Unzulässige Änderungen erkennen

Unzulässige Änderungen erkennen

Für die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. einer Zielsystemumgebung mit dem One Identity Manager wird festgelegt, welches der verbundenen Systeme als Datenmaster gilt. Änderungen an Objekteigenschaften sollten nur im Mastersystem vorgenommen werden.

Änderungen im verbundenen System, das nicht das Mastersystem der SynchronisationSystem, das als Datenmaster für eine Synchronisation gilt. Das Mastersystem wird durch die SynchronisationsrichtungRichtung, in der die Synchronisation ausgeführt wird. Durch die Synchronisationsrichtung wird das Mastersystem der Synchronisation festgelegt. festgelegt. ist, können durch den One Identity Manager erkannt, protokolliert und korrigiert werden. Dabei wird als Änderung jede Differenz zwischen den Objekteigenschaften der verbundenen Systeme betrachtet. Diese Änderungen werden im Folgenden als "unzulässige Änderungen" bezeichnet (Rogue Detection).

Damit der One Identity Manager unzulässige Änderungen bei der Synchronisation erkennt, müssen die Property-MappingListe von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden.-Regeln für die Schemaeigenschaften entsprechend konfiguriert werden. Unzulässige Änderungen können für alle Property-Mapping-Regeln ermittelt werden, deren MappingrichtungDie für das Mapping der Schemaeigenschaften zulässige Synchronisationsrichtung. der Synchronisationsrichtung entgegengesetzt ist.

Hinweis: Unzulässige Änderungen können nur dann korrigiert werden, wenn die SchemaeigenschaftEigenschaft eines Schematyps. Bezieht sich auf genau eine Spalte einer Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau eine Eigenschaft eines Objekttyps des nicht-datenbankbasierten Schemas., die durch diese Korrektur geändert werden soll, schreibbar ist.

Um unzulässige Änderungen zu erkennen und zu protokollieren

• Bearbeiten Sie die Property-Mapping-RegelBeschreibt, wie eine Schemaeigenschaft des Zielsystems im One Identity Manager SchemaDatenmodell eines verbundenen Systems. Das Schema beschreibt alle aus dem verbundenen System stammenden Daten. siehe Zielsystemschema; siehe One Identity Manager Schema; siehe Konnektorschema; siehe Erweitertes Schema abgebildet wird..
  1. Wählen Sie die Mappingrichtung "In das Zielsystem" oder "In den One Identity Manager".
  2. Aktivieren Sie Unzulässige Änderungen erkennen.

  Weitere Informationen finden Sie unter Vorgehen: Property-Mapping-Regeln bearbeiten.

Um unzulässige Änderungen zu korrigieren

• Aktivieren Sie an der Property-Mapping-Regel zusätzlich Unzulässige Änderungen korrigieren.

Ablauf der Synchronisation mit Änderungserkennung

1. Eine Property-Mapping-Regel, deren Mappingrichtung der aktuellen Synchronisationsrichtung entgegengesetzt ist, wird identifiziert.
2. Wenn Unzulässige Änderungen erkennen aktiviert ist, prüft der One Identity Manager die Objekte der verbundenen Systeme auf unzulässige Änderungen. Unzulässige Änderungen werden protokolliert.
3. Wenn Unzulässige Änderungen korrigieren aktiviert ist, überschreibt der One Identity Manager die Objekteigenschaft mit dem Wert aus dem Mastersystem der Synchronisation. Dieser Wert wird im verbundenen System gespeichert.

Hinweis: Unzulässige Änderungen werden auch bei der ProvisionierungAktuelle Änderungen eines Objekts in der One Identity Manager Datenbank (Einfügen, Ändern, Löschen) werden sofort in das Zielsystem geschrieben. von Objektänderungen behandelt.

Verwandte Themen

• Property-Mapping-Regeln bearbeiten

Synchronisation von Benutzerdaten mit verschiedenen Systemen

Synchronisation von Benutzerdaten mit verschiedenen Systemen

Quelle für die im One Identity Manager verwalteten Benutzerdaten und Berechtigungen können verschiedene Systeme sein. Beispielsweise sollen die Benutzerkonten einer SAP R/3-Umgebung im One Identity Manager verwaltet werden. Die zugehörigen Personendaten werden jedoch über den CSV-Konnektor aus einem anderen System in die Datenbank importiert.

Der CSV-Import kann dazu führen, dass Objekte geändert werden, die aus der SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. mit einem anderen Zielsystem stammen. Beispielsweise ändern sich aufgrund von Bildungsregeln der Vor- und Nachname eines SAP Benutzerkontos, wenn sich durch den CSV-Import der Vor- und Nachname einer Person ändern. Die Änderungen am SAP Benutzerkonto sollen in diesem Fall sofort in die SAP R/3-Umgebung provisioniert werden. Zur Veranschaulichung werden die angebundenen Zielsysteme im Folgenden als "primäre Systeme" bezeichnet; die Systeme, deren Daten über den CSV-Konnektor synchronisiert werden, als "sekundäre Systeme".

Abbildung 12: Beispiel für die Synchronisation von Benutzerdaten mit verschiedenen Zielsystemen

An den Synchronisationsschritten kann angegeben werden, ob die Daten aus einem sekundären System stammen. In diesem Fall, werden Änderungen sofort (noch während der Synchronisation) in die primären Systeme provisioniert. Umgekehrt dürfen die Provisionierungsprozesse nicht starten, wenn die primären Systeme synchronisiert werden.

Um die sofortige ProvisionierungAktuelle Änderungen eines Objekts in der One Identity Manager Datenbank (Einfügen, Ändern, Löschen) werden sofort in das Zielsystem geschrieben. bei der Synchronisation eines sekundären Systems zu konfigurieren

1. Öffnen Sie das SynchronisationsprojektZusammenstellung aller Informationen, die für die Synchronisation und Provisionierung mit einem Zielsystem benötigt werden. Dazu gehören die Verbindungsinformationen, Schemaklassen und -eigenschaften, Mappings, Synchronisationsworkflows. des sekundären Systems.

   Weitere Informationen finden Sie unter Vorgehen: Synchronisationsprojekt bearbeiten.

2. Bearbeiten Sie die Eigenschaften der Synchronisationsschritte.

   Aktivieren Sie auf dem Tabreiter Allgemein die Option Datenimport.

   Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

Wenn die Option Datenimport aktiviert ist, wird die Session-Variable FullSync=FALSE gesetzt. Wenn die Option deaktiviert ist, wird die Session-Variable FullSync=TRUE gesetzt. Verschiedene Prozesse, Skripte und Bildungsregeln in der One Identity Manager Datenbank werden nur ausgeführt, wenn FullSync=FALSE gesetzt ist. Das heißt in diesem Zusammenhang, sie werden nur bei der Synchronisation mit einem sekundären System ausgeführt. Bei der Synchronisation mit einem primären System werden diese Prozesse, Skripte und Bildungsregeln ignoriert.

Verwandte Themen

• Allgemeine Eigenschaften eines Synchronisationsschritts

Objekte im One Identity Manager löschen

Objekte im One Identity Manager löschen

Um Objekte, die im ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“ nicht vorhanden sind, durch die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. im One Identity Manager zu löschen, stehen zwei Möglichkeiten zur Verfügung.

1. Die Objekte werden sofort bei der Synchronisation gelöscht.

   Welche Objekte gelöscht wurden, ist im Synchronisationsprotokoll ersichtlich.

   Hinweis: Mitgliedschaften, die aufgrund einer Vererbung bestehen, können nicht sofort gelöscht werden. Sie werden immer als ausstehend markiert.

2. Die Objekte werden bei der Synchronisation als ausstehend markiert.

   Ausstehende Objekte müssen im One Identity Manager nachbearbeitet werden. Sie können dabei gelöscht oder in das Zielsystem publiziert werden. Damit kann verhindert werden, dass Objekte aufgrund einer fehlerhaften Datensituation oder einer fehlerhaften Synchronisationskonfiguration gelöscht werden.

   Hinweis: Objekte, die aus einem sekundären System stammen, können nicht als ausstehend markiert werden. Maßgebend dafür ist die Option Datenimport am SynchronisationsschrittKonkrete Vorschrift für die Verarbeitung genau zweier zugeordneter Schemaklassen..

Um Objekte im One Identity Manager sofort zu löschen

1. Bearbeiten Sie die Eigenschaften der Synchronisationsschritte.

   Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

2. Wählen Sie den Tabreiter Verarbeitung.
3. Legen Sie die Verarbeitungsmethoden fest. Wählen Sie:

   Bei der Synchronisation vom Zielsystem in den One Identity Manager	VerarbeitungsmethodeMethode, nach der Objekte innerhalb eines Synchronisationsschritts verarbeitet werden. Beispiele: Objekt einfügen (Insert), Objekt aktualisieren (Update), Objekt löschen (Delete). Verarbeitungsmethoden und deren Pflichtparameter sind an den Schematypen definiert. (technischer Name)
   Objekte, die nur im One Identity Manager vorhanden sind:	Delete

Um Objekte im One Identity Manager als ausstehend zu markieren

1. Bearbeiten Sie die Eigenschaften der Synchronisationsschritte.

   Weitere Informationen finden Sie unter Vorgehen: Synchronisationsschritte bearbeiten.

2. Wählen Sie den Tabreiter Verarbeitung.
3. Legen Sie die Verarbeitungsmethoden fest. Wählen Sie:

   Bei der Synchronisation vom Zielsystem in den One Identity Manager	Verarbeitungsmethode (technischer Name)
   Objekte, die nur im One Identity Manager vorhanden sind:	MarkAsOutstanding

Ausstehende Objekte können solange nicht im One Identity Manager bearbeitet werden, bis sie überprüft wurden. Sie werden bei jeder weiteren Synchronisation ignoriert.

Um ausstehende Objekte im One Identity Manager zu löschen

1. Starten Sie den Manager.
2. Wählen Sie die Kategorie <ZielsystemtypGruppierung ähnlicher Zielsysteme. Beispiele: Active Directory, LDAP, SharePoint.> | Zielsystemabgleich: <Zielsystemtyp> | <Tabelle>.

3. Wählen Sie die Objekte aus, die Sie löschen möchten. Mehrfachauswahl ist möglich.
4. Klicken Sie .
5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

   Die ausgewählten Objekte werden sofort in der One Identity Manager-Datenbank gelöscht. Eine Löschverzögerung wird nicht berücksichtigt. Die Markierung "Ausstehend" wird für diese Objekte entfernt.

Verwandte Themen

• Verarbeitungsmethoden festlegen
• Zielsystemabgleich
• Wie können kundenspezifische Tabellen in die Synchronisation einbezogen werden
• Synchronisation von Benutzerdaten mit verschiedenen Systemen
• Allgemeine Eigenschaften eines Synchronisationsschritts
• Mitgliedschaften löschen

Wie können nicht benötigte Projektdaten entfernt werden

Wie können nicht benötigte Projektdaten entfernt werden

Während ein SynchronisationsprojektZusammenstellung aller Informationen, die für die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. und ProvisionierungAktuelle Änderungen eines Objekts in der One Identity Manager Datenbank (Einfügen, Ändern, Löschen) werden sofort in das Zielsystem geschrieben. mit einem Zielsystem benötigt werden. Dazu gehören die Verbindungsinformationen, Schemaklassen und -eigenschaften, Mappings, Synchronisationsworkflows. bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden.

• Synchronisationsprojekt aktivieren

  Nicht benötigte Schemadaten werden automatisch beim Aktivieren eines Synchronisationsprojekts entfernt.

• SchemaDatenmodell eines verbundenen Systems. Das Schema beschreibt alle aus dem verbundenen System stammenden Daten. siehe Zielsystemschema; siehe One Identity Manager Schema; siehe Konnektorschema; siehe Erweitertes Schema komprimieren
  1. Beim erstmaligen Speichern eines Synchronisationsprojekts werden die Schemas komprimiert.
  2. An jeder Systemverbindung gibt es die Möglichkeit das Schema zu komprimieren.

     In einem Dialogfenster werden alle Schematypen angezeigt, die aktuell nicht verwendet werden und damit aus dem Synchronisationsprojekt entfernt werden können. Sie können hier die Schematypen auswählen, die zusätzlich erhalten bleiben sollen, um sie zu einem späteren Zeitpunkt in der Synchronisationskonfiguration zu nutzen.

Um das Schema einer Systemverbindung zu komprimieren

1. Wählen Sie die Kategorie Konfiguration | Zielsystem.

   - ODER -

   Wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.

2. Klicken Sie in der Ansicht Allgemein Schema komprimieren....
3. Markieren Sie alle Schematypen, die nicht entfernt werden sollen.

   Diese Schematypen bleiben erhalten und können in der Synchronisationskonfiguration weiter verwendet werden.

4. Klicken Sie OK.

Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in das Synchronisationsprojekt aufgenommen werden. Dazu muss das jeweilige Schema aktualisiert werden.

Verwandte Themen

• Vorgehen: Eigenschaften der Systemverbindungen bearbeiten
• Synchronisationsprojekt aktivieren
• Änderungen dauerhaft speichern
• Schema aktualisieren