Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer SharePoint Online-Umgebung

Abbilden einer SharePoint Online-Umgebung im One Identity Manager Synchronisieren einer SharePoint Online-Umgebung
Einrichten der Initialsynchronisation mit einem SharePoint Online Mandanten Besonderheiten zur Synchronisation von SharePoint Online-Umgebungen Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von SharePoint Online Benutzerkonten und Personen
Kontendefinitionen für SharePoint Online Benutzerkonten Automatische Zuordnung von Personen zu SharePoint Online Benutzerkonten Personen manuell mit SharePoint Online Benutzerkonten verbinden Anwendungsfälle für SharePoint Online Benutzerkonten Unterstützte Typen von Benutzerkonten Löschverzögerung für SharePoint Online Benutzerkonten festlegen
Managen von Zuweisungen von SharePoint Online Gruppen und Rollen Abbilden von SharePoint Online Objekten im One Identity Manager
SharePoint Online Mandanten SharePoint Online Benutzerkonten SharePoint Online Gruppen SharePoint Online Berechtigungsstufen SharePoint Online Websitesammlungen SharePoint Online Websites SharePoint Online Rollen Einrichten von SharePoint Online Websitesammlungen und Websites Berichte über SharePoint Online Objekte
Behandeln von SharePoint Online Objekten im Web Portal Basisdaten für die Verwaltung einer SharePoint Online-Umgebung Konfigurationsparameter für die Verwaltung einer SharePoint Online Standardprojektvorlage für SharePoint Online Verarbeitung von Systemobjekten

Synchronisieren einer SharePoint Online-Umgebung

Der One Identity Manager unterstützt die Synchronisation mit SharePoint Online. Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und der SharePoint Online-Umgebung sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einem SharePoint Online Mandanten in die One Identity Manager-Datenbank einzulesen,

  • wie Sie eine Synchronisationskonfiguration anpassen,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einem SharePoint Online Mandanten einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einem SharePoint Online Mandanten

Der Synchronization Editor stellt eine Projektvorlage bereit, mit denen die Synchronisation von Benutzerkonten und Berechtigungen der SharePoint Online-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlagen, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einem SharePoint Online Mandanten in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Um die Objekte einer SharePoint Online-Umgebung initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie im Azure Active Directory Mandanten ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit. Der Azure Active Directory Mandant muss im One Identity Manager bekannt sein.

  2. Wenn Sie für die Anmeldung an SharePoint Online die Authentifizierung über eine Azure Active Directory Anwendung nutzen wollen, integrieren Sie den One Identity Manager als Anwendung in dem Azure Active Directory Mandanten, der mit Ihrem Office 365 Mandanten verknüpft ist.

    • Laden Sie die Zertifikatsdatei mit dem privaten Schlüssel (*.PFX) in den Zertifikatsspeicher des Synchronisationsservers und der administrativen Arbeitsstation, auf welcher der Synchronization Editor ausgeführt wird.
  3. Die One Identity Manager Bestandteile für die Verwaltung von SharePoint Online-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | SharePointOnline aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

  4. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  5. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation mit einer SharePoint Online-Umgebung

Bei der Synchronisation des One Identity Manager mit einer SharePoint Online-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzer für den Zugriff auf SharePoint Online (Synchronisationsbenutzer)

Für eine vollständige Synchronisation von Objekten eines SharePoint Online Mandanten mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die benötigten Mindestberechtigungen besitzt. Benötigt wird:

  • ein administratives Benutzerkonto des zugehörigen Azure Active Directory Mandanten, welches eine der folgenden Administratorrollen besitzt.

    • SharePoint Administratoren

    • Azure Active Directory Unternehmensadministrator/Globaler Administrator

    HINWEIS: Dieses Benutzerkonto muss an allen zu administrierenden Websitesammlungen als Websitesammlungsadministrator eingetragen werden. Dies nehmen Sie im SharePoint Online vor.

    Ausführliche Informationen zu Websitesammlungsadministratoren finden Sie in der Dokumentation von Microsoft.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Für die Authentifizierung über eine Azure Active Directory Anwendung benötigt das Benutzerkonto im Zertifikatsspeicher des Computers das Zertifikat mit dem privaten Schlüssel (*.PFX-Datei). Das Zertifikat muss dasselbe Zertifikat sein, welches auch der Synchronisationsbenutzer verwendet.

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Integrieren des One Identity Manager als Anwendung im Azure Active Directory

Um die Daten zwischen One Identity Manager und SharePoint Online zu synchronisieren, müssen Sie den One Identity Manager als Anwendung in dem Azure Active Directory Mandanten integrieren, der mit Ihrem Office 365 Mandanten verknüpft ist. Der SharePoint Online Konnektor authentifiziert sich über diese One Identity Manager Anwendung am Azure Active Directory Mandanten. Ausführliche Informationen zur Integration einer Unternehmensanwendung im Azure Active Directory finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.

HINWEIS: Beim Hinzufügen der One Identity Manager-Anwendung im Azure Active Directory wird eine Anwendungs-ID erzeugt. Die Anwendungs-ID benötigen Sie für die Einrichtung des Synchronisationsprojektes.

Ausführliche Informationen zum Registrieren einer Anwendung finden Sie unter https://docs.microsoft.com/de-de/azure/active-directory/develop/quickstart-register-app.

Um den One Identity Manager für SharePoint Online als Anwendung im Azure Active Directory zu konfigurieren

  1. Erstellen Sie ein selbstsigniertes X.509-Zertifikat mit dem Typ Serverauthentifizierung, das zur Authentifizierung der Anwendung gegen Azure Active Directory verwendet wird.

    Ausführliche Informationen dazu finden Sie in der SharePoint Online Dokumentation von Microsoft.

  2. Registrieren Sie eine neue Anwendung, wie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung beschrieben.

    • Wählen Sie die Option Accounts in this organizational directory only.

  3. Kopieren Sie die Anwendungs-ID.

  4. Laden Sie die Zertifikatsdatei (*.CER) und kopieren Sie sich den Fingerabdruck des Zertifikats.

    Der Fingerabdruck wird beim Einrichten des Synchronisationsprojekts benötigt.

  5. Fügen Sie der Anwendung folgende Berechtigungen hinzu.

    • API Berechtigungen:

      • Microsoft-APIs > SharePoint

    • Anwendungsberechtigungen:

      • Sites.FullControl.All

      • TermStore.ReadWrite.All

      • User.ReadWrite.All

  6. Erteilen Sie die Administrator-Zustimmung für diese Berechtigungen (API permissions > Grant consent > Grant admin consent for > Yes).

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating