Chat now with support
Chat with Support

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer Google Workspace-Umgebung

Abbilden einer Google Workspace-Umgebung im One Identity Manager Synchronisieren einer Google Workspace Kunden-Umgebung
Einrichten der Initialsynchronisation einer Google Workspace Kunden-Umgebung Anpassen der Synchronisationskonfiguration für Google Workspace Kunden-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Google Workspace Benutzerkonten und Identitäten
Kontendefinitionen für Google Workspace Benutzerkonten Automatische Zuordnung von Identitäten zu Google Workspace Benutzerkonten Identitäten manuell mit Google Workspace Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für Google Workspace Benutzerkonten festlegen
Bereitstellen von Anmeldeinformationen für Google Workspace Benutzerkonten Managen von Google Workspace Berechtigungszuweisungen Abbilden von Google Workspace Objekten im One Identity Manager
Google Workspace Kunden Google Workspace Benutzerkonten Google Workspace Gruppen Google Workspace Produkte und SKUs Google Workspace Organisationen Google Workspace Domains Google Workspace Domain-Aliasse Google Workspace Admin-Rollen Google Workspace Admin-Berechtigungen Google Workspace Admin-Rollen-Zuordnungen Google Workspace externe E-Mail-Adressen Berichte über Google Workspace Objekte
Behandeln von Google Workspace Objekten im Web Portal Basisdaten für die Verwaltung einer Google Workspace Kunden-Umgebung Beheben von Fehlern beim Anbinden einer Google Workspace Kunden-Umgebung Konfigurationsparameter für die Verwaltung einer Google Workspace-Umgebung Standardprojektvorlage für Google Workspace API-Bereiche für das Dienstkonto Verarbeitungsmethoden von Google Workspace Systemobjekten Besonderheiten bei der Zuweisung von Google Workspace Gruppen

Erweiterte Einstellungen der Systemverbindung zur Google Workspace Kunden-Umgebung

An der Zielsystemverbindung können verschiedene zusätzliche Einstellungen vorgenommen werden, beispielsweise um die Anzahl an Wiederholversuchen oder Wartezeiten festzulegen. Beim Einrichten der initialen Synchronisation werden für diese Eigenschaften der Systemverbindung Standardwerte gesetzt. Diese Standardwerte können angepasst werden, beispielsweise um die Analyse von Synchronisationsproblemen zu unterstützen.

Um die Standardwerte zu ändern, gibt es zwei Wege:

  1. Legen Sie ein spezialisiertes Variablenset an und ändern Sie die Werte der betroffenen Variablen. (Empfohlenes Vorgehen.)

    Die Standardwerte bleiben im Standardvariablenset erhalten. Die Variablen können jederzeit auf die Standardwerte zurückgesetzt werden.

    Weitere Informationen finden Sie unter Verbindungsparameter im Variablenset bearbeiten.

  2. Bearbeiten Sie die Zielsystemverbindung mit dem Systemverbindungsassistenten und ändern Sie die betroffenen Werte.

    Der Systemverbindungsassistent liefert zusätzliche Erläuterungen zu den Einstellungen. Die Standardwerte können nur unter bestimmten Voraussetzungen wiederhergestellt werden.

    Weitere Informationen finden Sie unter Eigenschaften der Zielsystemverbindung bearbeiten.

HINWEIS: Wenn der Projektassistent beim initialen Einrichten der Synchronisation direkt aus dem Synchronization Editor gestartet wird, können Sie die erweiterten Einstellungen bereits beim Einrichten des Synchronisationsprojekts bearbeiten. In diesem Fall werden die Standardwerte sofort durch Ihre Einstellungen überschrieben.
Tabelle 9: Erweiterte Einstellungen der Zielsystemverbindung

Eigenschaft

Beschreibung

Nur lesender API-Zugriff

Gibt an, ob die API-Bereiche für den Nur-Lese-Zugriff in der Google Admin-Konsole eingetragen wurden. Aktivieren Sie diese Option, wenn auf das Zielsystem keinerlei schreibende Berechtigung vergeben werden darf. Der Konnektor kann dann ausschließlich lesend auf das Zielsystem zugreifen.

  • In der Google Admin-Konsole muss die Client-ID des Dienstkontos auf verschiedene API-Bereiche autorisiert werden. Eine Liste der API-Bereiche finden Sie auf dem One Identity Manager-Installationsmedium. Diese Liste kann als Kopiervorlage genutzt werden.

    Verzeichnis: Modules\GAP\dvd\AddOn\ApiAccess

    Datei: GoogleWorkspaceRequiredAPIAccessReadOnly.txt

Wenn die Option deaktiviert ist, sind Lese- und Schreibzugriffe möglich. Dafür müssen andere API-Bereiche autorisiert werden.

Lokalen Cache verwenden

Angabe, ob der lokale Cache des Google Workspace Konnektors genutzt werden soll.

Der lokale Cache wird genutzt, um zu vermeiden, dass durch die Synchronisation die API-Kontingente überschritten werden. Bei einer Vollsynchronisation werden die Zugriffe auf Google Workspace minimiert. Bei der Provisionierung wird die Option ignoriert.

Die Option ist standardmäßig aktiviert. Für Fehleranalysen kann sie deaktiviert werden.

Ausführliche Informationen dazu finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Polling Anzahl

Legt fest, wie oft bei der Provisionierung oder Synchronisation ins Zielsystem versucht werden soll, einen neu geschriebenen Wert zu lesen, bevor ein Fehler gemeldet wird.

Beim Speichern bestimmter Eigenschaften von Benutzerkonten (beispielsweise Telefonnummern oder Instant Messenger Einstellungen) ist das Ergebnis in Google Workspace verzögert sichtbar und kann daher erst nach einer Verzögerung für weitere Operationen genutzt werden.

Wiederholversuche bei der Massenverarbeitung

Anzahl der Wiederholversuche für fehlgeschlagene Massenoperationen im Zielsystem, beispielsweise bei der Synchronisation von Gruppenmitgliedschaften.

Timeout bei der Massenverarbeitung

Wartezeit in Sekunden zwischen den Wiederholversuchen für fehlgeschlagene Massenoperationen.

Nutzerdaten vor dem Löschen transferieren

Gibt an, ob Nutzerdaten von Google Applikationen vor dem Löschen von Benutzerkonten an ein anderes Benutzerkonto übertragen werden sollen.

Nutzerdaten, wie beispielsweise Google Drive Daten, Google+ Seiten und Google Kalender, können vor dem endgültigen Löschen des Benutzerkontos an ein anderes Benutzerkonto übertragen werden.

Variable: CP_TransferUserDataBeforeDelete

Nutzerdatentransfer XML

Nutzerdaten von Google Applikationen, die vor dem Löschen eines Benutzerkontos an ein anderes Benutzerkonto übertragen werden sollen. Standardmäßig werden alle Nutzerdaten übertragen. Um die Standardliste zu ersetzen, kann hier ein XML-Dokument hinterlegt werden.

Um die Standardliste wiederherzustellen, löschen Sie das XML-Dokument.

Beispiel für ein Nutzerdatentransfer XML

<Applications>
    <Application name="Drive and Docs">
        <TransferParam key="PRIVACY_LEVEL">
            <TransferValue value="SHARED" />
            <TransferValue value="PRIVATE" />
        </TransferParam>        
    </Application>
    <Application name="Calendar">
        <TransferParam key="RELEASE_RESOURCES">
            <TransferValue value="TRUE" />
        </TransferParam>        
    </Application>    
    <Application name="Google+" />
</Applications>

Dieser Verbindungsparameter kann nicht in eine Variable umgewandelt werden.

Standard-E-Mail-Adresse für Datentransfer

Standard-E-Mail-Adresse des Zielbenutzerkontos für den Transfer von Nutzerdaten, wenn ein Benutzerkonto gelöscht wird. Die E-Mail-Adresse des Zielbenutzerkontos muss eine E-Mail-Adresse aus der primären Domain der Kunden-Umgebung sein, zu der auch das gelöschte Benutzerkonto gehört.

Diese E-Mail-Adresse wird genutzt, wenn über den Manager des gelöschten Benutzerkontos keine E-Mail-Adresse ermittelt werden kann.

Variable: CP_DefaultDataTransferTargetEmail

Produkte und SKUs XML

Produkt-IDs und Stock-Keeping-Unit-IDs als XML-Datei.

Die Liste der verfügbaren Produkte und SKUs ist durch Google fest definiert und daher auch fest im Google Workspace Konnektor hinterlegt. Wenn Google diese Liste ändert, kann hier ein XML-Dokument erfasst werden, welches die im Google Workspace Konnektor hinterlegte Liste überschreibt.

Um die Standardliste wiederherzustellen, löschen Sie das XML-Dokument.

Beispiel für ein Produkte und SKUs XML

<products>
    <product name="Google Workspace" id="Google-Apps">
        <sku id="Google-Apps-Unlimited" name="Google Workspace Business"/>
        <sku id="Google-Apps-For-Business" name="Google Workspace Basic" />
        <sku id="Google-Apps-Lite" name="oogle Workspace Lite"/>
        <sku id="Google-Apps-For-Postini" name="Google Apps Message Security"/>
    </product>
    <product name="Google Drive storage" id="Google-Drive-storage">
        <sku id="Google-Drive-storage-20GB" name="Google Drive storage 20 GB"/>
        <sku id="Google-Drive-storage-50GB" name="Google Drive storage 50 GB"/>
        <...>
        <sku id="Google-Drive-storage-16TB" name="Google Drive storage 16 TB"/>
    </product>
    <...>
</products>

Dieser Verbindungsparameter kann nicht in eine Variable umgewandelt werden.

Verwandte Themen

Verbindungsparameter im Variablenset bearbeiten

Die Verbindungsparameter für die erweiterten Einstellungen wurden beim Einrichten der Synchronisation als Variablen im Standardvariablenset gespeichert. Sie können die Werte dieser Variablen in einem spezialisierten Variablenset Ihren Erfordernissen anpassen und dieses Variablenset einer Startkonfiguration und einem Basisobjekt zuordnen. Damit haben Sie jederzeit die Möglichkeit, erneut die Standardwerte aus dem Standardvariablenset zu nutzen.

HINWEIS: Um die Datenkonsistenz in den angebundenen Zielsystemen zu bewahren, stellen Sie sicher, dass die Startkonfiguration für die Synchronisation und das Basisobjekt für die Provisionierung dasselbe Variablenset verwenden. Das gilt insbesondere, wenn ein Synchronisationsprojekt für die Synchronisation verschiedener Kunden-Umgebungen genutzt wird.

Um die Verbindungsparameter in einem spezialisierten Variablenset anzupassen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Konfiguration > Zielsystem.

  3. Öffnen Sie die Ansicht Verbindungsparameter.

    Einige Verbindungsparameter können hier in Variablen umgewandelt werden. Für andere sind bereits Variablen angelegt.

  4. Wählen Sie einen der folgenden Parameter und klicken Sie Umwandeln.

    • Polling Anzahl

    • Wiederholversuche bei der Massenverarbeitung

    • Timeout bei der Massenverarbeitung

    • Lokalen Cache verwenden

    • Nur lesender API-Zugriff

  5. Wählen Sie die Kategorie Konfiguration > Variablen.

    Im unteren Bereich der Dokumentenansicht werden alle spezialisierten Variablensets angezeigt.

  6. Wählen Sie ein spezialisiertes Variablenset oder klicken Sie in der Symbolleiste der Variablensetansicht .

    • Um das Variablenset umzubenennen, markieren Sie das Variablenset und klicken Sie in der Symbolleiste der Variablensetansicht . Erfassen Sie einen Namen für das Variablenset.

  7. Wählen Sie die zuvor angelegten Variablen und erfassen Sie neue Werte.

  8. Wählen Sie die Kategorie Konfiguration > Startkonfigurationen.

  9. Wählen Sie eine Startkonfiguration und klicken Sie Bearbeiten.

  10. Wählen Sie den Tabreiter Allgemein.

  11. Ordnen Sie im Eingabefeld Variablenset das spezialisierte Variablenset zu.

  12. Wählen Sie die Kategorie Konfiguration > Basisobjekte.

  13. Wählen Sie ein Basisobjekt und klicken Sie .

    - ODER -

    Klicken Sie , um ein neues Basisobjekt anzulegen.

  14. Ordnen Sie im Eingabefeld Variablenset das spezialisierte Variablenset zu.

  15. Speichern Sie die Änderungen.

Ausführliche Informationen zur Anwendung von Variablen und Variablensets, zum Wiederherstellen der Standardwerte und zum Anlegen von Basisobjekten finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Eigenschaften der Zielsystemverbindung bearbeiten

Die erweiterten Einstellungen der Zielsystemverbindung können mit dem Systemverbindungsassistenten geändert werden. Wenn für die Einstellungen Variablen definiert sind, werden die Änderungen in das aktive Variablenset übernommen.

HINWEIS: Unter folgenden Umständen können die Standardwerte nicht wiederhergestellt werden:

  • Die Verbindungsparameter sind nicht als Variablen hinterlegt.

  • Das Standardvariablenset ist als aktives Variablenset ausgewählt.

In beiden Fällen überschreibt der Systemverbindungsassistent die Standardwerte. Sie können später nicht wiederhergestellt werden.

Um die erweiterten Einstellungen mit dem Systemverbindungsassistenten zu bearbeiten

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie in der Symbolleiste das aktive Variablenset, das für die Verbindung zum Zielsystem verwendet werden soll.

    HINWEIS: Ist das Standardvariablenset ausgewählt, werden die Standardwerte überschrieben und können später nicht wiederhergestellt werden.

  3. Wählen Sie die Kategorie Konfiguration > Zielsystem.

  4. Klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  1. Auf der Startseite des Systemverbindungsassistenten aktivieren Sie Erweiterte Einstellungen anzeigen.

  2. Auf der Seite Google Workspace Administratoren können Sie zusätzlich die Option Nur lesender API-Zugriff aktivieren.

    Wenn Sie die Verbindung testen, wird geprüft, ob die passenden API-Bereiche autorisiert sind.

  3. Auf der Seite Lokaler Cache können Sie die Option Lokalen Cache verwenden aktivieren.

  4. Auf der Seite Erweiterte Einstellungen passen Sie die Eigenschaften Ihren Erfordernissen an.

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema

Provisionierung von Mitgliedschaften konfigurieren

Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:

  • Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.

    Beispiel: Liste von Benutzerkonten in der Eigenschaft Members einer Google Workspace Gruppe (Group)

  • Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.

  • Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.

Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.

Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.

Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen

  1. Wählen Sie im Manager die Kategorie Google Workspace > Basisdaten zur Konfiguration > Zielsystemtypen.

  2. Wählen Sie in der Ergebnisliste den Zielsystemtyp Google Workspace.

  3. Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.

  4. Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.

  5. Klicken Sie Merge-Modus.

    HINWEIS:

    • Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.

    • Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.

  6. Speichern Sie die Änderungen.

Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.

HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.

Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.

Um die originale Bedingung wiederherzustellen

  1. Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.

  2. Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.

  3. Speichern Sie die Änderungen.

HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.

Beispiel für eine Bedingung an der Zuordnungstabelle GAPUserInPaSku:

exists (select top 1 1 from GAPPaSku g
where g.UID_GAPPaSku = i.UID_GAPPaSku
and <einschränkende Bedingung>)

Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating