Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse
Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des generischen LDAP Konnektors

Eigenschaften der Zielsystemverbindung bearbeiten

Die erweiterten Einstellungen der Zielsystemverbindung können mit dem Systemverbindungsassistenten geändert werden. Wenn für die Einstellungen Variablen definiert sind, werden die Änderungen in das aktive Variablenset übernommen.

HINWEIS: Unter folgenden Umständen können die Standardwerte nicht wiederhergestellt werden:

  • Die Verbindungsparameter sind nicht als Variablen hinterlegt.

  • Das Standardvariablenset ist als aktives Variablenset ausgewählt.

In beiden Fällen überschreibt der Systemverbindungsassistent die Standardwerte. Sie können später nicht wiederhergestellt werden.

Um die erweiterten Einstellungen mit dem Systemverbindungsassistenten zu bearbeiten

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie in der Symbolleiste das aktive Variablenset, das für die Verbindung zum Zielsystem verwendet werden soll.

    HINWEIS: Ist das Standardvariablenset ausgewählt, werden die Standardwerte überschrieben und können später nicht wiederhergestellt werden.

  3. Wählen Sie die Kategorie Konfiguration | Zielsystem.

  4. Klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  1. Folgen Sie den Anweisungen des Systemverbindungsassistenten und ändern Sie die gewünschten Eigenschaften.

  2. Speichern Sie die Änderungen.
Verwandte Themen

Erweiterte Einstellungen des generischen LDAP Konnektors

WICHTIG: Änderungen an den erweiterten Einstellungen sollten nur von erfahrenen Benutzern des Synchronization Editors und erfahrenen Systemadministratoren vorgenommen werden.

Mit dem Systemverbindungsassistenten können Sie bei Bedarf folgende erweiterte Eigenschaften des generischen Konnektors konfigurieren:

  • Definition von Hilfsklassen von Typ Auxiliary

  • Definition virtueller Klassen für nicht RFC konforme Abbildungen von Objekten

  • Definition von Systemattributen zur Objektidentifikation, Revisionsattributen und zusätzlichen funktionalen Attributen

  • Definition weiterer Attribute für die Unterstützung dynamischer Gruppen

HINWEIS: Um die erweiterten Einstellungen vorzunehmen, aktivieren Sie auf der Startseite des Systemverbindungsassistenten die Option Erweiterte Einstellungen konfigurieren (Expertenmodus).

Hilfsklassen definieren

Auf der Seite Hilfsklassen definieren wählen Sie die strukturellen Klassen, die vom LDAP Konnektor als Hilfsklassen betrachtet werden sollen. Dies kann erforderlich sein, wenn ein nicht RFC-konformes LDAP System die Zuweisung mehrerer struktureller Objektklassen zu einem Eintrag zulässt obwohl nur eine strukturelle Klasse erlaubt ist.

Mehrere zugewiesene strukturelle Klassen führen dazu, das ein LDAP Eintrag nicht eindeutig einem Schematyp zugeordnet werden kann. Wurden strukturelle Objektklassen definiert, die lediglich als Eigenschaftserweiterungen dienen sollen (also Hilfsklassen sein sollten), so kann man den Konnektor mit Hilfe dieser Einstellung dazu veranlassen, diese Objektklasse als Auxiliary zu betrachten.

HINWEIS: Als Auxiliary konfigurierte Objektklassen werden dann nicht mehr als eigenständige Schematypen behandelt und können in Folge auch nicht separat synchronisiert werden.

Hilfsklassen zuordnen

Auf der Seite Hilfsklassen zuordnen weisen Sie strukturellen Klassen zusätzliche Hilfsklassen zu.

Hilfsklassen sind Klassen vom Typ Auxiliary und enthalten Attribute, die die strukturelle Klasse erweitern. Die Attribute der Hilfsklassen werden wie optionale Attribute der strukturellen Klassen im Schema angeboten.

HINWEIS: Um die Attribute der Hilfsklassen im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Virtuelle Klassen definieren

Auf der Seite Virtuelle Klassen definieren Sie zusätzliche virtuelle Klassen. Objekte, die aus mehreren strukturelle Klassen bestehen, können nur in LDAP Systemen erstellt werden, die nicht RFC-konform sind. Sie bestehen aus zwei oder mehr unterschiedlichen Klassen, die nicht voneinander abgeleitet sind, beispielsweise OrganisationalUnit und inetOrgPerson.

GeschlossenVirtuelle Klassen erstellen
Zusätzliche Systemattribute festlegen

Auf der Seite Systemattribute legen Sie fest, welches Attribut des LDAP Systems verwendet werden soll, um die Objekte eindeutig zu identifizieren.

  • Im Bereich Attribut für die Objektidentifikation wählen Sie das Attribut, mit dem Objekte eindeutig im LDAP zu identifizieren sind. Das Attribut muss eindeutig sein und an allen Objekten im LDAP vorhanden sein.

  • Im Bereich Revisionsattribute legen Sie fest, welche Attribute für Revisionsfilterung genutzt werden.

  • Im Bereich Zusätzliche funktionale Attribute legen Sie fest, welche Attribute zusätzlich für die LDAP Objekte ermittelt werden sollen. Funktionale Attribute werden für die Verzeichnisverwaltung verwendet. Die Attribute werden nur ermittelt, wenn sie explizit angegeben sind.

    HINWEIS: Um die funktionalen Attribute im One Identity Manager abzubilden, sind unter Umständen kundenspezifische Erweiterungen des One Identity Manager Schemas erforderlich. Verwenden Sie dazu das Programm Schema Extension.

Attribute für die Unterstützung dynamischer Gruppen definieren

Wenn der LDAP Server dynamische Gruppen unterstützt, markieren Sie auf der Seite Auswahl von Eigenschaften dynamischer Gruppen, die Attribute, welche die URL mit Suchinformationen enthalten, um die Mitglieder von dynamischen Gruppen zu bestimmen, beispielsweise memberURL.

Verwandte Themen

Schema aktualisieren

Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.

Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.

Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:

  • ein Schema geändert wurde, durch:

    • Änderungen am Zielsystemschema

    • unternehmensspezifische Anpassungen des One Identity Manager Schemas

    • eine Update-Migration des One Identity Manager

  • ein Schema im Synchronisationsprojekt komprimiert wurde, durch:

    • die Aktivierung des Synchronisationsprojekts

    • erstmaliges Speichern des Synchronisationsprojekts

    • Komprimieren eines Schemas

Um das Schema einer Systemverbindung zu aktualisieren

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Konfiguration | Zielsystem.

    - ODER -

    Wählen Sie die Kategorie Konfiguration | One Identity Manager Verbindung.

  3. Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

    Die Schemadaten werden neu geladen.

Um ein Mapping zu bearbeiten

  1. Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  2. Wählen Sie die Kategorie Mappings.

  3. Wählen Sie in der Navigationsansicht das Mapping.

    Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.

Beschleunigung der Synchronisation durch Revisionsfilterung

Beim Start der Synchronisation werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.

LDAP unterstützt die Revisionsfilterung. Als Revisionszähler werden die Revisionsattribute genutzt, die bei der Einrichtung des Synchronisationsprojektes definiert wurden. In der Standardinstallation werden das Erstellungsdatum und Datum der letzten Änderung der LDAP Objekte genutzt. Jede Synchronisation speichert ihr letztes Ausführungsdatum in der One Identity Manager-Datenbank. (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Beim nächsten Synchronisationslauf werden nur noch jene Objekte gelesen, die sich seit diesem Datum verändert haben. Anhand des Vergleichs werden unnötige Aktualisierungen von Objekten, die sich seit dem letzten Synchronisationslauf nicht verändert haben, vermieden.

Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die durch die Synchronisation geändert werden, werden bei der nächsten Synchronisation nochmals geladen und überprüft. Die zweite Synchronisation nach der Initialsynchronisation ist daher noch nicht deutlich schneller.

Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.

Um die Revisionsfilterung an einem Workflow zuzulassen

  • Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  • Bearbeiten Sie die Eigenschaften des Workflows. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.

Um die Revisionsfilterung an einer Startkonfiguration zuzulassen

  • Öffnen Sie das Synchronisationsprojekt im Synchronization Editor.

  • Bearbeiten Sie die Eigenschaften der Startkonfiguration. Wählen Sie in der Auswahlliste Revisionsfilterung den Eintrag Revisionsfilter nutzen.

HINWEIS: Beim Einrichten der initialen Synchronisation geben Sie bereits im Projektassistenten an, ob die Revisionsfilterung genutzt werden soll.

Ausführliche Informationen zur Revisionsfilterung finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating