Chat now with support
Chat with Support

Identity Manager 8.0 - Anwenderhandbuch für den nativen Datenbankkonnektor zur Verbindung von Oracle Database

Nativer Datenbankkonnektor für Oracle Database

Nativer Datenbankkonnektor für Oracle Database

Mit dem nativen Datenbankkonnektor können externe Datenbanken mit der One Identity Manager Datenbank synchronisiert werden. Der One Identity Manager unterstützt unter anderem die Anbindung von Oracle Database.

Der native Datenbankkonnektor kann nicht jede beliebige Datenkonfiguration des externen Datenbanksystems lesen. Beispielsweise werden kundendefinierte Datentypen und Spalten, die Wertelisten enthalten, derzeit nicht unterstützt.

Der native Datenbankkonnektor stellt keine Projektvorlagen zum Einrichten der SynchronisationClosed bereit. Die Komponenten der Synchronisationskonfiguration (Mappings, Workflows, Startkonfigurationen, ...) müssen nach dem Speichern des Synchronisationsprojekts manuell erstellt werden.

Im Synchronization EditorClosed werden die Tabellen und Spalten der externen Datenbank als Schematypen und Schemaeigenschaften referenziert.

Um die Synchronisation mit einer Datenbank einzurichten

  1. Installieren und konfigurieren Sie einen SynchronisationsserverClosed und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  2. Statten Sie One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte aus.
  3. Erstellen Sie mit dem Synchronization Editor ein SynchronisationsprojektClosed.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation

Benutzer und Berechtigungen für die Synchronisation

Bei der SynchronisationClosed mit den Datenbankkonnektoren gibt es drei Anwendungsfälle für die Abbildung der Synchronisationsobjekte im Datenmodell des One Identity Manager.

  1. Abbildung als kundendefiniertes Zielsystem
  2. Abbildung in Standardtabellen (beispielsweise Person, Department)
  3. Abbildung in kundendefinierten Tabellen

Für die nicht-rollenbasierte Anmeldung an den One Identity Manager-Werkzeugen genügt es in allen drei Anwendungsfällen, einen Systembenutzer in die Rechtegruppe "DPR_EditRights_Methods" aufzunehmen. Ausführliche Informationen zu Systembenutzern und Rechtegruppen finden Sie im One Identity Manager Konfigurationshandbuch.

Tabelle 1: Benutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung
Benutzer Aufgaben

One Identity Manager Administratoren

  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
  • Erstellen und konfigurieren bei Bedarf Zeitpläne.
  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Systembenutzer in der Rechtegruppe "DPR_EditRights_Methods"

  • Konfigurieren und Starten die Synchronisation im Synchronization EditorClosed.
  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Für die rollenbasierte Anmeldung sind je nach Anwendungsfall unterschiedliche Schritte erforderlich, um One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte auszustatten.

Tabelle 2: Benutzer und Rechtegruppen für die rollenbasierte Anmeldung: Abbildung als kundendefiniertes Zielsystem
Benutzer Aufgaben

One Identity Manager Administratoren

  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
  • Erstellen und konfigurieren bei Bedarf Zeitpläne.
  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
  • Legen die Zielsystemverantwortlichen fest.
  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
  • Legen sich fest, welche Anwendungsrollen für Zielsystemverantwortliche sich widersprechen.
  • Berechtigen weitere Personen als Zielsystemadministratoren.
  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Kundendefinierte Zielsysteme oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.
  • Erzeugen, ändern oder löschen die Zielsystemobjekte, wie beispielsweise Benutzerkonten oder Gruppen.
  • Bearbeiten Kennwortrichtlinien für das Zielsystem.
  • Bereiten Gruppen zur Aufnahme in den IT Shop vor.
  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das MappingClosed für den Abgleich von Zielsystem und One Identity Manager.
  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.
Tabelle 3: Benutzer und Rechtegruppen für die rollenbasierte Anmeldung: Abbildung in Standardtabellen
Benutzer Aufgaben

One Identity Manager Administratoren

  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
  • Erstellen und konfigurieren bei Bedarf Zeitpläne.
  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Benutzerspezifische Anwendungsrolle

Benutzer mit dieser Anwendungsrolle:

  • Konfigurieren und Starten die Synchronisation im Synchronization Editor.
  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Die Anwendungsrolle erhält ihre Bearbeitungsrechte über eine kundendefinierte Rechtegruppe und die Rechtegruppe "vi_4_SYNCPROJECT_ADMIN".

Tabelle 4: Benutzer und Rechtegruppen für die rollenbasierte Anmeldung: Abbildung in kundendefinierten Tabellen
Benutzer Aufgaben

One Identity Manager Administratoren

  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
  • Erstellen und konfigurieren bei Bedarf Zeitpläne.
  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Administratoren für benutzerspezifische Aufgaben

Die Administratoren müssen der Anwendungsrolle Benutzerspezifisch | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die benutzerspezifischen Anwendungsrollen.
  • Richten bei Bedarf weitere Anwendungsrollen für Verantwortliche ein.

Verantwortliche für benutzerspezifische Aufgaben

Die Verantwortlichen müssen der Anwendungsrolle Benutzerspezifisch | Verantwortliche oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen unternehmensspezifisch definierte Aufgaben im One Identity Manager.
  • Konfigurieren und Starten die Synchronisation im Synchronization Editor.
  • Bearbeiten im Manager Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

Die Anwendungsrolle erhält ihre Bearbeitungsrechte über eine kundendefinierte Rechtegruppe und die Rechtegruppe "vi_4_SYNCPROJECT_ADMIN".

Um Synchronisationsprojekte und Zielsystemabgleich konfigurieren zu können (in den Anwendungsfällen 2 und 3)

  1. Erstellen Sie eine kundendefinierte Rechtegruppe mit allen Rechten für die Konfiguration der Synchronisation und die Bearbeitung der Synchronisationsobjekte.
  2. Ordnen Sie diese Rechtegruppe einer benutzerspezifischen Anwendungsrolle zu.
Detaillierte Informationen zum Thema

Eine benutzerspezifische Anwendungsrolle für die Synchronisation einrichten

Um bei rollenbasierter Anmeldung den One Identity Manager Benutzern die erforderlichen Berechtigungen für die Konfiguration der SynchronisationClosed und die Bearbeitung ausstehender Objekte zu gewähren, erstellen Sie eine benutzerspezifische Anwendungsrolle. Diese Anwendungsrolle erhält die erforderlichen Berechtigungen über eine kundendefinierte Rechtegruppe.

Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 2)

  1. Wählen Sie im Manager die Standardanwendungsrolle, mit der Sie die Objekte bearbeiten können, die Sie synchronisieren möchten.
    • Ermitteln Sie die Standardrechtegruppe dieser Anwendungsrolle.

    Wenn Sie beispielsweise Personenstammdaten importieren wollen, wählen Sie die Anwendungsrolle Identity Management | Personen | Administratoren. Die Standardrechtegruppe dieser Anwendungsrolle ist "vi_4_PERSONADMIN".

  2. Erstellen Sie im Designer eine neue Rechtegruppe.
    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.
  3. Stellen Sie die Abhängigkeit der neuen Rechtegruppe zur Rechtegruppe "vi_4_SYNCPROJECT_ADMIN" her.

    Die Rechtegruppe "vi_4_SYNCPROJECT_ADMIN" muss dabei als übergeordnete Rechtegruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Rechtegruppe.

  4. Stellen Sie die Abhängigkeit der neuen Rechtegruppe zur Standardrechtegruppe der ausgewählten Standardanwendungsrolle her.

    Die Standardrechtegruppe muss dabei als übergeordnete Rechtegruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die neu definierte Rechtegruppe.

  5. Speichern Sie die Änderungen.
  6. Erstellen Sie im Manager eine neue Anwendungsrolle.
    1. Ordnen Sie die ausgewählte Standardanwendungsrolle als übergeordnete Anwendungsrolle zu.
    2. Ordnen Sie die neu erstellte Rechtegruppe zu.
  7. Weisen Sie dieser Anwendungsrolle Personen zu.
  8. Speichern Sie die Änderungen.

Um eine Anwendungsrolle für die Synchronisation einzurichten (Anwendungsfall 3)

  1. Erstellen Sie im Designer eine neue Rechtegruppe für die kundendefinierten Tabellen, die durch die Synchronisation befüllt werden.
    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.
  2. Gewähren Sie dieser Rechtegruppe alle erforderlichen Berechtigungen auf die kundendefinierten Tabellen.
  3. Erstellen Sie eine weitere Rechtegruppe für die Synchronisation.
    • Aktivieren Sie die Option Nur für rollenbasierte Anmeldung.
  4. Stellen Sie die Abhängigkeit der Rechtegruppe für die Synchronisation zur Rechtegruppe für die kundendefinierten Tabellen her.

    Die Rechtegruppe für die kundendefinierten Tabellen muss dabei als übergeordnete Rechtegruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Rechtegruppe für die Synchronisation.

  5. Stellen Sie die Abhängigkeit der Rechtegruppe für die Synchronisation zur Rechtegruppe "vi_4_SYNCPROJECT_ADMIN" her.

    Die Rechtegruppe "vi_4_SYNCPROJECT_ADMIN" muss dabei als übergeordnete Rechtegruppe zugeordnet werden. Damit vererbt sie ihre Eigenschaften an die Rechtegruppe für die Synchronisation.

  6. Speichern Sie die Änderungen.
  7. Erstellen Sie im Manager eine neue Anwendungsrolle.
    1. Ordnen Sie die Anwendungsrolle Benutzerspezifisch | Verantwortliche als übergeordnete Anwendungsrolle zu.
    2. Ordnen Sie die Rechtegruppe für die Synchronisation zu.
  8. Weisen Sie dieser Anwendungsrolle Personen zu.
  9. Speichern Sie die Änderungen.

Ausführliche Informationen zum Einrichten von Anwendungsrollen finden Sie im One Identity Manager Administrationshandbuch für Anwendungsrollen. Ausführliche Informationen zum Erstellen von Rechtegruppen finden Sie im One Identity Manager Konfigurationshandbuch.

Einrichten des Synchronisationsservers

Einrichten des Synchronisationsservers

Für die Einrichtung der SynchronisationClosed muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • One Identity Manager Service
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | JobserverClosed.

    Ausführliche Informationen zu den Systemanforderungen für die Installation des One Identity Manager Service finden Sie im One Identity Manager Installationshandbuch.

Der SynchronisationsserverClosed muss im One Identity Manager als Jobserver bekannt sein.

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt die folgenden Schritte aus.

  • Erstellen eines Jobservers.
  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.
  • Konfigurieren des One Identity Manager Service.
  • Starten des One Identity Manager Service.

Hinweis: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.
  2. Auf der Seite DatenbankverbindungClosed geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter.
  3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.
    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.
      Tabelle 5: Eigenschaften eines Jobservers
      Eigenschaft Beschreibung
      Server Bezeichnung des Jobservers.
      Queue

      Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      Vollständiger Servername

      Vollständiger Servername gemäß DNS Syntax.

      Beispiel:

      <Name des Servers>.<Vollqualifizierter Domänenname>

      Hinweis: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.
  4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im One Identity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werden die Installationspakete ermittelt, die auf dem Jobserver installiert werden.

    Wählen Sie mindestens folgende Rollen:

    • Job Server
  5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der One Identity Manager-Umgebung fest. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity Manager-Prozesse ausgeführt.

    Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereits ausgewählt. Sie können die Serverfunktionen hier weiter einschränken.

    Wählen Sie mindestens eine der folgenden Serverfunktionen:

  6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One Identity Manager Service.

    Hinweis: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.
  7. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.
  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.
  10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.

    Hinweis: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.
  11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.
    Tabelle 6: Installationsinformationen
    Eingabe Beschreibung
    Computer Server, auf dem der Dienst installiert und gestartet wird.

    Um einen Server auszuwählen

    • Erfassen Sie den Servernamen.

      -ODER-

    • Wählen Sie einen Eintrag in der Liste.
    Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service.

    Um ein Benutzerkonto für den One Identity Manager Service zu erfassen

    • Aktivieren Sie die Option Lokales Systemkonto.

      Damit wird der One Identity Manager Service unter dem Konto "NT AUTHORITY\SYSTEM" gestartet.

      - ODER-

    • Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.

      Als Benutzerkonto für den One Identity Manager Service muss das Serverfarmkonto der SharePoint Farm genutzt werden.

    Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.

    Um ein administratives Benutzerkonto für die Installation zu erfassen

    • Aktivieren Sie die Option Erweitert.
    • Aktivieren Sie die Option Angemeldeter Benutzer.

      Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet.

      - ODER-

    • Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.
  12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    Hinweis: Der Dienst wird mit der Bezeichnung "One Identity Manager Service" in der Dienstverwaltung des Servers eingetragen.
Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents