Schema aktualisieren
Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema
- ein Schema geändert wurde, durch:
- Änderungen am Zielsystemschema
- unternehmensspezifische Anpassungen des One Identity Manager Schemas
- eine Update-Migration des One Identity Manager
- Änderungen am Zielsystemschema
- ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
- die Aktivierung des Synchronisationsprojekts
- erstmaliges Speichern des Synchronisationsprojekts
- Komprimieren eines Schemas
Um das Schema einer Systemverbindung zu aktualisieren
- Wählen Sie die Kategorie Konfiguration | Zielsystem.
- ODER -
Wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.
- Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die Schemadaten werden neu geladen.
Anschließend können Sie die Änderungen in das Mapping
|
|
Hinweis: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut. |
Verwandte Themen
- Eigenschaften einer Systemverbindung
- Wie können nicht benötigte Projektdaten entfernt werden
- Mappings einrichten
- Synchronisationsprojekt aktivieren
Synchronisation und Provisionierung von Mitgliedschaften
Synchronisation und Provisionierung von Mitgliedschaften
Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. In den Zielsystemen werden dafür häufig Mitgliederlisten als Eigenschaft eines Objekts gepflegt. Wird eine Mitgliedschaft im One Identity Manager geändert, muss dieses Objekt aktualisiert werden.
Änderung einer Mitgliedschaft kennzeichnen
Änderung einer Mitgliedschaft kennzeichnen
Um zu kennzeichnen, ob eine Mitgliedschaft geändert wurde, wird an der Basistabelle einer Zuordnung die Information über die letzte Änderung der Mitgliedschaft in der Spalte Änderungsdatum für Abhängigkeiten (XDateSubItem) gepflegt. Bei der Provisionierung
Wenn im One Identity Manager eine Mitgliedschaft geändert wird, muss das Änderungsdatum für Abhängigkeiten aktualisiert werden, damit die Änderung provisioniert werden kann.
Voraussetzungen
-
Die Basistabelle hat die Spalte XDateSubItem.
Hinweis: Wenn an der Basistabelle einer Zuordnung diese Spalte nicht vorhanden ist, können Sie die Basistabelle kundenspezifisch erweitern. Erstellen Sie dafür die Spalte CCC_XDateSubItem. - An der Tabellenbeziehung zwischen Zuordnungstabelle und Basistabelle ist die Eigenschaft Änderungsdatum für Abhängigkeiten aktualisieren wahr (QBMRelation.IsForUpdateXDateSubItem = TRUE).
Abbildung 13: Abbildung von Mitgliedschaften in der One Identity Manager-Datenbank
Bei Änderung einer Mitgliedschaft (durch Einfügen, Löschen oder Zurücksetzen des Status "Ausstehend") wird ein Auftrag zur Aktualisierung der Spalte XDateSubItem der Basistabelle in die DBQueue eingestellt (QBM-K-XDateSubItemUpdate). Gegebenenfalls werden weitere Verarbeitungsaufträge, beispielsweise zur Vererbungsberechnung, in die DBQueue eingestellt. Diese Aufträge werden zuerst abgearbeitet. Der Auftrag QBM-K-XDateSubItemUpdate wird zurückgestellt bis alle Verarbeitungsaufträge für das geänderte Objekt und für das Modul, zu dem das Objekt gehört, abgearbeitet sind. Werden währenddessen weitere Mitgliedschaften in diesem Modul geändert, werden diese Änderungen durch den bestehenden Auftrag zur Aktualisierung der Spalte XDateSubItem gesammelt und anschließend gemeinsam weiterverarbeitet. Sobald der Auftrag QBM-K-XDateSubItemUpdate ausgeführt wird, wird ein Update-Auftrag für die Spalte XDateSubItem an der Basistabelle in die Jobqueue eingestellt. Der Wert dieser Spalte wird aktualisiert. Daraufhin wird der Auftrag zur Provisionierung der geänderten Mitgliedschaft in die Jobqueue eingestellt.
Abbildung 14: Verarbeitung der Änderung einer Mitgliedschaft im One Identity Manager
Beispiel
Die Mitgliedschaft eines Active Directory Benutzerkontos in einer Active Directory Gruppe wird im One Identity Manager gelöscht (Tabelle ADSAccountInADSGroup). An der Active Directory Gruppe wird das Änderungsdatum für Abhängigkeiten aktualisiert (ADSGroup.XDateSubItem). Die Änderung der Mitgliedschaft für diese Active Directory Gruppe wird in das Zielsystem provisioniert. Bei der nächsten Synchronisation mit Revisionsfilterung wird das XDateSubItem als höchstes Änderungsdatum für den Revisionszähler ermittelt und gegen die Revision
Verwandte Themen
Einzelprovisionierung von Mitgliedschaften
Einzelprovisionierung von Mitgliedschaften
Bei der Provisionierung
- Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert
- Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
- Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.
Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.
Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Dafür muss an den Zuordnungstabellen die Option Änderungen zusammenführen aktiviert sein (DPRNameSpaceHasDialogTable.IsAdHocSingleMemberShip = TRUE). Ausführliche Informationen zum Setzen dieser Option finden Sie in den Administrationshandbüchern für die Anbindung der einzelnen Zielsysteme.
Für alle Tabellen, die so gekennzeichnet sind, werden bei der Provisionierung zusätzliche Verarbeitungsschritte ausgeführt.
- Im DBQueue Prozessor wird ein Auftrag zur Aktualisierung der Tabelle DPRMemberShipAction eingestellt. Diese Tabelle enthält die geänderten Objekte und die auszuführenden Operationen.
- Die Mitgliederliste des geänderten Objekts wird gegen die Tabelle DPRMemberShipAction abgeglichen. Damit wird bei Änderung einer Mitgliedschaft nicht die gesamte Mitgliederliste im Zielsystem aktualisiert. Es wird nur die einzelne geänderte Mitgliedschaft in die Mitgliederliste übertragen. Änderungen an den Mitgliedschaften des geänderten Objekts, die zwischenzeitlich im Zielsystem vorgenommen wurden, werden damit nicht überschrieben.
- Sobald eine Änderung erfolgreich ins Zielsystem provisioniert wurde, wird der Eintrag aus der Tabelle DPRMemberShipAction gelöscht. Tritt während der Provisionierung ein Fehler auf, verbleibt der Eintrag in der Tabelle.
| Provisionierungsprozess | Eintrag in DPRMemberShipAction | Kommentar |
|---|---|---|
| erfolgreich | wird gelöscht | |
| fehlgeschlagen | bleibt erhalten | Wird bei der Provisionierung einer beliebigen neuen Änderung des Objekts erneut verarbeitet und bei Erfolg gelöscht. |
| reaktiviert | wird erneut verarbeitet | |
| fehlgeschlagen und gelöscht | bleibt erhalten | Wird im Rahmen der täglichen Wartungsarbeiten gelöscht.
Im Rahmen dieser Wartungsarbeiten werden alle Einträge gelöscht, für die kein Provisionierungsauftrag in der Jobqueue vorhanden ist. |
|
|
Hinweis: Bei einer SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet. |