Chat now with support
Chat with Support

Identity Manager 8.0 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Zusätzliche Informationen für Experten Fehlerbehebung Anhang: Beispiel für eine Konfigurationsdatei

Schema aktualisieren

Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige SchemaClosed im SynchronisationsprojektClosed. Das kann erforderlich sein, wenn:

  • ein Schema geändert wurde, durch:
    • Änderungen am ZielsystemschemaClosed
    • unternehmensspezifische Anpassungen des One Identity Manager Schemas
    • eine Update-Migration des One Identity Manager
  • ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
    • die Aktivierung des Synchronisationsprojekts
    • erstmaliges Speichern des Synchronisationsprojekts
    • Komprimieren eines Schemas

Um das Schema einer Systemverbindung zu aktualisieren

  1. Wählen Sie die Kategorie Konfiguration | Zielsystem.

    - ODER -

    Wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.

  2. Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
  3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Die Schemadaten werden neu geladen.

Anschließend können Sie die Änderungen in das MappingClosed der Schemaeigenschaften einarbeiten.

Hinweis: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.
Verwandte Themen

Synchronisation und Provisionierung von Mitgliedschaften

Synchronisation und Provisionierung von Mitgliedschaften

Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. In den Zielsystemen werden dafür häufig Mitgliederlisten als Eigenschaft eines Objekts gepflegt. Wird eine Mitgliedschaft im One Identity Manager geändert, muss dieses Objekt aktualisiert werden.

Änderung einer Mitgliedschaft kennzeichnen

Änderung einer Mitgliedschaft kennzeichnen

Um zu kennzeichnen, ob eine Mitgliedschaft geändert wurde, wird an der Basistabelle einer Zuordnung die Information über die letzte Änderung der Mitgliedschaft in der Spalte Änderungsdatum für Abhängigkeiten (XDateSubItem) gepflegt. Bei der ProvisionierungClosed von geänderten Mitgliedschaften entscheidet der One Identity Manager anhand dieses Datums, welche Objekte aktualisiert werden müssen. Bei einer SynchronisationClosed mit Revisionsfilterung wird der höchste Wert aus XDateSubItem und XDateUpdated als Revisionszähler für die Datenbankobjekte genutzt.

Wenn im One Identity Manager eine Mitgliedschaft geändert wird, muss das Änderungsdatum für Abhängigkeiten aktualisiert werden, damit die Änderung provisioniert werden kann.

Voraussetzungen

  • Die Basistabelle hat die Spalte XDateSubItem.

    Hinweis: Wenn an der Basistabelle einer Zuordnung diese Spalte nicht vorhanden ist, können Sie die Basistabelle kundenspezifisch erweitern. Erstellen Sie dafür die Spalte CCC_XDateSubItem.
  • An der Tabellenbeziehung zwischen Zuordnungstabelle und Basistabelle ist die Eigenschaft Änderungsdatum für Abhängigkeiten aktualisieren wahr (QBMRelation.IsForUpdateXDateSubItem = TRUE).

Abbildung 13: Abbildung von Mitgliedschaften in der One Identity Manager-Datenbank

Bei Änderung einer Mitgliedschaft (durch Einfügen, Löschen oder Zurücksetzen des Status "Ausstehend") wird ein Auftrag zur Aktualisierung der Spalte XDateSubItem der Basistabelle in die DBQueue eingestellt (QBM-K-XDateSubItemUpdate). Gegebenenfalls werden weitere Verarbeitungsaufträge, beispielsweise zur Vererbungsberechnung, in die DBQueue eingestellt. Diese Aufträge werden zuerst abgearbeitet. Der Auftrag QBM-K-XDateSubItemUpdate wird zurückgestellt bis alle Verarbeitungsaufträge für das geänderte Objekt und für das Modul, zu dem das Objekt gehört, abgearbeitet sind. Werden währenddessen weitere Mitgliedschaften in diesem Modul geändert, werden diese Änderungen durch den bestehenden Auftrag zur Aktualisierung der Spalte XDateSubItem gesammelt und anschließend gemeinsam weiterverarbeitet. Sobald der Auftrag QBM-K-XDateSubItemUpdate ausgeführt wird, wird ein Update-Auftrag für die Spalte XDateSubItem an der Basistabelle in die Jobqueue eingestellt. Der Wert dieser Spalte wird aktualisiert. Daraufhin wird der Auftrag zur Provisionierung der geänderten Mitgliedschaft in die Jobqueue eingestellt.

Abbildung 14: Verarbeitung der Änderung einer Mitgliedschaft im One Identity Manager

Beispiel

Die Mitgliedschaft eines Active Directory Benutzerkontos in einer Active Directory Gruppe wird im One Identity Manager gelöscht (Tabelle ADSAccountInADSGroup). An der Active Directory Gruppe wird das Änderungsdatum für Abhängigkeiten aktualisiert (ADSGroup.XDateSubItem). Die Änderung der Mitgliedschaft für diese Active Directory Gruppe wird in das Zielsystem provisioniert. Bei der nächsten Synchronisation mit Revisionsfilterung wird das XDateSubItem als höchstes Änderungsdatum für den Revisionszähler ermittelt und gegen die RevisionClosed des Schematyps verglichen.

Verwandte Themen

Einzelprovisionierung von Mitgliedschaften

Einzelprovisionierung von Mitgliedschaften

Bei der ProvisionierungClosed von Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:

  • Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert (Beispiel: Liste von Benutzerkonten in der Eigenschaft Member einer Active Directory Group).
  • Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
  • Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.

Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.

Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Dafür muss an den Zuordnungstabellen die Option Änderungen zusammenführen aktiviert sein (DPRNameSpaceHasDialogTable.IsAdHocSingleMemberShip = TRUE). Ausführliche Informationen zum Setzen dieser Option finden Sie in den Administrationshandbüchern für die Anbindung der einzelnen Zielsysteme.

Für alle Tabellen, die so gekennzeichnet sind, werden bei der Provisionierung zusätzliche Verarbeitungsschritte ausgeführt.

  1. Im DBQueue Prozessor wird ein Auftrag zur Aktualisierung der Tabelle DPRMemberShipAction eingestellt. Diese Tabelle enthält die geänderten Objekte und die auszuführenden Operationen.
  2. Die Mitgliederliste des geänderten Objekts wird gegen die Tabelle DPRMemberShipAction abgeglichen. Damit wird bei Änderung einer Mitgliedschaft nicht die gesamte Mitgliederliste im Zielsystem aktualisiert. Es wird nur die einzelne geänderte Mitgliedschaft in die Mitgliederliste übertragen. Änderungen an den Mitgliedschaften des geänderten Objekts, die zwischenzeitlich im Zielsystem vorgenommen wurden, werden damit nicht überschrieben.
  3. Sobald eine Änderung erfolgreich ins Zielsystem provisioniert wurde, wird der Eintrag aus der Tabelle DPRMemberShipAction gelöscht. Tritt während der Provisionierung ein Fehler auf, verbleibt der Eintrag in der Tabelle.
Tabelle 28: Verarbeitung der Einträge in der Tabelle DPRMemberShipAction
Provisionierungsprozess Eintrag in DPRMemberShipAction Kommentar
erfolgreich wird gelöscht  
fehlgeschlagen bleibt erhalten Wird bei der Provisionierung einer beliebigen neuen Änderung des Objekts erneut verarbeitet und bei Erfolg gelöscht.
reaktiviert wird erneut verarbeitet  
fehlgeschlagen und gelöscht bleibt erhalten Wird im Rahmen der täglichen Wartungsarbeiten gelöscht.

Im Rahmen dieser Wartungsarbeiten werden alle Einträge gelöscht, für die kein Provisionierungsauftrag in der Jobqueue vorhanden ist.

 

Hinweis: Bei einer SynchronisationClosed wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.
Related Documents