One Identity Manager – Synkprojekt med Active Directory Connector

För att provisionera data med One Identity Manager sätter man upp ett eller flera synkprojekt där varje projekt använder en typ av connector. I bilden nedan ser du de connectorer som följer med i grundinstallationen men det finns betydligt fler färdiga connectorer. Dessa läggs till automatiskt när man installerar fler moduler för One Identity Manager. Vi kommer i detta avsnitt fokusera på connectorn för Active Directory och läsa in användare enligt standard konfiguration.

Starta Launchpaden och klicka på ”Run” enligt nedan.

Programmet ”Synchronization Editor” startas.

Skapa synkprojektet

1. 1. 1. 1. 1. Rutan ”Create synchronization project” öppnas. Klicka ”Next”.
               
            2. I rutan ”Choose target system” är connectorn för Active Directory redan förvald, klicka ”Next”.
            3. I rutan ”System access” klickar du ”Next”.
            4. I rutan ”Create system connection” klickar du ”Next”.
            5. I rutan ”Domain selection” så pekar du ut din domän som du vill använda.
               
            6. I rutan ”Credentials” anger du användarnamn och lösenord för kontot som ska användas för att nyttja domänen. Jag har gjort det enkelt i min utvecklingsmiljö och använt administator. Klicka på ”Test” för att verifiera anslutningen.
               
            7. I rutan ”Configure connection options” låter vi inställningarna vara, vi ser här att domänkontrollanten är förvald och vi verifierar ännu en gång genom att klicka ”Test” innan vi går vidare.
               
            8. I rutan ”Connector features” klickar du ”Next”.
            9. Klicka ”Finish” i sista rutan.
            10. I rutan ”Configure connection options” låter vi inställningarna vara, vi ser här att domänkontrollanten är förvald och vi verifierar ännu en gång genom att klicka ”Test” innan vi går vidare.
                
            11. I rutan ”Connector features” klickar du ”Next”.
            12. I rutan ”Additional Active Directory schema settings” klickar du ”Next”.
            13. Klicka ”Finish” i sista rutan.
            14. Nu öppnar en ny ruta upp där synkprojektet ska koppla sig mot databasen i One Identity, uppgifter för anslutning ska redan vara ifyllda.
                Klicka vidare.
                
            15. Det kan ta en stund att ladda schemat, klicka sedan ”Finish”.
            16. I rutan ”Restrict target system access” väljer du det förvalda alternativet med Read/Write, vi vill både kunna läsa och skriva mot vårt AD.
            17. I rutan ”Synchronization server” pekar du ut den server som ska exekvera synkroniseringen, denna server måste också vara utpekad som Job server.
            18. Klicka till slut ”Finish” på sista rutan.
            19. Följande varning kommer visas du vi inte krypterat vår databas, observera att denna varning kan uppkomma flera gånger. Klicka ”Yes” för att fortsätta.
                

Konfigurera synkprojektet

1. 1. 1. 1. 1. Dubbelklicka projektet vi nyss skapade.
               
            2. Klicka på ”Target system” i vänstersektionen. I denna vyn kan vi nu bläddra i vårt AD, gör detta genom att klicka på ”Browse”. I rutan som öppnas ser vi till vänster de olika schema typer som finns tillgängliga. Klicka på ”user” så kommer samtliga användare i AD att listas (standard). Genom att sedan markera en användare går det att se fält och data kopplade till användare.
               
            3. Självklart är det inte bra att läsa in alla användare på en gång, vi kommer därför att ändra ”Scope” enligt nedan.
               
            4. I tabben som öppnas väljer vi att bara peka ut en specifikt OU som jag förberett tidigare.
               
            5. I följande bild visar jag hur detta OU ”TestUsers2” ser ut i ”Active Directory Users And Computers”. Här finns två testanvändare uppskapade, dessa ska vi synka in till One Identity Manager.
               
            6. Först börjar vi med att simulera synkningen, detta gör du genom att i vänstersektion klicka på ”Start up configuration” och sedan på ”Simulate”. Denna operation består av flera steg så det kan ta en stund.
               
            7. När simuleringen är klar resulterar denna i en rapport. Vi kan i bilden nedan se att för schematypen ”ADSAccount” (tabell för ad-användare) att det finns två objekt som ska läggas till så det ser bra ut. Om vi klickar på ”Details” så går det att se på attributnivå vilka värden som kommer skrivas.
               
            8. För att se hur mappningen ser ut mellan Active Directory och ADSAccount-tabellen kan man klicka på ”Mappings” i vänstersektionen. Markera sedan ”user” så ser vi sedan i bilden nedan att huvudregeln är att ”nyckeln” som används under mappningen är DistinguishedName.
               
            9. Vi vill också inspektera hur arbetsflödet ser ut. Detta gör vi genom att klicka på ”Workflows” i vänstersektionen. Här ser vi nu tre arbetsflöden, det sista kan du ignorera. ”Initial Synchronization” är arbetsflödet som används när vi ”Läser” och när ändringar sker som måste provisioneras används ”Provisioning” för att ”Skriva”. Klicka på ”Initial Synchronization” och sedan på ”user” enligt bild.
               
            10. I rutan ”Edit synchronization step” markerar du ”Processing”. I den nedre halvan ser vi de regler för objekt (ad-användare) som gäller när ”synkning sker från målsystemet (AD) till One Identity Manager”. Det som är valt är enligt standard. Om objekt bara finns i målsystemet så kommer dessa objekt skapas (Insert) i upp i One Identity Manager. Om det är omvänt så kommer inte objekten tas bort i One Identity Manager, istället kommer dessa objekt att bli flaggade (MarkAsOutstanding. Detta innebär att objekten kommer ligga kvar tills vi väljer att ta bort dessa manuellt, alt. att en regel tar bort dessa efter X dagar. Om objekt uppdateras (Update) i målsystemet så kommer dessa uppdateras i One Identity Manager (UnmarkAsOutstanding kan vi bortse från). Vid ingen ändring händer heller ingenting.
                
            11. Klicka cancel och markera istället arbetsflödet ”Provisioning” och klicka på ”user” igen och sedan ”Processing”.
            12. Nu ser vi samma ruta igen men nu är det omvänd ordning på synken, nu gäller reglerna för ”synkning från One Identity Manager till målsystemet (AD)”. Det som är valt är enligt standard. Om objekt bara finns i One Identity Manager så kommer dessa objekt skapas (Insert) upp i målsystemet. Objekt som bara finns i målsystemet kommer tas bort i One Identity Manager. Om objekt uppdateras (Update) i One Identity Manager så kommer dessa uppdateras i målsystemet. Vid ingen ändring händer heller ingenting.
                
            13. Nu är vi redo för att starta synkningen. I vänstersektionen klickar du på ”Start up configuration” och sedan knappen ”Execute” enligt bild. Klicka ”Yes” på rutan som kommer upp, det kommer även komma en ruta om att ändringar som gjort måste sparas, klicka ”OK”.
                
            14. Om det gick bra ser du efter en stund rutan nedan.
                
            15. Gå nu till JobQueue så kommer du se att en process för synkningen har startat.
                
            16. När synkningen är klar kan du gå till Manager och i vänstersektionen ”Navigation” går till ”Active Directory” och klicka på ”User accounts”. Här ser vi de två inlästa ad-kontona.
                
            17. Vi väljer att klicka på ”Sofia Björk” och nu ska vi testa att ändra efternamn.
                
            18. När vi sparat ändringen så kommer en process att startas som synkar detta till AD.
                
            19. Tittar vi i AD så ser vi nu att efternamnet är bytt för Sofia.
                
            20. Notera att formateringen på namn har bytt plats på förnamn och efternamn på användaren. Detta går att justera, mer om det i nästa guide.