Chat now with support
Chat with Support

Identity Manager 8.0 - Konfigurationshandbuch

Softwarearchitektur des One Identity Manager Arbeiten mit dem Designer Kundenspezifische Änderungen an der One Identity Manager Standardkonfiguration Prüfen der Datenkonsistenz Kompilieren einer One Identity Manager-Datenbank Arbeiten mit Änderungskennzeichen Basisdaten zur Systemkonfiguration
One Identity Manager Authentifizierungsmodule Verbindungsdaten zur Datenbank Konfigurationsparameter zur Systemkonfiguration Einrichten des E-Mail-Benachrichtigungssystems Aktivieren weiterer Sprachen für die Anzeige und Pflege der Daten Abbildung der Länderinformationen Einrichten und Konfigurieren von Zeitplänen Kennwortrichtlinien im One Identity Manager Dynamisches Nachladen von Änderungen Datenbanken für TimeTrace Maschinenrollen und Serverfunktionen Dateien für die Softwareaktualisierung Eingesetzte Betriebssysteme Berichte zur Systemkonfiguration Verwenden vordefinierter Datenbankabfragen Verwaltung von kundenspezifischen Datenbankobjekten innerhalb der Datenbank
Datenmodell des One Identity Manager Erteilen von Berechtigungen auf das One Identity Manager Schema Bearbeiten der Benutzeroberfläche
Objektdefinitionen für die Benutzeroberfläche Menüführung der Benutzeroberfläche Formulare für die Benutzeroberfläche Statistiken im One Identity Manager Erweitern des Launchpad Methodendefinitionen für die Benutzeroberfläche Anwendungen für die Gestaltung der Benutzeroberfläche Symbole und Bilder für die Gestaltung der Benutzeroberfläche Sprachabhängige Abbildung von Informationen
Prozess-Orchestrierung im One Identity Manager
Bekanntgabe der Jobserver Konfiguration des One Identity Manager Service Prozessverarbeitung im One Identity Manager
Prozessüberwachung zur Nachverfolgung von Änderungen Bedingte Kompilierung mittels Präprozessorbedingungen Skripte im One Identity Manager Bearbeiten von Mailvorlagen Berichte im One Identity Manager Kundenspezifische Schemaerweiterungen Transportieren kundenspezifischer Änderungen am One Identity Manager Schema Importieren von Daten Webservice Integration SOAP Web Service One Identity Manager als SPML Provisioning Service Provider Fehlersuche im One Identity Manager
Überwachen der Prozessverarbeitung mit Job Queue Info Ausgabe von Fehlermeldungen im Fehlermeldungsfenster Anzeigen von Meldungen im Fehlerprotokoll eines Programms Aufzeichnung von Meldungen im Systemprotokoll Protokollierung im One Identity Manager Protokollierung des One Identity Manager Service Anzeigen des Status eines One Identity Manager Anwendungsservers
Verarbeitung von DBQueue Aufträgen Konfigurationsdateien des One Identity Manager

Prozessverfolgung für Operationen des DBQueue Prozessor

Prozessverfolgung für Operationen des DBQueue Prozessor

Um Vererbungsberechnungen als Folge einer Änderung am System zu verfolgen, wird die GenProcID in den Operationen des DBQueue Prozessor mitgeführt. Für eventuelle Folgeoperationen muss sichergestellt sein, dass es je Operation und Objekt nur einen Eintrag in der DBQueue gibt. Um derartige Prozesse abzubilden, wird für diese eine neue GenProcID vergeben und in weiteren Prozessen verwendet. Die kollidierten Prozesse und ihre GenProcID’s werden in der Tabelle DialogProcessSubstitute abgebildet.

Bei der Erzeugung neuer GenProcID für kollidierte Prozesse gelten folgende Regeln:

  • Mehrere gleiche Operationen des DBQueue Prozessor auf einem Objekt werden zu einem Prozess (einer GenProcID) zusammengeführt. Dabei werden vorhandene Ersatzprozesse genutzt, wenn die Menge ihrer Vorgänger (bezogen auf Basisprozesse) identisch ist.
  • Sollte es in der Folge zu weiteren Kollisionen kommen, so werden schon ersetzte GenProcID zuerst in ihre Ursprünge aufgelöst und dann ein neuer Ersatz gebildet.
  • Ein Ersatz gilt genau für eine Menge an Ursprungsprozessen.
Verwandte Themen

Beispiel für die Ersetzung der GenProcID

Es existiert eine hierarchische Rollenstruktur bestehend aus 4 Rollen O1, O2, O3 und O4. Die Person X ist den Rollen O1, O4 und O3 zugeordnet. Nachfolgend betrachtet wird die Zuweisung von Applikationen an die Rollen.

Abbildung 47: Abbildung der Rollenstruktur laut Beispiel

Zwischen zwei Ausführungen des DBQueue Prozessor laufen 3 Prozesse mit jeweils eigener GenProcID an der Oberfläche ab:

  • P1: Zuweisung Applikation A1 an die Rolle O1
  • P2: Zuweisung Applikation A2 an die Rolle O1
  • P3: Zuweisung Applikation A3 an die Rolle O2

Im Ergebnis stehen folgende Operationen in der DBQueue (Tabelle DialogDBQueue) und der Prozessinformation:

Operation Objekt GenProcID
OrgHasApp O1 P1
OrgHasApp O1 P2
OrgHasApp O2 P3

Die Operation OrgHasApp bezüglich O1 kann nicht aufgeteilt werden, da für O1 die Vereinigungsmenge der Applikationen errechnet wird. Zu diesem Zeitpunkt ist auch keine Information mehr verfügbar, welche GenProcID durch die Zuordnung welcher Applikation eingetragen wurde.

Um Eindeutigkeit bezüglich der Kombination Operation und Objekt zu erreichen, wird eine neue GenProcID P4 eingeführt und die beiden Operationen bezüglich O1 auf diese verdichtet. In der Tabelle DialogProcessSubstitute wird vermerkt, dass P4 die möglichen (aber in der Einzelaktion nicht eindeutigen) Vorgänger P1 und P2 hat.

Operation Objekt GenProcID
OrgHasApp O1 P4
OrgHasApp O2 P3

Abhängig, ob OrgHasApp eine Operation ist, die im Einzelschritt- oder im Bulkverfahren abgearbeitet wird, kann es jetzt zu folgenden Konstellationen kommen:

Fall 1) Die Berechnung für O1 wird ausgeführt, dann die Operation für O2.

Fall 2) Die Berechnung für O2 wird ausgeführt, dann die Operation für O1.

Fall 3) Die Berechnungen für O1 und O2 werden in einer Bulkoperation gleichzeitig ausgeführt.

Nach Ausführung dieser Operationen und unter der Annahme, dass sie alle zu Änderungen an den betroffenen totalen Mengen führen, ergeben sich folgende Zustände:

Fall 1) Die Berechnung für O1 wird ausgeführt, dann die Operation für O2.

Operation Objekt GenProcID
OrgHasApp O2 P3
OrgHasApp O4 P4
OrgHasApp O2 P4
OrgHasApp O3 P4
PersonHasApp X P4

Vor dem nächsten Lauf des DBQueue Prozessors muss wieder eine Verdichtung der GenProcID’s vorgenommen werden, da für die Operation OrgHasApp für Objekt O2 keine Eindeutigkeit gegeben ist. P5 wird eingeführt, mit den möglichen Vorgängern P4 und P3.

Operation Objekt GenProcID
OrgHasApp O2 P5
OrgHasApp O4 P4
OrgHasApp O3 P4
PersonHasApp X P4

Jetzt wird die Berechnung für O2 ausgeführt:

Operation Objekt GenProcID
OrgHasApp O3 P5
PersonHasApp X P5
OrgHasApp O4 P4
OrgHasApp O3 P4
PersonHasApp X P4

Da für O3 keine Eindeutigkeit gegeben ist, wird P6 eingeführt mit den möglichen Vorgängern P4 und P5.

Operation Objekt GenProcID
OrgHasApp O3 P6
PersonHasApp X P5
OrgHasApp O4 P4
PersonHasApp X P4

Nach den Berechnungen für O3 und O4 liegt folgende Situation vor:

Operation Objekt GenProcID
PersonHasApp X P6
PersonHasApp X P5
PersonHasApp X P4

Für das Objekt X ist keine Eindeutigkeit gegeben, so dass P7 mit den möglichen Vorgängern P4, P5 und P6 eingeführt wird.

Fall 2) Die Berechnung für O2 wird ausgeführt, dann die Operation für O1.

Operation Objekt GenProcID
OrgHasApp O1 P4
OrgHasApp O2 P3

Nach der Ausführung stehen folgende Einträge in der DBQueue:

Operation Objekt GenProcID
OrgHasApp O1 P4
OrgHasApp O3 P3

Nach dem nächsten Ausführungsschritt liegt folgende Situation vor:

Operation Objekt GenProcID
OrgHasApp O3 P3
OrgHasApp O4 P4
OrgHasApp O2 P4
OrgHasApp O3 P4
PersonHasApp X P4

Für die Eindeutigkeit von O3 muss ein Prozess P5 mit den möglichen Vorgängern P3 und P4 erzeugt werden:

Operation Objekt GenProcID
OrgHasApp O3 P5
OrgHasApp O4 P4
OrgHasApp O2 P4
PersonHasApp X P4

Nach den Berechnungen liegt folgende Situation vor:

Operation Objekt GenProcID
PersonHasApp X P5
PersonHasApp X P4

Für das Objekt X ist keine Eindeutigkeit gegeben, so dass P6 mit den möglichen Vorgängern P4 und P5 eingeführt wird.

Fall 3) Die Berechnungen für O1 und O2 werden in einer Bulkoperation gleichzeitig ausgeführt.

Operation Objekt GenProcID
OrgHasApp O1 P4
OrgHasApp O2 P3

Nach dem ersten Berechnungsschritt stehen folgende Informationen in der DBQueue:

Operation Objekt GenProcID
OrgHasApp O4 P4
OrgHasApp O2 P4
OrgHasApp O3 P4
OrgHasApp O3 P3
PersonHasApp X P4

Für O3 wird durch Prozess P5 mit den möglichen Vorgängern P3 und P4 Eindeutigkeit hergestellt:

Operation Objekt GenProcID
OrgHasApp O4 P4
OrgHasApp O2 P4
OrgHasApp O3 P5
PersonHasApp X P4

Nach dem nächsten Berechnungsschritt ist folgender Inhalt zu finden:

Operation Objekt GenProcID
OrgHasApp O3 P4
PersonHasApp X P4
PersonHasApp X P5

Nachdem im nächsten Durchlauf O3 errechnet wurde und dieser keinen neuen PersonHasApp-Eintrag erzeugt hat, da X mit P4 schon existiert, steht zum Schluss nur X mit P4 und P5.

Operation Objekt GenProcID
PersonHasApp X P4
PersonHasApp X P5

Für das Objekt X ist keine Eindeutigkeit gegeben, so dass P6 mit den möglichen Vorgängern P4 und P5 eingeführt wird.

Archivieren und Löschen von Aufzeichnungen

Alle im One Identity Manager protokollierten Aufzeichnungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Der Anteil der historisierten Daten am Gesamtvolumen einer One Identity Manager-Datenbank sollte maximal 25 % betragen. Anderenfalls kann es zu Performance-Problemen kommen. Die Aufzeichnungen sollten in regelmäßigen Abständen aus der One Identity Manager-Datenbank entfernt und archiviert werden.

Um die aufgezeichneten Daten in regelmäßigen Abständen aus der One Identity Manager-Datenbank zu entfernen, werden folgende Verfahren angeboten:

  • Die Daten können direkt aus der One Identity Manager-Datenbank in eine One Identity Manager History Database übernommen werden. Dieses ist das Standardverfahren für die Datenarchivierung. Wählen Sie dieses Verfahren, wenn die Server auf denen die One Identity Manager-Datenbank und die One Identity Manager History Database liegen einander sehen.
  • Die Daten können in XML-Dateien exportiert werden. Diese werden dann zyklisch in die One Identity Manager History Database eingelesen. Liegen die Server der One Identity Manager-Datenbank und der One Identity Manager History Database liegen nicht im selben Netzsegment, dann nutzen Sie dieses Verfahren. Alternativ können Sie die XML Dateien in ein anderes im Unternehmen vorhandenes Archivsystem einlesen.
  • Die Daten werden ohne Archivierung nach einer festgelegten Zeitspanne aus der One Identity Manager-Datenbank gelöscht.

Abbildung 48: Übernahme der Aufzeichnungen in eine One Identity Manager History Database

Für die direkte Übernahme in eine History Database sowie den Export in XML-Dateien werden in der One Identity Manager-Datenbank alle Aufzeichnungen, die von einer Aktion ausgelöst wurden, anhand einer ID-Nummer, der GenProcID, zu einer Prozessgruppe zusammengefasst. Nach erfolgreichem Export werden die exportierten Prozessgruppen mit den zugehörigen Aufzeichnungen aus der One Identity Manager-Datenbank gelöscht.

Für die direkte Übernahme in eine One Identity Manager History Database sowie den Export in XML-Dateien müssen folgende Bedingungen erfüllt sein:

  • Der Teilbereich der Aufzeichnungen ist für den Export konfiguriert.
  • Die Aufbewahrungszeit aller Aufzeichnungen, die zu einer Prozessgruppe gehören, ist abgelaufen, unabhängig davon ob der Teilbereich zum Export gekennzeichnet ist.
  • Es gibt keine aktiven Prozesse mit der GenProcID der Prozessgruppe in der DBQueue, in der Jobqueue oder als geplante Operationen.
  • Es gibt für die auslösende Aktion mindestens eine Aufzeichnung in dem Teilbereich, der exportiert werden soll.

Für die Archivierung der Aufzeichnungen in eine One Identity Manager History Database sind in beiden Datenbanken - der One Identity Manager-Datenbank und der One Identity Manager History Database - Konfigurationen vorzunehmen. Ausführliche Informationen zur Einrichtung der Archivierung von Daten in einer History Database finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.

Auswahl des Verfahrens

Die Auswahl des grundlegenden Verfahrens treffen Sie über die Einstellung des Konfigurationsparameters "Common\ProcessState\ExportPolicy". Ist der Konfigurationsparameter deaktiviert, verbleiben die Daten in der One Identity Manager-Datenbank. Ist der Konfigurationsparameter aktiviert, dann wird das gewählte Verfahren angewendet.

Tabelle 258: Zulässige Werte des Konfigurationsparameters "Common\ProcessState\ExportPolicy"
Wert Bedeutung
FILE Die Daten werden nach Ablauf einer festgelegten Zeitspanne in XML- Dateien exportiert.
HDB Die Daten werden nach Ablauf einer festgelegten Zeitspanne direkt in eine One Identity Manager History Database übernommen.
NONE Die Daten werden nach Ablauf einer festgelegten Zeitspanne aus der One Identity Manager-Datenbank gelöscht.

Für jeden Teilbereich der Aufzeichnungen können Sie nach der Auswahl des grundlegenden Verfahrens separat festlegen, ob die Daten exportiert oder gelöscht werden. Die Festlegung für die einzelnen Bereiche treffen Sie über Konfigurationsparameter.

Tabelle 259: Konfigurationsparameter für die Behandlung der aufgezeichneten Datenänderungen
Konfigurationsparameter Bedeutung
Common\ProcessState\PropertyLog\IsToExport Die aufgezeichneten Datenänderungen sollen exportiert werden. Ist der Konfigurationsparameter nicht aktiv, werden die Informationen nach Ablauf der Aufbewahrungszeit gelöscht.
Common\ProcessState\PropertyLog\LifeTime Mit diesem Konfigurationsparameter wird die maximale Aufbewahrungszeit für aufgezeichnete Datenänderungen in der Datenbank festgelegt.
Tabelle 260: Konfigurationsparameter für die Behandlung der Prozessinformationen
Konfigurationsparameter Bedeutung
Common\ProcessState\ProgressView\IsToExport Die Prozessinformationen sollen exportiert werden. Ist der Konfigurationsparameter nicht aktiv, werden die Informationen nach Ablauf der Aufbewahrungszeit gelöscht.
Common\ProcessState\ProgressView\LifeTime Mit diesem Konfigurationsparameter wird die maximale Aufbewahrungszeit für Prozessinformationen in der Datenbank festgelegt.
Tabelle 261: Konfigurationsparameter für die Behandlung der Prozesshistorie
Konfigurationsparameter Bedeutung
Common\ProcessState\JobHistory\IsToExport Die Informationen in der Prozesshistorie sollen exportiert werden. Ist der Konfigurationsparameter nicht aktiv, werden die Informationen nach Ablauf der Aufbewahrungszeit gelöscht.
Common\ProcessState\JobHistory\LifeTime Mit diesem Konfigurationsparameter wird die maximale Aufbewahrungszeit für Aufzeichnungen aus der Prozesshistorie in der Datenbank festgelegt.
Related Documents