Beschleunigung der Synchronisation durch Revisionsfilterung
Beim Start der Synchronisation werden alle zu synchronisierenden Objekte geladen. Ein Teil dieser Objekte wurde gegebenenfalls seit der letzten Synchronisation nicht geändert und muss daher bei der Synchronisation nicht verarbeitet werden. Indem nur solche Objekte geladen werden, die sich seit der letzten Synchronisation geändert haben, kann die Synchronisation beschleunigt werden. Zur Beschleunigung der Synchronisation nutzt der One Identity Manager die Revisionsfilterung.
SAP R/3 unterstützt die Revisionsfilterung. Als Revisionszähler wird das Datum der letzte Änderung der SAP Objekte genutzt. Jede Synchronisation speichert ihr letztes Ausführungsdatum als Revision in der One Identity Manager-Datenbank (Tabelle DPRRevisionStore, Spalte Value). Dieser Wert wird als Vergleichswert für die Revisionsfilterung bei der nächsten Synchronisation mit dem selben Workflow genutzt. Bei der Synchronisation mit diesem Workflow wird das Änderungsdatum der SAP Objekte mit der in der One Identity Manager-Datenbank gespeicherten Revision verglichen. Es werden nur noch die Objekte aus dem Zielsystem gelesen, die sich seit diesem Datum verändert haben.
HINWEIS:SAP Rollen erhalten als Änderungsinformation im Zielsystem das Datum der letzten Generierung der Rolle. Bei der Synchronisation mit Revisionsfilterung werden nur die SAP Rollen in der Datenbank aktualisiert, die seit der letzten Synchronisation im Zielsystem erneut generiert wurden.
Die Revision wird zu Beginn einer Synchronisation ermittelt. Objekte, die durch die Synchronisation geändert werden, werden bei der nächsten Synchronisation nochmals geladen und überprüft. Die zweite Synchronisation nach der Initialsynchronisation ist daher noch nicht deutlich schneller.
Die Revisionsfilterung kann an den Workflows oder an den Startkonfigurationen zugelassen werden.
Um die Revisionsfilterung an einem Workflow zuzulassen
Um die Revisionsfilterung an einer Startkonfiguration zuzulassen
Detaillierte Informationen zum Thema
- One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation
Einschränken der Synchronisationsobjekte über Benutzerrechte
Der One Identity Manager bietet die Möglichkeit die zu synchronisierenden Benutzerkonten und Gruppen über Benutzerrechte einzuschränken. Dabei werden nur die Benutzerkonten und Gruppen synchronisiert, auf die das Benutzerkonto, mit dem sich der SAP R/3 Konnektor am Zielsystem anmeldet, berechtigt ist. Alle übrigen Gruppen und Benutzerkonten werden aus der Userliste und Gruppenliste des Funktionsbausteins "/VIAENET/U" herausgefiltert. Soll nur ein kleiner Teil, der in der SAP R/3-Umgebung vorhandenen Benutzerkonten und Gruppen mit der One Identity Manager-Datenbank synchronisiert werden, kann die Synchronisation auf diese Weise beschleunigt werden.
Voraussetzungen
- Dem Benutzerkonto, mit dem sich der SAP R/3 Konnektor am Zielsystem anmeldet, sind in der SAP R/3-Umgebung im Berechtigungsobjekt S_USER_GRP, Merkmal CLASS genau die Gruppen zugewiesen, die synchronisiert werden sollen.
- Es gibt Benutzerkonten, denen eine dieser Gruppen in der SAP R/3-Umgebung als Benutzergruppe für die Berechtigungsprüfung (in den Logondaten) zugewiesen ist.
Bei der Synchronisation werden genau die Gruppen in die One Identity Manager-Datenbank eingelesen, auf die dem Benutzerkonto, mit dem sich der SAP R/3 Konnektor am Zielsystem anmeldet, im Berechtigungsobjekt S_USER_GRP Zugriff gewährt ist. Alle Benutzerkonten, denen eine dieser Gruppen als Benutzergruppe für die Berechtigungsprüfung zugewiesen ist, werden ebenfalls synchronisiert. Alle anderen Gruppen und Benutzerkonten werden bei der Synchronisation wie im Zielsystem nicht vorhandene Objekte behandelt.
Nachbehandlung ausstehender Objekte
Objekte, die im Zielsystem nicht vorhanden sind, können bei der Synchronisation in den One Identity Manager als ausstehend gekennzeichnet werden. Damit kann verhindert werden, dass Objekte aufgrund einer fehlerhaften Datensituation oder einer fehlerhaften Synchronisationskonfiguration gelöscht werden.
Ausstehende Objekte
-
können im One Identity Manager nicht bearbeitet werden,
-
werden bei jeder weiteren Synchronisation ignoriert,
-
werden bei der Vererbungsberechnung ignoriert.
Das heißt, sämtliche Mitgliedschaften und Zuweisungen bleiben solange erhalten, bis die ausstehenden Objekte nachbearbeitet wurden.
Führen Sie dafür einen Zielsystemabgleich durch.
Um ausstehende Objekte nachzubearbeiten
-
Wählen Sie im Manager die Kategorie SAP R/3 > Zielsystemabgleich: SAP R/3.
In der Navigationsansicht werden alle Tabellen angezeigt, die dem Zielsystemtyp SAP R/3 als Synchronisationstabellen zugewiesen sind.
-
Öffnen Sie auf dem Formular Zielsystemabgleich, in der Spalte Tabelle/Objekt den Knoten der Tabelle, für die sie ausstehende Objekte nachbearbeiten möchten.
Es werden alle Objekte angezeigt, die als ausstehend markiert sind. Die Spalten Letzter Protokolleintrag und Letzte ausgeführte Methode zeigen den Zeitpunkt für den letzten Eintrag im Synchronisationsprotokoll und die dabei ausgeführte Verarbeitungsmethode. Der Eintrag Kein Protokoll verfügbar hat folgende Bedeutungen:
-
Das Synchronisationsprotokoll wurde bereits gelöscht.
- ODER -
-
Im Zielsystem wurde eine Zuweisung aus einer Mitgliederliste gelöscht.
Bei der Synchronisation wird das Basisobjekt der Zuordnung aktualisiert. Dafür erscheint ein Eintrag im Synchronisationsprotokoll. Der Eintrag in der Zuordnungstabelle wird als ausstehend markiert, es gibt jedoch keinen Eintrag im Synchronisationsprotokoll.
-
Im Zielsystem wurde ein Objekt gelöscht, das eine Mitgliederliste enthält.
Bei der Synchronisation werden das Objekt und alle zugehörigen Einträge in Zuordnungstabellen als ausstehend markiert. Ein Eintrag im Synchronisationsprotokoll erscheint jedoch nur für das gelöschte Objekt.
TIPP:
Um die Objekteigenschaften eines ausstehenden Objekts anzuzeigen
-
Wählen Sie auf dem Formular für den Zielsystemabgleich das Objekt.
-
Öffnen Sie das Kontextmenü und klicken Sie Objekt anzeigen.
-
Wählen Sie die Objekte, die Sie nachbearbeiten möchten. Mehrfachauswahl ist möglich.
-
Klicken Sie in der Formularsymbolleiste eins der folgenden Symbole, um die jeweilige Methode auszuführen.
Tabelle 22: Methoden zur Behandlung ausstehender Objekte
|
Löschen |
Das Objekt wird sofort in der One Identity Manager-Datenbank gelöscht. Eine Löschverzögerung wird nicht berücksichtigt.
Indirekte Mitgliedschaften können nicht gelöscht werden. |
|
Publizieren |
Das Objekt wird im Zielsystem eingefügt. Die Markierung Ausstehend wird für das Objekt entfernt.
Es wird ein zielsystemspezifischer Prozess ausgeführt, der den Provisionierungsprozess für das Objekt anstößt.
Voraussetzungen:
-
Das Publizieren ist für die Tabelle, die das Objekt enthält, zugelassen.
-
Der Zielsystemkonnektor kann schreibend auf das Zielsystem zugreifen. |
|
Zurücksetzen |
Die Markierung Ausstehend wird für das Objekt entfernt. |
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
HINWEIS: Standardmäßig werden die ausgewählten Objekte parallel verarbeitet. Damit wird die Ausführung der ausgewählten Methode beschleunigt. Wenn bei der Verarbeitung ein Fehler auftritt, wird die Aktion abgebrochen und alle Änderungen werden rückgängig gemacht.
Um den Fehler zu lokalisieren, muss die Massenverarbeitung der Objekte deaktiviert werden. Die Objekte werden damit nacheinander verarbeitet. Das fehlerhafte Objekt wird in der Fehlermeldung benannt. Alle Änderungen, die bis zum Auftreten des Fehlers vorgenommen wurden, werden gespeichert.
Um die Massenverarbeitung zu deaktivieren
Für die Synchronisation in kundenspezifische Tabellen müssen Sie den Zielsystemabgleich anpassen.
Um kundenspezifische Tabellen in den Zielsystemabgleich aufzunehmen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Basisdaten zur Konfiguration > Zielsystemtypen.
-
Wählen Sie in der Ergebnisliste den Zielsystemtyp SAP R/3.
-
Wählen Sie die Aufgabe Synchronisationstabellen zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die kundenspezifischen Tabellen zu, für die Sie ausstehende Objekte behandeln möchten.
- Speichern Sie die Änderungen.
-
Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
-
Wählen Sie die kundenspezifischen Tabellen, für die ausstehende Objekte in das Zielsystem publiziert werden dürfen und aktivieren Sie die Option Publizierbar.
- Speichern Sie die Änderungen.
HINWEIS: Damit ausstehende Objekte in der Nachbehandlung publiziert werden können, muss der Zielsystemkonnektor schreibend auf das Zielsystem zugreifen können. Das heißt, an der Zielsystemverbindung ist die Option Verbindung darf nur gelesen werden deaktiviert.
Provisionierung von Mitgliedschaften konfigurieren
Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:
-
Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.
Beispiel: Liste von Rollenzuordnungen in der Eigenschaft AGR_NAME am SAP R/3 Benutzer (User)
-
Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
-
Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.
Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.
Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.
Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen
-
Wählen Sie im Manager die Kategorie SAP R/3 > Basisdaten zur Konfiguration > Zielsystemtypen.
-
Wählen Sie in der Ergebnisliste den Zielsystemtyp SAP R/3.
-
Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
-
Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.
-
Klicken Sie Merge-Modus.
HINWEIS:
-
Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.
-
Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.
- Speichern Sie die Änderungen.
Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.
HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.
Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.
Um die originale Bedingung wiederherzustellen
-
Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.
-
Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.
- Speichern Sie die Änderungen.
HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.
Beispiel für eine Bedingung an der Zuordnungstabelle SAPUserInSAPGrp:
exists (select top 1 1 from SAPUser u
where u.UID_SAPUser = i.UID_SAPUser
and <einschränkende Bedingung>)
Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
HINWEIS: Änderungen der Mitgliedschaften von Benutzerkonten in Einzelrollen werden immer einzeln provisioniert. Die Einzelprovisionierung kann daher für die Tabelle SAPUserInSAPRole nicht konfiguriert werden.