Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Einrichten der Synchronisation mit einem LDAP Verzeichnis Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Anhang: Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Anhang: Standardprojektvorlagen für LDAP Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Benutzer und Berechtigungen für die Synchronisation mit einem LDAP Verzeichnis

Benutzer und Berechtigungen für die Synchronisation mit einem LDAP Verzeichnis

Bei der SynchronisationClosed des One Identity Manager mit einer LDAP-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen
Benutzer für den Zugriff auf das LDAP Verzeichnis Es kann keine sinnvolle Minimalkonfiguration für das Benutzerkonto für die Synchronisation empfohlen werden, da die Berechtigungen vom eingesetzten LDAP Verzeichnisdienst abhängen. Die benötigten Berechtigungen entnehmen Sie daher der Dokumentation zum eingesetzten LDAP Verzeichnisdienst.
Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen (Rechtevergabe, Verzeichnisse und Dateien anlegen und bearbeiten).

Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (Domain Users) angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht "Anmelden als Dienst" (Log on as a service).

Das Benutzerkonto benötigt Rechte für den internen Webservice.

Hinweis: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
Benutzer für den Zugriff auf die One Identity Manager Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer "Synchronization" bereitgestellt.

Besonderheiten für die Synchronisation eines Active Directory Lightweight Directory Services

Besonderheiten für die Synchronisation eines Active Directory Lightweight Directory Services

Bei der Einrichtung eines Synchronisationsprojektes mit einem Active Directory Lightweight Directory Service (AD LDS) sind einige Besonderheiten zu beachten.

AD LDS unterstützt verschiedene Authentifizierungswege. Detaillierte Informationen zur AD LDS Authentifizierung finden Sie in der Microsoft TechNet Library.

Abhängig von der gewählten Authentifizierungsmethode ergeben sich unterschiedliche Einstellungen, die bei der Einrichtung eines Synchronisationsprojektes zu beachten sind.

Authentifizierung mittels AD LDS Sicherheitsprinzipal

Für die Authentifizierungsmethode wird ein Benutzerkonto verwendet, das sich direkt im AD LDS befindet.

  • Das Benutzerkonto muss Mitglied in der Gruppe "Administratoren" der AD LDS Instanz sein.
  • Das Benutzerkonto muss ein Kennwort besitzen.

    Ist kein Kennwort angegeben, erfolgt einen anonyme Authentifizierung. Dies führt dazu, dass das SchemaClosed nicht gelesen werden kann und die Einrichtung des Synchronisationsprojektes fehlschlägt.

Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.

  • Die Authentifizierung muss mit SSL Verschlüsselung erfolgen.
  • Als Authentifizierungsmethode muss "Basic" verwendet werden.
  • Der Benutzername des Benutzerkontos für die Anmeldung am AD LDS ist mit dem definierten LDAP Namen (DN) anzugeben.

    Syntaxbeispiel: CN=Administrator,OU=Users,DC=Doku,DC=Testlab,DC=dd

Authentifizierung mit Windows Sicherheitsprinzipal

Für die Authentifizierung wird ein Benutzerkonto verwendet, das sich auf einem lokalen Computer oder in einer Active Directory Domäne befindet.

  • Das Benutzerkonto muss Mitglied in der Gruppe "Administratoren" der AD LDS Instanz sein.

Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.

  • Als Authentifizierungsmethode muss "Negotiate" verwendet werden.
  • Erfolgt die Authentifizierung ohne SSL Verschlüsselung, müssen die Nachrichtenvertraulichkeit (Sealing) und die Nachrichtenintegrität (Signing) aktiviert sein.
  • Erfolgt die Authentifizierung mit SSL Verschlüsselung, sollten die Nachrichtenvertraulichkeit (Sealing) und die Nachrichtenintegrität (Signing) deaktiviert sein.
  • Der Benutzername des Benutzerkonto für die Anmeldung am AD LDS ist mit dem Benutzerprinzipalnamen (User Prinicpal Name) anzugeben.

    Syntaxbeispiel: Administrator@Doku.Testlab.dd

Authentifizierung mittels AD LDS Proxyobjekt

Für die Authentifizierung wird ein Benutzerkonto verwendet, das im AD LDS vorhanden ist und als Bindungsumleitung für ein lokales Benutzerkonto oder ein Benutzerkonto in einer Active Directory Domäne dient. Das lokale Benutzerkonto oder das Active Directory Benutzerkonto ist im AD LDS Proxyobjekt als Sicherheits-ID (SID) referenziert.

  • Das Benutzerkonto (AD LDS Proxyobjekt) muss Mitglied in der Gruppe "Administratoren" der AD LDS Instanz sein.

Für die Einrichtung des Synchronisationsprojektes beachten Sie Folgendes.

  • Die Authentifizierung muss mit SSL Verschlüsselung erfolgen.
  • Als Authentifizierungsmethode muss "Basic" verwendet werden.
  • Für die Anmeldung am AD LDS ist der Benutzername des AD LDS Proxyobjektes zu verwenden.
  • Der Benutzername ist mit dem definierten LDAP Namen (DN) anzugeben.

    Syntaxbeispiel: CN=Administrator,OU=Users,DC=Doku,DC=Testlab,DC=dd

  • Als Kennwort für die Anmeldung ist das Kennwort des Benutzerkontos anzugeben, auf welches das AD LDS Proxyobjekt verweist.

Einrichten des Synchronisationsservers

Für die Einrichtung der SynchronisationClosed mit einer LDAP-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack 2
    • Windows Server 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
  • Microsoft .NET Framework Version 4.5.2 oder höher

    Hinweis: Microsoft .NET Framework Version 4.6 wird nicht unterstützt.

    Hinweis: Beachten Sie die Empfehlungen des Zielsystemherstellers.
  • Windows Installer
  • One Identity Manager Service, LDAP Konnektor
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | JobserverClosed | LDAP directories.

Vom SynchronisationsserverClosed werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

Hinweis: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt die folgenden Schritte aus.

  • Erstellen eines Jobservers.
  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.
  • Konfigurieren des One Identity Manager Service.
  • Starten des One Identity Manager Service.

Hinweis: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.
  2. Auf der Seite DatenbankverbindungClosed geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter.
  3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.
    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.
      Tabelle 3: Eigenschaften eines Jobservers
      Eigenschaft Beschreibung
      Server Bezeichnung des Jobservers.
      Queue

      Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      Vollständiger Servername

      Vollständiger Servername gemäß DNS Syntax.

      Beispiel:

      <Name des Servers>.<Vollqualifizierter Domänenname>

      Hinweis: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.
  4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im One Identity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werden die Installationspakete ermittelt, die auf dem Jobserver installiert werden.

    Wählen Sie mindestens folgende Rollen:

    • LDAP directories
  5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der One Identity Manager-Umgebung fest. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

    Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereits ausgewählt. Sie können die Serverfunktionen hier weiter einschränken.

    Wählen Sie mindestens folgende Serverfunktionen:

    • LDAP Konnektor
  6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One Identity Manager Service.

    Hinweis: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.
  7. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.
  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.
  10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.

    Hinweis: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.
  11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.
    Tabelle 4: Installationsinformationen
    Eingabe Beschreibung
    Computer Server, auf dem der Dienst installiert und gestartet wird.

    Um einen Server auszuwählen

    • Erfassen Sie den Servernamen.

      -ODER-

    • Wählen Sie einen Eintrag in der Liste.
    Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service.

    Um ein Benutzerkonto für den One Identity Manager Service zu erfassen

    • Aktivieren Sie die Option Lokales Systemkonto.

      Damit wird der One Identity Manager Service unter dem Konto "NT AUTHORITY\SYSTEM" gestartet.

      - ODER-

    • Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.
    Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.

    Um ein administratives Benutzerkonto für die Installation zu erfassen

    • Aktivieren Sie die Option Erweitert.
    • Aktivieren Sie die Option Angemeldeter Benutzer.

      Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet.

      - ODER-

    • Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.
  12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    Hinweis: Der Dienst wird mit der Bezeichnung "One Identity Manager Service" in der Dienstverwaltung des Servers eingetragen.

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer LDAP Domäne

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer LDAP Domäne

Verwenden Sie den Synchronization EditorClosed, um die SynchronisationClosed zwischen One Identity Manager-Datenbank und LDAP-Umgebung einzurichten. Nachfolgend sind die Schritte für die initiale Einrichtung eines Synchronisationsprojektes beschrieben.

Nach der initialen Einrichtung können Sie innerhalb des Synchronisationsprojektes die Workflows anpassen und weitere Workflows konfigurieren. Nutzen Sie dazu den WorkflowClosed-Assistenten im Synchronization Editor. Der Synchronization Editor bietet zusätzlich verschiedene Konfigurationsmöglichkeiten für ein SynchronisationsprojektClosed an.

Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.

Tabelle 5: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

DNS Name des LDAP Servers

Vollständiger Name des LDAP Servers, gegen den sich der SynchronisationsserverClosed verbindet, um auf die LDAP Objekte zuzugreifen.

Beispiel:

Server.Doku.Testlab.dd

Authentifizierungsart

Eine Verbindung zum Zielsystem kann nur hergestellt werden, wenn die richtige Authentifizierungsart gewählt wird. Als Standard wird die Authentifizierungsart „Basic“ verwendet.

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Kommunikationsport auf dem Domänen-Controller

LDAP Standard-Kommunikationsport ist Port 389.

Benutzerkonto und Kennwort zur Anmeldung an der Domäne

Benutzerkonto und Kennwort zur Anmeldung an der Domäne. Dieses Benutzerkonto wird für den Zugriff auf die Domäne verwendet. Stellen Sie ein Benutzerkonto mit ausreichend Berechtigungen bereit. Weitere Informationen finden Sie unter Benutzer und Berechtigungen für die Synchronisation mit einem LDAP Verzeichnis.

Synchronisationsserver für das LDAP

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem LDAP Konnektor installiert sein.

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

Tabelle 6: Zusätzliche Eigenschaften für den Jobserver
Eigenschaft Wert
Serverfunktion LDAP Konnektor
Maschinenrolle Server/Jobserver/LDAP directories

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Verbindungsdaten zur One Identity Manager Datenbank

SQL Server:

  • Datenbankserver
  • Datenbank
  • Datenbankbenutzer und Kennwort
  • Angabe, ob integrierte Windows Authentifizierung verwendet wird.

    Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows Authentifizierung unterstützt.

Oracle:

  • Angabe, ob der Zugriff direkt oder über Oracle Client erfolgt

    Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option.

  • Datenbankserver
  • Port der Oracle Instanz
  • Service Name
  • Oracle Datenbankbenutzer und Kennwort
  • Datenquelle (TNS Alias Name aus der TNSNames.ora)
RemoteverbindungsserverClosed

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Wenn der direkte Zugriff von der Arbeitsstation, auf der der Synchronization Editor installiert ist, nicht möglich ist, beispielsweise aufgrund der Firewall-Konfiguration, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet
  • RemoteConnectPlugin ist installiert
  • LDAP Konnektor ist installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Hinweis: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor
  • im Standardmodus ausgeführt wird und
  • aus dem Launchpad gestartet wird.

Wenn der ProjektassistentClosed im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um ein initiales Synchronisationsprojekt für eine LDAP Domäne einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    Hinweis: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die DatenbankverbindungClosed über den Anwendungsserver her.
  2. Wählen Sie den Eintrag ZielsystemtypClosed LDAP. Klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.
    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.
    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Startseite des Assistenten legen Sie über die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) die Einstellungen für den Assistenten fest.
    • Wenn Sie eine Standardprojektvorlage verwenden, lassen Sie die Option deaktiviert. Die Standardvorlagen ermitteln die zu verwendenden Einstellungen automatisch.
    • Für kundenspezifische angepasste LDAP Umgebungen, aktivieren Sie die Option. Für diesen Fall können Sie folgende Einstellungen zusätzlich vornehmen:
      • Definition virtueller Klassen für nicht RFC konforme Abbildungen von Objekten
      • Definition von Hilfsklassen von Typ "Auxiliary"
      • Definition von Systemattributen zur Objektidentifikation, Revisionsattributen und zusätzlichen funktionalen Attributen
      • Definition weiterer Attribute für die Unterstützung dynamischer Gruppen
  2. Auf der Seite Netzwerk erfassen Sie die Netzwerkeinstellungen für die Verbindung zum LDAP Server.
    • Im Bereich Host erfassen Sie die Verbindungsdaten zum LDAP Server.
      Tabelle 7: Verbindungsdaten zum LDAP Server
      Eigenschaft Beschreibung

      Server

      Vollständiger Name des LDAP Servers, gegen den sich der Synchronisationsserver verbindet, um auf die LDAP Objekte zuzugreifen.

      Beispiel:

      Server.Doku.Testlab.dd

      Port

      Kommunikationsport auf dem Server. LDAP Standard-Kommunikationsport ist Port 389.

    • Klicken Sie Verbindung testen. Es wird versucht eine Verbindung zum Server aufzubauen.
    • Im Bereich Zusätzliche Einstellungen erfassen Sie zusätzliche Einstellungen zur Kommunikation mit dem LDAP Server.
      Tabelle 8: Zusätzliche Einstellungen zur Verbindung
      Eigenschaft Beschreibung

      Protokollversion

      Version des LDAP Protokolls.

      SSL Verschlüsselung

      Angabe, ob eine verschlüsselte Verbindung erfolgt.

  3. Auf der Seite Authentifizierung erfassen Sie Informationen zur Authentifizierung.
    • Im Bereich Authentifizierungsmethode wählen Sie die Authentifizierungsart für die Anmeldung am Zielsystem.
    • Abhängig von der gewählten Authentifizierungsmethode können weitere Informationen erforderlich sein. Diese Informationen erfassen Sie im Bereich Anmeldeinformationen.

      Tabelle 9: Anmeldeinformationen
      Eigenschaft Beschreibung
      Benutzername Name des Benutzerkontos zur Anmeldung am LDAP.
      Kennwort Kennwort zum Benutzerkonto.
      Sealing aktivieren Angabe, ob Sealing aktiviert ist. Aktivieren Sie die Option, wenn die gewählte Authentifizierungsmethode die Nachrichtenvertraulichkeit (Sealing) unterstützt.
      Signing aktivieren Angabe, ob Signing aktiviert ist. Aktivieren Sie die Option, wenn die gewählte Authentifizierungsmethode die Nachrichtenintegrität (Signing) unterstützt.
    • Im Bereich LDAP-Verbindung prüfen können Sie die erfassten Verbindungsdaten überprüfen. Klicken Sie Verbindung testen. Es wird versucht eine Anmeldung am Server durchzuführen.
  4. Auf der Seite LDAP Serverinformationen werden die Informationen zum LDAP SchemaClosed angezeigt.
  5. Auf der Seite Virtuelle Klassen definieren Sie zusätzliche virtuelle Klassen.

    Hinweis: Dieser Schritt wird nur angezeigt, wenn Sie die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) für den Systemverbindungsassistenten aktiviert haben.

    Objekte, die aus mehreren strukturelle Klassen bestehen, können nur in LDAP Systemen erstellt werden, die nicht RFC-konform sind. Sie bestehen aus zwei oder mehr unterschiedlichen Klassen, die nicht voneinander abgeleitet sind, beispielsweise "OrganisationalUnit" und "inetOrgPerson".

    Um diese Objekte abzubilden

    • Erfassen Sie im Bereich Konfigurierte virtuelle Klassen die Bezeichnung der virtuellen Klasse.
    • Wählen Sie im Bereich Strukturelle Klassen wählen die strukturelle Klassen, die auf die virtuelle Klasse abgebildet werden.
  6. Auf der Seite Suchoptionen legen Sie Parameter für die Suche nach den zu ladenden LDAP Objekten fest.
    Tabelle 10: Suchoptionen
    Eigenschaft Beschreibung
    DN des Root-Eintrags Root-Eintrag (in der Regel die Domäne) für die Synchronisation.
    LDAP Schema im lokalen Cache speichern

    Angabe, ob das LDAP Schema lokal im Cache gehalten werden soll. Dadurch kann die Synchronisation und Provisionierung von LDAP Objekten beschleunigt werden.

    Der Cache befindet sich auf dem Computer mit dem die Verbindung hergestellt wird unter %Appdata%\...\Local\One Identity\One Identity Manager\Cache\GenericLdapConnector\<ConnectionInternalKey>\<Hash>\<Hash>.Cache

    Seitenweise Suche verwenden

    Angabe, ob die LDAP Objekte seitenweise geladen werden sollen. Wenn Sie die Option aktivieren, erfassen Sie die Seitengröße.

    Seitengröße Anzahl der maximal zu ladenden Objekte pro Seite.
  7. Auf der Seite Einstellungen für schreibende Optionen geben Sie an, welche Art von Schreiboperationen der LDAP Server unterstützt.
    • Aktivieren Sie die Option Server unterstützt Umbenennung von Einträgen, wenn der LDAP Server die Umbenennung von Einträgen unterstützt.
    • Aktivieren Sie die Option Server unterstützt Verschiebung von Einträgen, wenn der LDAP Server das Verschieben von Einträgen unterstützt.

      Hinweis: Einige Server unterstützen das Umbenennen von Einträgen nur auf Blattebene. In diesem Fall scheitert die Umbenennung von anderen Knoten mit einer Fehlermeldung.

  8. Auf der Seite Hilfsklassen zuordnen weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu.

    Hinweis: Dieser Schritt wird nur angezeigt, wenn Sie die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) für den Systemverbindungsassistenten aktiviert haben.

    Hilfsklassen sind Klassen vom Typ "Auxiliary" und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

    Hinweis: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

  9. Auf der Seite Systemattribute legen Sie fest, welches Attribut des LDAP Systems verwendet werden soll, um die Objekte eindeutig zu identifizieren.

    Hinweis: Dieser Schritt wird nur angezeigt, wenn Sie die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) für den Systemverbindungsassistenten aktiviert haben.

    • Im Bereich Attribut für die Objektidentifikation wählen Sie das Attribut, mit dem Objekte eindeutig im LDAP zu identifizieren sind. Das Attribut muss eindeutig sein und an allen Objekten im LDAP vorhanden sein.
    • Im Bereich Revisionsattribute legen Sie fest, welche Attribute für Revisionsfilterung genutzt werden.
    • Im Bereich Zusätzliche funktionale Attribute legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die Attribute werden nur ermittelt, wenn sie explizit angegeben sind.

      Hinweis: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

  10. Wenn der LDAP Server dynamische Gruppen unterstützt, markieren Sie auf der Seite Auswahl von Eigenschaften dynamischer Gruppen, die Attribute, welche die URL mit Suchinformationen enthalten, um die Mitglieder von dynamischen Gruppen zu bestimmen, beispielsweise memberURL.

    Hinweis: Dieser Schritt wird nur angezeigt, wenn Sie die Option Erweiterte Einstellungen konfigurieren (Expertenmodus) für den Systemverbindungsassistenten aktiviert haben.

  11. Auf der Seite Kennworteinstellungen für Einträge legen Sie zusätzliche Kennworteinstellungen für Benutzerkonten fest.
    • Erfassen Sie folgende Einstellungen.
      Tabelle 11: Kennworteinstellungen
      Eigenschaft Beschreibung
      Kennwortattribut Attribut, welches das Kennwort eines Benutzerkontos repräsentiert, beispielsweise userPassword.
      Kennwortänderungsmethode

      Methode, die verwendet wird, um Kennwörter zu ändern.

      Wert Beschreibung
      Default Standardmethode zum Ändern der Kennwörter. Das Kennwort wird direkt auf das Kennwortattribut geschrieben.
      ADLDS Kennwortänderungsmethode die für Systeme verwendet wird, die auf MicrosoftActive Directory Lightweight Directory Services (AD LDS) basieren.
  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    Hinweis: Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu. Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.
  2. Der Assistent lädt das ZielsystemschemaClosed. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.
  1. Auf der Seite Projektvorlage auswählen wählen Sie eine Projektvorlage, mit der die Synchronisationskonfiguration erstellt werden soll.
    Tabelle 12: Standardprojektvorlagen
    Projektvorlage Beschreibung
    OpenDJ Synchronisation Diese Projektvorlage basiert auf OpenDJ. Verwenden Sie diese Projektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.
    AD LDS Synchronisation Diese Projektvorlage basiert auf Active Directory Lightweight Directory Services (AD LDS).

    Hinweis: Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das BasisobjektClosed der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben. Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 13: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Angabe, ob nur ein SynchronisationsworkflowClosed zum initialen Einlesen des Zielsystems in die One Identity Manager Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die SynchronisationsrichtungClosed ist "In den One Identity Manager".
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung "In den One Identity Manager" definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Angabe, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist "In das Zielsystem".
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung "In das Zielsystem" definiert.
    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.
  2. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    • Klicken Sie , um einen neuen Jobserver anzulegen.
    • Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.
    • Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

      Hinweis: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.
  1. Auf der Seite Allgemein erfassen Sie die allgemeinen Einstellungen für das Synchronisationsprojekt.

    Hinweis: Dieser Schritt wird nur angezeigt, wenn die gewählte Projektvorlage mehrere Skriptsprachen unterstützt.
    Tabelle 14: Allgemeine Eigenschaften des Synchronisationsprojekts
    Eigenschaft Beschreibung
    Anzeigename Anzeigename für das Synchronisationsprojekt.
    Skriptsprache Sprache, in der Skripte in diesem Synchronisationsprojekt geschrieben werden.

    Skripte werden an verschiedenen Stellen in der Synchronisationskonfiguration eingesetzt. Wenn Sie ein leeres Projekt erstellen, legen Sie die Skriptsprache fest.

    Wichtig: Die Skriptsprache kann nach dem Speichern des Synchronisationsprojekts nicht mehr geändert werden!

    Wenn Sie eine Projektvorlage nutzen, wird die Skriptsprache der Projektvorlage übernommen.

    Beschreibung Freitextfeld für zusätzliche Erläuterungen.
  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    Hinweis: Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    Hinweis: Die Verbindungsdaten zum Zielsystem werden in einem VariablensetClosed gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration | Variablen angepasst werden.

Um den Inhalt des Synchronisationsprotokolls zu konfigurieren

  1. Um das Synchronisationsprotokoll für die Zielsystemverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration | Zielsystem.
  2. Um das Synchronisationsprotokoll für die Datenbankverbindung zu konfigurieren, wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.
  3. Wählen Sie den Bereich Allgemein und klicken Sie Konfigurieren...
  4. Wählen Sie den Bereich Synchronisationsprotokoll und aktivieren Sie Synchronisationsprotokoll erstellen.
  5. Aktivieren Sie die zu protokollierenden Daten.

    Hinweis: Einige Inhalte erzeugen besonders viele Protokolldaten!

    Das Synchronisationsprotokoll soll nur die für Fehleranalysen und weitere Auswertungen notwendigen Daten enthalten.

  6. Klicken Sie OK.

Um regelmäßige Synchronisationen auszuführen

  1. Wählen Sie die Kategorie Konfiguration | Startkonfigurationen.
  2. Wählen Sie in der Dokumentenansicht eine StartkonfigurationClosed aus und klicken Sie Zeitplan bearbeiten....
  3. Bearbeiten Sie die Eigenschaften des Zeitplans.
  4. Um den Zeitplan zu aktivieren, klicken Sie Aktiviert.
  5. Klicken Sie OK.

Um die initiale Synchronisation manuell zu starten

  1. Wählen Sie die Kategorie Konfiguration | Startkonfigurationen.
  2. Wählen Sie in der Dokumentenansicht eine Startkonfiguration und klicken Sie Ausführen.
  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Hinweis: Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für die Domäne bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand "Linked" (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie der Domäne eine Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand "Linked" (verbunden) die Kontendefinition und den Automatisierungsgrad zu.
    1. Wählen Sie die Kategorie LDAP | Benutzerkonten | Verbunden aber nicht konfiguriert | <Domäne>.
    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.
Detaillierte Informationen zum Thema
  • One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating