Fehler in der Synchronisationskonfiguration können dazu führen, dass Systemobjekte falsch verarbeitet werden. Fehler im Datenbestand durch Fehlkonfigurationen können gemindert werden. Oftmals ist bekannt, welcher Anteil an Systemobjekten in einem verbundenen SystemSystem, in welches die Objekte und ihre Eigenschaften während einer Synchronisation übertragen werden. Das verbundene System wird durch die Synchronisationsrichtung festgelegt. Beispiel für die Synchronisationsrichtung "In das Zielsystem" (One Identity Manager -> Active Directory): Hier ist Active Directory das verbundene System und One Identity Manager das primäre System der Synchronisation. üblicherweise geändert, eingefügt oder gelöscht wird. Wenn bei der Ausführung einer VerarbeitungsmethodeMethode, nach der Objekte innerhalb eines SynchronisationsschrittsKonkrete Vorschrift für die Verarbeitung genau zweier zugeordneter Schemaklassen. verarbeitet werden. Beispiele: Objekt einfügen (Insert), Objekt aktualisieren (Update), Objekt löschen (Delete). Verarbeitungsmethoden und deren Pflichtparameter sind an den Schematypen definiert. dieser Anteil überstiegen wird, soll eine Warnung erscheinen und die SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem Zielsystem. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. abgebrochen werden. Die Konfiguration des Synchronisationsschrittes und des MappingsListe von Objekt-Matching- und Property-Mapping-Regeln, nach denen die Schemaeigenschaften zweier verbundener Systeme aufeinander abgebildet werden. kann daraufhin überprüft und korrigiert werden, bevor die Synchronisation erneut ausgeführt wird.
Um den Anteil der in einem Synchronisationsschritt maximal zu verarbeitenden Systemobjekte festzulegen, definieren Sie für die einzelnen Verarbeitungsmethoden Quotas. Eine QuotaAnteil der Systemobjekte, die in einem Synchronisationsschritt mit einer bestimmten Verarbeitungsmethode maximal verarbeitet werden dürfen. Wenn bei der Synchronisation die Quota überstiegen wird, werden keine Objekte dieser Schemaklasse mit dieser Verarbeitungsmethode verarbeitet und die Synchronisation wird abgebrochen. gibt die Menge der maximal zu verarbeitenden Objekte relativ zur Gesamtmenge aller Objekte der zu synchronisierenden SchemaklasseTeilmenge eines Schematyps. Die Ergebnisliste eines Schematyps wird nach definierten Kriterien gefiltert. Beispiel: Active Directory Kontakte sind Active Directory Benutzerkonten mit der Eigenschaft Objektklasse = 'CONTACT'. an. Wenn ein Synchronisationsschritt ausgeführt wird, ermittelt der One Identity Manager für jede Verarbeitungsmethode mit Quota die Anzahl der zu verarbeitenden Objekte. Wenn diese Anzahl die Quota übersteigt, werden keine Objekte dieser Schemaklasse verarbeitet. Die Synchronisation wird abgebrochen und eine Meldung ins Synchronisationsprotokoll geschrieben.
Für die Synchronisation ins ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“ und für die Synchronisation in den One Identity Manager können unterschiedliche Quotas definiert werden.
Eigenschaft |
Bedeutung |
---|---|
Keine Quota |
Gibt an, ob Quotas bei der Synchronisation berücksichtigt werden. Wenn die Option aktiviert ist, werden keine Quotas berücksichtigt. |
Verwende folgende Einstellungen |
Gibt das verbundene System und die Verarbeitungsmethoden an, welche Quotas berücksichtigen sollen.
Beim Einrichten eines neuen Synchronisationsschritts wird für Objekte im One Identity Manager für die Verarbeitungsmethode Delete automatisch eine Quota von 10 % festgelegt. Passen Sie diese Quota Ihren Erfordernissen an. In Workflows, die mit dem Workflowsiehe Entscheidungsworkflow, siehe ProvisionierungsworkflowLegt die Reihenfolge aller auszuführenden Synchronisationsschritte für die Provisionierung fest., siehe SynchronisationsworkflowLegt die Reihenfolge aller auszuführenden Synchronisationsschritte für die Synchronisation fest.,-Assistenten erstellt werden, legt der One Identity Manager standardmäßig Quotas für die Synchronisation in das Zielsystem fest. Passen Sie diese Quotas Ihren Erfordernissen an.
|
Hinweise
-
Quotas können nur für Verarbeitungsmethoden definiert werden, die Daten ändern (beispielsweise Insert, Update, Delete).
-
Bei der Berechnung der Anzahl der zu verarbeitenden Objekte, berücksichtigt der One Identity Manager die Menge der in die schlanke Liste geladenen Objekte. Bedingungen an den Verarbeitungsmethoden werden hier nicht berücksichtigt!
Wenn an einer Verarbeitungsmethode eine Bedingung hinterlegt ist, welche die Menge der zu synchronisierenden Objekte einschränkt, geben Sie für diese Verarbeitungsmethode eine entsprechend höhere Quota an.
-
Um zu prüfen, ob die Quota überschritten wird, werden zuerst alle zu verarbeitenden Objekte geladen. Erst danach wird die Verarbeitungsmethode ausgeführt. Bei großen Datenmengen kann das die Synchronisationsperformance beeinträchtigen.
-
Wenn die Quota durch ein einzelnes Objekt überstiegen wird, wird dieses Objekt trotzdem verarbeitet.
Wenn beispielsweise für eine Schemaklasse mit nur 8 Objekten eine Quota von 10 % definiert ist und genau ein Objekt geändert wurde, dann wird dieses Objekt verarbeitet, obwohl rechnerisch die Quota dadurch bereits überschritten ist.
In Provisionierungsworkflows sind Quotas wirkungslos, da immer nur Einzelobjekte verarbeitet werden.
-
Auf die Synchronisation von Mitgliedschaften wirken Quotas nur, wenn M:N-Schematypen in einem separaten Synchronisationsschritt verarbeitet werden. (Beispiel: Synchronisation der Zuweisungen von SAP Rollensiehe: Hierarchische Rolle an SAP Benutzerkonten. Die Quota bezieht sich auf die Menge der UserInRole-Objekte.)
Wenn Mitgliedschaften als ObjekteigenschaftWert einer Schemaeigenschaft für ein konkretes Objekt. eines Basisobjekts (Mitgliederliste) gespeichert sind, wirkt die Quota nur auf das BasisobjektBasisobjekte enthalten Informationen über das zu synchronisierende Zielsystem, dessen Systemverbindung und den Synchronisationsserver. und nicht auf die einzelnen Mitglieder. (Beispiel: Synchronisation von Active Directory Gruppen. Die Quota bezieht sich nur auf die Menge der Gruppen und nicht auf die Menge der Mitglieder.)