Während ein Synchronisationsprojekt bearbeitet wird, stehen alle Schemadaten (Schematypen und Schemaeigenschaften) des Zielsystemschemas und des One Identity Manager Schemas zur Verfügung. Für eine Synchronisationskonfiguration wird jedoch nur ein Teil dieser Daten benötigt. Wenn ein Synchronisationsprojekt fertig gestellt wird, werden die Schemas komprimiert, um die nicht benötigten Daten aus dem Synchronisationsprojekt zu entfernen. Dadurch kann das Laden des Synchronisationsprojekts beschleunigt werden. Die entfernten Schemadaten können zu einem späteren Zeitpunkt wieder in die Synchronisationskonfiguration aufgenommen werden.
Wenn sich das Zielsystemschema oder das One Identity Manager Schema geändert hat, müssen diese Änderungen ebenfalls in die Synchronisationskonfiguration aufgenommen werden. Anschließend können die Änderungen in das Mapping der Schemaeigenschaften eingearbeitet werden.
Um Schemadaten, die beim Komprimieren entfernt wurden, und Schemaänderungen in der Synchronisationskonfiguration berücksichtigen zu können, aktualisieren Sie das jeweilige Schema im Synchronisationsprojekt. Das kann erforderlich sein, wenn:
-
ein Schema geändert wurde, durch:
-
Änderungen am Zielsystemschema
-
unternehmensspezifische Anpassungen des One Identity Manager Schemas
-
eine Update-Migration des One Identity Manager
-
ein Schema im Synchronisationsprojekt komprimiert wurde, durch:
-
die Aktivierung des Synchronisationsprojekts
-
erstmaliges Speichern des Synchronisationsprojekts
-
Komprimieren eines Schemas
Um das Schema einer Systemverbindung zu aktualisieren
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Konfiguration > Zielsystem.
- ODER -
Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.
-
Wählen Sie die Ansicht Allgemein und klicken Sie Schema aktualisieren.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die Schemadaten werden neu geladen.
Um ein Mapping zu bearbeiten
-
Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.
-
Wählen Sie die Kategorie Mappings.
-
Wählen Sie in der Navigationsansicht das Mapping.
Der Mappingeditor wird geöffnet. Ausführliche Informationen zum Bearbeiten von Mappings finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
HINWEIS: Wenn das Schema eines aktivierten Synchronisationsprojekts aktualisiert wird, wird das Synchronisationsprojekt deaktiviert. Damit Synchronisationen ausgeführt werden, aktivieren Sie das Synchronisationsprojekt erneut.
Die Synchronisation mit SharePoint unterstützt keine Revisionsfilterung.
Objekte, die im Zielsystem nicht vorhanden sind, können bei der Synchronisation in den One Identity Manager als ausstehend gekennzeichnet werden. Damit kann verhindert werden, dass Objekte aufgrund einer fehlerhaften Datensituation oder einer fehlerhaften Synchronisationskonfiguration gelöscht werden.
Ausstehende Objekte
-
können im One Identity Manager nicht bearbeitet werden,
-
werden bei jeder weiteren Synchronisation ignoriert,
-
werden bei der Vererbungsberechnung ignoriert.
Das heißt, sämtliche Mitgliedschaften und Zuweisungen bleiben solange erhalten, bis die ausstehenden Objekte nachbearbeitet wurden.
Führen Sie dafür einen Zielsystemabgleich durch.
Um ausstehende Objekte nachzubearbeiten
-
Wählen Sie im Manager die Kategorie SharePoint > Zielsystemabgleich: SharePoint.
In der Navigationsansicht werden alle Tabellen angezeigt, die dem Zielsystemtyp SharePoint als Synchronisationstabellen zugewiesen sind.
-
Öffnen Sie auf dem Formular Zielsystemabgleich, in der Spalte Tabelle/Objekt den Knoten der Tabelle, für die sie ausstehende Objekte nachbearbeiten möchten.
Es werden alle Objekte angezeigt, die als ausstehend markiert sind. Die Spalten Letzter Protokolleintrag und Letzte ausgeführte Methode zeigen den Zeitpunkt für den letzten Eintrag im Synchronisationsprotokoll und die dabei ausgeführte Verarbeitungsmethode. Der Eintrag Kein Protokoll verfügbar hat folgende Bedeutungen:
-
Das Synchronisationsprotokoll wurde bereits gelöscht.
- ODER -
-
Im Zielsystem wurde eine Zuweisung aus einer Mitgliederliste gelöscht.
Bei der Synchronisation wird das Basisobjekt der Zuordnung aktualisiert. Dafür erscheint ein Eintrag im Synchronisationsprotokoll. Der Eintrag in der Zuordnungstabelle wird als ausstehend markiert, es gibt jedoch keinen Eintrag im Synchronisationsprotokoll.
-
Im Zielsystem wurde ein Objekt gelöscht, das eine Mitgliederliste enthält.
Bei der Synchronisation werden das Objekt und alle zugehörigen Einträge in Zuordnungstabellen als ausstehend markiert. Ein Eintrag im Synchronisationsprotokoll erscheint jedoch nur für das gelöschte Objekt.
TIPP:
Um die Objekteigenschaften eines ausstehenden Objekts anzuzeigen
-
Wählen Sie auf dem Formular für den Zielsystemabgleich das Objekt.
-
Öffnen Sie das Kontextmenü und klicken Sie Objekt anzeigen.
-
Wählen Sie die Objekte, die Sie nachbearbeiten möchten. Mehrfachauswahl ist möglich.
-
Klicken Sie in der Formularsymbolleiste eins der folgenden Symbole, um die jeweilige Methode auszuführen.
Tabelle 6: Methoden zur Behandlung ausstehender Objekte
|
Löschen |
Das Objekt wird sofort in der One Identity Manager-Datenbank gelöscht. Eine Löschverzögerung wird nicht berücksichtigt.
Indirekte Mitgliedschaften können nicht gelöscht werden. |
|
Publizieren |
Das Objekt wird im Zielsystem eingefügt. Die Markierung Ausstehend wird für das Objekt entfernt.
Es wird ein zielsystemspezifischer Prozess ausgeführt, der den Provisionierungsprozess für das Objekt anstößt.
Voraussetzungen:
-
Das Publizieren ist für die Tabelle, die das Objekt enthält, zugelassen.
-
Der Zielsystemkonnektor kann schreibend auf das Zielsystem zugreifen. |
|
Zurücksetzen |
Die Markierung Ausstehend wird für das Objekt entfernt. |
TIPP: Wenn eine Methode wegen bestimmter Einschränkungen nicht ausgeführt werden kann, ist das jeweilige Symbol deaktiviert.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
HINWEIS: Standardmäßig werden die ausgewählten Objekte parallel verarbeitet. Damit wird die Ausführung der ausgewählten Methode beschleunigt. Wenn bei der Verarbeitung ein Fehler auftritt, wird die Aktion abgebrochen und alle Änderungen werden rückgängig gemacht.
Um den Fehler zu lokalisieren, muss die Massenverarbeitung der Objekte deaktiviert werden. Die Objekte werden damit nacheinander verarbeitet. Das fehlerhafte Objekt wird in der Fehlermeldung benannt. Alle Änderungen, die bis zum Auftreten des Fehlers vorgenommen wurden, werden gespeichert.
Um die Massenverarbeitung zu deaktivieren
Für die Synchronisation in kundenspezifische Tabellen müssen Sie den Zielsystemabgleich anpassen.
Um kundenspezifische Tabellen in den Zielsystemabgleich aufzunehmen
-
Wählen Sie im Manager die Kategorie SharePoint > Basisdaten zur Konfiguration > Zielsystemtypen.
-
Wählen Sie in der Ergebnisliste den Zielsystemtyp SharePoint.
-
Wählen Sie die Aufgabe Synchronisationstabellen zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die kundenspezifischen Tabellen zu, für die Sie ausstehende Objekte behandeln möchten.
- Speichern Sie die Änderungen.
-
Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
-
Wählen Sie die kundenspezifischen Tabellen, für die ausstehende Objekte in das Zielsystem publiziert werden dürfen und aktivieren Sie die Option Publizierbar.
- Speichern Sie die Änderungen.
HINWEIS: Damit ausstehende Objekte in der Nachbehandlung publiziert werden können, muss der Zielsystemkonnektor schreibend auf das Zielsystem zugreifen können. Das heißt, an der Zielsystemverbindung ist die Option Verbindung darf nur gelesen werden deaktiviert.
Mitgliedschaften, beispielsweise von Benutzerkonten in Gruppen, werden in der One Identity Manager-Datenbank in Zuordnungstabellen gespeichert. Bei der Provisionierung von geänderten Mitgliedschaften werden möglicherweise Änderungen, die im Zielsystem vorgenommen wurden, überschrieben. Dieses Verhalten kann unter folgenden Bedingungen auftreten:
-
Mitgliedschaften werden im Zielsystem in Form einer Liste als Eigenschaft eines Objekts gespeichert.
Beispiel: Liste von Benutzerkonten in der Eigenschaft Users einer SharePoint Gruppe (SPGroup)
-
Änderungen von Mitgliedschaften sind in beiden verbundenen Systemen zulässig.
-
Ein Provisionierungsworkflow und Provisionierungsprozesse sind eingerichtet.
Wird eine Mitgliedschaft im One Identity Manager geändert, wird standardmäßig die komplette Mitgliederliste in das Zielsystem übertragen. Mitgliedschaften, die zuvor im Zielsystem hinzugefügt wurden, werden dabei entfernt; zuvor gelöschte Mitgliedschaften werden wieder eingefügt.
Um das zu verhindern, kann die Provisionierung so konfiguriert werden, dass nur die einzelne geänderte Mitgliedschaft in das Zielsystem provisioniert wird. Das entsprechende Verhalten wird für jede Zuordnungstabelle separat konfiguriert.
Um die Einzelprovisionierung von Mitgliedschaften zu ermöglichen
-
Wählen Sie im Manager die Kategorie SharePoint > Basisdaten zur Konfiguration > Zielsystemtypen.
-
Wählen Sie in der Ergebnisliste den Zielsystemtyp SharePoint.
-
Wählen Sie die Aufgabe Konfigurieren der Tabellen zum Publizieren.
-
Wählen Sie die Zuordnungstabellen, für die Sie die Einzelprovisionierung ermöglichen möchten. Mehrfachauswahl ist möglich.
-
Klicken Sie Merge-Modus.
HINWEIS:
-
Die Option kann nur für Zuordnungstabellen aktiviert werden, deren Basistabelle eine Spalte XDateSubItem hat.
-
Zuordnungstabellen, die im Mapping in einer virtuellen Schemaeigenschaft zusammengefasst sind, müssen identisch markiert werden.
Beispiel: SPSGroupHasSPSRLAsgn und SPSUserHasSPSRLAsgn
- Speichern Sie die Änderungen.
Für jede Zuordnungstabelle, die so gekennzeichnet ist, werden Änderungen, die im One Identity Manager vorgenommen werden, in einer separaten Tabelle gespeichert. Dabei werden nur die neu eingefügten und gelöschten Zuordnungen verarbeitet. Bei der Provisionierung der Änderungen wird die Mitgliederliste im Zielsystem mit den Einträgen in dieser Tabelle abgeglichen. Damit wird nicht die gesamte Mitgliederliste überschrieben, sondern nur die einzelne geänderte Mitgliedschaft provisioniert.
HINWEIS: Bei einer Synchronisation wird immer die komplette Mitgliederliste aktualisiert. Dabei werden Objekte mit Änderungen, deren Provisionierung noch nicht abgeschlossen ist, nicht verarbeitet. Diese Objekte werden im Synchronisationsprotokoll aufgezeichnet.
Die Einzelprovisionierung von Mitgliedschaften kann durch eine Bedingung eingeschränkt werden. Wenn für eine Tabelle der Merge-Modus deaktiviert wird, dann wird auch die Bedingung gelöscht. Tabellen, bei denen die Bedingung bearbeitet oder gelöscht wurde, sind durch folgendes Symbol gekennzeichnet: . Die originale Bedingung kann jederzeit wiederhergestellt werden.
Um die originale Bedingung wiederherzustellen
-
Wählen Sie die Zuordnungstabelle, für welche Sie die Bedingung wiederherstellen möchten.
-
Klicken Sie mit der rechten Maustaste auf die gewählte Zeile und wählen Sie im Kontextmenü Originalwerte wiederherstellen.
- Speichern Sie die Änderungen.
HINWEIS: Um in der Bedingung den Bezug zu den eingefügten oder gelöschten Zuordnungen herzustellen, nutzen Sie den Tabellenalias i.
Beispiel für eine Bedingung an der Zuordnungstabelle SPSUserHasSPSRLAsgn:
exists (select top 1 1 from SPSRLAsgn g
where g.UID_SPSRLAsgn = i.UID_SPSRLAsgn
and <einschränkende Bedingung>)
Ausführliche Informationen zur Provisionierung von Mitgliedschaften finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.