Chat now with support
Chat with Support

Identity Manager 9.3 - Konfigurationshandbuch

Über dieses Handbuch Softwarearchitektur des One Identity Manager Kundenspezifische Änderungen an der One Identity Manager Standardkonfiguration Anpassen der One Identity Manager Basiskonfiguration Grundlagen zum One Identity Manager Schema
Übersicht über das One Identity Manager Schema Tabellenarten und Standardspalten im One Identity Manager Datenmodell Hinweise zur Bearbeitung von Tabellendefinitionen und Spaltendefinitionen Tabellendefinitionen Spaltendefinitionen Tabellenbeziehungen Dynamische Fremdschlüssel Unterstützung von Dateigruppen
Volltextsuche im One Identity Manager Lokalisierung im One Identity Manager Prozess-Orchestrierung im One Identity Manager
Abbildung von Prozessen im One Identity Manager
Bearbeiten von Prozessen mit dem Prozesseditor Definieren von Prozessen Prozessgenerierung simulieren Gültigkeitsprüfung eines Prozesses Kompilieren von Prozessen testen Änderungen von Prozessen übernehmen und kompilieren Verwenden von prozesslokalen Variablen und globalen Variablen für die Prozessdefinition Schwellwerte für die Verarbeitung von Prozessen Festlegen des ausführenden Servers Benachrichtigung zur Verarbeitung von Prozessschritten Automatisierte Ausführung von Prozessen Übersicht über die Prozesskomponenten
Einrichten von Jobservern
Arbeitsweise des One Identity Manager Service Prozessüberwachung zur Nachverfolgung von Änderungen Bedingte Kompilierung mittels Präprozessorbedingungen Skripte im One Identity Manager
Verwendung von Visual Basic .NET-Skripten Hinweise zur Verwendung von Datumswerten Hinweise zur Verwendung von PowerShell Skripten Verwendung der $-Notation Verwendung von base Objekt Aufruf von Funktionen Prä-Skripte zur Verwendung in Prozessen und Prozessschritten Verwendung von Session Services Verwendung der #LD-Notation Anzeigen von Meldungen in der Benutzeroberfläche Referenzieren von Paketen und Dateien in Skripten Skriptbibliothek Unterstützung bei der Bearbeitung von Skripten im Skripteditor Skripte mit dem Skripteditor erstellen und bearbeiten Skripte im Skripteditor kopieren Skripte im Skripteditor testen Kompilieren von Skripten im Skripteditor testen Änderungen von Skripten übernehmen und kompilieren Überschreiben von Skripten Berechtigungen zu Ausführen von Skripten Bearbeiten und Testen von Skriptcode mit dem System Debugger Erweitertes Debugging im Object Browser
One Identity Manager Abfragesprache Bearbeiten der Benutzeroberfläche
Objektdefinitionen für die Benutzeroberfläche Menüführung der Benutzeroberfläche Formulare für die Benutzeroberfläche Statistiken im One Identity Manager Erweitern des Launchpad Methodendefinitionen für die Benutzeroberfläche Anwendungen für die Gestaltung der Benutzeroberfläche Symbole und Bilder für die Gestaltung der Benutzeroberfläche Verwenden vordefinierter Datenbankabfragen
Berichte im One Identity Manager Erweiterung des One Identity Manager Schemas um kundenspezifische Tabellen oder Spalten Webservice Integration One Identity Manager als SCIM 2.0 Serviceprovider Verarbeitung von DBQueue Prozessor-Aufträgen Aufbau der Konfigurationsdatei Jobservice.cfg

AppServerJobProvider konfigurieren

Der AppServerJobProvider holt die Prozessschritte vom Anwendungsserver ab und sendet diese an eine Jobdestination. Den Jobprovider konfigurieren Sie im Modul Prozessabholung.

Tabelle 65: Parameter des AppServerJobProvider

Parameter

Beschreibung

Authentifizierungsdaten (AuthenticationString)

Wählen Sie das Authentifizierungsmodul. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Max. Anzahl anhängiger Anfragen (RequestQueueLimit)

Die Prozessanforderungen werden intern gecached. Der Parameter enthält die maximale Anzahl an Cacheeinträgen. Der Standardwert ist 1000.

Max.Anzahl anhängiger Ergebnisse (ResultQueueLimit)

Die Verarbeitungsergebnisse werden intern gecached. Der Parameter enthält die maximale Anzahl an Cacheeinträgen. Der Standardwert ist 10000.

Verbindungsparameter (ConnectString)

Webadresse (URL) des Anwendungsservers.

Verwandte Themen

JobServiceDestination konfigurieren

Das Modul JobServiceDestination des One Identity Manager Service übernimmt die eigentliche Abarbeitung der Prozessschritte. Eine JobServiceDestination fordert die Prozessschritte beim Jobprovider an, verarbeitet diese mit den Prozesskomponenten und liefert das Verarbeitungsergebnis zurück.

Tabelle 66: Parameter der JobServiceDestination

Parameter

Beschreibung

Anzahl externer Slots (ExternalSlots)

Anzahl der externen Prozesse (StdioProcessor.exe), die der One Identity Manager Service maximal zur Abarbeitung von Prozesskomponenten öffnet.

Anzahl interner Slots (InternalSlots)

Anzahl der internen Prozesse, die der One Identity Manager Service für die interne Abarbeitung von Prozesskomponenten bereitstellt.

Datei mit privatem Schlüssel (PrivateKey)

Datei mit den Verschlüsselungsinformationen. Standardwert ist private.key.

Die Schlüsseldatei muss auf allen Servern mit aktivem One Identity Manager Service im Installationsverzeichnis des Dienstes vorhanden sein. Findet der One Identity Manager Service beim Start einen privaten Schlüssel, so legt er diesen im benutzerbezogenen Schlüsselcontainer ab und löscht die Datei auf der Festplatte.

Zur Erzeugung einer Schlüsseldatei und Verschlüsselung von Datenbankinformationen nutzen Sie das Programm Crypto Configuration.

HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die im One Identity Manager Installationshandbuch aufgeführten Hinweise zum Arbeiten mit einer verschlüsselten Datenbank.

ID des Jobproviders (ProviderID)

Werden durch den One Identity Manager Service mehrere Jobprovider abgearbeitet, tragen Sie den Namen des zu verwendenden Jobproviders ein. Ist die Angabe leer, wird der erste Jobprovider genutzt.

ID des privaten Schlüssels (PrivateKeyId)

ID des privaten Schlüssels. Ist keine ID angegeben, wird nach der Datei private.key gesucht.

Verwenden Sie den Parameter, wenn Sie mit mehreren privaten Schlüsseln arbeiten, beispielsweise wenn der One Identity Manager Service Daten zwischen zwei verschlüsselten One Identity Manager-Datenbanken übertragen muss. Die privaten Schlüssel erfassen Sie im Modul Datei mit privatem Schlüssel Wenn der One Identity Manager nur eine verschlüsselte Datenbank verwendet, können Sie alternativ die Schlüsseldatei im Parameter Datei mit privatem Schlüssel (PrivateKey) erfassen.

Max. Nachnutzung externer Prozessoren (MaxExternalSlotReuse)

Gibt an, wie oft ein externer Prozessor nach genutzt werden kann, bevor der Prozess entladen und neu gestartet wird. Der Wert 0 besagt, dass der Prozess erst entladen wird, wenn er nicht mehr benutzt wird. Der Standardwert ist 100.

Prozessanfrageintervall (StartInterval)

Intervall in Sekunden, nach dem der One Identity Manager Service neue Prozessschritte anfordert. Der Standardwert liegt bei 90 Sekunden. Aus den Statistikinformationen eines Jobservers werden Konfigurationsvorschläge für das Intervall ermittelt.

Queue (Queue)

Bezeichnung der Queue. Mit dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Für jede Queue muss ein Jobserver in der One Identity Manager-Datenbank bekannt sein.

Timeout für Prozessanfragen (RequestTimeout)

Gibt an, wann eine Prozessanforderung als gescheitert gilt und erneut abgeschickt wird.

Format der Zeitangabe:

Tage.Stunden:Minuten:Sekunden

Umgebungsvariablen für externe Slots (ExternalSlotEnvironment)

Liste von Umgebungsvariablen, die für Prozesse der externen Slots gesetzt werden sollen. Die Variablen übergeben Sie in einer Pipe-getrennten (|) Liste.

Syntax:

Variable1=Wert1|Variable2=Wert2...

Verschlüsselungsverfahren (EncryptionScheme)

Eingesetztes Verschlüsselungsverfahren.

Zulässige Werte sind:

  • RSA: RSA-Verschlüsselung mit AES für größere Daten (Standard).

  • FIPSCompliantRSA: FIPS zertifizierter RSA mit AES für größere Daten. Das Verfahren ist einzusetzen, wenn die Verschlüsselung dem FIPS 140-2 Standard entsprechen muss. Die lokale Sicherheitsrichtlinie Use FIPS compliant algorithms for encryption, hashing, and signing muss aktiviert sein.

Zeitintervall für Statistikberechnungen (StatisticInterval)

Intervall in Sekunden, in welchem der One Identity Manager Service Statistikinformationen zur Verarbeitungsgeschwindigkeit an die Datenbank liefert. Der Standardwert wird auf das 4-fache des Prozessanfrageintervalls gesetzt. Aus den Statistikinformationen eines Jobservers werden Konfigurationsvorschläge für das Intervall ermittelt.

Verwandte Themen

Allgemeine Konfigurationseinstellungen des One Identity Manager Service

Im Modul Konfiguration werden die allgemeinen Konfigurationseinstellungen des One Identity Manager Services vorgenommen.

Tabelle 67: Parameter des Moduls Konfiguration

Parameter

Beschreibung

Ausführliche Protokollierung (VerboseLogging)

Aktivieren Sie den Parameter, um ausführlichere Meldungen zum Starten und Stoppen des One Identity Manager Service zu erhalten.

Debugmodus (DebugMode)

Im Debugmodus schreibt der One Identity Manager Service zusätzliche Informationen in die Protokolldatei, zum Beispiel alle an eine Komponente übergebenen Parameter und Ergebnisse der Prozessverarbeitung.

HINWEIS: Der Parameter wird zur Fehlerlokalisierung eingesetzt. Die Aktivierung des Parameters wird im normalen Betrieb aus Performancegründen nicht empfohlen.

Debugmodus der Komponenten (ComponentDebugMode)

Einzelne Prozesskomponenten des One Identity Manager Service schreiben zusätzliche Verarbeitungsinformationen in die Protokolldatei.

HINWEIS: Der Parameter wird zur Fehlerlokalisierung eingesetzt. Die Aktivierung des Parameters wird im normalen Betrieb aus Performancegründen nicht empfohlen.

HTTP Header (HTTPHeaders)

HTTP Header für die Statusseite. Pipe (|)-getrennte Liste von Headern in der Form: "name1: value1|name2: value2".

Unterstützte Werte sind:

  • X-Frame-Options: SAMEORIGIN

  • X-Content-Type-Options: nosniff

  • Content-Security-Policy: default-src 'self';script-src 'self' 'unsafe-inline';style-src 'self' 'unsafe-inline';img-src 'self' data:;font-src 'self' data:

  • X-XSS-Protection: 1; mode=block

Beispiel:

"X-Frame-Options: SAMEORIGIN|X-Content-Type-Options:nosniff"

IP-Adresse des HTTP Servers (HTTPAddress)

Läuft der One Identity Manager Service auf einem Rechner mit mehreren Netzwerkkarten, so können Sie hier angeben, an welcher IP-Adresse der Service arbeiten soll. Ist keine IP-Adresse angegeben, so wird mit allen gearbeitet.

Port des HTTP Servers (HTTPPort)

Jeder One Identity Manager Service arbeitet automatisch als HTTP Server. Mit diesem Parameter bestimmen Sie den Port, an dem der One Identity Manager Service arbeitet. Standard ist der Port 1880.

Angesprochen wird der HTTP Server über:

http://<Servername>:<Portnummer>

Private Schlüssel nicht schützen (DoNotProtectPrivateKeys)

Wenn der One Identity Manager Service beim Start einen privaten Schlüssel im Installationsverzeichnis findet, so legt er diesen im Windows internen Schlüsselcontainer seines Dienstkontos ab und löscht die Datei auf der Festplatte. Ist diese Option aktiviert, werden die Schlüsseldateien nicht in den Schlüsselcontainer verschoben.

Protokollierung Jobprovider und ausführende Instanz (LogDestinationAndProviderId)

Gibt an, ob die ID des Jobproviders und der ausführenden Instanz in den Protokollmeldungen des Prozessschrittes ausgegeben werden.

Schreibe die Konfiguration nicht zurück in die Datenbank (DoNotWriteConfigBack) Im Standard wird die Konfiguration des Dienstes in die Datenbank übernommen. Um dies zu verhindern, aktivieren Sie die Option.

Secrets-Verzeichnis (SecretsFolder)

Pfad zum Verzeichnis, in dem die Secrets-Dateien liegen, die in Parametern genutzt werden können. Der Pfad kann Umgebungsvariablen in der Form %Name% enthalten. Standardwert ist %SECRETS%.

Secrets, die für die Ersetzung zulässig sind (SecretsAllowList)

Kommagetrennte Liste von Secret-Namen, die für eine Ersetzung in Parametern zulässig sind. Im Verzeichnis, das unter SecretsFolder angegeben ist, muss es eine Datei mit dem Namen des Secrets geben, die den Wert enthält.

Syntax:

&SECRET(Name)&

Beispiel:

&SECRET(API_KEY)&

Im Verzeichnis %SECRETS% muss es eine Datei API_KEY geben, die den Wert enthält.

Sprache (Language)

Sprache der Fehlermeldungen und Ausgaben aus dem One Identity Manager Service. Zulässige Werte sind deutsch und english. Standardwert ist english.

SSL verwenden (UseSSL)

Gibt an, ob der HTTP Server sichere Verbindungen bereitstellen soll. Ist die Option aktiviert, erreichen Sie den Server im Browserfrontend mittels HTTPS.

Der One Identity Manager Service nutzt System.Net.HttpListener für die Webschnittstelle. Ausführliche Informationen wie Sie Zertifikate konfigurieren finden Sie unter How to: Configure a Port with an SSL Certificate.

Verschlüsselte Konfigurationswerte nicht zusätzlich schützen (DoNotProtectCryptedValues)

Normalerweise werden verschlüsselte Werte aus der Jobservice.cfg zusätzlich per Data Protection API geschützt. Dies verhindert die Nutzung durch andere Konten oder Server. Diese Option schaltet den zusätzlichen Schutz ab, um die Nutzung zum Beispiel auf anderen Cluster-Nodes zu ermöglichen.

HINWEIS: Das Setzen dieser Option führt zu Problemen, wenn die Datenbank, gegen die der One Identity Manager Service arbeitet, nicht verschlüsselt ist. Deshalb ist sicherzustellen, dass die Verschlüsselung der Datenbank aktiviert ist.

Wartezeit bei fehlerhaftem Start (WaitTimeOnFailedStart)

Zeit, die nach einem fehlerhaften Start gewartet wird, bevor ein Wiederholversuch unternommen wird. Standardwert ist 90 Sekunden.

Format der Zeitangabe:

Stunden:Minuten:Sekunden

Wiederholversuche bei fehlgeschlagenem Start (RetriesOnFailedStart)

Anzahl der Wiederholversuche für den Startvorgang des One Identity Manager Service. Standardwert ist 5.

FileLogWriter zur Protokollierung konfigurieren

Der FileLogWriter schreibt die Meldungen des One Identity Manager Service in eine Protokolldatei. Die Anzeige der Protokolldatei ist über ein Browserfrontend möglich. Den FileLogWriter konfigurieren Sie im Modul LogWriter.

Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL.

http://<Servername>:<Portnummer>

Standard ist der Port 1880.

Tabelle 68: Parameter des FileLogWriter

Parameter

Beschreibung

Max. Anzahl archivierter Protokolldateien (HistorySize)

Maximale Anzahl der Protokolldateien. Sind mehrere Protokolldateien vorhanden, wird bei der Erzeugung einer neuen Protokolldatei das älteste Backup gelöscht.

Max. Länge der Parameter (ParamMaxLength)

Maximale Anzahl der Zeichen in einem Prozessschrittparameter, damit dieser in die Protokolldatei geschrieben wird.

Max. Protokolldateigröße (MB) (MaxLogSize)

Maximale Größe der Protokolldatei in MB. Hat die Protokolldatei diese Größe erreicht, wird sie in eine Backup-Datei umbenannt und eine neue Protokolldatei wird angelegt.

Protokolldatei (OutputFile)

Name der Protokolldatei inklusive Verzeichnisangabe. In die angegebene Datei werden die Informationen des One Identity Manager Service geschrieben.

WICHTIG:  Es ist sicherzustellen, dass das angegebene Verzeichnis für die Datei existiert. Kann die Datei nicht erzeugt werden, ist keine Fehlerausgabe möglich. Fehlermeldungen erscheinen dann unter Windows Betriebssystemen im Ereignisprotokoll oder unter Linux Betriebssystemen in /var/log/messages.

Prozessschrittprotokoll Lebensdauer (JobLogLifeTime)

Aufbewahrungszeit für Protokolle der Prozessschritte. Nach Ablauf dieser Zeit werden die Protokolle gelöscht.

Format der Zeitangabe:

Tage.Stunden:Minuten:Sekunden

Im Job Queue Info können Sie zu Testzwecken die Protokollierung einzelner Prozessschritte aktivieren. Dabei werden die Verarbeitungsmeldungen des Prozessschrittes mit dem NLog Informationsgrad Debug in ein separates Protokoll geschrieben. Die Dateien werden im Protokollverzeichnis abgelegt.

Ablagestruktur:

<Protokollverzeichnis>\JobLogs\<Erste 4 Stellen der UID_Job>\Job_<UID_Job>_<yyyymmdd>_<Timestamp>.log

Schweregrad (LogSeverity)

Informationsgrad der protokollierten Meldungen.

Zulässige Werte sind:

  • Info: Alle Meldungen werden in das Ereignisprotokoll geschrieben. Das Ereignisprotokoll wird schnell groß und unübersichtlich.

  • Warning: Nur Warnungen und Ausnahmefehler werden in das Ereignisprotokoll geschrieben (Standard).

  • Serious: Nur Ausnahmefehler werden in das Ereignisprotokoll geschrieben.

Servernamen hinzufügen (AddServerName)

Gibt an, ob der Servername zu den Protokolleinträgen hinzugefügt werden soll.

Umbenennungsintervall der Protokolldatei (LogLifeTime)

Um unnötig große Protokolldateien zu vermeiden, unterstützt das Modul die Funktionalität zum Wechseln der Protokolldatei und einer Historie. Mit dem Intervall legen Sie die maximale Laufzeit einer Protokolldatei fest, bevor diese in das Backup umbenannt wird. Hat eine Protokolldatei ihr maximales Alter erreicht, wird die Datei umbenannt (zum Beispiel JobService.log_20040819-083554) und eine neue Protokolldatei wird angefangen.

Format der Zeitangabe:

Tage.Stunden:Minuten:Sekunden

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating