Wie aus dem Datenmodell des One Identity Manager ersichtlich, bestehen zwischen den Objekten Beziehungen (Parent/Childrelations). Bei Bearbeitung eines Objektes über die DLL’s des One Identity Manager besteht Zugriff auf alle mit diesem Objekt in Beziehung stehenden Fremdschlüssel-Objekte (FK). Der Zugriff auf Objekte über die Beziehungen erfolgt in VB.Net-Notation.
Abbildung 21: Parent/Childrelation am Beispiel Person-ADSAccount
Die Tabellen- und Spaltenbeziehungen sind in der Tabelle QBMRelation hinterlegt. Die vordefinierten Beziehungen des One Identity Manager-Datenmodells werden durch die Schemainstallation gepflegt und sind bis auf einige Ausnahmen nicht bearbeitbar.
In der Schemaübersicht (Menüeintrag Optionen | Datenmodell) zeigt der Tooltip eines Verbinders die Tabellenbeziehungen an. Der Inhalt des Tooltip enthält die Namen der Tabellen, die miteinander in Bezug stehen, sowie die Eigenschaften der Tabellenbeziehung. Bei einem Mausklick auf einen Verbinder werden in der Bearbeitungsansicht die Eigenschaften der Tabellenbeziehungen dargestellt.
Abbildung 22: Darstellung der Tabellenbeziehungen in der Schemaübersicht
|
HINWEIS: Die Tabellenbeziehungen kundenspezifischer Tabellen sind immer bearbeitbar. Die Bearbeitung der Tabellenbeziehung der mitgelieferten Standardtabellen ist nur möglich, wenn die Überprüfung der referentiellen Integrität durch die DLL erfolgt. |
|
Wichtig: Setzen Sie zur Erweiterung des One Identity Manager-Datenmodells das Programm "Schema Extension" ein. Durch das Programm "Schema Extension" werden die Schemaerweiterungen in der Datenbank angelegt und die notwendigen Erweiterungen im One Identity Manager-Datenmodell sichergestellt. |
Um Tabellenbeziehungen zu bearbeiten
Eigenschaft | Bedeutung |
---|---|
Anzeigename | Sprachabhängige Bezeichnung der Tabellenbeziehung zur Darstellung in der Oberfläche der Administrationswerkzeuge. |
Transport nur im Verbund | Der Inhalt der Tabelle wird bei Datentransporten immer zusammen mit den Inhalten der referenzierten Tabelle übertragen, beispielsweise die Tabellen JobChain, Job und JobRunParameter. |
Änderungsdatum für Abhängigkeiten aktualisieren | Beim Einfügen, Ändern und Löschen von M:N-Einträgen wird der Wert der Spalte XDateSubItem in einem der Parent-Einträge aktualisiert. Wird benötigt für die Provisionierung von Mitgliedschaften in die Zielsysteme. |
Export für SPML-Schema | Diese Angabe bestimmt, ob die Tabellenbeziehung für das SPML-Schema exportiert werden soll. |
Parent-Spalte | Eindeutige Kennung der Parent-Spalte. |
Parent-Beziehung konfigurierbar | Angabe, ob diese referentielle Integrität konfiguriert werden darf. |
Prüfinstanz der Parent-Beziehung |
Angabe, wer die Überprüfung dieser referentiellen Integrität ausführen soll ( DLL, Trigger oder Nothing (keiner)). Zur Überwachung durch die Datenbank werden Trigger und Constraints eingesetzt. Die Trigger und Constraints werden unter Einbeziehung der vorgegebenen Beschränkungen durch den DBQueue Prozessor automatisch erzeugt und gegebenenfalls angepasst. Für kundenspezifische Tabellen legen Sie die Prüfinstanz und die Beschränkungen bei der Erweiterung des One Identity Manager Schemas fest. |
Restriktion der Parent-Beziehung | Restriktion der Beziehung, zum Beispiel IR - Insert Restrict, DC - Delete Cascade. |
Generierte Restriktionsprüfung der Parent-Beziehung | Kürzel für durch den DBQueue Prozessor automatisch generierte Trigger und Constraints. |
Verbundene Spalte | Eindeutige Kennung der verbundenen Spalte. |
Child-Beziehung konfigurierbar | Angabe, ob diese referentielle Integrität konfiguriert werden darf. |
Prüfinstanz der Child-Beziehung |
Angabe, wer die Überprüfung dieser referentiellen Integrität ausführen soll ( DLL, Trigger oder Nothing (keiner)). Zur Überwachung durch die Datenbank werden Trigger und Constraints eingesetzt. Die Trigger und Constraints werden unter Einbeziehung der vorgegebenen Beschränkungen durch den DBQueue Prozessor automatisch erzeugt und gegebenenfalls angepasst. Für kundenspezifische Tabellen legen Sie die Prüfinstanz und die Beschränkungen bei der Erweiterung des One Identity Manager Schemas fest. |
Restriktion der Child-Beziehung | Restriktion der Beziehung, zum Beispiel IR - Insert Restrict. |
Generierte Restriktionsprüfung der Child-Beziehung | Kürzel für durch den DBQueue Prozessor automatisch generierte Trigger und Constraints. |
Beziehungs-ID | Identifikator der Beziehung. Dieser wird für beide Richtungen verwendet. |
M:N Beziehung | Angabe, ob die Beziehung über eine M:N-Beziehung erreichbar ist |
Tabellenbeziehung |
Eindeutige Kennung der Tabellenbeziehung. |
Beziehung (Basis) | Verweis auf zugrunde liegende Basisbeziehung, sofern an der Beziehung eine Sicht (View) beteiligt ist. |
Beziehung (M:N) | Eindeutige Kennung der M:N Beziehung. |
Beschränkung | Bedeutung |
---|---|
DeleteNotRestricted (D) | Beim Löschen des Objektes werden Abhängigkeiten nicht beachtet. |
DeleteRestrict (DR) | Das Objekt wird erst gelöscht, nachdem keine Beziehungen zu anderen Objekten bestehen. |
DeleteCascade (DC) | Beim Löschen des Objektes werden alle davon abhängigen Objekte ebenfalls gelöscht. |
DeleteSetNULL (DS) | Beim Löschen des Objektes werden in allen abhängigen Objekten die Verweise auf das zu löschende Objekt entfernt (SetNULL). |
InsertNotRestricted (I) | Beim Einfügen des Objektes werden Abhängigkeiten nicht beachtet. |
InsertRestrict (IR) | Beim Einfügen des Objektes wird geprüft, ob das referenzierte Objekt existiert. |
One Identity Manager unterstützt Dateigruppen, um Tabellen zum Zweck der Verwaltung, Datenzuordnung und Datenverteilung zu Gruppen zusammenzufassen. One Identity Manager unterscheidet dazu logische Speicherorte und physische Speicherorte.
In der Standardinstallation sind für die Tabellen jedes Moduls des One Identity Manager sowie die Systemtabellen logische Speicherorte vordefiniert. Die Zuordnungen können Sie nicht ändern. Sie können zur Gruppierung kundenspezifischer Tabellen eigene logische Speicherorte erstellen.
Um logische Speicherorte für kundenspezifische Tabellen zu definieren
Wählen Sie den Menüeintrag Ansicht | Tabellenrelationen wählen... und aktivieren Sie die Tabelle DialogTable. In der Bearbeitungsansicht wird der Tabreiter Tabellen angezeigt, über welchen Sie die Tabellen zuweisen.
Logische Speicherort können im One Identity Manager Schema mit physischen Speicherorten - den Dateigruppen - verbunden werden. Werden die Dateigruppen auf verschiedenen Datenträger erzeugt, kann durch parallelisierten Zugriff die Performance von Tabellen mit hoher Änderungsrate erhöht werden. Beispiele sind die Tabellen zur Verarbeitung der DBQueue Prozessor Aufträge oder die Tabellen zur Prozessverarbeitung.
|
HINWEIS: Um die einwandfreie Funktion der One Identity Manager Datenbank zu gewährleisten, können die folgenden Tabellen nicht in andere Dateigruppen verschoben werden.
|
Der One Identity Manager unterstützt die Verteilung der Tabellen auf Dateigruppen mit einer Reihe von Datenbankprozeduren, die Sie in einem geeigneten Query-Tool in der Datenbank ausführen.
|
VORSICHT: Die nachfolgenden Schritte zum Einsatz von Dateigruppen sollten nur in Zusammenarbeit mit einem erfahrenen Datenbankadministrator ausgeführt werden. Stellen Sie sicher, dass während der Bereitstellung der Dateigruppen keine Zugriffe auf die Datenbank erfolgen, beispielsweise durch Jobserver, Anwendungsserver, Webserver, Frontends, Web Portal. Warten Sie nach dem Reaktivieren des DBQueue Prozessor bis alle Aufträge der DBQueue verarbeitet wurden, bevor Sie Verbindungen zur Datenbank wieder zulassen. |
Um Tabellen unter SQL Server auf Dateigruppen zu verteilen
exec QBM_PDiskStorePhysicalSync
Übernehmen Sie die Änderungen über Datenbank | Übertragung in die Datenbank....
exec QBM_PWatchDogPrepare 1
exec QBM_PDBQueuePrepare 1
exec QBM_PTableMove
exec QBM_PDBQueuePrepare 0,1
exec QBM_PWatchDogPrepare
Um Tabellen unter Oracle Database auf Tablespaces zu verteilen
begin QBM_GCommon2.PDiskStorePhysicalSync(); end;
Übernehmen Sie die Änderungen über Datenbank | Übertragung in die Datenbank....
begin QBM_GWatchDog.PPrepare(1); end;
begin QBM_GDBQueue.PDBQueuePrepare(1); end;
begin QBM_GCommon2.PTableMove(); end;
begin QBM_GDBQueue.PDBQueuePrepare(0); end;
begin QBM_GWatchDog.PPrepare(0); end;
Die Berechtigungen für den Zugriff auf die Tabellen und Spalten des One Identity Manager Schemas werden im Schema selbst über Rechtegruppen abgebildet. Rechtegruppen können an Systembenutzer und Anwendungsrollen zugewiesen werden.
Die gültigen Berechtigungen eines Benutzers sind abhängig vom Authentifizierungsmodul, das für die Anmeldung an den One Identity Manager-Werkzeugen verwendet wird.
Die effektiven Berechtigungen des ermittelten Systembenutzers werden nicht im One Identity Manager Schema gespeichert, sondern bei der Anmeldung an den One Identity Manager-Werkzeugen ermittelt und geladen.
Rechtegruppen werden zusätzlich verwendet, um den Zugriff auf die Bestandteile der Benutzeroberfläche wie Menüeinträge, Formulare, Methoden und Programmfunktionen zu steuern. Meldet sich ein Benutzer an den One Identity Manager-Werkzeugen an, so werden abhängig von den Rechtegruppen des ermittelten Systembenutzers die verfügbaren Menüeinträge, Oberflächenformulare und Methoden ermittelt und die für ihn angepasste Benutzeroberfläche geladen.
Der One Identity Manager stellt Rechtegruppen und Systembenutzer mit einer vordefinierten Benutzeroberfläche und Bearbeitungsrechten auf die Tabellen und Spalten des One Identity Manager Schemas bereit. Diese vordefinierten Konfigurationen werden durch die Schemainstallation gepflegt und sind bis auf einige Eigenschaften nicht bearbeitbar. Nutzen Sie die vordefinierten Rechtegruppen und Systembenutzer als Vorlage, um eigene Rechtegruppen und Systembenutzer zu erstellen.
Ausführliche Informationen zum Einsatz und zur Bearbeitung von Anwendungsrollen finden Sie im One Identity Manager Administrationshandbuch für Anwendungsrollen.
Der One Identity Manager stellt Rechtegruppen und Systembenutzer mit einer vordefinierten Benutzeroberfläche (Menüeinträge, Formulare, Methoden, Programmfunktionen) und speziellen Bearbeitungsrechten auf die Tabellen und Spalten des One Identity Manager Schemas bereit. Diese vordefinierten Konfigurationen werden durch die Schemainstallation gepflegt und sind bis auf einige Eigenschaften nicht bearbeitbar. Nutzen Sie die vordefinierten Rechtegruppen und Systembenutzer als Vorlage, um eigene Rechtegruppen und Systembenutzer zu erstellen.
|
Hinweis: Es wird empfohlen, eigene Rechtegruppen und Systembenutzer einzurichten, deren Benutzeroberfläche und Bearbeitungsrechte speziell auf die administrativen Aufgaben ausgerichtet sind. |
Rechtegruppe | Beschreibung | ||
---|---|---|---|
Rechtegruppe "QBM_BaseRights" |
Die Rechtegruppe "QBM_BaseRights" definiert die Basisrechte, die für die Anmeldung eines Systembenutzers an den Administrationswerkzeugen ausreichend sind. Diese Rechtegruppe ist implizit immer zugewiesen. | ||
Rechtegruppe "VI_View" |
Die Rechtegruppe "VI_View" besitzt die Sichtbarkeitsrechte auf alle Tabellen und Spalten des One Identity Manager-Anwendungsdatenmodells.
| ||
Rechtegruppe "VI_Everyone" |
Die Rechtegruppe "VI_Everyone" sind Formularelemente der Übersichtformulare, die Links zu den korrespondieren Menüeinträgen verwenden, zugewiesen. Zusätzlich stellt diese Rechtegruppen Funktionen für Web Portal Benutzer zur Verfügung.
| ||
Rechtegruppe "QER_OperationsSupport" |
Die Rechtegruppe "QER_OperationsSupport" besitzt spezielle Rechte für die Arbeit mit dem Web Portal für Betriebsunterstützung. | ||
Rechtegruppen für das One Identity Manager-Anwendungsdatenmodell |
Die Rechtegruppen besitzen Bearbeitungsrechte auf die Tabellen und Spalten des One Identity Manager-Anwendungsdatenmodells. Diese Rechtegruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um mit dem Manager die Anwendungsdaten zu bearbeiten. | ||
Rechtegruppen für das One Identity Manager-Systemdatenmodell |
Die Rechtegruppen besitzen die Bearbeitungsrechte auf die Tabellen und Spalten des One Identity Manager-Systemdatenmodells. Diese Rechtegruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um Systemdaten zu bearbeiten, beispielsweise mit den Editoren des Designer. Die Rechtegruppe "vid" besitzt alle Bearbeitungsrechte für die Systemkonfiguration mit dem Designer. | ||
Rollenbasierte Rechtegruppe "VI_4_ALLUSER" |
Die Rechtegruppe "VI_4_ALLUSER" stellt die Basisrechte sowie Menüeinträge, Formulare, Methode und Programmfunktionen zur Verfügung, um mit dem Manager und dem Web Portal die Anwendungsdaten zu bearbeiten. Diese Rechtegruppe ist implizit immer zugewiesen. | ||
Rollenbasierte Rechtegruppe "vi_4_ADMIN_LOOKUP" |
Die Rechtegruppe "vi_4_ADMIN_LOOKUP" besitzt die Sichtbarkeitsrechte auf alle Tabellen und Spalten des One Identity Manager-Anwendungsdatenmodells.
| ||
Rollenbasierte Rechtegruppen |
Rollenbasierte Rechtegruppen besitzen Bearbeitungsrechte auf die Tabellen und Spalten des One Identity Manager-Anwendungsdatenmodells. Diese Rechtegruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um mit dem Manager und dem Web Portal die Anwendungsdaten zu bearbeiten. Diese Rechtegruppen sind mit One Identity Manager Anwendungsrollen verknüpft und vereinfachen im One Identity Manager Rollenmodell die Administration der Bearbeitungsrechte. |
Systembenutzer | Beschreibung | ||
---|---|---|---|
Dynamische Systembenutzer | Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Person werden zunächst die Mitgliedschaften der Person in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Rechtegruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Rechtegruppen für die Person gültig sind. Aus diesen Rechtegruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Person benutzt wird. | ||
Systembenutzer "sa" | Der Systembenutzer "sa" wird ausschließlich durch den One Identity Manager Service verwendet. Der Systembenutzer ist keiner Rechtegruppe zugeordnet, besitzt jedoch alle Bearbeitungsrechte, Methoden und Programmfunktionen. | ||
Systembenutzer "viadmin" |
Der Systembenutzer "viadmin" ist der Standard-Systembenutzer des One Identity Manager. Dieser Systembenutzer kann zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen genutzt werden.
Der Systembenutzer "viadmin" hat die kompletten vorgegebenen Berechtigungen und die komplette Benutzeroberfläche. Der Systembenutzer "viadmin" erhält implizit die Berechtigungen und Benutzeroberflächenanteile der kundenspezifischen Rechtegruppen. Der Systembenutzer "viadmin" hat die Berechtigung eine Person als One Identity Manager Administrator für die rollenbasierte Anmeldung einzurichten. Er ist selbst jedoch nicht Mitglied der Anwendungsrollen. | ||
Systembenutzer "Synchronization" | Der Systembenutzer "Synchronization" hat die vorgegebenen Berechtigungen, um Zielsystemsynchronisationen über einen Anwendungsserver einrichten und ausführen zu können. | ||
Systembenutzer "viHelpdesk" | Der Systembenutzer "viHelpdesk" hat die vorgegebenen Berechtigungen und die Benutzeroberfläche, um mit dem Manager auf die Helpdesk-Ressourcen des One Identity Manager zuzugreifen. | ||
Systembenutzer "viITShop" | Der Systembenutzer "viITShop" hat die vorgegebenen Berechtigungen und die Benutzeroberfläche, um mit dem Manager auf den IT Shop zuzugreifen. | ||
Systembenutzer "Support" |
Der Systembenutzer "Support" hat die vorgegebenen Berechtigungen um mit dem Web Portal für Betriebsunterstützung zu arbeiten. Der Systembenutzer wird intern für Authentifizierung der Benutzer am Web Portal für Betriebsunterstützung verwendet. |
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy