Für das MappingListe von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden. einzelner Schemaeigenschaften kann es erforderlich sein, eins der verbundenen Systeme als Datenmaster festzulegen. Die Property-Mapping-Regeln für diese Schemaeigenschaften haben eine MappingrichtungDie für das Mapping der Schemaeigenschaften zulässige SynchronisationsrichtungRichtung, in der die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. ausgeführt wird. Durch die Synchronisationsrichtung wird das Mastersystem der Synchronisation festgelegt.., die nur in eine Richtung zeigt. Wenn die Bearbeitung dieser Schemaeigenschaften in keinem der verbundenen Systeme technische eingeschränkt ist, können deren Werte auch in dem System geändert werden, das nicht der Datenmaster ist.
Wenn die Synchronisationsrichtung mit der Mappingrichtung übereinstimmt, werden diese Änderungen bei der nächsten Synchronisation überschrieben.
Wenn die Synchronisationrichtung der Mappingrichtung entgegengesetzt ist, entstehen inkonsistente Daten, die durch die Synchronisation nicht korrigiert werden, da die Property-Mapping-Regeln nicht ausgeführt werden. Solche Änderungen gelten als "unzulässige Änderungen". Dabei wird als Änderung jede Differenz zwischen den Objekteigenschaften der verbundenen Systeme betrachtet, unabhängig davon, in welchem System das Objekt tatsächlich geändert wurde.
Unzulässige Änderungen können bei der Synchronisation erkannt (Rogue Detection), protokolliert und korrigiert (Rogue Correction) werden. Das entsprechende Verhalten konfigurieren Sie an den Property-Mapping-Regeln.
Voraussetzungen
- An der Property-Mapping-RegelBeschreibt, wie eine SchemaeigenschaftEigenschaft eines Schematyps. Bezieht sich auf genau eine Spalte einer Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau eine Eigenschaft eines Objekttyps des nicht-datenbankbasierten Schemas. des Zielsystems im One Identity Manager SchemaDatenmodell eines verbundenen Systems. Das Schema beschreibt alle aus dem verbundenen System stammenden Daten. siehe Zielsystemschema; siehe One Identity Manager Schema; siehe Konnektorschema; siehe Erweitertes Schema abgebildet wird. ist die Mappingrichtung In das ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“ oder In den One Identity Manager festgelegt.
-
An der Property-Mapping-Regel ist die Option Mapping gegen die Synchronisationsrichtung erzwingen deaktiviert.
Um unzulässige Änderungen zu erkennen und zu protokollieren
-
Bearbeiten Sie die Property-Mapping-Regel.
Aktivieren Sie Unzulässige Änderungen erkennen.
Weitere Informationen finden Sie unter Vorgehen: Property-Mapping-Regeln bearbeiten.
Um unzulässige Änderungen zu korrigieren
- Aktivieren Sie an der Property-Mapping-Regel zusätzlich Unzulässige Änderungen korrigieren.
Ablauf der Synchronisation mit Änderungserkennung
-
Eine Property-Mapping-Regel, deren Mappingrichtung der aktuellen Synchronisationsrichtung entgegengesetzt ist, wird identifiziert.
-
Wenn Unzulässige Änderungen erkennen aktiviert ist, prüft der One Identity Manager die vorhandenen Objekte der verbundenen Systeme auf unzulässige Änderungen. Unzulässige Änderungen werden protokolliert.
Das Protokoll kann nach der Synchronisation ausgewertet werden. Weitere Informationen finden Sie unter Auswerten der Synchronisation.
-
Wenn Unzulässige Änderungen korrigieren aktiviert ist, führt der One Identity Manager die Property-Mapping-Regel aus. Die Objekteigenschaft im verbundenen System wird mit dem Wert aus dem Datenmaster überschrieben.
Die Änderungserkennung kann insbesondere dann sinnvoll genutzt werden, wenn ein Synchronisations- und ein Provisionierungsworkflow konfiguriert sind, dass heißt, wenn als Synchronisationsrichtung In den One Identity Manager festgelegt ist und für einzelne Schemaeigenschaften die Mappingrichtung In das Zielsystem. Dabei werden nur Änderungen an diesen Schemaeigenschaften, die im Zielsystem vorgenommen wurden, als unzulässige Änderungen identifiziert.
Beispiel
Für die Synchronisation von Active Directory Gruppen ist die Synchronisationsrichtung In den One Identity Manager festgelegt. Die Gruppen und ihre Eigenschaften werden in der Active Directory-Umgebung erstellt, bearbeitet und gelöscht. Lediglich der Kontomanager einer Gruppe soll im One Identity Manager zugewiesen und geändert werden.
Konfigurationseinstellung |
Wert |
---|---|
Synchronisationsrichtung: |
In den One Identity Manager |
Property-Mapping-Regel für die Schemaeigenschaften: |
ADSGroup.ObjectKeyManager - Group.Name of manager |
Mappingrichtung: |
In das Zielsystem |
Unzulässige Änderungen erkennen: |
aktiviert |
Unzulässige Änderungen korrigieren: |
aktiviert |
Durch die Synchronisation werden neue Gruppen im One Identity Manager angelegt. Im One Identity Manager wird ein Kontomanager zugewiesen. Diese Änderung wird in die Zielsystem-Umgebung provisioniert.
Für die Bearbeitung des Kontomanagers gibt es im Zielsystem keine technische Einschränkung. Wenn der Kontomanager in der Active Directory-Umgebung geändert wird, entsteht eine Datendifferenz, also eine unzulässige Änderung. Bei einer erneuten Synchronisation wird diese Änderungen erkannt, protokolliert und rückgängig gemacht. Dabei wird die Property-Mapping-Regel ausgeführt und der Wert im Zielsystem mit dem Wert aus der One Identity Manager-Datenbank überschrieben.
Es kann sinnvoll sein, die Änderungserkennung zusammen mit der Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren zu nutzen. Wie im Beispiel wird in der Active Directory-Umgebung eine neue Gruppe angelegt. Dabei wird initial ein Kontomanager zugewiesen.
Durch die Synchronisation wird die Gruppe im One Identity Manager angelegt, der Kontomanager bleibt jedoch leer, da die Property-Mapping-Regel nicht ausgeführt wird.
Noch bevor im One Identity Manager der Kontomanager zugewiesen wird, wird die Active Directory-Umgebung erneut synchronisiert. Dabei wird eine unzulässige Änderung erkannt (Leerwert in der Datenbank - zugewiesener Kontomanager im Zielsystem). Daraufhin wird der Wert im Zielsystem korrigiert und so der Kontomanager im Zielsystem gelöscht.
Um solche Situationen zu vermeiden, aktivieren Sie die Option Einschränkung der Mappingrichtung bei der Neuanlage ignorieren. Dadurch wird die Property-Mapping-Regel für den Kontomanager bereits beim Anlegen der Gruppe ausgeführt und der Kontomanager in der Datenbank zugewiesen. Bei der darauffolgenden Synchronisation wird keine unzulässige Änderung erkannt, da der Kontomanager in beiden verbundenen Systemen identisch ist.
Um eine Property-Mapping-Regel bei Neuanlage auszuführen
-
Bearbeiten Sie die Property-Mapping-Regel.
Aktivieren Sie Einschränkung der Mappingrichtung bei der Neuanlage ignorieren.
Weitere Informationen finden Sie unter Vorgehen: Property-Mapping-Regeln bearbeiten.