Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Einrichten der Synchronisation mit einer Active Directory-Umgebung Basisdaten für die Verwaltung einer Active Directory-Umgebung
Kontendefinitionen für Active Directory Benutzerkonten Kennwortrichtlinien für Active Directory Benutzerkonten Initiales Kennwort für neue Active Directory Benutzerkonten E-Mail-Benachrichtigungen über Anmeldeinformationen Benutzerkontennamen Zielsystemverantwortliche Bearbeiten eines Servers
Active Directory Domänen Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Erfassen der Stammdaten für Active Directory Benutzerkonten Zusätzliche Aufgaben für die Verwaltung von Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Deaktivieren von Active Directory Benutzerkonten Löschen und Wiederherstellen von Active Directory Benutzerkonten
Active Directory Kontakte Active Directory Gruppen
Erfassen der Stammdaten für Active Directory Gruppen Zulässigkeit von Gruppenmitgliedschaften Active Directory Gruppe an Active Directory Benutzerkonten, Active Directory Kontakte und Active Directory Computer zuweisen Zusätzliche Aufgaben für die Verwaltung von Active Directory Gruppen Löschen von Active Directory Gruppen Standardlösungen für die Bestellung von Active Directory Gruppen und Gruppenmitgliedschaften
Active Directory Sicherheits-IDs Active Directory Containerstrukturen Active Directory Computer Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Anhang: Standardprojektvorlage für Active Directory

Benutzer und Berechtigungen für die Synchronisation mit dem Active Directory

Bei der Synchronisation des One Identity Manager mit einer Active Directory-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen
Benutzer für den Zugriff auf das Active Directory Für eine vollständige Synchronisation von Objekten einer Active Directory-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.
  • Mitglied der Active Directory Gruppe Domänen Administratoren

HINWEIS: In einer hierarchischen Domänenstruktur sollte das Benutzerkonto des One Identity Manager Service einer untergeordneten Domäne Mitglied in der Gruppe Enterprise Admins sein.

Es kann keine sinnvolle Minimalkonfiguration empfohlen werden, die sich bezüglich der reinen Benutzerverwaltung effektiv in ihren Berechtigungen von einem Mitglied der Gruppe Domänen Administratoren unterscheidet.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Rechte vergeben, Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Rechte für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Das Setzen von Remote Access Service (RAS)-Eigenschaften erfordert Remote Procedure Calls (RPC), die im Kontext des Benutzerkontos des One Identity Manager Service ausgeführt werden. Um diese Eigenschaften zu lesen oder zu schreiben, muss das Benutzerkonto des One Identity Manager Service die entsprechenden Berechtigungen besitzen.

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Erläuterungen zu den erforderlichen Rechten

In der Active Directory-Umgebung werden auf das Basisobjekt der Synchronisation folgende Rechte benötigt:

  • Read
  • Write

Ist das Basisobjekt das Domänenobjekt werden diese Rechte benötigt, um das Lesen und Setzen von Domäneneigenschaften wie beispielsweise Kennwortrichtlinien zu ermöglichen.

Um unterhalb des gewählten Basisobjektes uneingeschränkt arbeiten zu können, werden die folgenden Rechte benötigt:

  • Create All Child Objects
  • Delete All Child Objects

Um in einem Benutzerobjekt bestimmte Eigenschaften bearbeiten zu können, die eine Veränderung der Rechteliste eines Active Directory Objektes zur Folge haben (beispielsweise die Eigenschaft Kennwort kann nicht geändert werden), werden die folgenden Rechte benötigt:

  • Read Permissions
  • Modify Permissions

Als weiteres Privileg wird vorausgesetzt:

  • Modify Owner

Das Privileg hat normalerweise nur die Gruppe der Administratoren. Wenn das Benutzerkonto des One Identity Manager Service nicht Mitglied dieser Gruppe oder einer äquivalenten Gruppe ist, muss es in die Lage versetzt werden, mit Konten umzugehen, auf die keine Berechtigungen mehr gesetzt sind.

Da über den One Identity Manager prinzipiell alle Werte eines Objektes änderbar sein sollen, sind die folgenden Rechte notwendig:

  • Read All Properties
  • Write All Properties
  • All Extended Rights
  • DeleteSubTree

Essentielle Funktionalitäten eines Benutzerkontos sind teilweise als Eintrag in der Berechtigungsliste (DACL) eines Active Directory Objektes hinterlegt. Es ist notwendig, das das Benutzerkonto des One Identity Manager Service diese DACL modifizieren kann. Beispiele für Eigenschaften, die über die DACL gepflegt werden, sind UserCanNotChangePassword am Benutzerkonto oder AllowWriteMembers an der Gruppe.

Die Modifikation einer DACL setzt sehr weitreichende Berechtigungen voraus. Wird zur Veränderung einer DACL ein Benutzerkonto verwendet, welches nicht die Full Control-Rechte auf das entsprechende Active Directory Objekt besitzt, wird die Änderung nur unter folgenden Bedingungen akzeptiert.

  • Das Benutzerkonto ist Eigentümer des Objektes.

    – ODER –

  • Das Benutzerkonto ist Mitglied in der selben primären Gruppe, wie der Eigentümer des Objektes. Das ist zumeist die Gruppe der Domänen Administratoren.

Andernfalls wird die Änderung abgelehnt. Wenn dem Benutzerkonto das Take Ownership-Recht zugewiesen ist, ist es möglich einen Eigentümerwechsel zu initiieren und die DACL daraufhin zu ändern. Das verfälscht jedoch die Berechtigungssituation des Active Directory Objektes und wird daher nicht empfohlen.

Des Weiteren sind für die Funktionen des Active Directory Papierkorbs zum Löschen und Wiederherstellen von Benutzerkonten sowie für den Umgang mit besonders geschützten Benutzerkonten und Gruppen die Berechtigungen eines Domänen Administrators erforderlich.

Hinweise für Read-Rechte

Grundsätzlich funktioniert der Teil der Synchronisation mit dem Active Directory, der die Active Directory Objekte in die One Identity Manager-Datenbank einliest, auch dann, wenn auf Strukturen nur Read-Rechte, jedoch keine Write-Rechte vergeben werden.

Folgende Probleme können jedoch auftreten:

  • Um ein Benutzerkonto, auf welches nur Read-Rechte bestehen, in eine Gruppe aufzunehmen, welche nicht die primäre Gruppe des Benutzerkontos ist, muss der One Identity Manager Service mindestens Write-Rechte auf das Gruppenobjekt besitzen.
  • Fehlerzustände zwischen One Identity Manager-Datenbank und Active Directory Daten treten auf, wenn durch die Administrationswerkzeuge des One Identity Manager oder durch Datenbankimporte Objekte im Active Directory angelegt oder verändert werden, auf welche nur Read-Rechte existieren. Diese Fälle sind durch geeignete Menüführung in den Administrationswerkzeugen, Objektrechte im One Identity Manager und entsprechende Vorsichtsmaßnahmen bei Importen auszuschließen.
Hinweise zur One Identity ManagerActive Directory Edition

Für die One Identity ManagerActive Directory Edition werden vollständige Read-Rechte und die Berechtigungen zum Erzeugen, Ändern und Löschen von Gruppen benötigt.

Kommunikationsports und Firewall Konfiguration

Der One Identity Manager besteht aus verschiedenen Komponenten die in verschiedenen Netzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriff auf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenten installiert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrer Firewall installieren möchten, müssen Sie verschiedene Ports öffnen.

Die folgenden Basisports werden benötigt.

Tabelle 3: Kommunikationsports
Standardport Beschreibung

1433

Port zur Kommunikation mit der One Identity Manager-Datenbank.

1880

Port für das HTTP-basierte Protokoll des One Identity Manager Service.

2880

Port für die Zugriffstests innerhalb des Synchronization Editor, beispielsweise im Zielsystembrowser oder zur Simulation der Synchronisation.

80

Port für den Zugriff auf die Webanwendungen.

88

Kerberos-Authentifizierungssystem. (Wenn Kerberos Authentifizierung eingesetzt wird). Benötigt für die Authentifizierung gegen Active Directory.

135 Microsoft End Point Mapper (EPMAP) (auch DCE/RPC Locator Service).
137 NetBIOS Name Service.
139 NetBIOS Session Service.
389 Lightweight Directory Access Protocol (LDAP Standard). Kommunikationsport auf dem Zielsystemserver.
445 Microsoft-DS Active Directory, Windows-Freigaben. Benötigt für Synchronisation (TCP/UDP).
53 Domain Name System (DNS), meist über UDP. Benötigt für den Zugriff auf die Active Directory-Gesamtstruktur.

636

 Lightweight Directory Access Protocol über TLS/SSL (LDAP S). Benötigt für den Zugriff auf die Active Directory-Gesamtstruktur.

3268

Globaler Katalog. Benötigt für die Suche im Globalen Katalog. Je nach Verbindungseinstellung sollte entweder Port 3268 oder Port 3269 offen sein.

3269

Globaler Katalog über SSL. Benötigt für die Suche im Globalen Katalog. Je nach Verbindungseinstellung sollte entweder Port 3268 oder Port 3269 offen sein.

Einrichten des Synchronisationsservers

Für die Einrichtung der Synchronisation mit einer Active Directory-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Server 2008 R2 (nicht-Itanium 64-Bit) ab Service Pack 1

    • Windows Server 2012

    • Windows Server 2012 R2

    • Windows Server 2016

    • Windows Server 2019

  • Microsoft .NET Framework Version 4.7.2 oder höher

    HINWEIS: Beachten Sie die Empfehlungen des Zielsystemherstellers.
  • One Identity Manager Service, Active Directory Konnektor
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | Jobserver | Active Directory.

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

HINWEIS: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt folgende Schritte aus:

  • Erstellen eines Jobservers.

  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.

  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.

  • Konfigurieren des One Identity Manager Service.

  • Starten des One Identity Manager Service.

HINWEIS: Für die Generierung von Prozessen für die Jobserver werden der Provider, Verbindungsparameter und die Authentifizierungsdaten benötigt. Diese Informationen werden im Standardfall aus den Verbindungsdaten der Datenbank ermittelt. Arbeitet der Jobserver über einen Anwendungsserver müssen Sie zusätzliche Verbindungsinformationen im Designer konfigurieren. Ausführliche Informationen zum Einrichten des Jobservers finden Sie im One Identity Manager Konfigurationshandbuch.

HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.

Für die Remote-Installation des One Identity Manager Service benötigen Sie eine administrative Arbeitsstation, auf der die One Identity Manager-Komponenten installiert sind. Ausführliche Informationen zur Installation einer Arbeitsstation finden Sie im One Identity Manager Installationshandbuch.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.

  2. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein.

  3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.

    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.

      • Server: Bezeichnung des Jobservers.

      • Queue: Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      • Vollständiger Servername: Vollständiger Servername gemäß DNS Syntax.

        Syntax:

        <Name des Servers>.<Vollqualifizierter Domänenname>

      HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.

  4. Auf der Seite Maschinenrollen wählen Sie Active Directory.

  5. Auf der Seite Serverfunktionen wählen Sie Active Directory Konnektor.

  6. Auf der Seite Dienstkonfiguration erfassen Sie die Verbindungsinformationen und prüfen Sie die Konfiguration des One Identity Manager Service.

    HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.

    • Für eine direkte Verbindung zu Datenbank:

      1. Wählen Sie Prozessabholung | sqlprovider

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zur One Identity Manager-Datenbank.

    • Für eine Verbindung zum Anwendungsserver:

      1. Wählen Sie Prozessabholung, klicken Sie die Schaltfläche Einfügen und wählen Sie AppServerJobProvider.

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zum Anwendungsserver.

      4. Klicken Sie auf den Eintrag Authentifizierungsdaten und klicken Sie die Schaltfläche Bearbeiten.

      5. Wählen Sie das Authentifizierungsmodul. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

  7. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.

  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.

  10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.

    HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.

  11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.

    • Computer: Name oder IP-Adresse des Servers, auf dem der Dienst installiert und gestartet wird.

    • Dienstkonto: Angaben zum Benutzerkonto des One Identity Manager Service.

      • Um den Dienst unter dem Konto NT AUTHORITY\SYSTEM zu starten, aktivieren Sie die Option Lokales Systemkonto.

      • Um den Dienst unter einem anderen Konto zu starten, deaktivieren Sie die Option Lokales Systemkonto und erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.

    • Installationskonto: Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.

      • Um das Benutzerkonto des angemeldeten Benutzers zu verwenden, aktivieren Sie die Option Angemeldeter Benutzer.

      • Um ein anderes Benutzerkonto zu verwenden, deaktivieren Sie die Option Angemeldeter Benutzer und geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.

    • Um das Installationsverzeichnis, den Namen, den Anzeigenamen oder die Beschreibung für den One Identity Manager Service zu ändern, nutzen Sie die weiteren Optionen.

  12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung One Identity Manager Service in der Dienstverwaltung des Servers eingetragen.

Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Active Directory Domäne

Verwenden Sie den Synchronization Editor, um die Synchronisation zwischen One Identity Manager-Datenbank und Active Directory-Umgebung einzurichten. Nachfolgend sind die Schritte für die initiale Einrichtung eines Synchronisationsprojektes beschrieben. Ausführliche Informationen zur Einrichtung der Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Nach der initialen Einrichtung können Sie innerhalb des Synchronisationsprojektes die Workflows anpassen und weitere Workflows konfigurieren. Nutzen Sie dazu den Workflow-Assistenten im Synchronization Editor. Der Synchronization Editor bietet zusätzlich verschiedene Konfigurationsmöglichkeiten für ein Synchronisationsprojekt an.

Für die Einrichtung des Synchronisationsprojektes sollten Sie die folgenden Informationen bereit halten.

WICHTIG: Für eine erfolgreiche Authentifizierung müssen der Domänen–Controller und die Domäne per DNS Anfrage aufgelöst werden können. Ist die DNS Auflösung nicht möglich, wird die Verbindung zum Zielsystem mit Fehlermeldung abgelehnt.

Tabelle 4: Benötigte Informationen für die Erstellung eines Synchronisationsprojektes
Angaben Erläuterungen

Vollständiger Name der Domäne

Vollständiger Name der Domäne.

Beispiel:

Doku.Testlab.dd

Benutzerkonto und Kennwort zur Anmeldung an der Domäne

Benutzerkonto und Kennwort zur Anmeldung an der Domäne. Dieses Benutzerkonto wird für den Zugriff auf die Domäne verwendet. Stellen Sie ein Benutzerkonto mit ausreichenden Berechtigungen bereit. Weitere Informationen finden Sie unter Benutzer und Berechtigungen für die Synchronisation mit dem Active Directory.

DNS Name des Domänen-Controllers

Vollständiger Name des Domänen-Controllers, gegen den sich der Synchronisationsserver verbindet, um auf die Active Directory Objekte zuzugreifen.

Beispiel:

Server.Doku.Testlab.dd

Kommunikationsport auf dem Domänen-Controller

Kommunikationsport auf dem Domänen-Controller. LDAP Standard-Kommunikationsport ist Port 389.

Authentifizierungsart

Eine Verbindung zum Zielsystem kann nur hergestellt werden, wenn die richtige Authentifizierungsart gewählt wird. Als Standard wird die Authentifizierungsart Secure verwendet.

Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Synchronisationsserver für das Active Directory

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Auf dem Synchronisationsserver muss der One Identity Manager Service mit dem Active Directory Konnektor installiert sein.

Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein. Verwenden Sie beim Einrichten des Jobservers die folgenden Eigenschaften.

Tabelle 5: Zusätzliche Eigenschaften für den Jobserver
Eigenschaft Wert
Serverfunktion

Active Directory Konnektor

Maschinenrolle Server/Jobserver/Active Directory

Weitere Informationen finden Sie unter Einrichten des Synchronisationsservers.

Verbindungsdaten zur One Identity Manager-Datenbank

  • Datenbankserver

  • Datenbank

  • SQL Server Anmeldung und Kennwort

  • Angabe, ob integrierte Windows-Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows-Authentifizierung unterstützt.

Remoteverbindungsserver

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Der Remoteverbindungsserver und die Arbeitsstation müssen in der selben Active Directory Domäne stehen.

Konfiguration des Remoteverbindungsservers:

  • One Identity Manager Service ist gestartet

  • RemoteConnectPlugin ist installiert

  • Active Directory Konnektor ist installiert

  • Zielsystemspezifische Komponenten sind installiert

Der Remoteverbindungsserver muss im One Identity Manager als Jobserver bekannt sein. Es wird der Name des Jobservers benötigt.

TIPP: Der Remoteverbindungsserver benötigt dieselbe Konfiguration (bezüglich der installierten Software sowie der Berechtigungen des Benutzerkontos) wie der Synchronisationsserver. Nutzen Sie den Synchronisationsserver gleichzeitig als Remoteverbindungsserver, indem Sie lediglich das RemoteConnectPlugin zusätzlich installieren.

Ausführliche Informationen zum Herstellen einer Remoteverbindung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

HINWEIS: Der folgende Ablauf beschreibt die Einrichtung eines Synchronisationsprojekts, wenn der Synchronization Editor

  • im Standardmodus ausgeführt wird und

  • aus dem Launchpad gestartet wird.

Wenn der Projektassistent im Expertenmodus ausgeführt wird oder direkt aus dem Synchronization Editor gestartet wird, können zusätzliche Konfigurationseinstellungen vorgenommen werden. Folgen Sie in diesen Schritten den Anweisungen des Projektassistenten.

Um ein initiales Synchronisationsprojekt für eine Active Directory Domäne einzurichten

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

    HINWEIS: Wenn die Synchronisation über einen Anwendungsserver ausgeführt werden soll, stellen Sie die Datenbankverbindung über den Anwendungsserver her.

  2. Wählen Sie den Eintrag Zielsystemtyp Active Directory und klicken Sie Starten.

    Der Projektassistent des Synchronization Editors wird gestartet.

  1. Auf der Seite Systemzugriff legen Sie fest, wie der One Identity Manager auf das Zielsystem zugreifen kann.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, möglich, nehmen Sie keine Einstellungen vor.

    • Ist der Zugriff von der Arbeitsstation, auf der Sie den Synchronization Editor gestartet haben, nicht möglich, können Sie eine Remoteverbindung herstellen.

      Aktivieren Sie die Option Verbindung über einen Remoteverbindungsserver herstellen und wählen Sie unter Jobserver den Server, über den die Verbindung hergestellt werden soll.

  1. Auf der Seite Domänenauswahl legen Sie die zu synchronisierende Active Directory Domäne fest.
    • Wählen Sie in der Auswahlliste Domäne die Domäne oder tragen Sie den vollständigen Domänennamen ein.

  2. Auf der Seite Anmeldedaten geben Sie das Benutzerkonto für den Zugriff auf die Domäne an. Dieses Benutzerkonto wird zur Synchronisation der Active Directory Objekte genutzt.

    1. Um ein definiertes Benutzerkonto zu verwenden, erfassen Sie das Benutzerkonto und das Kennwort zur Anmeldung am Zielsystem.

      - ODER -

      Wenn Sie die Angabe leer lassen, wird das Benutzerkonto des aktuell angemeldeten Benutzers genutzt. Im Fall der Synchronisation ist dies das Benutzerkonto, unter dem der One Identity Manager Service läuft. Das Benutzerkonto benötigt die unter Benutzer und Berechtigungen für die Synchronisation mit dem Active Directory beschriebenen Berechtigungen.

      HINWEIS: Wenn Sie kein Benutzerkonto angeben, dann wird während der Konfiguration im Synchronization Editor ebenfalls das Benutzerkonto des aktuell angemeldeten Benutzers verwendet.

      Das Benutzerkonto, das für den Synchronization Editor verwendet wird, weicht gegebenenfalls vom Benutzerkonto des One Identity Manager Service ab. In diesem Fall wird empfohlen, das RemoteConnectPlugin zu verwenden. Damit ist sichergestellt, dass das gleiche Benutzerkonto während Konfiguration im Synchronization Editor als auch im Dienstkontext verwendet wird.

    2. Klicken Sie im Bereich Anmeldedaten verifizieren auf Test, um die Verbindung zur Domäne zu testen.

  3. Auf der Seite Verbindungsoptionen konfigurieren geben Sie den Domänen-Controller für die Synchronisation an und legen fest, mit welchen Optionen die Verbindung erfolgen soll.
    • Im Bereich Binding Optionen legen Sie die Authentifizierungsart für die Anmeldung am Zielsystem fest. Als Standard wird die Authentifizierungsart Secure verwendet.
    • Im Bereich Domänen-Controller wählen oder eingeben legen Sie den Domänen-Controller fest.
      1. Wählen Sie in der Auswahlliste Domänen-Controller einen vorhandenen Domänen-Controller aus oder tragen Sie den vollständiger Name des Domänen-Controllers direkt ein.
      2. Geben Sie im Eingabefeld Port den Kommunikationsport auf dem Domänen-Controller an. LDAP Standard-Kommunikationsport ist Port 389.
      3. Legen Sie über die Option SSL verwenden fest, ob eine sichere Verbindung verwendet werden soll.
      4. Klicken Sie Test, um die Verbindung zu testen. Es wird versucht eine Verbindung zum Domänen-Controller aufzubauen.
  4. Auf der Seite Konnektor Funktionen legen Sie zusätzliche Einstellungen für die Synchronisation fest. Erfassen Sie folgende Einstellungen.
    Tabelle 6: Zusätzliche Einstellungen
    Eigenschaft Beschreibung
    Bei Anlage Objekte mit gleichem Distinguished Name oder GUID aus dem Papierkorb wiederherstellen. Angabe, ob gelöschte Active Directory Objekte beim Einfügen berücksichtigt werden sollen. Aktivieren Sie diese Option, wenn beim Einfügen eines Objektes zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll.
    Erlaube das Lesen und Schreiben von Eigenschaften des Remote Access Service (RAS). Angabe, ob Remote Access Service (RAS) Eigenschaften synchronisiert werden sollen. Wenn die Option nicht aktiviert ist, werden in der Synchronisation Standardwerte angenommen. Es werden jedoch keine Eigenschaften gelesen oder geschrieben. Sie können diese Optionen zu einem späteren Zeitpunkt konfigurieren.
    Erlaube das Lesen und Schreiben von Eigenschaften des Terminal-Dienstes. Angabe, ob die Terminalserver-Eigenschaften synchronisiert werden sollen. Wenn die Option nicht aktiviert ist, werden in der Synchronisation Standardwerte angenommen. Es werden jedoch keine Eigenschaften gelesen oder geschrieben. Sie können diese Optionen zu einem späteren Zeitpunkt konfigurieren.

    HINWEIS: Das Einlesen der Terminalserver-Eigenschaften und RAS-Eigenschaften verlangsamt unter Umständen die Synchronisation.

  1. Auf der Seite One Identity Manager Verbindung überprüfen Sie die Verbindungsdaten zur One Identity Manager-Datenbank. Die Daten werden aus der verbundenen Datenbank geladen. Geben Sie das Kennwort erneut ein.

    HINWEIS: Wenn Sie mit einer unverschlüsselten One Identity Manager-Datenbank arbeiten und noch kein Synchronisationsprojekt in der Datenbank gespeichert ist, erfassen Sie alle Verbindungsdaten neu. Wenn bereits ein Synchronisationsprojekt gespeichert ist, wird diese Seite nicht angezeigt.

  2. Der Assistent lädt das Zielsystemschema. Abhängig von der Art des Zielsystemzugriffs und der Größe des Zielsystems kann dieser Vorgang einige Minuten dauern.

  1. Auf der Seite Zielsystemzugriff einschränken legen Sie fest, wie der Systemzugriff erfolgen soll. Zur Auswahl stehen:
    Tabelle 7: Zielsystemzugriff festlegen
    Option Bedeutung

    Das Zielsystem soll nur eingelesen werden.

    Angabe, ob nur ein Synchronisationsworkflow zum initialen Einlesen des Zielsystems in die One Identity Manager-Datenbank eingerichtet werden soll.

    Der Synchronisationsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In den One Identity Manager.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In den One Identity Manager definiert.

    Es sollen auch Änderungen im Zielsystem durchgeführt werden.

    Angabe, ob zusätzlich zum Synchronisationsworkflow zum initialen Einlesen des Zielsystems ein Provisionierungsworkflow eingerichtet werden soll.

    Der Provisionierungsworkflow zeigt folgende Besonderheiten:

    • Die Synchronisationsrichtung ist In das Zielsystem.
    • In den Synchronisationsschritten sind die Verarbeitungsmethoden nur für die Synchronisationsrichtung In das Zielsystem definiert.
    • Synchronisationsschritte werden nur für solche Schemaklassen erstellt, deren Schematypen schreibbar sind.
  1. Auf der Seite Synchronisationsserver wählen Sie den Synchronisationsserver, der die Synchronisation ausführen soll.

    Wenn der Synchronisationsserver noch nicht als Jobserver in der One Identity Manager-Datenbank bekannt gegeben wurde, können Sie einen neuen Jobserver anlegen.

    1. Klicken Sie , um einen neuen Jobserver anzulegen.

    2. Erfassen Sie die Bezeichnung des Jobservers und den vollständigen Servernamen gemäß DNS-Syntax.

    3. Klicken Sie OK.

      Der Synchronisationsserver wird als Jobserver für das Zielsystem in der One Identity Manager-Datenbank bekannt gegeben.

      HINWEIS: Stellen Sie nach dem Speichern des Synchronisationsprojekts sicher, dass dieser Server als Synchronisationsserver eingerichtet ist.
  1. Um den Projektassistenten zu beenden, klicken Sie Fertig.

    Es wird ein Standardzeitplan für regelmäßige Synchronisationen erstellt und zugeordnet. Aktivieren Sie den Zeitplan für die regelmäßige Synchronisation.

    Das Synchronisationsprojekt wird erstellt, gespeichert und sofort aktiviert.

    HINWEIS:Beim Aktivieren wird eine Konsistenzprüfung durchgeführt. Wenn dabei Fehler auftreten, erscheint eine Meldung. Sie können entscheiden, ob das Synchronisationsprojekt dennoch aktiviert werden soll.

    Bevor Sie das Synchronisationsprojekt nutzen, prüfen Sie die Fehler. In der Ansicht Allgemein auf der Startseite des Synchronization Editor klicken Sie dafür Projekt prüfen.

    HINWEIS: Wenn das Synchronisationsprojekt nicht sofort aktiviert werden soll, deaktivieren Sie die Option Synchronisationsprojekt speichern und sofort aktivieren. In diesem Fall speichern Sie das Synchronisationsprojekt manuell vor dem Beenden des Synchronization Editor.

    HINWEIS: Die Verbindungsdaten zum Zielsystem werden in einem Variablenset gespeichert und können bei Bedarf im Synchronization Editor in der Kategorie Konfiguration | Variablen angepasst werden.

HINWEIS:

Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Personen erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für die Domäne bekannt, werden die Benutzerkonten mit den Personen verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand Linked (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten, weisen Sie diesen Benutzerkonten eine Kontendefinition und einen Automatisierungsgrad zu.

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.
  2. Weisen Sie der Domäne die Kontendefinition zu.
  3. Weisen Sie den Benutzerkonten im Zustand Linked (verbunden) die Kontendefinition zu. Es wird der Standardautomatisierungsgrad der Kontendefinition für das Benutzerkonto übernommen.
    1. Wählen Sie im Manager die Kategorie Active Directory | Benutzerkonten | Verbunden aber nicht konfiguriert | <Domäne>.

      - ODER -

      Wählen Sie im Manager die Kategorie Active Directory | Kontakte | Verbunden aber nicht konfiguriert | <Domäne>.

    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

    3. Wählen Sie in der Auswahlliste Kontendefinition die Kontendefinition.

    4. Wählen Sie die Benutzerkonten, die die Kontendefinition erhalten sollen.

    5. Speichern Sie die Änderungen.
Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating