Chat now with support
Chat with Support

Identity Manager 8.0 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Zusätzliche Informationen für Experten Fehlerbehebung Anhang: Beispiel für eine Konfigurationsdatei

Wie werden Schemas abgebildet

Wie werden Schemas abgebildet

Um ein ZielsystemClosed mit der One Identity Manager Datenbank synchronisieren zu können, müssen zunächst die Datenmodelle dieser beiden Systeme aufeinander abgebildet werden. Die Datenmodelle (Schemas) der verschiedenen Systeme unterscheiden sich. Sie müssen daher so erweitert werden, dass eine eindeutige Abbildung möglich ist.

Der One Identity Manager unterscheidet vier Schemaarten: One Identity Manager SchemaClosed, ZielsystemschemaClosed, KonnektorschemaClosed, erweitertes Schema. Jedes Schema ist durch Schematypen und Schemaeigenschaften beschrieben. Mit Schemaklassen und virtuellen Schemaeigenschaften können die Schemas so erweiterte werden, dass eine eindeutige Abbildung möglich ist.

Wie zwei Schemas aufeinander abgebildet werden, wird in Mappings festgelegt. Mappings fassen die Regeln zusammen, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden. Object-Matching-Regeln ordnen die Schemaeigenschaften zu, über die Systemobjekte eindeutig identifiziert werden können. Property-MappingClosed-Regeln beschreiben, wie die Schemaeigenschaften des Zielsystems im One Identity Manager Schema abgebildet werden.

Abbildung 6: Abbildung der Schemas

Tabelle 21: Begriffe für die Abbildung der Schemas
Begriff Erläuterung
Schema Datenmodell eines verbundenen Systems. Das Schema beschreibt alle aus dem verbundenen System stammenden Daten.

Der One Identity Manager unterscheidet vier Schemaarten: One Identity Manager Schema, Zielsystemschema, Konnektorschema, erweitertes Schema.

One Identity Manager Schema Datenmodell des One Identity Manager.
Zielsystemschema Datenmodell eines konkreten Zielsystems.
Konnektorschema Der SystemkonnektorClosed erweitert das Zielsystemschema um zusätzliche Informationen, die für die Abbildung im Synchronization EditorClosed erforderlich sind. Dazu gehören
  • Informationen, welche Schemaeigenschaften Mitgliedschaften abbilden
  • Informationen, welche Schemaeigenschaften Referenzen zu anderen Objekten darstellen
  • virtuelle Eigenschaften, die der Systemkonnektor anlegt

Liefert ein Zielsystem kein eigenes Schema, erzeugt der Systemkonnektor das Konnektorschema auf Basis der eingelesenen Datenstruktur, wie beispielsweise beim Import von CSV-Dateien durch den CSV KonnektorClosed.

Erweitertes SchemaClosed Ein Schema kann im Synchronization Editor benutzerspezifisch angepasst werden, beispielsweise um die Abbildung von komplexen Schemaeigenschaften zu ermöglichen oder zu vereinfachen. Dazu gibt es folgende Möglichkeiten:
  • Einfügen neuer Schemaklassen
  • Definition von benutzerspezifischen virtuellen Schemaeigenschaften
  • Ableitung von Schemaeigenschaften

Das angepasste Schema wird als "erweitertes Schema" bezeichnet.

SchematypClosed Definition eines Objekttyps innerhalb eines Schemas. Ein Schematyp bezieht sich auf genau eine Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau einen Objekttyp des nicht-datenbankbasierten Schemas.
SchemaklasseClosed Teilmenge eines Schematyps. Die Ergebnisliste eines Schematyps wird nach definierten Kriterien gefiltert. Die Menge der ermittelten Objekte wird somit eingeschränkt.

Beispiel: Active Directory Kontakte (Schemaklasse) sind Active Directory Benutzerkonten (Schematyp) mit der Eigenschaft Objektklasse = 'CONTACT' (Filterkriterium).

SchemaeigenschaftClosed Eigenschaft eines Schematyps. Eine Schemaeigenschaft bezieht sich auf genau eine Spalte einer Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau eine Eigenschaft eines Objekttyps des nicht-datenbankbasierten Schemas. Es werden zwei Arten von Schemaeigenschaften unterschieden:
  • Schemaeigenschaften der Schematypen aus dem Zielsystemschema und aus dem One Identity Manager Schema
  • virtuelle Schemaeigenschaften,
    • die der Systemkonnektor hinzufügt, um das Zielsystemschema oder das One Identity Manager Schema zu erweitern
    • die der Benutzer hinzufügt, um das Konnektorschema oder das One Identity Manager Schema zu erweitern
Virtuelle SchemaeigenschaftClosed Eigenschaft einer Schemaklasse, die der Systemkonnektor oder der Benutzer hinzugefügt hat.

Virtuelle Schemaeigenschaften erweitern das zugrundeliegende Schema um zusätzliche Informationen, die für das Mapping benötigt werden. Mit virtuellen Schemaeigenschaften können sowohl Kombinationen von Schemaeigenschaften als auch Ergebnisse beliebiger Verarbeitungsschritte als Schemaeigenschaften dargestellt werden.

Object-Matching-RegelClosed Gibt an, wie ein konkretes Objekt einer Schemaklasse des Zielsystems zu einem konkreten Objekt einer Schemaklasse des One Identity Manager in Beziehung zu setzen ist. Eine Object-Matching-Regel erfasst die Schemaeigenschaft des Zielsystems, anhand der die Zielsystemobjekte eindeutig identifiziert werden können.
Property-Mapping-RegelClosed Beschreibt, wie eine Schemaeigenschaft des Zielsystems im Schema des One Identity Manager abgebildet wird.
Verwandte Themen

Was sind Filter

Was sind Filter

Im Synchronization EditorClosed können verschiedene FilterClosed definiert werden. Filter können genutzt werden, um den ScopeClosed eines Synchronisationsprojekts festzulegen, Schemaklassen zu definieren oder virtuelle Schemaeigenschaften zu erstellen. Es gibt drei Filterarten, die sich durch ihre Wirkungsweise und die Art ihrer Definition unterscheiden. Die Menge der zu synchronisierenden Objekte kann zusätzlich durch einen RevisionsfilterClosed eingeschränkt werden.

Tabelle 22: Filterarten
Filter Beschreibung
SystemfilterClosed Der Filter schränkt die Menge der zu ladenden Objekte direkt im verbundenen System ein. Er ist effektiver als der ObjektfilterClosed und die ObjektbestimmungClosed, da der SystemkonnektorClosed nur die tatsächlich benötigten Objekte lädt. Logische Verknüpfungen mehrerer Filterkriterien sind nicht möglich.

Der Filter wird in systemspezifischer Notation angegeben, beispielsweise als LDAP-Filter für ein LDAP-System.

Folgende verbundene Systeme unterstützen Systemfilter: Active Directory, LDAP, Microsoft Exchange, One Identity Manager Datenbanken.

Eine spezielle Form des Systemfilters ist der HierarchiefilterClosed. Der Hierarchiefilter wird auf Basis der realen Objekte des Zielsystems aufgebaut. Aus der Objekthierarchie werden alle Objekte ausgewählt, die durch den Filter erfasst werden sollen.

Der Hierarchiefilter kann bei der Definition des Scopes einiger Zielsysteme eingesetzt werden.

Objektfilter Der Filter wirkt auf die bereits geladenen Objekte. Es können alle Schemaeigenschaften des Schemas als Filterkriterium genutzt und über logische Operatoren verknüpft werden.

Der Filter wird als Abfrage auf die geladenen Objekte formuliert. Er kann bei der Definition des Scope und von virtuellen Schemaeigenschaften eingesetzt werden.

Objektbestimmung Der Filter wirkt auf die bereits geladenen Objekte. Es können alle Schemaeigenschaften des Schemas als Filterkriterium genutzt und über logische Operatoren verknüpft werden. Damit der Filter auch bei der ProvisionierungClosed von Einzelobjekten das gewünschte Ergebnis liefert, müssen zusätzlich die Filterkriterien des Systemfilters in die Filterbedingung aufgenommen werden.

Der Filter wird als Abfrage auf die geladenen Objekte formuliert. Er kann bei der Definition von Schemaklassen eingesetzt werden.

Revisionsfilter Der Filter ermittelt alle Objekte, die seit der letzten SynchronisationClosed geändert wurden. Maßgebend dafür ist die Änderung der RevisionseigenschaftClosed.

Der Filter kann an Workflows und Startkonfigurationen zugelassen werden.

Um die Vorteile der verschiedenen Filter auszunutzen, empfiehlt es sich Systemfilter und Objektfilter/Objektbestimmung zu kombinieren.

Wenn in einer Synchronisationskonfiguration Filter für Scope, Schemaklassen und virtuelle Schemaeigenschaften definiert sind und die Revisionsfilterung zugelassen ist, ergibt sich die Menge der zu synchronisierenden Objekte aus der Kombination aller Filter.

Abbildung 7: Wirkung der Filter

In den Filterbedingungen können Variablen verwendet werden. Dadurch kann ein und dasselbe SynchronisationsprojektClosed zur Synchronisation verschiedener Zielsysteme oder zur Synchronisation verschiedener Objekte eines Zielsystems genutzt werden.

Verwandte Themen

Was ist ein Scope

Was ist ein Scope

Der ScopeClosed legt fest, welcher Teilausschnitt eines verbundenen Systems synchronisiert werden soll. Der Scope wird sowohl für das zu synchronisierende ZielsystemClosed als auch für das One Identity Manager SchemaClosed festgelegt. Ist kein Scope definiert, werden alle Objekte des verbundenen Systems synchronisiert.

Beispiel:

Die Active Directory Domänen "xyz" und "uvw" werden mit dem One Identity Manager verwaltet. Aus der Active Directory Domäne "xyz" sollen die Container "abc", "def" und "ghi" synchronisiert werden. Für die Zielsystemverbindung und die One Identity Manager DatenbankverbindungClosed wird ein Scope definiert, der genau diese Objekte filtert. Die Active Directory Domäne "uvw" soll zunächst nicht synchronisiert werden.

Abbildung 8: Beispiel für eine Scopedefinition

Um einen Scope festzulegen, werden SystemfilterClosed und ObjektfilterClosed definiert.

Hierarchiefilter

Einige Zielsysteme bieten eine zusätzliche Möglichkeit, um den Scope festzulegen: den HierarchiefilterClosed. Dieser Filter schränkt die Menge der zu ladenden Objekte direkt im Zielsystem ein. Er ist damit gleichermaßen effektiv wie der Systemfilter. Der Hierarchiefilter wird auf Basis der realen Objekte des Zielsystems aufgebaut. Die Objekte werden in ihrer hierarchischen Struktur angezeigt. In dieser Hierarchie werden alle Objekte markiert, die durch den Scope erfasst werden sollen. Alle nicht-markierten Objekte bleiben außerhalb des Scope und werden bei der SynchronisationClosed nicht berücksichtigt. Der Hierarchiefilter kann nur auf Objekte, nicht jedoch auf deren Schemaeigenschaften angewendet werden. Um Schemaeigenschaften als Kriterium in die Scopedefinition einzubeziehen, erstellen Sie zusätzlich einen Objektfilter.

Ein vollständig definierter Hierarchiefilter kann in eine Variable umgewandelt werden. Damit kann der Filter in einem spezialisierten VariablensetClosed neu definiert und somit für verschiedene Synchronisationskonfigurationen genutzt werden.

Referenzscope

In der One Identity Manager Datenbank können Referenzen zu Objekten verschiedener Zielsysteme abgebildet werden. Damit diese Referenzen aufgelöst werden können, muss bei der Synchronisation eines Zielsystems der Scope auf die referenzierten Zielsysteme ausgedehnt werden. Dazu kann für jede Systemverbindung zusätzlich ein ReferenzscopeClosed definiert werden. Analog kann der Referenzscope auch für die Datenbankverbindung angegeben werden. Dabei können Referenzen zu Teilausschnitten der One Identity Manager Datenbank aufgelöst werden, die nicht durch den Scope erfasst sind.

Beispiel:

Die Active Directory Domänen "xyz" und "uvw" befinden sich in einer Vertrauensstellung. Benutzerkonten aus beiden Domänen sind Mitglieder in Active Directory Gruppen der Active Directory Domäne "xyz". Damit bei der Synchronisation der Gruppenmitgliedschaften die referenzierten Benutzerkonten der Domäne "uvw" zugeordnet werden können, wird ein Referenzscope definiert. Im Referenzscope ist festgelegt, dass referenzierte Objekte auch in der Active Directory Domäne "uvw" gesucht werden sollen.

Wenn kein Referenzscope definiert ist, werden bei der Synchronisation der Gruppenmitgliedschaften der Active Directory Domäne "xyz" für die Benutzerkonten der Active Directory Domäne "uvw" die Active Directory SIDs ermittelt und im SynchronisationspufferClosed des One Identity Manager eingetragen.

Verwandte Themen

Wie funktioniert die Revisionsfilterung

Wie funktioniert die Revisionsfilterung

Beim Start der SynchronisationClosed werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.

Voraussetzungen

  • Das Zielsystem unterstützt die Revisionsfilterung.

    Diese Information liefert der SystemkonnektorClosed.

  • Die Schematypen besitzen eine SchemaeigenschaftClosed, die als Revisionszähler gekennzeichnet ist.

    Diese Schemaeigenschaft hält die Information über die letzte Änderung der Objekte vor.

    Beispiel für Active Directory Gruppen:

    • im ZielsystemschemaClosed: USN-Changed
    • im One Identity Manager SchemaClosed: RevisionClosed Date
  • Die Revisionsfilterung ist für den SynchronisationsworkflowClosed zugelassen.

Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden. Die Einstellung am Workflow ist für alle Synchronisationen mit diesem Workflow gültig. Um Synchronisationen mit dem selben Workflow zu unterschiedlichen Zeiten, mit und ohne Revisionsfilterung auszuführen, erstellen Sie unterschiedliche Startkonfigurationen und legen Sie die Revisionsfilterung an den Startkonfigurationen fest.

Um die Revisionsfilterung an einem Workflow zuzulassen

  • Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag RevisionsfilterClosed nutzen.

Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.

Um die Revisionsfilterung an einer StartkonfigurationClosed zuzulassen

  • Bearbeiten Sie die Eigenschaften der Startkonfiguration. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.

Weitere Informationen finden Sie unter Vorgehen: Startkonfigurationen bearbeiten.

Üblicherweise hält jedes Objekt eine Information über seine letzte Änderung vor. Bei der Synchronisation wird der höchste Wert der Änderungsinformationen aller synchronisierten Objekte eines Schematyps als Revision in der One Identity Manager Datenbank gespeichert (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Bei der nächsten Synchronisation mit diesem Workflow werden die Änderungsinformationen der Objekte mit der in der One Identity Manager Datenbank gespeicherten Revision verglichen. Dabei werden die Objektpaare ermittelt, bei denen mindestens ein Objekt eine neuere Änderungsinformation besitzt als bei der letzten Synchronisation. Dadurch werden nur die Objekte aktualisiert, die sich seit der letzten Synchronisation verändert haben.

Bezugsgröße für die Revisionsfilterung ist immer die letzte Synchronisation eines Schematyps mit dem selben Workflow. Die Tabelle DPRRevisionStore erhält pro Workflow und SchematypClosed einen Eintrag.

Verwandte Themen
Related Documents