Zwischen den Schemaklassen können Abhängigkeiten bestehen, die es erfordern, dass Synchronisationsschritte mehrfach ausgeführt werden. Beispielsweise können Objektreferenzen erst gesetzt werden, wenn das referenzierte Objekt angelegt wurde. Ebenso können Abhängigkeiten zwischen den Schemaeigenschaften innerhalb einer Schemaklasse Closed bestehen.

Abbildung 9: Beispiel für einen Workflow Closed mit abhängigen Schemaklassen und Schemaeigenschaften

Der One Identity Manager kann solche Abhängigkeiten automatisch auflösen. Dabei werden die Synchronisationsschritte so zusammengestellt, dass zuerst die referenzierten Objekte und danach alle abhängigen Objekte synchronisiert werden. Wenn Abhängigkeiten innerhalb einer Schemaklasse bestehen, werden zusätzliche Synchronisationsschritte eingefügt, um die abhängigen Schemaeigenschaften zu synchronisieren. Die endgültige Reihenfolge der Synchronisationsschritte kann im Bericht "Ausführungsplan" eingesehen werden.

Hinweis: Wenn Abhängigkeiten zwischen Schemaklassen bestehen, müssen diese Schemaklassen durch ein und denselben Workflow synchronisiert werden, damit die Abhängigkeiten automatisch aufgelöst werden können!

Abbildung 10: Beispiel für einen Workflow mit automatischer Abhängigkeitsauflösung

Um die automatische Abhängigkeitsauflösung einzurichten

Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:

Abhängigkeitsauflösung: Automatisch

Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.

Nutzen Sie standardmäßig die automatische Abhängigkeitsauflösung. Nur wenn damit einzelne Abhängigkeiten nicht aufgelöst werden können, wählen Sie die manuelle Abhängigkeitsauflösung. Das könnte beispielsweise notwendig sein, wenn sich zwei Objekte gegenseitig als Pflichteigenschaft referenzieren.

Hinweis: Wenn die Abhängigkeitsauflösung auf "Manuell" eingestellt ist, überprüft der One Identity Manager bei der Synchronisation Closed nicht, ob Abhängigkeiten zwischen Schemaklassen und Schemaeigenschaften bestehen. Die Synchronisationsschritte werden in der Reihenfolge abgearbeitet, die in der Workflowansicht dargestellt ist.

Wenn Abhängigkeiten bestehen, die nicht aufgelöst werden können, endet die Synchronisation mit Fehlern!

Um Abhängigkeiten manuell aufzulösen

Ermitteln Sie die Schemaeigenschaften, zwischen denen Abhängigkeiten bestehen.
Erstellen Sie einen Workflow mit Synchronisationsschritten, die folgende Kriterien berücksichtigen:
1. Synchronisationsschritte, die nicht abhängige und referenzierte Objekte synchronisieren.
  Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften ausgeschlossen werden.
2. Synchronisationsschritte, die abhängige Objekte referenzieren.
  Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften eingeschlossen werden.
Legen Sie die Reihenfolge der Synchronisationsschritte so fest, dass zuerst alle Synchronisationsschritte für a) und danach alle Synchronisationsschritte für b) ausgeführt werden.
Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:

Abhängigkeitsauflösung: Manuell

Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.

Nicht-auflösbare Referenzen

Grundlagen für die Zielsystemsynchronisation > Nicht-auflösbare Referenzen

Nicht-auflösbare Referenzen

Wenn ein referenziertes Objekt nicht in der One Identity Manager-Datenbank existiert, kann die Objektreferenz bei der Synchronisation Closed nicht aufgelöst werden. Nicht-auflösbare Objektreferenzen werden in einen Synchronisationspuffer Closed geschrieben (Tabelle DPRAttachedDataStore). Damit ist sicher gestellt, dass diese Referenzen erhalten bleiben und bei der Provisionierung Closed im Zielsystem nicht gelöscht werden.

Beispiel:

Eine Active Directory Gruppe hat einen Kontomanager, der einer Domäne angehört, die im aktuellen Synchronisationslauf nicht synchronisiert wird. Der Kontomanager ist auch in der One Identity Manager-Datenbank nicht vorhanden.

Bei der Synchronisation wird kein Kontomanager zugeordnet. Damit die Zuordnung erhalten bleibt, wird die Objektreferenz mit dem definierten Namen des Kontomanagers im Synchronisationspuffer gespeichert.

Bei jeder Synchronisation versucht der One Identity Manager den Synchronisationspuffer zu bereinigen. Wenn die referenzierten Objekte in der One Identity Manager-Datenbank vorhanden sind, können die Referenzen aufgelöst und die Einträge aus dem Synchronisationspuffer gelöscht werden. Wann der Synchronisationspuffer bereinigt wird, ist abhängig von der Art der Synchronisation (mit oder ohne Revisionsfilter Closed ) und vom Wartungsmodus.

Tabelle 23: Wartung für nicht aufgelöste Objektreferenzen
Wartungsmodus	Synchronisation ohne Revisionsfilter	Synchronisation mit Revisionsfilter
Unabhängig vom Wartungsmodus gilt:	Objektreferenzen werden für alle Synchronisationsobjekte bereinigt, die bereits in der One Identity Manager-Datenbank vorhanden sind.	Objektreferenzen werden nur für geänderte Objekte bereinigt.
Keine Wartung	Es gibt keinen zusätzlichen Auftrag zur Bereinigung des Synchronisationspuffers.
Betroffene Objekte immer synchronisieren	Ohne Wirkung.	Für Objekte, die nicht aufgelöste Referenzen haben, wird der Revisionsfilter aufgehoben. Damit werden die Objektreferenzen auch für die Objekte bereinigt, die seit der letzten Synchronisation nicht geändert wurden.
Vollständige Wartung nach jeder Synchronisation	Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind.	Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Zusätzlich werden die Objektreferenzen auch für die Objekte bereinigt, die nicht geändert wurden.

Für die Auflösung der Objektreferenzen kann die Anzahl der Wiederholversuche angegeben werden. Mehrere Wiederholungen können beispielsweise erforderlich sein für Objekte, die eine mehrstufige Hierarchie abbilden. Mit jedem Wiederholversuch kann jeweils eine Hierarchieebene für ein Objekt aufgelöst werden.

Um den Wartungsmodus einzustellen

Bearbeiten Sie die Eigenschaften der Startkonfiguration. Wählen Sie den Tabreiter Wartung.
Weitere Informationen finden Sie unter Vorgehen: Startkonfigurationen bearbeiten.

Hinweis: Der One Identity Manager stellt einen zeitgesteuerten Prozessauftrag bereit, der den Inhalt der Tabelle DPRAttachedDataStore regelmäßig bereinigt. Dabei werden Einträge für Objekte, die in der One Identity Manager-Datenbank nicht mehr vorhanden sind, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt.

Synchronisationsrichtung und Mappingrichtung

Grundlagen für die Zielsystemsynchronisation > Synchronisationsrichtung und Mappingrichtung

Synchronisationsrichtung und Mappingrichtung

Für die Synchronisation Closed eines Zielsystems mit dem One Identity Manager muss festgelegt werden, welches der verbundenen Systeme als Datenmaster gilt. Das Mastersystem wird in der Synchronisationskonfiguration durch die Synchronisationsrichtung Closed festgelegt. Die Richtung, in der die Schemaeigenschaften gemappt werden sollen, kann davon abweichen. Daher muss im Mapping Closed der Schemaeigenschaften die zulässige Mappingrichtung Closed angegeben werden.

Tabelle 24: Synchronisationsrichtung
Definiert an	Synchronisationsrichtung legt fest
Startkonfiguration	in welche Richtung eine konkrete Synchronisation durchgeführt wird
Workflow	in welche Richtung Synchronisationen durchgeführt werden
Synchronisationsschritt	bei welcher Synchronisationsrichtung der Schritt ausgeführt wird

Tabelle 25: Zulässige Mappingrichtung
Definiert an	Mappingrichtung legt fest
Mapping	bei welcher Synchronisationsrichtung die Property-Mapping-Regeln angewendet werden
Property-Mapping-Regel	bei welcher Synchronisationsrichtung diese Property-Mapping-Regel angewendet wird

Der One Identity Manager synchronisiert zwei verbundene Systeme in die Richtung, die in der Startkonfiguration oder am Workflow angegeben ist. Dabei wird ein Synchronisationsschritt nur dann ausgeführt, wenn die am Schritt festgelegte Synchronisationsrichtung mit der Richtung, in der die aktuelle Synchronisation durchgeführt wird, übereinstimmt. Wenn die am Mapping zugelassene Mappingrichtung der aktuellen Synchronisationsrichtung entspricht, werden die Systemobjekte dieser Schemaklasse Closed synchronisiert. Dabei prüft der One Identity Manager, welche Property-Mapping-Regeln bei der aktuellen Synchronisationsrichtung angewendet werden dürfen. Wenn die Mappingrichtung einer Property-Mapping-Regel von der aktuellen Synchronisationsrichtung abweicht, wird diese Property-Mapping-Regel ignoriert.

Abbildung 11: Beispiel für die Wirkung der festgelegten Synchronisationsrichtung und zulässigen Mappingrichtung

Mapping gegen die Synchronisationsrichtung

Grundlagen für die Zielsystemsynchronisation > Mapping gegen die Synchronisationsrichtung

Mapping gegen die Synchronisationsrichtung

Für einzelne Schemaeigenschaften kann es erforderlich sein, den Wert einer Schemaeigenschaft Closed bei jedem Synchronisationslauf aus dem verbundenen System in das Mastersystem der Synchronisation Closed zu übernehmen. In diesem Fall muss die Schemaeigenschaft auch beim Synchronisationslauf gegen die Synchronisationsrichtung gemappt werden. Dieses Verhalten kann an den Property-Mapping Closed -Regeln konfiguriert werden.

Um das Mapping einer Schemaeigenschaft gegen die Synchronisationsrichtung zu erzwingen

Bearbeiten Sie die Property-Mapping-Regel.
Aktivieren Sie Mapping gegen die Synchronisationsrichtung erzwingen.

Weitere Informationen finden Sie unter Vorgehen: Property-Mapping-Regeln bearbeiten.

Property-Mapping-Regeln, bei denen diese Option aktiviert ist, werden nach Abschluss eines Synchronisationsschritts erneut ausgeführt. Dabei werden Änderungen entgegen der Synchronisationsrichtung aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.

Ablauf der Synchronisation

Während ein Synchronisationsschritt ausgeführt wird, werden alle Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entgegengesetzt ist, ignoriert. Property-Mapping-Regeln, deren Mappingrichtung der Synchronisationsrichtung entspricht, werden ausgeführt.
Beim Abschluss des Synchronisationsschritts werden alle Änderungen im verbundenen System gespeichert.

Alle Property-Mapping-Regeln, an denen Mapping gegen die Synchronisationsrichtung erzwingen aktiviert ist, werden erneut ausgeführt. Für die beteiligten Schemaeigenschaften werden Änderungen aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.

Hinweis: Die Property-Mapping-Regeln werden nach Abschluss des Synchronisationsschritts auch dann erneut ausgeführt, wenn im Synchronisationsschritt keine Verarbeitungsmethoden angegeben sind.

Hinweis: Die Option Mapping gegen die Synchronisationsrichtung erzwingen wird auch bei der Provisionierung Closed

von Objektänderungen berücksichtigt.

Beispiel

Eine Active Directory-Umgebung soll über den One Identity Manager verwaltet werden. Für die Synchronisation beider System gilt der One Identity Manager als Mastersystem. Die Objekt GUID der Benutzerkonten wird jedoch nicht im One Identity Manager, sondern in der Active Directory-Umgebung gebildet. Für die Objekt GUID eines Benutzerkontos gilt damit eine abweichende Mappingrichtung. Um die Objekt GUID noch während des Synchronisationslaufs aus dem Active Directory in den One Identity Manager zu übertragen, muss das Mapping gegen die Synchronisationsrichtung für diese Schemaeigenschaft erzwungen werden.

Tabelle 26: Konfiguration der Synchronisation
Konfigurationseinstellung	Wert
Synchronisationsrichtung:	In das Zielsystem
Property-Mapping-Regel für die Schemaeigenschaften:	ADSAccount.ObjectGUID - User.ObjectGUID
Mappingrichtung:	In den One Identity Manager
Mapping gegen die Synchronisationsrichtung erzwingen:	aktiviert

Ablauf der Synchronisation

Situation: Ein neues Active Directory Benutzerkonto wurde im One Identity Manager angelegt.

Das Benutzerkonto wird durch die Synchronisation im Zielsystem angelegt.
Die Property-Mapping-Regel für die Objekt GUID wird ignoriert, da die Mappingrichtung entgegengesetzt ist.
Sobald alle Property-Mapping-Regeln des Synchronisationsschritts verarbeitet wurden, wird das Benutzerkonto im Zielsystem gespeichert. Das Active Directory ermittelt einen Wert für User.ObjectGUID.
Nach Abschluss des Synchronisationsschritts wird die Property-Mapping-Regel für die Objekt GUID erneut ausgeführt. Die Objekt GUID wird aus dem Active Directory in den One Identity Manager übertragen.

Identity Manager 8.0 - Referenzhandbuch für die Zielsystemsynchronisation

Wie funktioniert die Abhängigkeitsauflösung

Wie funktioniert die Abhängigkeitsauflösung

Verwandte Themen

Nicht-auflösbare Referenzen

Nicht-auflösbare Referenzen

Verwandte Themen

Synchronisationsrichtung und Mappingrichtung

Synchronisationsrichtung und Mappingrichtung

Verwandte Themen

Mapping gegen die Synchronisationsrichtung

Mapping gegen die Synchronisationsrichtung

Beispiel

Verwandte Themen

Please select your product:

To serve you better, please complete the Purpose of your Chat:

Recommended Solutions for Your Problem

Identity Manager 8.0 - Referenzhandbuch für die Zielsystemsynchronisation

Wie funktioniert die Abhängigkeitsauflösung

Wie funktioniert die Abhängigkeitsauflösung

Verwandte Themen

Nicht-auflösbare Referenzen

Nicht-auflösbare Referenzen

Verwandte Themen

Synchronisationsrichtung und Mappingrichtung

Synchronisationsrichtung und Mappingrichtung

Verwandte Themen

Mapping gegen die Synchronisationsrichtung

Mapping gegen die Synchronisationsrichtung

Beispiel

Verwandte Themen