立即与支持人员聊天
与支持团队交流

Identity Manager 8.2.1 - Administrationshandbuch für die Datenarchivierung

Archivierung der Datenänderungen

Alle im One Identity Manager erfassten Datenänderungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Historische Daten der One Identity Manager-Datenbank werden in zyklischen Abständen in eine One Identity Manager History Database übertragen. Diese One Identity Manager History Database stellt somit das Veränderungsarchiv dar. In der One Identity Manager History Database erfolgen statistische Auswertungen, die die Darstellungen von Trends oder Verläufen vereinfachen. Die Auswertung der historischen Daten erfolgt über die TimeTrace-Funktion oder über Berichte.

Die Einrichtung einer Arbeitsumgebung für eine One Identity Manager History Database umfasst folgende Schritte:

  • Einrichten einer administrativen Arbeitsstation

  • Erstellen und Migrieren der One Identity Manager History Database

  • Installieren und Konfigurieren eines One Identity Manager Service für die One Identity Manager History Database

  • Bekanntgeben der Quelldatenbank

  • Einrichten des Archivierungsverfahrens

Detaillierte Informationen zum Thema

Inbetriebnahme einer One Identity Manager History Database

Alle im One Identity Manager protokollierten Aufzeichnungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Die Aufzeichnungen sollten in regelmäßigen Abständen aus der One Identity Manager-Datenbank entfernt und in einer One Identity Manager History Database archiviert werden.

Die aufgezeichneten Daten unterliegen unter Umständen weiteren Regularien wie beispielsweise gesetzlichen Aufbewahrungsfristen. Es wird empfohlen One Identity Manager History Databases entsprechend der Berichtszeiträume zu betreiben. Nach Ablauf eines definierten Berichtszeitraums kann eine neue One Identity Manager History Database eingerichtet werden.

Abhängig vom Datenvolumen der One Identity Manager-Datenbank, den zu archivierenden Daten und deren Änderungshäufigkeit kann es erforderlich sein, in gewissen Zeitabständen (beispielsweise jährlich, quartalsweise oder monatlich) weitere One Identity Manager History Databases zu erstellen. Der Anteil der historisierten Daten am Gesamtvolumen einer One Identity Manager-Datenbank sollte maximal 25 % betragen. Anderenfalls kann es zu Performance-Problemen kommen.

Detaillierte Informationen zum Thema

Berechtigungen für die One Identity Manager History Database auf einem SQL Server

Für den Einsatz einer One Identity Manager History Database auf einem SQL Server mit dem abgestufte Berechtigungskonzept werden folgende Benutzer unterschieden. Die Berechtigungen der Benutzer auf Serverebene und Datenbankebene sind auf ihre Aufgaben abgestimmt.

HINWEIS: Wenn Sie bei der Aktualisierung von Version 8.1.x zu abgestuften Berechtigungen wechseln möchten, wenden Sie sich an den Support. Das Support Portal ist unter https://support.oneidentity.com/identity-manager/ erreichbar.

  • Installationsbenutzer

    Der Installationsbenutzer wird für die initiale Installation einer One Identity Manager History Databasemit dem Configuration Wizard benötigt.

    HINWEIS: Wenn Sie bei der Aktualisierung von Version 8.0.x auf die Version 8.2.1 auf das abgestufte Berechtigungskonzept wechseln möchten, benötigen Sie ebenfalls diesen Installationsbenutzer.

  • Administrativer Benutzer

    Der administrative Benutzer wird durch Komponenten des One Identity Manager verwendet, die Berechtigungen auf Serverebene und Datenbankebene benötigen, beispielsweise der Configuration Wizard, der DBQueue Prozessor oder der One Identity Manager Service.

  • Konfigurationsbenutzer

    Der Konfigurationsbenutzer kann Konfigurationsaufgaben innerhalb des One Identity Manager ausführen, beispielsweise mit dem Designer arbeiten. Konfigurationsbenutzer benötigen Berechtigungen auf Serverebene und Datenbankebene.

  • Endbenutzer

    Endbenutzer erhalten nur Berechtigungen auf Datenbankebene, um beispielsweise Aufgaben mit dem HistoryDB Manager zu erfüllen.

Ausführliche Informationen zu den minimalen Berechtigungsebenen der One Identity Manager-Werkzeuge finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Berechtigungen für den Installationsbenutzer

Für den Installationsbenutzer müssen eine SQL Server Anmeldung und ein Datenbankbenutzer mit den folgenden Berechtigungen zur Verfügung gestellt werden.

SQL Server:

  • Mitglied der Serverrolle dbcreator

    Die Serverrolle wird nur benötigt, wenn die Datenbank durch den Configuration Wizard erstellt wird.

  • Mitglied der Serverrolle sysadmin

    Diese Serverrolle wird nur benötigt, wenn die Datenbank durch den Configuration Wizard erstellt wird und dabei die Verzeichnisse für die Dateien über den Dateibrowser gewählt werden müssen. Werden die Dateien in den Standardverzeichnissen des Datenbankservers abgelegt, wird die Berechtigung nicht benötigt.

  • Mitglied der Serverrolle securityadmin

    Diese Serverrolle wird für die Erstellung der SQL Server Anmeldungen benötigt.

  • Berechtigung view server state mit der Option with grant option und Berechtigung alter any connection mit der Option with grant option

    Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

  • Berechtigung alter any server role

    Die Berechtigung wird benötigt, um die Serverrolle für den administrativen Benutzer zu erzeugen.

msdb-Datenbank:

  • Berechtigung Select mit der Option with grant option für die Tabellen dbo.sysjobs, dbo.sysjobschedules, dbo.sysjobactivity, dbo.sysschedules und dbo.sysjobhistory

    Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Berechtigung alter any user

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.

  • Berechtigung alter any role

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.

master-Datenbank:

  • Berechtigung alter any user

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.

  • Berechtigung alter any role

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.

  • Berechtigung Execute mit der Option with grant option für die Prozedur xp_readerrorlog

    Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.

  • Mitglied der Datenbankrolle SQLAgentUserRole

    Die Datenbankrolle wird zum Verwalten von Datenbankschedules während der Aktualisierung von Version 8.0.x auf die Version 8.2.1 benötigt.

One Identity Manager History Database:

  • Mitglied der Datenbankrolle db_owner

    Diese Datenbankrolle wird benötigt, wenn bei der Installation des Schemas mit dem Configuration Wizard eine vorhandene Datenbank verwendet werden soll oder eine Aktualisierung des Schemas erfolgt.

Berechtigungen für den administrativen Benutzer

Für den administrativen Benutzer werden während der Installation einer One Identity Manager History Databasemit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • Serverrolle OneIMAdminRole_<DatabaseName>

    • Berechtigung alter any server role

      Die Berechtigung wird benötigt, um die Serverrolle für den Konfigurationsbenutzer zu erzeugen.

    • Berechtigung view any definition

      Die Berechtigung wird benötigt, um die SQL Server Anmeldungen für den Konfigurationsbenutzer und den Endbenutzer mit den entsprechenden Datenbankbenutzern zu verbinden.

  • SQL Server Anmeldung <DatabaseName>_Admin

    • Mitglied der Serverrolle OneIMAdminRole_<DatabaseName>

    • Berechtigung view server state mit der Option with grant option und Berechtigung alter any connection mit der Option with grant option

      Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

msdb-Datenbank:

  • Datenbankrolle OneIMRole_<DatabaseName>
    • Mitglied der Datenbankrolle SQLAgentUserRole

      Die Datenbankrolle wird zum Ausführen von Datenbankschedules benötigt.

    • Berechtigung Select für die Tabellen dbo.sysjobs, dbo.sysjobschedules, dbo.sysjobactivity, dbo.sysschedules und dbo.sysjobhistory

      Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Datenbankbenutzer OneIM_<DatabaseName>
    • Mitglied der Datenbankrolle OneIMRole_<DatabaseName>

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

master-Datenbank:

  • Datenbankrolle OneIMRole_<DatabaseName>

    • Berechtigung Execute für die Prozedur xp_readerrorlog

      Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.

  • Datenbankbenutzer OneIM_<DatabaseName>
    • Mitglied der Datenbankrolle OneIMRole_<DatabaseName>

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

One Identity Manager History Database:

  • Datenbankbenutzer Admin

    • Mitglied in Datenbankrolle db_owner

      Die Datenbankrolle wird benötigt, um eine Datenbank mit dem Configuration Wizard zu aktualisieren.

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

Berechtigungen für den Konfigurationsbenutzer

Für Konfigurationsbenutzer werden während der Installation einer One Identity Manager History Databasemit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • Serverrolle OneIMConfigRole_<DatabaseName>

    • Berechtigung view server state und Berechtigung alter any connection

      Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

  • SQL Anmeldung <DatabaseName>_Config

    • Mitglied der Serverrolle OneIMConfigRole_<DatabaseName>

One Identity Manager History Database:

  • Datenbankrolle OneIMConfigRoleDB

    • Berechtigungen Create procedure, Delete, Select, Create table, Update, Checkpoint, Create view, Insert, Execute, Create function auf die Datenbank

  • Datenbankbenutzer Config

    • Mitglied der Datenbankrolle OneIMConfigRoleDB

    • Der Datenbankbenutzer wird mit der SQL Server Anmeldung <DatabaseName>_Config verbunden.

Berechtigungen für den Endbenutzer

Für Endbenutzer werden während der Installation einer One Identity Manager History Databasemit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • SQL Anmeldung <DatabaseName>_User

One Identity Manager History Database:

  • Datenbankrolle OneIMUserRoleDB

    • Berechtigungen Insert, Update, Select, Delete auf ausgewählte Tabellen der Datenbank

    • Berechtigung view definition auf die Datenbank

    • Berechtigungen Execute und References für einzelne Funktionen, Prozeduren und Typen

  • Datenbankbenutzer User

    • Mitglied der Datenbankrolle OneIMUserRoleDB

    • Der Datenbankbenutzer wird mit der SQL Server Anmeldung <DatabaseName>_User verbunden.

Hinweise zur Nutzung der integrierten Windows Authentifizierung

Die integrierte Windows Authentifizierung kann für den One Identity Manager Service und die Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows Gruppen zur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server Anmeldung empfohlen.

Um die integrierte Windows Authentifizierung einzusetzen

  • Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server Anmeldung ein.

  • Tragen Sie als Standardschema dbo ein.

  • Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu.

Berechtigungen für die One Identity Manager History Database in einer verwalteten Instanz in Azure SQL-Datenbank

Für den Einsatz einer One Identity Manager History Database in einer verwalteten Instanz in Azure SQL-Datenbank mit dem abgestufte Berechtigungskonzept werden folgende Benutzer unterschieden. Die Berechtigungen der Benutzer auf Serverebene und Datenbankebene sind auf ihre Aufgaben abgestimmt.

  • Installationsbenutzer

    Der Installationsbenutzer wird für die initiale Installation einer One Identity Manager History Databasemit dem Configuration Wizard benötigt.

  • Administrativer Benutzer

    Der administrative Benutzer wird durch Komponenten des One Identity Manager verwendet, die Berechtigungen auf Serverebene und Datenbankebene benötigen, beispielsweise der Configuration Wizard, der DBQueue Prozessor oder der One Identity Manager Service.

  • Konfigurationsbenutzer

    Der Konfigurationsbenutzer kann Konfigurationsaufgaben innerhalb des One Identity Manager ausführen, beispielsweise mit dem Designer arbeiten. Konfigurationsbenutzer benötigen Berechtigungen auf Serverebene und Datenbankebene.

  • Endbenutzer

    Endbenutzer erhalten nur Berechtigungen auf Datenbankebene, um beispielsweise Aufgaben mit dem HistoryDB Manager zu erfüllen.

Ausführliche Informationen zu den minimalen Berechtigungsebenen der One Identity Manager-Werkzeuge finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Berechtigungen für den Installationsbenutzer

Für den Installationsbenutzer müssen eine SQL Server Anmeldung und ein Datenbankbenutzer mit den folgenden Berechtigungen zur Verfügung gestellt werden.

SQL Server:

  • Mitglied der Serverrolle dbcreator

    Die Serverrolle wird nur benötigt, wenn die Datenbank durch den Configuration Wizard erstellt wird.

  • Mitglied der Serverrolle securityadmin

    Diese Serverrolle wird für die Erstellung der SQL Server Anmeldungen benötigt.

  • Berechtigung view server state mit der Option with grant option und Berechtigung alter any connection mit der Option with grant option

    Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

  • Berechtigung alter any server role

    Die Berechtigung wird benötigt, um die Serverrolle für den administrativen Benutzer zu erzeugen.

msdb-Datenbank:

  • Berechtigung Select mit der Option with grant option für die Tabellen dbo.sysjobs, sysjobsteps, dbo.sysjobschedules, dbo.sysjobactivity, dbo.sysschedules und dbo.sysjobhistory

    Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Berechtigung alter any user

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.

  • Berechtigung alter any role

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.

master-Datenbank:

  • Berechtigung alter any user

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.

  • Berechtigung alter any role

    Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.

  • Berechtigung Execute mit der Option with grant option für die Prozedur xp_readerrorlog

    Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.

  • Berechtigung Execute mit der Option with grant option für die Prozeduren xp_sqlagent_is_starting, xp_sqlagent_notify und xp_sqlagent_enum_jobs

    Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

One Identity Manager History Database:

  • Mitglied der Datenbankrolle db_owner

    Diese Datenbankrolle wird benötigt, wenn bei der Installation des Schemas mit dem Configuration Wizard eine vorhandene Datenbank verwendet werden soll oder eine Aktualisierung des Schemas erfolgt.

Berechtigungen für den administrativen Benutzer

Für den administrativen Benutzer werden während der Installation einer One Identity Manager History Databasemit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • Serverrolle OneIMAdminRole_<DatabaseName>

    • Berechtigung alter any server role

      Die Berechtigung wird benötigt, um die Serverrolle für den Konfigurationsbenutzer zu erzeugen.

    • Berechtigung view any definition

      Die Berechtigung wird benötigt, um die SQL Server Anmeldungen für den Konfigurationsbenutzer und den Endbenutzer mit den entsprechenden Datenbankbenutzern zu verbinden.

  • SQL Server Anmeldung <DatabaseName>_Admin

    • Mitglied der Serverrolle OneIMAdminRole_<DatabaseName>

    • Berechtigung view server state mit der Option with grant option und Berechtigung alter any connection mit der Option with grant option

      Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

msdb-Datenbank:

  • Datenbankrolle OneIMRole_<DatabaseName>
    • Mitglied der Datenbankrolle SQLAgentUserRole

      Die Datenbankrolle wird zum Ausführen von Datenbankschedules benötigt.

    • Berechtigung Select für die Tabellen dbo.sysjobs,sysjobsteps, dbo.sysjobschedules, dbo.sysjobactivity, dbo.sysschedules und dbo.sysjobhistory

      Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Datenbankbenutzer OneIM_<DatabaseName>
    • Mitglied der Datenbankrolle OneIMRole_<DatabaseName>

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

master-Datenbank:

  • Datenbankrolle OneIMRole_<DatabaseName>

    • Berechtigung Execute für die Prozedur xp_readerrorlog

      Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.

    • Berechtigung Execute für die Prozeduren xp_sqlagent_is_starting, xp_sqlagent_notify und xp_sqlagent_enum_jobs

      Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.

  • Datenbankbenutzer OneIM_<DatabaseName>
    • Mitglied der Datenbankrolle OneIMRole_<DatabaseName>

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

One Identity Manager History Database:

  • Datenbankbenutzer Admin

    • Mitglied in Datenbankrolle db_owner

      Die Datenbankrolle wird benötigt, um eine Datenbank mit dem Configuration Wizard zu aktualisieren.

    • Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.

Berechtigungen für den Konfigurationsbenutzer

Für Konfigurationsbenutzer werden während der Installation einer One Identity Manager History Databasemit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • Serverrolle OneIMConfigRole_<DatabaseName>

    • Berechtigung view server state und Berechtigung alter any connection

      Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.

  • SQL Anmeldung <DatabaseName>_Config

    • Mitglied der Serverrolle OneIMConfigRole_<DatabaseName>

One Identity Manager History Database:

  • Datenbankrolle OneIMConfigRoleDB

    • Berechtigungen Create procedure, Delete, Select, Create table, Update, Checkpoint, Create view, Insert, Execute, Create function auf die Datenbank

  • Datenbankbenutzer Config

    • Mitglied der Datenbankrolle OneIMConfigRoleDB

    • Der Datenbankbenutzer wird mit der SQL Server Anmeldung <DatabaseName>_Config verbunden.

Berechtigungen für den Endbenutzer

Für Endbenutzer werden während der Installation einer One Identity Manager History Databasemit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:

SQL Server:

  • SQL Anmeldung <DatabaseName>_User

One Identity Manager History Database:

  • Datenbankrolle OneIMUserRoleDB

    • Berechtigungen Insert, Update, Select, Delete auf ausgewählte Tabellen der Datenbank

    • Berechtigung view definition auf die Datenbank

    • Berechtigungen Execute und References für einzelne Funktionen, Prozeduren und Typen

  • Datenbankbenutzer User

    • Mitglied der Datenbankrolle OneIMUserRoleDB

    • Der Datenbankbenutzer wird mit der SQL Server Anmeldung <DatabaseName>_User verbunden.

自助服务工具
知识库
通知和警报
产品支持
下载软件
技术说明文件
用户论坛
视频教程
RSS订阅源
联系我们
获得许可 帮助
技术支持
查看全部
相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级