Zwischen den Schemaklassen können Abhängigkeiten bestehen, die es erfordern, dass Synchronisationsschritte mehrfach ausgeführt werden. Beispielsweise können Objektreferenzen erst gesetzt werden, wenn das referenzierte Objekt angelegt wurde. Ebenso können Abhängigkeiten zwischen den Schemaeigenschaften innerhalb einer SchemaklasseTeilmenge eines Schematyps. Die Ergebnisliste eines Schematyps wird nach definierten Kriterien gefiltert. Beispiel: Active Directory Kontakte sind Active Directory Benutzerkonten mit der Eigenschaft Objektklasse = 'CONTACT'. bestehen.
Abbildung 9: Beispiel für einen WorkflowZusammenstellung aller auszuführenden Synchronisationsschritte. mit abhängigen Schemaklassen und Schemaeigenschaften
Der One Identity Manager kann solche Abhängigkeiten automatisch auflösen. Dabei werden die Synchronisationsschritte so zusammengestellt, dass zuerst die referenzierten Objekte und danach alle abhängigen Objekte synchronisiert werden. Wenn Abhängigkeiten innerhalb einer Schemaklasse bestehen, werden zusätzliche Synchronisationsschritte eingefügt, um die abhängigen Schemaeigenschaften zu synchronisieren. Die endgültige Reihenfolge der Synchronisationsschritte kann im Bericht "Ausführungsplan" eingesehen werden.
|
Hinweis: Wenn Abhängigkeiten zwischen Schemaklassen bestehen, müssen diese Schemaklassen durch ein und denselben Workflow synchronisiert werden, damit die Abhängigkeiten automatisch aufgelöst werden können! |
Abbildung 10: Beispiel für einen Workflow mit automatischer Abhängigkeitsauflösung
Um die automatische Abhängigkeitsauflösung einzurichten
Abhängigkeitsauflösung: | Automatisch |
Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.
Nutzen Sie standardmäßig die automatische Abhängigkeitsauflösung. Nur wenn damit einzelne Abhängigkeiten nicht aufgelöst werden können, wählen Sie die manuelle Abhängigkeitsauflösung. Das könnte beispielsweise notwendig sein, wenn sich zwei Objekte gegenseitig als Pflichteigenschaft referenzieren.
|
Hinweis: Wenn die Abhängigkeitsauflösung auf "Manuell" eingestellt ist, überprüft der One Identity Manager bei der Synchronisation Wenn Abhängigkeiten bestehen, die nicht aufgelöst werden können, endet die Synchronisation mit Fehlern! |
Um Abhängigkeiten manuell aufzulösen
Dabei müssen Property-MappingListe von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden.-Regeln für abhängige Schemaeigenschaften ausgeschlossen werden.
Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften eingeschlossen werden.
Abhängigkeitsauflösung: | Manuell |
Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.
Wenn ein referenziertes Objekt nicht in der One Identity Manager-Datenbank existiert, kann die Objektreferenz bei der SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem
Eine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. nicht aufgelöst werden. Nicht-auflösbare Objektreferenzen werden in einen Synchronisationspuffer
Tabelle des One Identity Manager, in der Informationen über referenzierte Objekte gespeichert sind, die bei einer Synchronisation nicht zugeordnet werden konnten. geschrieben (Tabelle DPRAttachedDataStore). Damit ist sicher gestellt, dass diese Referenzen erhalten bleiben und bei der Provisionierung
Aktuelle Änderungen eines Objekts in der One Identity Manager Datenbank (Einfügen, Ändern, Löschen) werden sofort in das Zielsystem geschrieben. im Zielsystem nicht gelöscht werden.
Beispiel:
Eine Active Directory Gruppe hat einen Kontomanager, der einer Domäne angehört, die im aktuellen Synchronisationslauf nicht synchronisiert wird. Der Kontomanager ist auch in der One Identity Manager-Datenbank nicht vorhanden.
Bei der Synchronisation wird kein Kontomanager zugeordnet. Damit die Zuordnung erhalten bleibt, wird die Objektreferenz mit dem definierten Namen des Kontomanagers im Synchronisationspuffer gespeichert.
Bei jeder Synchronisation versucht der One Identity Manager den Synchronisationspuffer zu bereinigen. Wenn die referenzierten Objekte in der One Identity Manager-Datenbank vorhanden sind, können die Referenzen aufgelöst und die Einträge aus dem Synchronisationspuffer gelöscht werden. Wann der Synchronisationspuffer bereinigt wird, ist abhängig von der Art der Synchronisation (mit oder ohne RevisionsfilterFiltert alle Systemobjekte, deren Daten seit der letzten Synchronisation nicht geändert wurden. Maßgebend dafür ist die Änderung der Revisionseigenschaft. Mit der Revisionsfilterung kann die Synchronisation beschleunigt werden.) und vom Wartungsmodus.
Wartungsmodus | Synchronisation ohne Revisionsfilter | Synchronisation mit Revisionsfilter |
---|---|---|
Unabhängig vom Wartungsmodus gilt: | Objektreferenzen werden für alle Synchronisationsobjekte bereinigt, die bereits in der One Identity Manager-Datenbank vorhanden sind. | Objektreferenzen werden nur für geänderte Objekte bereinigt. |
Keine Wartung | Es gibt keinen zusätzlichen Auftrag zur Bereinigung des Synchronisationspuffers. | |
Betroffene Objekte immer synchronisieren | Ohne Wirkung. | Für Objekte, die nicht aufgelöste Referenzen haben, wird der Revisionsfilter aufgehoben. Damit werden die Objektreferenzen auch für die Objekte bereinigt, die seit der letzten Synchronisation nicht geändert wurden. |
Vollständige Wartung nach jeder Synchronisation | Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. | Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Zusätzlich werden die Objektreferenzen auch für die Objekte bereinigt, die nicht geändert wurden. |
Für die Auflösung der Objektreferenzen kann die Anzahl der Wiederholversuche angegeben werden. Mehrere Wiederholungen können beispielsweise erforderlich sein für Objekte, die eine mehrstufige Hierarchie abbilden. Mit jedem Wiederholversuch kann jeweils eine Hierarchieebene für ein Objekt aufgelöst werden.
Um den Wartungsmodus einzustellen
Weitere Informationen finden Sie unter Vorgehen: Startkonfigurationen bearbeiten.
|
Hinweis: Der One Identity Manager stellt einen zeitgesteuerten Prozessauftrag bereit, der den Inhalt der Tabelle DPRAttachedDataStore regelmäßig bereinigt. Dabei werden Einträge für Objekte, die in der One Identity Manager-Datenbank nicht mehr vorhanden sind, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt. |
Für die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem
Eine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. eines Zielsystems mit dem One Identity Manager muss festgelegt werden, welches der verbundenen Systeme als Datenmaster gilt. Das Mastersystem wird in der Synchronisationskonfiguration durch die Synchronisationsrichtung
Richtung, in der die Synchronisation ausgeführt wird. Durch die Synchronisationsrichtung wird das Mastersystem der Synchronisation festgelegt. festgelegt. Die Richtung, in der die Schemaeigenschaften gemappt werden sollen, kann davon abweichen. Daher muss im Mapping
Liste von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden. der Schemaeigenschaften die zulässige Mappingrichtung
Die für das Mapping der Schemaeigenschaften zulässige Synchronisationsrichtung. angegeben werden.
Definiert an | Synchronisationsrichtung legt fest |
---|---|
Startkonfiguration |
in welche Richtung eine konkrete Synchronisation durchgeführt wird |
Workflow |
in welche Richtung Synchronisationen durchgeführt werden |
Synchronisationsschritt |
bei welcher Synchronisationsrichtung der Schritt ausgeführt wird |
Definiert an | Mappingrichtung legt fest |
---|---|
Mapping | bei welcher Synchronisationsrichtung die Property-Mapping-Regeln angewendet werden |
Property-Mapping-Regel |
bei welcher Synchronisationsrichtung diese Property-Mapping-Regel angewendet wird |
Der One Identity Manager synchronisiert zwei verbundene Systeme in die Richtung, die in der Startkonfiguration oder am Workflow angegeben ist. Dabei wird ein Synchronisationsschritt nur dann ausgeführt, wenn die am Schritt festgelegte Synchronisationsrichtung mit der Richtung, in der die aktuelle Synchronisation durchgeführt wird, übereinstimmt. Wenn die am Mapping zugelassene Mappingrichtung der aktuellen Synchronisationsrichtung entspricht, werden die Systemobjekte dieser SchemaklasseTeilmenge eines Schematyps. Die Ergebnisliste eines Schematyps wird nach definierten Kriterien gefiltert. Beispiel: Active Directory Kontakte sind Active Directory Benutzerkonten mit der Eigenschaft Objektklasse = 'CONTACT'. synchronisiert. Dabei prüft der One Identity Manager, welche Property-Mapping-Regeln bei der aktuellen Synchronisationsrichtung angewendet werden dürfen. Wenn die Mappingrichtung einer Property-Mapping-Regel von der aktuellen Synchronisationsrichtung abweicht, wird diese Property-Mapping-Regel ignoriert.
Abbildung 11: Beispiel für die Wirkung der festgelegten Synchronisationsrichtung und zulässigen Mappingrichtung
Für einzelne Schemaeigenschaften kann es erforderlich sein, den Wert einer SchemaeigenschaftEigenschaft eines Schematyps. Bezieht sich auf genau eine Spalte einer Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau eine Eigenschaft eines Objekttyps des nicht-datenbankbasierten Schemas. bei jedem Synchronisationslauf aus dem verbundenen System in das Mastersystem der Synchronisation
System, das als Datenmaster für eine Synchronisation
Vorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem
Eine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. gilt. Das Mastersystem wird durch die Synchronisationsrichtung
Richtung, in der die Synchronisation ausgeführt wird. Durch die Synchronisationsrichtung wird das Mastersystem der Synchronisation festgelegt. festgelegt. zu übernehmen. In diesem Fall muss die Schemaeigenschaft auch beim Synchronisationslauf gegen die Synchronisationsrichtung gemappt werden. Dieses Verhalten kann an den Property-Mapping
Liste von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden.-Regeln konfiguriert werden.
Um das Mapping einer Schemaeigenschaft gegen die Synchronisationsrichtung zu erzwingen
Aktivieren Sie Mapping gegen die Synchronisationsrichtung erzwingen.
Weitere Informationen finden Sie unter Vorgehen: Property-Mapping-Regeln bearbeiten.
Property-Mapping-Regeln, bei denen diese Option aktiviert ist, werden nach Abschluss eines Synchronisationsschritts erneut ausgeführt. Dabei werden Änderungen entgegen der Synchronisationsrichtung aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.
Ablauf der Synchronisation
|
Hinweis: Die Property-Mapping-Regeln werden nach Abschluss des Synchronisationsschritts auch dann erneut ausgeführt, wenn im Synchronisationsschritt keine Verarbeitungsmethoden angegeben sind. |
|
Hinweis: Die Option Mapping gegen die Synchronisationsrichtung erzwingen wird auch bei der Provisionierung |
Eine Active Directory-Umgebung soll über den One Identity Manager verwaltet werden. Für die Synchronisation beider System gilt der One Identity Manager als Mastersystem. Die Objekt GUID der Benutzerkonten wird jedoch nicht im One Identity Manager, sondern in der Active Directory-Umgebung gebildet. Für die Objekt GUID eines Benutzerkontos gilt damit eine abweichende Mappingrichtung. Um die Objekt GUID noch während des Synchronisationslaufs aus dem Active Directory in den One Identity Manager zu übertragen, muss das Mapping gegen die Synchronisationsrichtung für diese Schemaeigenschaft erzwungen werden.
Konfigurationseinstellung | Wert |
---|---|
Synchronisationsrichtung: |
In das Zielsystem |
Property-Mapping-Regel für die Schemaeigenschaften: |
ADSAccount.ObjectGUID - User.ObjectGUID |
Mappingrichtung: |
In den One Identity Manager |
Mapping gegen die Synchronisationsrichtung erzwingen: |
aktiviert |
Ablauf der Synchronisation
Situation: Ein neues Active Directory Benutzerkonto wurde im One Identity Manager angelegt.
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy