Integration mit Active Roles
Der One Identity Manager unterstützt die Anbindung von Active Directory-Umgebungen über einen integrierten Konnektor. Zusätzliche Active Directory relevante Funktionalitäten, wie beispielsweise Microsoft Exchange, Office Communication Services oder Active Directory Lightweight Directory Service (AD LDS) werden über diesen Konnektor nicht unterstützt.
Der One Identity Manager ist in der Standardkonfiguration der Prozesse und des Synchronisationsverhaltens der Datenmaster und arbeitet ohne die Ansteuerung von Arbeitsabläufen. Für das Standardverhalten wird ein administratives Benutzerkonto benötigt. Der integrierte Konnektor erlaubt jedoch auch die Ansteuerung von Arbeitsabläufen. Für diese Funktionalität müssen Sie gegebenenfalls die Prozesse im One Identity Manager benutzerdefiniert anpassen.
HINWEIS: Ausführliche Informationen zum Einsatz, Administration und Konfiguration eines Servers entnehmen Sie Ihrer One Identity Active Roles Dokumentation.
HINWEIS: Dieses Handbuch geht nur auf die Besonderheiten bei der Verwendung des Konnektors ein. Eine umfassende Dokumentation zur Verwaltung einer Active Directory-Umgebung mit dem One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.
Architekturüberblick
Für die Verwaltung einer Active Directory-Umgebung mittels One Identity Manager und spielen folgende Server eine Rolle:
- Server
Server, der die Verbindung zum Active Directory Domänen-Controller herstellt. Der Synchronisationsserver verbindet sich gegen diesen Server.
- Synchronisationsserver
Vom Synchronisationsserver wird die Kommunikation des One Identity Manager Service mit ausgeführt. Auf diesem Server ist der One Identity Manager Service mit dem Konnektor installiert. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver verbindet sich gegen den Server.
Der Konnektor des One Identity Manager verwendet das ADSI Interface für die Kommunikation mit einer Instanz. Der Konnektor wird für die Synchronisation und Provisionierung der Active Directory-Umgebung eingesetzt. Der Konnektor verbindet sich zu einer Instanz, die dann die Verbindung zum Active Directory Domänen-Controller herstellt.
Abbildung 1: Architektur für die Synchronisation
Datenmigration zwischen One Identity Manager und Active Roles
Szenario
Eine mit verwaltete Active Directory Domäne soll mit dem One Identity Manager verwaltet werden. Self-Service Manager wird nicht eingesetzt.
Bei der Installation der One Identity Manager-Datenbank wählen Sie eine der folgenden Editionen:
- One Identity Manager Active Directory Edition
- One Identity Manager
Die initiale Synchronisation der Active Directory Domäne mit dem One Identity Manager muss mit dem Konnektor erfolgen. Alle weiteren Synchronisationen erfolgen ebenfalls mit dem Konnektor.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt unter Verwendung der Standardprojektvorlage für .
Szenario
Eine mit verwaltete Active Directory Domäne soll mit dem One Identity Manager verwaltet werden. Self-Service Manager wird eingesetzt. Die Funktionalität soll in den IT Shop des One Identity Manager überführt werden.
Bei der Installation der One Identity Manager-Datenbank wählen Sie eine der folgenden Editionen:
- One Identity Manager Active Directory Edition
- One Identity Manager
Mit der One Identity ManagerActive Directory Edition wird die Überführung der Funktionalität von Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt. Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus:
- Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\GroupAutoPublish".
- Aktivieren Sie im Designer den Konfigurationsparameter "QER\ITShop\GroupAutoPublish\ADSGroupExcludeList" und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.
- Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\ADS\ARS_SSM".
- Kompilieren Sie die Datenbank.
Die Synchronisation der Active Directory Domäne mit dem One Identity Manager muss mit dem Konnektor erfolgen. Alle weiteren Synchronisationen erfolgen ebenfalls mit dem Konnektor.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt unter Verwendung der Standardprojektvorlage für .
Szenario
Eine mit dem One Identity Manager verwaltete Active Directory Domäne soll mit verwaltet werden. Die Synchronisation der Active Directory Domäne erfolgt bisher mit dem Active Directory Konnektor.
Um die Active Directory Domäne mit One Identity Active Roles zu verwalten
- Löschen Sie im Synchronization Editor das bestehende Synchronisationsprojekt.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt unter Verwendung der Standardprojektvorlage für .
Detaillierte Informationen zum Thema
Einrichten der Synchronisation mit einer Active Directory-Umgebung über Active Roles
Der One Identity Manager unterstützt die Synchronisation mit in den Versionen 6.9, 7.0, 7.2, 7.3.1, 7.3.3, 7.4.1, 7.4.3 und 7.4.4.
Um die Objekte einer Active Directory-Umgebung initial in die One Identity Manager-Datenbank einzulesen
- Stellen Sie im Active Directory ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.
-
Die One Identity Manager Bestandteile für die Verwaltung von Active Directory-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | ADS aktiviert ist.
- Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
-
Mit der One Identity Manager Active Directory Edition wird die Überführung der Funktionalität von Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt. Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus:
- Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | GroupAutoPublish.
- Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | GroupAutoPublish | ADSGroupExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.
- Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.
- Kompilieren Sie die Datenbank.
- Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema