Chat now with support
Chat with Support

Identity Manager 9.3 - Referenzhandbuch für die Zielsystemsynchronisation

Zielsystemsynchronisation mit dem Synchronization Editor Arbeiten mit dem Synchronization Editor Grundlagen für die Zielsystemsynchronisation Einrichten der Synchronisation
Synchronization Editor starten Synchronisationsprojekt erstellen Synchronisation konfigurieren
Mappings einrichten Synchronisationsworkflows einrichten Systemverbindungen herstellen Synchronisationsprotokoll konfigurieren Scope bearbeiten Variablen und Variablensets nutzen Startkonfigurationen einrichten Basisobjekte einrichten
Übersicht der Schemaklassen Anpassen einer Synchronisationskonfiguration Konsistenz der Synchronisationskonfiguration prüfen Synchronisationsprojekt aktivieren Startfolgen definieren Synchronisationsprojekte kopieren
Ausführen der Synchronisation Auswerten der Synchronisation Einrichten der Synchronisation mit den Standardkonnektoren Aktualisieren bestehender Synchronisationsprojekte Skriptbibliothek für Synchronisationsprojekte Zusätzliche Informationen für Experten Beheben von Fehlern beim Anbinden von Zielsystemen Konfigurationsparameter für die Zielsystemsynchronisation Beispiele für Konfigurationsdateien

Grundlagen für die Zielsystemsynchronisation

Um die Zielsystemsynchronisation konfigurieren zu können, muss das grundlegende Vorgehen des One Identity Manager bei der SynchronisationGeschlossen und ProvisionierungGeschlossen von Daten bekannt sein. In den folgenden Abschnitten werden diese Grundlagen erläutert.

Tabelle 18: Grundbegriffe der Synchronisation

Begriff

Beschrieben im Abschnitt

Abhängigkeitsauflösung

Wie funktioniert die Abhängigkeitsauflösung

Ausstehende Objekte

Objekte im One Identity Manager löschen

EinzelobjektsynchronisationGeschlossen

Synchronisation und Provisionierung

FilterGeschlossen

Was sind Filter

MappingrichtungGeschlossen

Synchronisationsrichtung und Mappingrichtung

Mapping gegen die Synchronisationsrichtung

Primäre und sekundäre Systeme

Synchronisation von Benutzerdaten mit verschiedenen Systemen

Provisionierung

Synchronisation und Provisionierung

RevisionsfilterGeschlossen

Wie funktioniert die Revisionsfilterung

SchemaGeschlossen

Wie werden Schemas abgebildet

ScopeGeschlossen

Was ist ein Scope

Synchronisationsrichtung

Synchronisationsrichtung und Mappingrichtung

Unzulässige ÄnderungGeschlossen

Unzulässige Änderungen erkennen

Kommunikationswege des Synchronization Editors

Für die SynchronisationGeschlossen wird ein Server benötigt, auf dem der One Identity Manager ServiceGeschlossen und gegebenenfalls weitere zielsystemspezifische Software installiert sind. Dieser Server (im Weiteren SynchronisationsserverGeschlossen genannt) benötigt direkten Zugriff auf das ZielsystemGeschlossen. Mit der One Identity Manager-Datenbank kommuniziert der Synchronisationsserver standardmäßig direkt. Hierfür kann auch eine Verbindung über einen AnwendungsserverGeschlossen eingerichtet werden.

Abbildung 4: Kommunikationsweg bei der Synchronisation

Um die Synchronisation mit einem Zielsystem zu konfigurieren, muss der One Identity Manager Daten aus dem Zielsystem auslesen. Dabei kommuniziert der One Identity Manager direkt mit dem Zielsystem. Mitunter ist der direkte Zugriff von der Arbeitsstation, auf welcher der Synchronization EditorGeschlossen installiert ist, nicht möglich, beispielsweise aufgrund der Firewall-Konfiguration oder weil die Arbeitsstation nicht die notwendigen Hard- oder Softwarevoraussetzungen erfüllt. Wenn der direkte Zugriff von der Arbeitsstation nicht möglich ist, kann eine Remoteverbindung eingerichtet werden.

Abbildung 5: Kommunikationswege bei der Konfiguration eines SynchronisationsprojektsGeschlossen

Verwandte Themen

Wie werden Schemas abgebildet

Um ein ZielsystemGeschlossen mit der One Identity Manager-Datenbank synchronisieren zu können, müssen zunächst die Datenmodelle dieser beiden Systeme aufeinander abgebildet werden. Die Datenmodelle (Schemas) der verschiedenen Systeme unterscheiden sich. Sie müssen daher so erweitert werden, dass eine eindeutige Abbildung möglich ist.

Der One Identity Manager unterscheidet vier Schemaarten: One Identity Manager SchemaGeschlossen, ZielsystemschemaGeschlossen, KonnektorschemaGeschlossen, erweitertes Schema. Jedes Schema ist durch Schematypen und Schemaeigenschaften beschrieben. Mit Schemaklassen und virtuellen Schemaeigenschaften können die Schemas so erweiterte werden, dass eine eindeutige Abbildung möglich ist.

Wie zwei Schemas aufeinander abgebildet werden, wird in MappingsGeschlossen festgelegt. Mappings fassen die Regeln zusammen, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden. Object-Matching-Regeln ordnen die Schemaeigenschaften zu, über die Systemobjekte eindeutig identifiziert werden können. Property-Mapping-Regeln beschreiben, wie die Schemaeigenschaften des Zielsystems im One Identity Manager Schema abgebildet werden.

Abbildung 6: Abbildung der Schemas

Tabelle 19: Begriffe für die Abbildung der Schemas
Begriff Erläuterung
Schema Datenmodell eines verbundenen Systems. Das Schema beschreibt alle aus dem verbundenen System stammenden Daten.

Der One Identity Manager unterscheidet vier Schemaarten: One Identity Manager Schema, Zielsystemschema, Konnektorschema, erweitertes Schema.

One Identity Manager Schema Datenmodell des One Identity Manager.
Zielsystemschema Datenmodell eines konkreten Zielsystems.
Konnektorschema Der SystemkonnektorGeschlossen erweitert das Zielsystemschema um zusätzliche Informationen, die für die Abbildung im Synchronization EditorGeschlossen erforderlich sind. Dazu gehören
  • Informationen, welche Schemaeigenschaften Mitgliedschaften abbilden
  • Informationen, welche Schemaeigenschaften Referenzen zu anderen Objekten darstellen
  • virtuelle Eigenschaften, die der Systemkonnektor anlegt

Liefert ein Zielsystem kein eigenes Schema, erzeugt der Systemkonnektor das Konnektorschema auf Basis der eingelesenen Datenstruktur, wie beispielsweise beim Import von CSV-Dateien durch den CSV KonnektorGeschlossen.

Erweitertes SchemaGeschlossen Ein Schema kann im Synchronization Editor benutzerspezifisch angepasst werden, beispielsweise um die Abbildung von komplexen Schemaeigenschaften zu ermöglichen oder zu vereinfachen. Dazu gibt es folgende Möglichkeiten:
  • Einfügen neuer Schemaklassen
  • Definition von benutzerspezifischen virtuellen Schemaeigenschaften
  • Ableitung von Schemaeigenschaften

Das angepasste Schema wird als "erweitertes Schema" bezeichnet.

SchematypGeschlossen Definition eines Objekttyps innerhalb eines Schemas. Ein Schematyp bezieht sich auf genau eine Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau einen Objekttyp des nicht-datenbankbasierten Schemas.
SchemaklasseGeschlossen Teilmenge eines Schematyps. Die Ergebnisliste eines Schematyps wird nach definierten Kriterien gefiltert. Die Menge der ermittelten Objekte wird somit eingeschränkt.

Beispiel: Active Directory Kontakte (Schemaklasse) sind Active Directory Benutzerkonten (Schematyp) mit der Eigenschaft Objektklasse = 'CONTACT' (Filterkriterium).

SchemaeigenschaftGeschlossen Eigenschaft eines Schematyps. Eine Schemaeigenschaft bezieht sich auf genau eine Spalte einer Tabelle oder View des datenbankbasierten Schemas beziehungsweise auf genau eine Eigenschaft eines Objekttyps des nicht-datenbankbasierten Schemas. Es werden zwei Arten von Schemaeigenschaften unterschieden:
  • Schemaeigenschaften der Schematypen aus dem Zielsystemschema und aus dem One Identity Manager Schema

  • virtuelle Schemaeigenschaften,

    • die der Systemkonnektor hinzufügt, um das Zielsystemschema oder das One Identity Manager Schema zu erweitern

    • die der Benutzer hinzufügt, um das Konnektorschema oder das One Identity Manager Schema zu erweitern

Virtuelle SchemaeigenschaftGeschlossen Eigenschaft einer Schemaklasse, die der Systemkonnektor oder der Benutzer hinzugefügt hat.

Virtuelle Schemaeigenschaften erweitern das zugrundeliegende Schema um zusätzliche Informationen, die für das Mapping benötigt werden. Mit virtuellen Schemaeigenschaften können sowohl Kombinationen von Schemaeigenschaften als auch Ergebnisse beliebiger Verarbeitungsschritte als Schemaeigenschaften dargestellt werden.

Object-Matching-RegelGeschlossen Gibt an, wie ein konkretes Objekt einer Schemaklasse des Zielsystems zu einem konkreten Objekt einer Schemaklasse des One Identity Manager in Beziehung zu setzen ist. Eine Object-Matching-Regel erfasst die Schemaeigenschaft des Zielsystems, anhand der die Zielsystemobjekte eindeutig identifiziert werden können.
Property-Mapping-RegelGeschlossen Beschreibt, wie eine Schemaeigenschaft des Zielsystems im Schema des One Identity Manager abgebildet wird.
Verwandte Themen

Was sind Filter

Im Synchronization EditorGeschlossen können verschiedene FilterGeschlossen definiert werden. Filter können genutzt werden, um den ScopeGeschlossen eines SynchronisationsprojektsGeschlossen festzulegen, Schemaklassen zu definieren oder virtuelle Schemaeigenschaften zu erstellen. Es gibt drei Filterarten, die sich durch ihre Wirkungsweise und die Art ihrer Definition unterscheiden. Die Menge der zu synchronisierenden Objekte kann zusätzlich durch einen RevisionsfilterGeschlossen eingeschränkt werden.

Tabelle 20: Filterarten
Filter Beschreibung
SystemfilterGeschlossen Der Filter schränkt die Menge der zu ladenden Objekte direkt im verbundenen System ein. Er ist effektiver als der ObjektfilterGeschlossen und die ObjektbestimmungGeschlossen, da der SystemkonnektorGeschlossen nur die tatsächlich benötigten Objekte lädt. Logische Verknüpfungen mehrerer Filterkriterien sind nicht möglich.

Der Filter wird in systemspezifischer Notation angegeben, beispielsweise als LDAP-Filter für ein LDAP-System.

Folgende verbundene Systeme unterstützen Systemfilter: Active Directory, LDAP, One Identity Manager-Datenbanken.

Eine spezielle Form des Systemfilters ist der HierarchiefilterGeschlossen. Der Hierarchiefilter wird auf Basis der realen Objekte des Zielsystems aufgebaut. Aus der Objekthierarchie werden alle Objekte ausgewählt, die durch den Filter erfasst werden sollen.

Der Hierarchiefilter kann bei der Definition des Scopes einiger Zielsysteme eingesetzt werden.

Objektfilter Der Filter wirkt auf die bereits geladenen Objekte. Es können alle Schemaeigenschaften des Schemas als Filterkriterium genutzt und über logische Operatoren verknüpft werden.

Der Filter wird als Abfrage auf die geladenen Objekte formuliert. Er kann bei der Definition des Scope und von virtuellen Schemaeigenschaften eingesetzt werden.

Objektbestimmung Der Filter wirkt auf die bereits geladenen Objekte. Es können alle Schemaeigenschaften des Schemas als Filterkriterium genutzt und über logische Operatoren verknüpft werden. Damit der Filter auch bei der ProvisionierungGeschlossen von Einzelobjekten das gewünschte Ergebnis liefert, müssen zusätzlich die Filterkriterien des Systemfilters in die Filterbedingung aufgenommen werden.

Der Filter wird als Abfrage auf die geladenen Objekte formuliert. Er kann bei der Definition von Schemaklassen eingesetzt werden.

Revisionsfilter Der Filter ermittelt alle Objekte, die seit der letzten Synchronisation geändert wurden. Maßgebend dafür ist die Änderung der Revisionseigenschaft.

Der Filter kann an Workflows und Startkonfigurationen zugelassen werden.

Um die Vorteile der verschiedenen Filter auszunutzen, empfiehlt es sich Systemfilter und Objektfilter/Objektbestimmung zu kombinieren.

Wenn in einer Synchronisationskonfiguration Filter für Scope, Schemaklassen und virtuelle Schemaeigenschaften definiert sind und die RevisionsfilterungGeschlossen zugelassen ist, ergibt sich die Menge der zu synchronisierenden Objekte aus der Kombination aller Filter.

Abbildung 7: Wirkung der Filter

In den Filterbedingungen können Variablen verwendet werden. Dadurch kann ein und dasselbe Synchronisationsprojekt zur Synchronisation verschiedener Zielsysteme oder zur Synchronisation verschiedener Objekte eines Zielsystems genutzt werden.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating