Wie funktioniert die Abhängigkeitsauflösung
Wie funktioniert die Abhängigkeitsauflösung
Zwischen den Schemaklassen können Abhängigkeiten bestehen, die es erfordern, dass Synchronisationsschritte mehrfach ausgeführt werden. Beispielsweise können Objektreferenzen erst gesetzt werden, wenn das referenzierte Objekt angelegt wurde. Ebenso können Abhängigkeiten zwischen den Schemaeigenschaften innerhalb einer Schemaklasse
Abbildung 9: Beispiel für einen Workflow
Der One Identity Manager kann solche Abhängigkeiten automatisch auflösen. Dabei werden die Synchronisationsschritte so zusammengestellt, dass zuerst die referenzierten Objekte und danach alle abhängigen Objekte synchronisiert werden. Wenn Abhängigkeiten innerhalb einer Schemaklasse bestehen, werden zusätzliche Synchronisationsschritte eingefügt, um die abhängigen Schemaeigenschaften zu synchronisieren. Die endgültige Reihenfolge der Synchronisationsschritte kann im Bericht "Ausführungsplan" eingesehen werden.
|
|
Hinweis: Wenn Abhängigkeiten zwischen Schemaklassen bestehen, müssen diese Schemaklassen durch ein und denselben Workflow synchronisiert werden, damit die Abhängigkeiten automatisch aufgelöst werden können! |
Abbildung 10: Beispiel für einen Workflow mit automatischer Abhängigkeitsauflösung
Um die automatische Abhängigkeitsauflösung einzurichten
- Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:
Abhängigkeitsauflösung: Automatisch Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.
Nutzen Sie standardmäßig die automatische Abhängigkeitsauflösung. Nur wenn damit einzelne Abhängigkeiten nicht aufgelöst werden können, wählen Sie die manuelle Abhängigkeitsauflösung. Das könnte beispielsweise notwendig sein, wenn sich zwei Objekte gegenseitig als Pflichteigenschaft referenzieren.
|
|
Hinweis: Wenn die Abhängigkeitsauflösung auf "Manuell" eingestellt ist, überprüft der One Identity Manager bei der Synchronisation Wenn Abhängigkeiten bestehen, die nicht aufgelöst werden können, endet die Synchronisation mit Fehlern! |
Um Abhängigkeiten manuell aufzulösen
- Ermitteln Sie die Schemaeigenschaften, zwischen denen Abhängigkeiten bestehen.
- Erstellen Sie einen Workflow mit Synchronisationsschritten, die folgende Kriterien berücksichtigen:
- Synchronisationsschritte, die nicht abhängige und referenzierte Objekte synchronisieren.
Dabei müssen Property-Mapping
- Synchronisationsschritte, die abhängige Objekte referenzieren.
Dabei müssen Property-Mapping-Regeln für abhängige Schemaeigenschaften eingeschlossen werden.
- Synchronisationsschritte, die nicht abhängige und referenzierte Objekte synchronisieren.
- Legen Sie die Reihenfolge der Synchronisationsschritte so fest, dass zuerst alle Synchronisationsschritte für a) und danach alle Synchronisationsschritte für b) ausgeführt werden.
- Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie:
Abhängigkeitsauflösung: Manuell Weitere Informationen finden Sie unter Vorgehen: Workflow bearbeiten.
Verwandte Themen
- Ausführungsplan anzeigen
- Eigenschaften eines Workflows
- Regelfilter
- Synchronisationsschritte bearbeiten
Nicht-auflösbare Referenzen
Nicht-auflösbare Referenzen
Wenn ein referenziertes Objekt nicht in der One Identity Manager-Datenbank existiert, kann die Objektreferenz bei der Synchronisation
Beispiel:
Eine Active Directory Gruppe hat einen Kontomanager, der einer Domäne angehört, die im aktuellen Synchronisationslauf nicht synchronisiert wird. Der Kontomanager ist auch in der One Identity Manager-Datenbank nicht vorhanden.
Bei der Synchronisation wird kein Kontomanager zugeordnet. Damit die Zuordnung erhalten bleibt, wird die Objektreferenz mit dem definierten Namen des Kontomanagers im Synchronisationspuffer gespeichert.
Bei jeder Synchronisation versucht der One Identity Manager den Synchronisationspuffer zu bereinigen. Wenn die referenzierten Objekte in der One Identity Manager-Datenbank vorhanden sind, können die Referenzen aufgelöst und die Einträge aus dem Synchronisationspuffer gelöscht werden. Wann der Synchronisationspuffer bereinigt wird, ist abhängig von der Art der Synchronisation (mit oder ohne Revisionsfilter
| Wartungsmodus | Synchronisation ohne Revisionsfilter | Synchronisation mit Revisionsfilter |
|---|---|---|
| Unabhängig vom Wartungsmodus gilt: | Objektreferenzen werden für alle Synchronisationsobjekte bereinigt, die bereits in der One Identity Manager-Datenbank vorhanden sind. | Objektreferenzen werden nur für geänderte Objekte bereinigt. |
| Keine Wartung | Es gibt keinen zusätzlichen Auftrag zur Bereinigung des Synchronisationspuffers. | |
| Betroffene Objekte immer synchronisieren | Ohne Wirkung. | Für Objekte, die nicht aufgelöste Referenzen haben, wird der Revisionsfilter aufgehoben. Damit werden die Objektreferenzen auch für die Objekte bereinigt, die seit der letzten Synchronisation nicht geändert wurden. |
| Vollständige Wartung nach jeder Synchronisation | Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. | Im Anschluss an die Synchronisation versucht der One Identity Manager die Objektreferenzen aufzulösen. Dabei werden alle nicht aufgelösten Referenzen verarbeitet, die während dieses Synchronisationslaufs entstanden sind. Zusätzlich werden die Objektreferenzen auch für die Objekte bereinigt, die nicht geändert wurden. |
Für die Auflösung der Objektreferenzen kann die Anzahl der Wiederholversuche angegeben werden. Mehrere Wiederholungen können beispielsweise erforderlich sein für Objekte, die eine mehrstufige Hierarchie abbilden. Mit jedem Wiederholversuch kann jeweils eine Hierarchieebene für ein Objekt aufgelöst werden.
Um den Wartungsmodus einzustellen
- Bearbeiten Sie die Eigenschaften der Startkonfiguration
Weitere Informationen finden Sie unter Vorgehen: Startkonfigurationen bearbeiten.
|
|
Hinweis: Der One Identity Manager stellt einen zeitgesteuerten Prozessauftrag bereit, der den Inhalt der Tabelle DPRAttachedDataStore regelmäßig bereinigt. Dabei werden Einträge für Objekte, die in der One Identity Manager-Datenbank nicht mehr vorhanden sind, gelöscht. Der Prozessauftrag wird innerhalb der täglichen Wartungsaufträge ausgeführt. |
Verwandte Themen
Synchronisationsrichtung und Mappingrichtung
Synchronisationsrichtung und Mappingrichtung
Für die Synchronisation
| Definiert an | Synchronisationsrichtung legt fest |
|---|---|
| StartkonfigurationLegt fest, welche Komponenten der Synchronisationskonfiguration für eine konkrete Synchronisation genutzt werden. Bestimmt den Zeitplan der Synchronisation. |
in welche Richtung eine konkrete Synchronisation durchgeführt wird |
| WorkflowZusammenstellung aller auszuführenden Synchronisationsschritte. |
in welche Richtung Synchronisationen durchgeführt werden |
| SynchronisationsschrittKonkrete Vorschrift für die Verarbeitung genau zweier zugeordneter Schemaklassen. |
bei welcher Synchronisationsrichtung der Schritt ausgeführt wird |
| Definiert an | Mappingrichtung legt fest |
|---|---|
| Mapping | bei welcher Synchronisationsrichtung die Property-Mapping-Regeln angewendet werden |
| Property-Mapping-RegelBeschreibt, wie eine SchemaeigenschaftEigenschaft eines Schematyps. Bezieht sich auf genau eine Spalte einer Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau eine Eigenschaft eines Objekttyps des nicht-datenbankbasierten Schemas. des Zielsystems im One Identity Manager SchemaDatenmodell eines verbundenen Systems. Das Schema beschreibt alle aus dem verbundenen System stammenden Daten. siehe Zielsystemschema; siehe One Identity Manager Schema; siehe Konnektorschema; siehe Erweitertes Schema abgebildet wird. |
bei welcher Synchronisationsrichtung diese Property-Mapping-Regel angewendet wird |
Der One Identity Manager synchronisiert zwei verbundene Systeme in die Richtung, die in der Startkonfiguration oder am Workflow angegeben ist. Dabei wird ein Synchronisationsschritt nur dann ausgeführt, wenn die am Schritt festgelegte Synchronisationsrichtung mit der Richtung, in der die aktuelle Synchronisation durchgeführt wird, übereinstimmt. Wenn die am Mapping zugelassene Mappingrichtung der aktuellen Synchronisationsrichtung entspricht, werden die Systemobjekte dieser Schemaklasse
Abbildung 11: Beispiel für die Wirkung der festgelegten Synchronisationsrichtung und zulässigen Mappingrichtung
Verwandte Themen
- Startkonfigurationen einrichten
- Eigenschaften eines Workflows
- Allgemeine Eigenschaften eines Synchronisationsschritts
- Eigenschaften eines Mappings
- Property-Mapping-Regeln bearbeiten
Mapping gegen die Synchronisationsrichtung
Mapping gegen die Synchronisationsrichtung
Für einzelne Schemaeigenschaften kann es erforderlich sein, den Wert einer Schemaeigenschaft
Um das Mapping einer Schemaeigenschaft gegen die Synchronisationsrichtung zu erzwingen
- Bearbeiten Sie die Property-Mapping-Regel
Aktivieren Sie Mapping gegen die Synchronisationsrichtung erzwingen.
Weitere Informationen finden Sie unter Vorgehen: Property-Mapping-Regeln bearbeiten.
Property-Mapping-Regeln, bei denen diese Option aktiviert ist, werden nach Abschluss eines Synchronisationsschritts erneut ausgeführt. Dabei werden Änderungen entgegen der Synchronisationsrichtung aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.
Ablauf der Synchronisation
- Während ein Synchronisationsschritt
- Beim Abschluss des Synchronisationsschritts werden alle Änderungen im verbundenen System gespeichert.
- Alle Property-Mapping-Regeln, an denen Mapping gegen die Synchronisationsrichtung erzwingen aktiviert ist, werden erneut ausgeführt. Für die beteiligten Schemaeigenschaften werden Änderungen aus dem verbundenen System in das Mastersystem der Synchronisation übertragen.
Hinweis: Die Property-Mapping-Regeln werden nach Abschluss des Synchronisationsschritts auch dann erneut ausgeführt, wenn im Synchronisationsschritt keine Verarbeitungsmethoden angegeben sind.
|
|
Hinweis: Die Option Mapping gegen die Synchronisationsrichtung erzwingen wird auch bei der ProvisionierungAktuelle Änderungen eines Objekts in der One Identity Manager Datenbank (Einfügen, Ändern, Löschen) werden sofort in das Zielsystem geschrieben. von Objektänderungen berücksichtigt. |
Beispiel
Eine Active Directory-Umgebung soll über den One Identity Manager verwaltet werden. Für die Synchronisation beider System gilt der One Identity Manager als Mastersystem. Die Objekt GUID der Benutzerkonten wird jedoch nicht im One Identity Manager, sondern in der Active Directory-Umgebung gebildet. Für die Objekt GUID eines Benutzerkontos gilt damit eine abweichende Mappingrichtung. Um die Objekt GUID noch während des Synchronisationslaufs aus dem Active Directory in den One Identity Manager zu übertragen, muss das Mapping gegen die Synchronisationsrichtung für diese Schemaeigenschaft erzwungen werden.
| Konfigurationseinstellung | Wert |
|---|---|
|
Synchronisationsrichtung: |
In das Zielsystem |
|
Property-Mapping-Regel für die Schemaeigenschaften: |
ADSAccount.ObjectGUID - User.ObjectGUID |
|
Mappingrichtung: |
In den One Identity Manager |
|
Mapping gegen die Synchronisationsrichtung erzwingen: |
aktiviert |
Ablauf der Synchronisation
Situation: Ein neues Active Directory Benutzerkonto wurde im One Identity Manager angelegt.
- Das Benutzerkonto wird durch die Synchronisation im Zielsystem angelegt.
- Die Property-Mapping-Regel für die Objekt GUID wird ignoriert, da die Mappingrichtung entgegengesetzt ist.
- Sobald alle Property-Mapping-Regeln des Synchronisationsschritts verarbeitet wurden, wird das Benutzerkonto im Zielsystem gespeichert. Das Active Directory ermittelt einen Wert für User.ObjectGUID.
- Nach Abschluss des Synchronisationsschritts wird die Property-Mapping-Regel für die Objekt GUID erneut ausgeführt. Die Objekt GUID wird aus dem Active Directory in den One Identity Manager übertragen.