Chat now with support
Chat with Support

Quest has tools and processes in place to identify, protect, detect, and remediate vulnerabilities and incidents when they occur, including external security partners. As part of our standard security operations, Quest does not use CrowdStrike in any of our operations. We are reviewing our third parties, and so far, there is minimal affect. It is Quest's policy not to provide further technical details unless they directly impact customer data.

Identity Manager 9.1 - Administrationshandbuch für Active Roles Integration

Integration mit One Identity Active Roles Synchronisieren einer Active Directory-Umgebung über One Identity Active Roles Interaktion mit Active Roles Arbeitsabläufen Interaktion mit Active Roles Richtlinien Verwalten der Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für One Identity Active Roles Einstellungen des Active Roles Konnektors

Interaktion mit Active Roles Arbeitsabläufen

In der Standardkonfiguration der Prozesse und des Synchronisationsverhaltens arbeitet der integrierte Active Roles Konnektor ohne die Ansteuerung von Active Roles Arbeitsabläufen. Änderungen werden sofort in die Active Directory-Umgebung publiziert. Für das Standardverhalten wird ein administratives Benutzerkonto benötigt, das Mitglied in der Gruppe der Active Roles Administratoren ist.

Der im One Identity Manager integrierte Active Roles Konnektor erlaubt jedoch auch die Ansteuerung von Active Roles Arbeitsabläufen. Das bedeutet, dass für jede Operation, in Active Roles die mit einem Arbeitsablauf verbunden ist, dieser Arbeitsablauf ausgelöst wird.

Wenn der Active Roles Konnektor Arbeitsabläufe auslösen soll, dann müssen Sie gegebenenfalls die Prozesse benutzerdefiniert so anpassen, dass die Prozesse auf die Ausführung der Arbeitsabläufe und somit die Ausführung der erwünschten Änderungen im Active Directory warten. Dies ist erforderlich, da die im One Identity Manager definierten Active Directory Prozesse synchron ausgeführt werden. Um Sie bei der Abfrage der möglichen Status der Arbeitsabläufe zu unterstützen, enthält der Active Roles Konnektor zusätzliche Funktionen.

Ob Arbeitsabläufe angesteuert werden, ist abhängig der Konfiguration der Domäne und den Berechtigungen des One Identity Manager Service Benutzerkontos.

HINWEIS: Ist das Benutzerkonto des One Identity Manager Services Mitglied in der Gruppe der Active Roles Administratoren werden Arbeitsabläufe unabhängig von der Option immer umgangen.

Informationen zu Active Roles Arbeitsabläufen entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

Die nachfolgende Tabelle zeigt die Zusammenhänge.

Tabelle 5: Zusammenhänge zur Ansteuerung von Active Roles Arbeitsabläufen
Das Benutzerkonto ist Mitglied der Active Roles Administratoren? Die Option "Active Roles Arbeitsabläufe ausführen" ist gesetzt? Die Operation ist mit Active Roles Arbeitsabläufen verbunden? Ergebnis

Ja

Ja

Nein

Die Operation wird sofort ausgeführt.

Ja

Nein

Nein

Die Operation wird sofort ausgeführt.

Ja

Ja

Ja

Die Operation wird sofort ohne Ansteuerung der Arbeitsabläufe ausgeführt.

Ja

Nein

Ja

Die Operation wird sofort ohne Ansteuerung der Arbeitsabläufe ausgeführt.

Nein

Ja

Nein

Die Operation wird sofort ausgeführt.

Nein

Nein

Nein

Die Operation wird sofort ausgeführt.

Nein

Ja

Ja

Die Operation löst die Arbeitsabläufe aus und wird abhängig vom finalen Status ausgeführt.

Nein

Nein

Ja

Die Operation wird abgebrochen und eine Fehlermeldung ausgegeben.

Verwandte Themen

Erweiterungen für die Verwendung von Active Roles Arbeitsabläufen

HINWEIS:  Die Einrichtung der Domänen in der One Identity Manager-Datenbank übernimmt der Synchronization Editor.

Um die Stammdaten einer Active Directory Domäne zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Active Directory > Domänen.

  2. Wählen Sie in der Ergebnisliste die Domäne und führen Sie die Aufgabe Stammdaten bearbeiten aus.

  3. Erfassen Sie auf dem Tabreiter Active Roles die folgenden Informationen für die Verwendung von Arbeitsabläufen.

    Tabelle 6: Erweiterte Eigenschaften für die Verwendung von Active Roles Arbeitsabläufen
    Eigenschaft Beschreibung

    Active Roles Arbeitsabläufe ausführen

    Gibt an, obActive Roles Arbeitsabläufe ausgeführt werden sollen. Informationen zu Active Roles Arbeitsabläufen entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

    Ist diese Option gesetzt, erlaubt der integrierte Active Roles Konnektor die Ansteuerung von Active Roles Arbeitsabläufen. Gegebenenfalls müssen Sie die Prozesse im One Identity Manager benutzerdefiniert anpassen!

    Ist die Option nicht gesetzt, arbeitet der One Identity Manager ohne die Ansteuerung von Active Roles Arbeitsabläufen (Standardkonfiguration). Für das Standardverhalten wird ein administratives Benutzerkonto benötigt.

    HINWEIS: Ist das Benutzerkonto des One Identity Manager Service Mitglied in der Gruppe der Active Roles Administratoren werden Active Roles Arbeitsabläufe unabhängig von der Option immer umgangen.

    Löschen von Benutzerkonten durch Active Roles Arbeitsabläufe

    Gibt an, ob Benutzerkonten über Deprovisionierungsabläufe im Active Roles gelöscht werden.

    Löschen von Gruppen durch Active Roles Arbeitsabläufe

    Gibt an, ob Gruppen über Deprovisionierungsabläufe im Active Roles gelöscht werden.

  4. Speichern Sie die Änderungen.
Verwandte Themen

ID und Status einer Operation

Bei jeder Änderungsoperation im Active Directory wird die vom Active Roles Konnektor übermittelte ID an den Ausgabeparameter LastOperationID zurückgegeben. Der vom Active Roles übermittelte Status der Operation wird an den Ausgabeparameter LastOperationStatus zurückgegeben. Wird kein Arbeitsablauf ausgelöst, dann wird bei erfolgreicher Ausführung der Operation der Status Completed zurückgegeben. Wird ein Arbeitsablauf ausgelöst, dann wird der Status Pending zurückgeliefert. Diese Ausgabeparameter können Sie in den Folgeprozessen verwenden, um auf die Ausführung der Arbeitsabläufe zu warten.

Zusätzliche virtuelle Eigenschaften im Schema

Für die Abfrage der aktuellen Status von Arbeitsabläufen enthält das Schema des Active Roles Konnektors zusätzliche virtuelle Eigenschaften.

HINWEIS: Die virtuellen Eigenschaften erfordern keine Erweiterung des Active Directory Schemas. Active Roles verhält sich so, als ob diese Eigenschaften wirklich existieren würden.

Diese virtuellen Eigenschaften sind nur lesend definiert und an jedem Objekt vorhanden, werden jedoch in der Standardprojektvorlage nicht gemappt. Um diese Funktionalität zu nutzen, müssen Sie das Mapping kundenspezifisch anpassen.

Beim Lesen der Eigenschaften führt der Active Roles Konnektor einen OperationSearchRequest-Aufruf zum Active Roles aus. Um die Performance so wenig wie möglich zu beeinträchtigen, wird das Ergebnis gleicher Anfragen für 30 Sekunden im Cache gehalten.

Tabelle 7: Virtuelle Eigenschaften des Active Roles Konnektors
Eigenschaft Beschreibung

vrtLastOperationID

ID der letzten Operation im Active Roles.

vrtLastOperationStatus

Status der letzten Operation im Active Roles. Mögliche Status sind Unknown, Pending, Completed, Rejected, Failed und Canceled.

Weitere Informationen entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating