Chat now with support
Chat with Support

Identity Manager 8.0 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Zusätzliche Informationen für Experten Fehlerbehebung Anhang: Beispiel für eine Konfigurationsdatei

Wie funktioniert die Abhängigkeitsauflösung

Wie funktioniert die Abhängigkeitsauflösung

Zwischen den Schemaklassen können Abhängigkeiten bestehen, die es erfordern, dass Synchronisationsschritte mehrfach ausgeführt werden. Beispielsweise können Objektreferenzen erst gesetzt werden, wenn das referenzierte Objekt angelegt wurde. Ebenso können Abhängigkeiten zwischen den Schemaeigenschaften innerhalb einer SchemaklasseClosed bestehen.

Abbildung 9: Beispiel für einen WorkflowClosed mit abhängigen Schemaklassen und Schemaeigenschaften

Der One Identity Manager kann solche Abhängigkeiten automatisch auflösen. Dabei werden die Synchronisationsschritte so zusammengestellt, dass zuerst die referenzierten Objekte und danach alle abhängigen Objekte synchronisiert werden. Wenn Abhängigkeiten innerhalb einer Schemaklasse bestehen, werden zusätzliche Synchronisationsschritte eingefügt, um die abhängigen Schemaeigenschaften zu synchronisieren. Die endgültige Reihenfolge der Synchronisationsschritte kann im Bericht "Ausführungsplan" eingesehen werden.

Hinweis: Wenn Abhängigkeiten zwischen Schemaklassen bestehen, müssen diese Schemaklassen durch ein und denselben Workflow synchronisiert werden, damit die Abhängigkeiten automatisch aufgelöst werden können!

Abbildung 10: Beispiel für einen Workflow mit automatischer Abhängigkeitsauflösung

Um die automatische Abhängigkeitsauflösung einzurichten

Nutzen Sie standardmäßig die automatische Abhängigkeitsauflösung. Nur wenn damit einzelne Abhängigkeiten nicht aufgelöst werden können, wählen Sie die manuelle Abhängigkeitsauflösung. Das könnte beispielsweise notwendig sein, wenn sich zwei Objekte gegenseitig als Pflichteigenschaft referenzieren.

Hinweis: Wenn die Abhängigkeitsauflösung auf "Manuell" eingestellt ist, überprüft der One Identity Manager bei der SynchronisationClosed nicht, ob Abhängigkeiten zwischen Schemaklassen und Schemaeigenschaften bestehen. Die Synchronisationsschritte werden in der Reihenfolge abgearbeitet, die in der Workflowansicht dargestellt ist.

Wenn Abhängigkeiten bestehen, die nicht aufgelöst werden können, endet die Synchronisation mit Fehlern!

Um Abhängigkeiten manuell aufzulösen

  1. Ermitteln Sie die Schemaeigenschaften, zwischen denen Abhängigkeiten bestehen.
  2. Erstellen Sie einen Workflow mit Synchronisationsschritten, die folgende Kriterien berücksichtigen:
    1. Synchronisationsschritte, die nicht abhängige und referenzierte Objekte synchronisieren.

      Dabei müssen Property-MappingClosed-Regeln für abhängige Schemaeigenschaften ausgeschlossen werden.

    2. Synchronisationsschritte, die abhängige Objekte referenzieren.

      Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften eingeschlossen werden.

  3. Legen Sie die Reihenfolge der Synchronisationsschritte so fest, dass zuerst alle Synchronisationsschritte für a) und danach alle Synchronisationsschritte für b) ausgeführt werden.
  4. Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:
    Abhängigkeitsauflösung: Manuell

    Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.

Verwandte Themen

Nicht-auflösbare Referenzen

Nicht-auflösbare Referenzen

Wenn ein referenziertes Objekt nicht in der One Identity Manager-Datenbank existiert, kann die Objektreferenz bei der SynchronisationClosed nicht aufgelöst werden. Nicht-auflösbare Objektreferenzen werden in einen SynchronisationspufferClosed geschrieben (Tabelle DPRAttachedDataStore). Damit ist sicher gestellt, dass diese Referenzen erhalten bleiben und bei der ProvisionierungClosed im Zielsystem nicht gelöscht werden.

Beispiel:

Eine Active Directory Gruppe hat einen Kontomanager, der einer Domäne angehört, die im aktuellen Synchronisationslauf nicht synchronisiert wird. Der Kontomanager ist auch in der One Identity Manager-Datenbank nicht vorhanden.

Bei der Synchronisation wird kein Kontomanager zugeordnet. Damit die Zuordnung erhalten bleibt, wird die Objektreferenz mit dem definierten Namen des Kontomanagers im Synchronisationspuffer gespeichert.

Bei jeder Synchronisation versucht der One Identity Manager den Synchronisationspuffer zu bereinigen. Wenn die referenzierten Objekte in der One Identity Manager-Datenbank vorhanden sind, können die Referenzen aufgelöst und die Einträge aus dem Synchronisationspuffer gelöscht werden. Wann der Synchronisationspuffer bereinigt wird, ist abhängig von der Art der Synchronisation (mit oder ohne RevisionsfilterClosed) und vom Wartungsmodus.

Tabelle 23: Wartung für nicht aufgelöste Objektreferenzen
Wartungsmodus Synchronisation ohne Revisionsfilter Synchronisation mit Revisionsfilter
Unabhängig vom Wartungsmodus gilt: Objektreferenzen werden für alle Synchronisationsobjekte bereinigt, die bereits in der One Identity Manager-Datenbank vorhanden sind. Objektreferenzen werden nur für geänderte Objekte bereinigt.
Keine Wartung Es gibt keinen zusätzlichen Auftrag zur Bereinigung des Synchronisationspuffers.
Betroffene Objekte immer synchronisieren Ohne Wirkung. Für Objekte, die nicht aufgelöste Referenzen haben, wird der Revisionsfilter aufgehoben. Damit werden die Objektreferenzen auch für die Objekte bereinigt, die seit der letzten Synchronisation nicht geändert wurden.
Vollständige Wartung nach jeder Synchronisation Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Zusätzlich werden die Objektreferenzen auch für die Objekte bereinigt, die nicht geändert wurden.

Für die Auflösung der Objektreferenzen kann die Anzahl der Wiederholversuche angegeben werden. Mehrere Wiederholungen können beispielsweise erforderlich sein für Objekte, die eine mehrstufige Hierarchie abbilden. Mit jedem Wiederholversuch kann jeweils eine Hierarchieebene für ein Objekt aufgelöst werden.

Um den Wartungsmodus einzustellen

Hinweis: Der One Identity Manager stellt einen zeitgesteuerten Prozessauftrag bereit, der den Inhalt der Tabelle DPRAttachedDataStore regelmäßig bereinigt. Dabei werden Einträge für Objekte, die in der One Identity Manager-Datenbank nicht mehr vorhanden sind, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt.
Verwandte Themen

Synchronisationsrichtung und Mappingrichtung

Synchronisationsrichtung und Mappingrichtung

Für die SynchronisationClosed eines Zielsystems mit dem One Identity Manager muss festgelegt werden, welches der verbundenen Systeme als Datenmaster gilt. Das Mastersystem wird in der Synchronisationskonfiguration durch die SynchronisationsrichtungClosed festgelegt. Die Richtung, in der die Schemaeigenschaften gemappt werden sollen, kann davon abweichen. Daher muss im MappingClosed der Schemaeigenschaften die zulässige MappingrichtungClosed angegeben werden.

Tabelle 24: Synchronisationsrichtung
Definiert an Synchronisationsrichtung legt fest
StartkonfigurationClosed in welche Richtung eine konkrete Synchronisation durchgeführt wird
WorkflowClosed in welche Richtung Synchronisationen durchgeführt werden
SynchronisationsschrittClosed

bei welcher Synchronisationsrichtung der Schritt ausgeführt wird

Tabelle 25: Zulässige Mappingrichtung
Definiert an Mappingrichtung legt fest
Mapping bei welcher Synchronisationsrichtung die Property-Mapping-Regeln angewendet werden
Property-Mapping-RegelClosed bei welcher Synchronisationsrichtung diese Property-Mapping-Regel angewendet wird

Der One Identity Manager synchronisiert zwei verbundene Systeme in die Richtung, die in der Startkonfiguration oder am Workflow angegeben ist. Dabei wird ein Synchronisationsschritt nur dann ausgeführt, wenn die am Schritt festgelegte Synchronisationsrichtung mit der Richtung, in der die aktuelle Synchronisation durchgeführt wird, übereinstimmt. Wenn die am Mapping zugelassene Mappingrichtung der aktuellen Synchronisationsrichtung entspricht, werden die Systemobjekte dieser SchemaklasseClosed synchronisiert. Dabei prüft der One Identity Manager, welche Property-Mapping-Regeln bei der aktuellen Synchronisationsrichtung angewendet werden dürfen. Wenn die Mappingrichtung einer Property-Mapping-Regel von der aktuellen Synchronisationsrichtung abweicht, wird diese Property-Mapping-Regel ignoriert.

Abbildung 11: Beispiel für die Wirkung der festgelegten Synchronisationsrichtung und zulässigen Mappingrichtung

Verwandte Themen

Mapping gegen die Synchronisationsrichtung

Mapping gegen die Synchronisationsrichtung

Für einzelne Schemaeigenschaften kann es erforderlich sein, den Wert einer SchemaeigenschaftClosed bei jedem Synchronisationslauf aus dem verbundenen System in das Mastersystem der SynchronisationClosed zu übernehmen. In diesem Fall muss die Schemaeigenschaft auch beim Synchronisationslauf gegen die Synchronisationsrichtung gemappt werden. Dieses Verhalten kann an den Property-MappingClosed-Regeln konfiguriert werden.

Um das Mapping einer Schemaeigenschaft gegen die Synchronisationsrichtung zu erzwingen

Property-Mapping-Regeln, bei denen diese Option aktiviert ist, werden nach Abschluss eines Synchronisationsschritts erneut ausgeführt. Dabei werden Änderungen entgegen der Synchronisationsrichtung aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.

Ablauf der Synchronisation

  1. Während ein SynchronisationsschrittClosed ausgeführt wird, werden alle Property-Mapping-Regeln, deren MappingrichtungClosed der Synchronisationsrichtung entgegengesetzt ist, ignoriert. Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entspricht, werden ausgeführt.
  2. Beim Abschluss des Synchronisationsschritts werden alle Änderungen im verbundenen System gespeichert.
  3. Alle Property-Mapping-Regeln, an denen Mapping gegen die Synchronisationsrichtung erzwingen aktiviert ist, werden erneut ausgeführt. Für die beteiligten Schemaeigenschaften werden Änderungen aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.

    Hinweis: Die Property-Mapping-Regeln werden nach Abschluss des Synchronisationsschritts auch dann erneut ausgeführt, wenn im Synchronisationsschritt keine Verarbeitungsmethoden angegeben sind.

Hinweis: Die Option Mapping gegen die Synchronisationsrichtung erzwingen wird auch bei der ProvisionierungClosed von Objektänderungen berücksichtigt.
Beispiel

Eine Active Directory-Umgebung soll über den One Identity Manager verwaltet werden. Für die Synchronisation beider System gilt der One Identity Manager als Mastersystem. Die Objekt GUID der Benutzerkonten wird jedoch nicht im One Identity Manager, sondern in der Active Directory-Umgebung gebildet. Für die Objekt GUID eines Benutzerkontos gilt damit eine abweichende Mappingrichtung. Um die Objekt GUID noch während des Synchronisationslaufs aus dem Active Directory in den One Identity Manager zu übertragen, muss das Mapping gegen die Synchronisationsrichtung für diese Schemaeigenschaft erzwungen werden.

Tabelle 26: Konfiguration der Synchronisation
Konfigurationseinstellung Wert

Synchronisationsrichtung:

In das Zielsystem

Property-Mapping-Regel für die Schemaeigenschaften:

ADSAccount.ObjectGUID - User.ObjectGUID

Mappingrichtung:

In den One Identity Manager

Mapping gegen die Synchronisationsrichtung erzwingen:

aktiviert

Ablauf der Synchronisation

Situation: Ein neues Active Directory Benutzerkonto wurde im One Identity Manager angelegt.

  1. Das Benutzerkonto wird durch die Synchronisation im Zielsystem angelegt.
  2. Die Property-Mapping-Regel für die Objekt GUID wird ignoriert, da die Mappingrichtung entgegengesetzt ist.
  3. Sobald alle Property-Mapping-Regeln des Synchronisationsschritts verarbeitet wurden, wird das Benutzerkonto im Zielsystem gespeichert. Das Active Directory ermittelt einen Wert für User.ObjectGUID.
  4. Nach Abschluss des Synchronisationsschritts wird die Property-Mapping-Regel für die Objekt GUID erneut ausgeführt. Die Objekt GUID wird aus dem Active Directory in den One Identity Manager übertragen.
Verwandte Themen
Related Documents