernt.

  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Hinweis: Standardmäßig werden die ausgewählten Objekte parallel verarbeitet. Damit wird die Ausführung der ausgewählten Methode beschleunigt. Wenn bei der Verarbeitung ein Fehler auftritt, wird die Aktion abgebrochen und alle Änderungen werden rückgängig gemacht.

Um den Fehler zu lokalisieren, muss die Massenverarbeitung der Objekte deaktiviert werden. Die Objekte werden damit nacheinander verarbeitet. Das fehlerhafte Objekt wird in der Fehlermeldung benannt. Alle Änderungen, die bis zum Auftreten des Fehlers vorgenommen wurden, werden gespeichert.

Um die Massenverarbeitung zu deaktivieren

  • Deaktivieren Sie in der Formularsymbolleiste .

Für die Synchronisation in kundenspezifische Tabellen müssen Sie den Zielsystemabgleich anpassen.

Um kundenspezifische Tabellen in den Zielsystemabgleich aufzunehmen

  1. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Zielsystemtypen.
  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp Active Directory.
  3. Wählen Sie die Aufgabe Synchronisationstabellen zuweisen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die kundenspezifischen Tabellen zu, für die Sie ausstehende Objekte behandeln möchten.
  5. Speichern Sie die Änderungen.
  6. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
  7. Wählen Sie die kundenspezifischen Tabellen, für die ausstehende Objekte in das Zielsystem publiziert werden dürfen und aktivieren Sie die Option Publizierbar.
  8. Speichern Sie die Änderungen.

Hinweis: Damit ausstehende Objekte in der Nachbehandlung publiziert werden können, muss der Zielsystemkonnektor schreibend auf das Zielsystem zugreifen können. Das heißt, an der Zielsystemverbindung ist die Option Verbindung darf nur gelesen werden deaktiviert.

Provisionierung von Mitgliedschaften konfigurieren

Provisionierung von Mitgliedschaften konfigurieren

Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der ProvisionierungClosed von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:

  • Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert (Beispiel: Liste von Benutzerkonten in der Eigenschaft Member einer Active Directory Group).
  • Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
  • Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.

Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.

Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.

Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen

  1. Starten Sie den Manager.
  2. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Zielsystemtypen.
  3. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
  4. Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.
    • Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.
    • Zuordnungstabellen, die im MappingClosed in einer virtuellen SchemaeigenschaftClosed zusammengefasst sind, müssen identisch markiert werden (beispielsweise ADSAccountInADSGroup, ADSGroupInADSGroup und ADSMachineInADSGroup).
  5. Klicken Sie Änderungen zusammenführen.
  6. Speichern Sie die Änderungen.

Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.

Hinweis: Bei einer SynchronisationClosed wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.

Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating