Prozess Orchestrierung

Сomentários

Transcrição

Prozess Orchestrierung
5.0
Prozess Orchestrierung
© 2011 Quest Software, Inc.
ALLE RECHTE VORBEHALTEN.
Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch
beschriebene Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert
werden. Diese Anleitung darf ohne schriftliche Erlaubnis von Quest Software, Inc. weder ganz noch teilweise in beliebiger Form oder durch beliebige elektronische oder mechanische Hilfsmittel einschließlich
des Fotokopierens und Speicherns für andere Zwecke als den persönlichen Gebrauch des Käufers vervielfältigt oder weitergegeben werden.
Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise, eine Lizenz auf intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON QUEST, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT
SIND, ÜBERNIMMT QUEST KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER
GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET QUEST
FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENSERSATZ, BESONDERE ODER
KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER
UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE. Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen vorzunehmen. Quest
geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu aktualisieren.
Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich bitte an:
Quest Software World Headquarters
LEGAL Dept
5 Polaris Way
Aliso Viejo, CA 92656
USA
E-Mail: [email protected]
Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website
(www.quest.com).
Patente
Dieses Produkt enthält zum Patent angemeldete Technologie.
Warenzeichen
Quest, Quest Software, das Quest Software-Logo und Quest One Identity Manager sind Warenzeichen
und eingetragene Warenzeichen von Quest Software, Inc in den Vereinigten Staaten von Amerika und
in anderen Ländern. Eine komplette Liste der Quest Software Warenzeichen finden Sie unter http://
www.quest.com/legal/trademarks.aspx. Andere in diesem Handbuch verwendete Warenzeichen und
eingetragene Warenzeichen sind Eigentum ihrer jeweiligen Besitzer.
Beiträge von Drittanbietern
Quest One Identity Manager enthält einige Komponenten von Drittanbietern (nachfolgend aufgelistet).
Kopien der Lizenzen dieser Drittanbieter finden Sie auf unserer Webseite unter http://www.quest.com/
legal/third-party-licenses.aspx.
KOMPONENTE
LIZENZ ODER BESTÄTIGUNG
ExplorerCanvas Release 3
Copyright © 2006 Google Inc. Apache 2.0 Lizenz.
MochiKit 1.4.2
Copyright © 2005 Bob Ippolito. All rights reserved. MIT Lizenz.
Mono.Security 2.0.3600.1
Copyright © 2004 Novell, Inc. (http://www.novell.com). MIT Lizenz.
Novell.Directory.LDAP 2.1.9.0
Copyright © 2003 Novell, Inc. (http://www.novell.com). MIT Lizenz.
PlotKit 0.9.1
Copyright © 2006 Alastair Tse. BSD Simple Lizenz.
Quest One Identity Manager - Prozess Orchestrierung
Aktualisiert - 21.10.2011
Softwareversion - 5.0.2
INHALT
KAPITEL 1
ÜBER DIESES HANDBUCH
QUEST
®
ONE IDENTITY MANAGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
ZIELGRUPPE DES HANDBUCHES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
BESTANDTEILE DER DOKUMENTATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
FORMATIERUNGSKONVENTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
ÜBER DIE QUEST SOFTWARE, INC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
KONTAKT ZU QUEST SOFTWARE, INC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
KONTAKT ZUM QUEST-SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
KAPITEL 2
ARBEITEN MIT JOB QUEUE INFO
EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
AUFBAU DER PROGRAMMOBERFLÄCHE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
TITELLEISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
STATUSZEILE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
MENÜLEISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
KONTEXTMENÜS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
SYMBOLLEISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
AKTUALISIERUNG DER ANSICHTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
FILTERN DER ANSICHTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
SPALTENKONFIGURATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
ANPASSEN DER PROGRAMMEINSTELLUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
ÄNDERN DES KENNWORTES FÜR DEN ANGEMELDETEN BENUTZER . . . . . . . . . . . . . . . . . 22
ANSICHT DER JOBQUEUE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
REAKTIVIEREN VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
ANSICHT DER JOBSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
ANSICHT DER PROZESSHISTORIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
ANSICHT DER BASISOBJEKTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ANSICHT EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ANSICHT DER PROZESSSCHRITTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ANSICHT DER PARAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
ANZEIGE VON OUT-PARAMETERN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
ANSICHT DES VERLAUFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
ERMITTELN DES SERVERSTATUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
ANSICHT DER DBQUEUE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
ANHALTEN DES SYSTEMS (NOT-AUS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
KAPITEL 3
PROZESSVERARBEITUNG IM IDENTITY MANAGER
EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
ARBEITEN MIT DEM PROZESSEDITOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
ERWEITERUNGEN DER MENÜLEISTE UND DER SYMBOLLEISTE . . . . . . . . . . . . . . . . . . . 39
ANSICHTEN IM PROZESSEDITOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
FUNKTIONEN IM PROZESSDOKUMENT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
FUNKTIONEN IN DER BEARBEITUNGSANSICHT FÜR PROZESSE UND PROZESSSCHRITTE . . 44
5
Quest One Identity Manager
FUNKTIONEN
FUNKTIONEN
FUNKTIONEN
FUNKTIONEN
FUNKTIONEN
BEARBEITUNGSANSICHT FÜR EREIGNISSE UND
ANSICHT ZUR PROZESSFEHLERKONTROLLE. . .
IN DER ANSICHT DER COMPILERFEHLER . . . . . . . . .
IN DER QUELLCODEANSICHT . . . . . . . . . . . . . . . .
IN DER SIMULATIONSANSICHT . . . . . . . . . . . . . .
ARBEITEN MIT EINEM PROZESSDOKUMENT . . . . . . . . . . . . . . . . .
IN DER
IN DER
PARAMETER .
........
........
........
........
........
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
44
45
46
46
46
46
UNTERSTÜTZUNG BEI DER EINGABE VON WERTEN . . . . . . . . . . . . . . . . . . . . . . . . . . 47
DEFINIEREN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
GRUNDLAGEN ZUR DEFINITION VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . 48
BEARBEITEN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
ALLGEMEINE EIGENSCHAFTEN EINES PROZESSES . . . . . . .
ANGABEN FÜR DIE GENERIERUNG EINES PROZESSES . . . . .
BENACHRICHTUNG BEI DER VERARBEITUNG VON PROZESSEN
EREIGNISSE FÜR DIE PROZESSGENERIERUNG . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
50
51
52
52
BEARBEITEN DER EREIGNISSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
BEARBEITEN VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
ALLGEMEINE EIGENSCHAFTEN EINES PROZESSSCHRITTES . . . . . . . .
ANGABEN ZUR GENERIERUNG EINES PROZESSSCHRITTES . . . . . . . .
FESTLEGEN DES AUSFÜHRENDEN SERVERS . . . . . . . . . . . . . . . . .
FEHLERBEHANDLUNG BEI DER VERARBEITUNG VON PROZESSSCHRITTEN
BENACHRICHTIGUNG ZUR VERARBEITUNG VON PROZESSSCHRITTEN . .
PARAMETER EINES PROZESSSCHRITTES . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
55
55
56
57
58
59
BEARBEITEN DER PARAMETER EINES PROZESSSCHRITTES . . . . . . . . . . . . . . . . . . . 60
WERTBELEGUNG VON PARAMETERN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
IMPORTIEREN VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
SUCHEN EINES PROZESSSCHRITTES INNERHALB EINES PROZESSES . . . . . . . . . . . . . . . . 64
KOPIEREN EINES PROZESSSCHRITTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
MEHRFACHBEARBEITUNG VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . 64
KOPIEREN EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
VERGLEICHEN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
EXPORTIEREN UND IMPORTIEREN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . 67
SIMULIEREN EINER PROZESSGENERIERUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
GÜLTIGKEITSPRÜFUNG EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
KOMPILIEREN EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
AUTOMATISIERTE AUSFÜHRUNG VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
ARBEITEN MIT DEM EDITOR FÜR PROZESSAUFTRÄGE . . . . . . . . . . . . . . . . . . . . . . . . 74
ERWEITERUNGEN DER MENÜLEISTE UND DER SYMBOLLEISTE
ANSICHTEN DES EDITORS . . . . . . . . . . . . . . . . . . . . .
FUNKTIONEN IN DER LISTENANSICHT . . . . . . . . . . . . . .
FUNKTIONEN IN DER BEARBEITUNGSANSICHT. . . . . . . . . .
ERSTELLEN EINES PROZESSAUFTRAGS . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
75
76
76
77
78
PROZESSKOMPONENTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
KAPITEL 4
FEHLERSUCHE BEI DER PROZESSVERARBEITUNG
EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
6
AUFZEICHNUNG VON MELDUNGEN IN DER PROZESSHISTORIE . . . . . . . . . . . . . . . . . . . . . . 86
AUFZEICHNUNG VON MELDUNGEN IM SYSTEMPROTOKOLL . . . . . . . . . . . . . . . . . . . . . . . . 87
PROTOKOLLIERUNG DES IDENTITY MANAGER SERVICES. . . . . . . . . . . . . . . . . . . . . . . . . . 87
KONFIGURATION DER PROTOKOLLDATEI DES IDENTITY MANAGER SERVICES . . . . . . . . . . 87
ANZEIGE DER PROTOKOLLDATEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
ERWEITERTE FEHLERAUSGABE DES IDENTITY MANAGER SERVICES . . . . . . . . . . . . . . . . 90
AUSGABE VON ERWEITERTEN RÜCKGABEWERTEN EINZELNER PROZESSKOMPONENTEN . . . . . 91
AUSGABE EIGENER MELDUNGEN IN DIE PROTOKOLLDATEI DES IDENTITY MANAGER SERVICES 91
AUFZEICHNUNG VON MELDUNGEN IN DER EREIGNISANZEIGE . . . . . . . . . . . . . . . . . . . 92
PROTOKOLLIERUNG DER PROZESSGENERIERUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
PROTOKOLLIERUNG DER DATENBANKABFRAGEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
PROTOKOLLIERUNG DER OBJEKTAKTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
PROTOKOLLIERUNG VON DBSCHEDULER AUFTRÄGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
KAPITEL 5
DATEIEN DES IDENTITY MANAGERS
KONFIGURATIONSDATEIEN DES IDENTITY MANAGER SERVICES . . . . . . . . . . . . . . . . . . . . . 98
JOBSERVICE.CFG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
VINETWORKSERVICE.EXE.CONFIG .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
PROTOKOLLDATEI DES IDENTITY MANAGER SERVICES . . . . . . . . . . . . . . . . . . . . . . . . . .100
PROTOKOLLDATEI DES HTTPLOGPLUGINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101
GLOSSAR ............................................................................................................... 103
INDEX .................................................................................................................. 123
7
Quest One Identity Manager
8
1
Über dieses Handbuch
• Quest® One Identity Manager
• Zielgruppe des Handbuches
• Formatierungskonventionen
• Über die Quest Software, Inc.
Quest One Identity Manager
Quest® One Identity Manager
Der Quest One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffberechtigungen und Sicherheitsrichtlinien. Er ermöglicht, IAM anhand von Unternehmensanforderungen, statt durch IT Ressourcen, zu betreiben. Der Quest One Identity Manager basiert
auf einer prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die
wesentlichen IAM Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten.
Zielgruppe des Handbuches
Dieses Handbuch beschreibt die Funktionen des Identity Managers, mit denen Sie die Prozess-Orchestrierung steuern können. Sie erfahren, wie Sie Prozesse definieren, bearbeiten, simulieren und automatisieren können. Sie erhalten einen Überblick über alle Prozesskomponenten, die als Prozessfunktionen
genutzt werden können.
Des Weiteren ist beschrieben, wie Sie den Identity Manager konfigurieren, um Fehler in der Prozessverarbeitung zu überwachen und Fehler in der Prozessverarbeitung zu erkennen. Der Identity Manager unterstützt Sie darin durch eine detaillierte Darstellung der Prozesse, Informationen über den Verarbeitungszustand der einzelnen Prozessschritte und den Prozessverlauf.
Dieses Handbuch wurde als Nachschlagewerk für Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt.
Dieses Handbuch beschreibt die Funktionen des Identity Managers, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.
Bestandteile der Dokumentation
Neben dem Handbuch „Prozess-Orchestrierung“ umfasst die Identity Manager-Dokumentation die im
Folgenden beschriebenen Handbücher. Sie befinden sich auf der Auslieferungs-CD im Verzeichnis
...\Quest One Identity Manager\Documentation.
Erste Schritte
Wesentliche Bestandteile des Handbuchs Erste Schritte sind:
10
•
Installationsvoraussetzungen
•
Installation und Aktualisierung der Identity Manager-Administrationswerkzeuge
•
Einrichtung der Identity Manager-Datenbank
•
Einrichtung der administrativen Arbeitsstationen
•
Einrichtung der Server für den Zugriff auf die Datenbank
•
Überblick über die Administrations- und Konfigurationswerkzeuge des Identity Managers
•
Benutzeroberfläche der zentralen Identity Manager-Werkzeuge
Über dieses Handbuch
Identity Management
Wesentliche Bestandteile des Handbuchs Identity Management sind:
•
Identity Management und User Provisioning mit dem Identity Manager
•
Einhaltung und Überwachung regulatorischer Anforderungen mittels Identity Audit
Prozess-Orchestrierung
Wesentliche Bestandteile des Handbuchs Prozess-Orchestrierung sind:
•
Überwachung der Prozessverarbeitung
•
Steuerung der Prozessverarbeitung
•
Fehlersuche
Konfiguration
Wesentliche Bestandteile des Handbuchs Konfiguration sind:
•
Softwarearchitektur des Identity Managers
•
Konfiguration des Identity Manager-Datenmodells
•
Konfiguration der Bearbeitungsrechte
•
Konfiguration der Benutzeroberflächen
•
Skriptverarbeitung
•
Erstellung von Reporten
•
Datentransport
•
Parameter zur Systemkonfiguration
•
Vererbungsmechanismen des Identity Managers
•
Service Provisioning mittels Service Provisioning Markup Language (SPML)
•
Providermodus
IT Shop
Wesentliche Bestandteile des Handbuchs IT Shop sind:
•
IT Shop zur Selbstversorgung autorisierter Mitarbeiter mit Unternehmensressourcen
•
Entwicklung von Entscheidungsrichtlinien und Entscheidungsworkflows
Web Designer Referenzhandbuch
Wesentliche Bestandteile des Web Designer Referenzhandbuchs sind:
•
Entwicklung und Konfiguration des Web Portals mit dem Web Designer
11
Quest One Identity Manager
Formatierungskonventionen
In diesem Handbuch werden bestimmte Formatierungskonventionen eingehalten, die die effektive Verwendung des Dokuments sicherstellen. Diese Konventionen werden auf unterschiedliche Vorgänge,
Symbole, Tastenkombinationen und Querverweise angewandt.
ELEMENT
KONVENTION
<>
Kennzeichnet Schaltflächen und Menüeinträge der Benutzeroberfläche oder Tasten auf der Tastatur.
Blaue Schrift
Zeigt einen Querverweis an.
Wird zum Hervorheben zusätzlicher Informationen verwendet,
die für den jeweils beschriebenen Vorgang sachdienlich sind.
Wird für empfohlene Vorgehensweisen verwendet. Eine empfohlene Vorgehensweise beschreibt detailliert einen Ablauf von Vorgängen, um optimale Ergebnisse zu erzielen.
Damit werden Vorgänge hervorgehoben, die mit Vorsicht durchzuführen sind.
+
Ein Plus-Zeichen zwischen zwei Tasten bedeutet, dass beide Tasten gleichzeitig gedrückt werden müssen.
Über die Quest Software, Inc.
Quest Software vereinfacht das Management von IT-Infrastrukturen und sorgt damit für Kostensenkungen bei mehr als 100.000 Kunden weltweit. Die innovativen Lösungen unterstützen Unternehmen
selbst bei den größten Herausforderungen des IT-Managements, verbessern die Effizienz der IT-Abläufe
und helfen Zeit und Geld zu sparen - über physische, virtuelle und Cloud-Umgebungen hinweg. Weitere
Informationen unter www.quest.com.
Kontakt zu Quest Software, Inc.
E-Mail
[email protected]
Postanschrift
Quest Software, Inc.
World Headquarters
5 Polaris Way
Aliso Viejo, CA 92656
USA
Website
www.quest.com
Informationen über unsere regionalen und internationalen Niederlassungen entnehmen Sie bitte unserer Website.
12
Über dieses Handbuch
Kontakt zum Quest-Support
Der Support von Quest ist für Kunden verfügbar, die über eine Evaluierungsversion eines Quest-Produkts verfügen oder die eine kommerzielle Version erworben haben und über einen gültigen Wartungsvertrag verfügen. Der Quest-Support steht Ihnen über SupportLink, unsere Service-Website, rund um
die Uhr zur Verfügung. Besuchen Sie SupportLink unter http://support.quest.com/.
Auf der SupportLink-Website haben Sie folgende Möglichkeiten:
•
Schnell Tausende von Lösungen finden (Knowledge Base-Artikel und Dokumente).
•
Patches und Aktualisierungen herunterladen.
•
Die Hilfe eines technisch geschulten Support-Mitarbeiters anfordern.
•
Ihren Fall protokollieren, aktualisieren und seinen Status überprüfen.
Im Global Support Guide finden Sie eine ausführliche Erläuterung der Supportprogramme, Onlinedienste, Kontaktinformationen sowie Richtlinien und Vorgehensweisen. Das Handbuch kann unter folgender Adresse heruntergeladen werden: http://support.quest.com/pdfs/Global Support Guide.pdf.
13
Quest One Identity Manager
14
2
Arbeiten mit Job Queue Info
• Einleitung
• Aufbau der Programmoberfläche
• Ansicht der Jobqueue
• Ansicht der Jobserver
• Ansicht der Prozesshistorie
• Ansicht der Basisobjekte
• Ansicht eines Prozesses
• Ansicht der Prozessschritte
• Ansicht der Parameter
• Ansicht des Verlaufs
• Ermitteln des Serverstatus
• Ansicht der DBQueue
• Anhalten des Systems (Not-Aus)
Quest One Identity Manager
Einleitung
Das Programm Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der in einem Identity
Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und übersichtliche Darstellung der
Aufträge in der Jobqueue und verschiedene Abfragen des Identity Manager Services auf den Servern.
Das Programm erleichtert die Arbeit mit Prozessen, liefert Zustandsinformationen im laufenden Betrieb
und ermöglicht eine schnelle Fehlererkennung und Fehlersuche.
Aufbau der Programmoberfläche
Die Anmeldung am Programm erfolgt wie im Handbuch Erste Schritte im Abschnitt Anmelden an den
Identity Manager-Werkzeugen auf Seite 137 beschrieben.
Die graphische Benutzeroberfläche des Programms kann mittels Maus und Tastenkombinationen gesteuert werden. Für eine optimale Darstellung der Graphik empfehlen wir eine minimale Bildschirmauflösung von 1280 x 1024 Bildpunkten mit mindestens 16 Bit Farbtiefe.
Die Programmoberfläche von Job Queue Info enthält eine Titelleiste, eine Statuszeile, eine Menüleiste,
eine Symbolleiste und einen Bearbeitungsbereich. Innerhalb des Bearbeitungsbereichs sind unterschiedliche Ansichten zur Darstellung der Informationen definiert.
Titelleiste
In der Titelleiste werden das Programmsymbol, der Name des Programms und die verbundene Datenbank in der Notation <Nutzer>@<Datenbankserver>\<Datenbank(Beschreibung)> angezeigt.
Titelleiste mit Programmname und Datenbank
Statuszeile
In der Statuszeile werden die verbundene Datenbank in der Notation <Server>\<Datenbank (Beschreibung)> und der verbundene Systembenutzer dargestellt. Zusätzlich wird der Systemstatus angezeigt.
Datenbankaktivität wie beispielsweise Laden oder Speichern von Objekten wird durch das Statussymbol
angezeigt.
Erweiterte Statuszeile des Programms
Symbole in der Statuszeile
SYMBOL
BEDEUTUNG
Systembenutzer ohne Freigabeschlüssel.
Systembenutzer mit Freigabeschlüssel.
Die Verarbeitung des DBSchedulers wurde gestoppt, da die Datenbank kompiliert werden
muss.
16
Arbeiten mit Job Queue Info
Symbole in der Statuszeile
SYMBOL
BEDEUTUNG
Der DBScheduler wurde angehalten.
Die Dienste wurden angehalten.
Die Datenbank ist verbunden.
Status der Datenbank und Anzeige der Berechnungsaufträge des DBSchedulers.
Menüleiste
Die Menüleiste enthält die Menüs <Datenbank>, <Filter>, <Ansicht> und <Hilfe>. Die Menüs <Datenbank> und <Hilfe> werden immer angeboten. Die Menüs <Filter> und <Ansicht> werden nur angezeigt, wenn eine Datenbank verbunden ist.
Menüleiste mit Menübefehlen
Allgemeine Tastenkombinationen in der Menüleiste
TASTENKOMBINATION
AKTION
Alt + unterlegter Buchstabe
Menü auswählen.
Pfeil unten, Pfeil oben
Bewegen innerhalb der Menüeinträge eines Menüs.
Enter
Selektion eines Menüeintrages.
Esc
Abbruch des Menüs.
Job Queue Info - Bedeutung der Menübefehle
MENÜ
MENÜBEFEHL
Datenbank Neue Verbindung...
BEDEUTUNG
Es wird eine Datenbankverbindung hergestellt.
Verbindung schließen
Die aktuelle Datenbankverbindung wird geschlossen.
Kennwort ändern...
Das Kennwort für den angemeldeten Benutzer kann geändert
werden.
Einstellungen...
Es können allgemeine Programmeinstellungen konfiguriert werden.
Beenden
Das Programm wird beendet.
17
Quest One Identity Manager
Job Queue Info - Bedeutung der Menübefehle
MENÜ
MENÜBEFEHL
BEDEUTUNG
Filter
Filter definieren
Zur Erstellung eines Filters wird der Where-Klausel Assistent
geöffnet.
Filter löschen
Der Filter wird gelöscht.
Jobqueue
Die Ansicht der Jobqueue wird eingeblendet/ausgeblendet.
Jobserver
Die Ansicht der Jobserver wird eingeblendet/ausgeblendet.
Prozesshistorie
Die Ansicht der Prozesshistorie wird eingeblendet/ausgeblendet.
Basisobjekte
Die Ansicht der Basisobjekte wird eingeblendet/ausgeblendet.
Prozess
Die Ansicht des Prozesses wird eingeblendet/ausgeblendet.
Prozessschritt
Die Ansicht des Prozessschritts wird eingeblendet/ausgeblendet.
Parameter
Die Ansicht der Parameter wird eingeblendet/ausgeblendet.
Verlauf
Die Ansicht des Verlaufs wird eingeblendet/ausgeblendet.
Serverstatus
Die Ansicht der Serverstatus wird eingeblendet/ausgeblendet.
DBQueue
Die Ansicht der DBQueue wird eingeblendet/ausgeblendet.
Ansicht
Standard wiederherstel- Das Standardlayout der Programmoberfläche wird wiederhergelen
stellt.
Hilfe
System anhalten (NotAus)
Dialog zum Stoppen des Systems wird angezeigt.
Hilfe zum Job Queue
Info
Die Hilfe zum Programm wird geöffnet.
Info...
Die Versionsinformationen zum Programm werden angezeigt.
Kontextmenüs
Einige Elemente des Bearbeitungsbereichs besitzen ein separates Kontextmenü. Kontextmenüs öffnen
Sie mit <Shift+F10>, der Kontextmenütaste oder der rechten Maustaste. Der Inhalt eines Kontextmenüs ist abhängig von der Ansicht.
Allgemeine Tastenkombinationen für das Kontextmenü
TASTENKOMBINATION
AKTION
Shift + F10 oder Kontexttaste
Kontextmenü aufrufen.
Pfeil unten, Pfeil oben
Bewegen im Kontextmenü.
Enter
Eintrag im Kontextmenü auswählen.
Esc
Kontextmenü abbrechen.
18
Arbeiten mit Job Queue Info
Symbolleiste
Die Symbolleiste wird immer angeboten. Die Symbole werden abhängig von der eingeblendeten Ansicht
aktiviert oder deaktiviert.
Symbolleiste
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Neue Datenbankverbindung herstellen.
Aktuelle Datenbankverbindung schließen.
Ansicht der Jobqueue einblenden/ausblenden.
Ansicht der Jobserver einblenden/ausblenden.
Ansicht der Prozesshistorie einblenden/ausblenden.
Ansicht des Prozesses einblenden/ausblenden.
Ansicht des Prozessschrittes einblenden/ausblenden.
Ansicht der Parameter einblenden/ausblenden.
Where-Klausel Assistenten zur Erstellung eines Filters öffnen.
Filter löschen.
Aktualisierung der Ansichten
Die Aktualisierung der Ansichten erfolgt über <F5>. Steht der Fokus in einer Ansicht auf dem Wurzelknoten einer Hierarchie, so wird die gesamte Darstellung aktualisiert und der Hierarchiebaum geschlossen. Diese Aktualisierung erneuert auch den Inhalt der anderen Ansichten.
Da sich der Inhalt der Jobqueue ständig ändert, kann es sich bei der Darstellung immer nur um eine
Momentaufnahme des Inhaltes handeln. Beim Öffnen eines Knotens oder bei Aktualisierung können die
erforderlichen Informationen also schon aus der Jobqueue gelöscht sein. Ist dies der Fall, so wird der
entsprechende Eintrag aus der hierarchischen Darstellung entfernt oder es werden entsprechend keine
Elemente dargestellt.
19
Quest One Identity Manager
Filtern der Ansichten
In den Ansichten <Jobqueue>, <Jobserver> und <Prozesshistorie> können Sie die dargestellten Einträge über definierte Filterbedingungen weiter einschränken. Die Filterbedingungen werden bei Programmende gespeichert und beim Programmstart wieder geladen. Zur Definition der Filterbedingungen
nutzen Sie den Where-Klausel Assistenten, den Sie über den Menüeintrag <Filter>\<Filter definieren>
starten. Über den Menüeintrag <Filter>\<Filter löschen> können Sie die Filterbedingung entfernen.
Geben Sie die Bedingung zur Einschränkung der Ergebnismenge an. Die Bedingung wird als gültige
Where-Klausel für Datenbankabfragen definiert. Die angegebene Bedingung bezieht sich auf die ausgewählte Datenbanktabelle, die beim Start des Assistenten vorbelegt wird.
Erstellen eines Filters
Über die Schaltfläche <Weiter> gelangen Sie zur Vorschau. Es werden alle Einträge angezeigt, die der
definierten Bedingung entsprechen. Bestätigen Sie nochmals die Schaltfläche <Weiter> wird die Bedingung aus SQL-Abfrage dargestellt. Über die Schaltfläche <Zurück> gelangen Sie zurück zur letzten Ansicht. Mit der Schaltfläche <Fertig> übernehmen Sie die Einstellungen, über die Schaltfläche <Abbruch> verwerfen Sie die Einstellungen. In beiden Fällen wird das Dialogfenster geschlossen.
Spaltenkonfiguration
In den Ansichten <Jobqueue>, <Jobserver>, <Prozesshistorie> und <Basisobjekte> können Sie festlegen, welche Spalten in den einzelnen Darstellungen abgebildet werden sollen. Dazu wählen Sie einen
Knoten in der hierarchischen Darstellung und öffnen über das Kontextmenü <Spalten konfigurieren>
das Dialogfenster zur Spaltenkonfiguration.
Über die Pfeiltasten können Sie die gewünschten Spalten übernehmen und die Reihenfolge ihrer Darstellung ändern. Über die Schaltfläche <OK> übernehmen Sie Ihre Konfigurationseinstellungen, über
20
Arbeiten mit Job Queue Info
die Schaltfläche <Abbruch> brechen Sie die Spaltenkonfiguration ab. In beiden Fällen wird das Dialogfenster geschlossen.
Konfiguration der Spalten
In den Ansichten <Jobqueue>, <Jobserver>, <Prozesshistorie> und <Basisobjekte> können Sie die
Breite der dargestellten Spalten anpassen. Dafür ist folgendes Verhalten implementiert:
•
Per Maus-Doppelklick auf einen Spaltenbegrenzer wird die Spalte optimal verbreitert.
•
Per <Shift> + Maus-Doppelklick auf einen Spaltenbegrenzer werden alle Spalten optimal
verbreitert.
Anpassen der Programmeinstellungen
Über das Menü <Datenbank>\<Einstellungen...> können Sie folgende Programmeinstellungen vornehmen:
•
Sprache
Legen Sie die Sprache der Programmoberfläche fest. Die Änderung wird bei Neustart des
Programms wirksam. Dabei wird die Sprache global für alle Programme des Identity Managers festgelegt, somit muss die Spracheinstellung nicht in jedem Programm erneut vorgenommen werden. Weitere Informationen erhalten Sie im Handbuch Konfiguration im Abschnitt Sprachen für die Anzeige und Pflege der Daten auf Seite 279.
•
Ergebnismengengrenze
Mit dieser Begrenzung legen Sie die Anzahl der zu ladenden und darzustellenden Einträge für
Prozesse oder Prozessschritte fest.
•
Serverstatus
Für die Abfrage des Serverstatus der Jobserver geben Sie den HTTP Port an, an dem der
Identity Manager Service arbeitet. Standardwert ist Port 1880. Zusätzlich legen Sie die maximale Dauer einer Statusabfrage fest. Die Angabe erfolgt in Sekunden. Jobserver, die innerhalb dieser Zeit nicht antworten, gelten als nicht erreichbar.
21
Quest One Identity Manager
•
Prozesshistorie
Mit dieser Einstellung können Sie die Darstellung der Prozesshistorie auf die Prozesse mit
Fehlern beschränken. Die Einstellung hat keine Auswirkung auf die Aufzeichnung der Prozesshistorie, sondern nur auf die Darstellung im Programm.
Über die Schaltfläche <OK> übernehmen Sie Ihre Einstellungen, über die Schaltfläche <Abbruch> brechen Sie die Konfiguration ab. In beiden Fällen wird das Dialogfenster geschlossen.
Konfiguration der Programmeinstellungen
Ändern des Kennwortes für den angemeldeten Benutzer
Über den Menüeintrag <Datenbank>\<Kennwort ändern...> können Sie das Kennwort für den aktuell
angemeldeten Benutzer ändern. Geben Sie das alte Kennwort sowie das neue Kennwort einschließlich
der Kennwortwiederholung an und übernehmen Sie die Änderung mit <OK>.
Dialogfenster zum Ändern des Kennwortes eines Benutzers
22
Arbeiten mit Job Queue Info
Ansicht der Jobqueue
Die Ansicht <Jobqueue> zeigt den Inhalt der Jobqueue gruppiert nach Prozessen. In der ersten Hierarchieebene werden alle Prozesse mit Anzahl dargestellt.
Ansicht der Jobqueue
Wird ein Prozessknoten geöffnet, so werden alle Prozesse mit ihrer Startzeit eingeblendet. Unterhalb eines solchen Prozessknotens erfolgt die Abbildung des kompletten Prozesses in seiner Hierarchie. Dabei
enthält jeder Prozessschritt seinen Erfolgs- und Fehlerzweig als Unterelemente. Über den Eintrag im
Kontextmenü <Prozess überwachen> erfolgt eine regelmäßige Aktualisierung der Informationen zum
Prozess.
Ansicht der Jobqueue - Bedeutung der Symbole
SYMBOL
BEDEUTUNG
Die Prozesse werden nach Namen zusammengefasst. Die Anzahl der Prozesse wird aufgeführt.
Es wird die Startzeit der einzelnen Prozesse dargestellt.
Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Erfolgsfall.
Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Fehlerfall.
23
Quest One Identity Manager
Zur besseren Übersicht spiegelt sich der jeweilige Ausführungsstatus eines Prozessschritts in der
Schriftfarbe wider.
Darstellung der Jobqueue - Bedeutung der Farben
FARBE
BEDEUTUNG
AUSFÜHRUNGSSTATUS
Orange
Dieser Prozessschritt ist in Verarbeitung.
Processing
Gelb
Dieser Prozessschritt ist zur Verarbeitung geladen.
Loaded
Grün
Dieser Prozessschritt ist zur Abarbeitung bereit.
True
Blau
Dieser Prozessschritt ist bereits verarbeitet.
Finished
Schwarz
Dieser Prozessschritt ist noch nicht zur Abarbeitung bereit.
False
Rot
Es handelt sich um einen Prozessschritt, der nicht verarbeitet
werden kann. Prozessschritte mit den Ausführungszuständen
„Frozen“ und „Overlimit“ können Sie reaktivieren und somit
erneut zur Abarbeitung einstellen.
Frozen/Overlimit/
unbekannt
Reaktivieren von Prozessschritten
Zur Verhinderung von Massenänderungen kann die maximale Anzahl, mit der ein Prozess in der Jobqueue vorhanden sein darf, limitiert werden. Bei Überschreitung des Limits werden die Prozessschritte
auf den Status „Overlimit“ gesetzt und somit nicht mehr zur Verarbeitung abgeholt. Diese Prozessschritte können Sie über den Kontextmenüeintrag <Prozessschritt reaktivieren> erneut zur Ausführung
einstellen.
Kritische Prozessschritte, deren Verarbeitung fehl geschlagen ist, werden auf den Ausführungsstatus
„Frozen“ gesetzt. Diese Prozessschritte können Sie nach Beseitigung der Fehlerursache über den Kontextmenüeintrag <Prozessschritt reaktivieren> ebenfalls erneut zur Ausführung einstellen. Mit <Shift>
+ Auswahl bzw. <Strg> + Auswahl können Sie mehrere Prozessschritte auswählen und reaktivieren.
Reaktivieren von Prozessschritten
24
Arbeiten mit Job Queue Info
In einigen Fällen ist die erneute Ausführung des fehlgeschlagenen Prozessschritts nicht erwünscht. Dies
kann der Fall sein, wenn die Aktionen des Prozessschritts bereits manuell ausgeführt wurden, beispielsweise ein erwartetes Verzeichnis manuell angelegt wurde. Ebenso kann es vorkommen, dass eine Fehlerursache nicht behebbar ist, der Prozess aber zur weiteren Abarbeitung fortgesetzt werden soll, beispielsweise für ein Rollback der bereits ausgeführten Schritte. Für diese Fälle kann zur weiteren Ausführung des Prozesses der nächste Prozessschritt im Erfolgszweig oder im Fehlerzweig abgearbeitet werden. Dazu nutzen Sie die Kontextmenüeinträge <Mit Erfolg beenden> oder <Mit Fehler beenden> des
fehlgeschlagenen Prozessschritts. Beide Einträge sind nur sichtbar, wenn es einen Fehler-/Erfolgsnachfolger gibt und der Prozessschritt im Status „Frozen“ ist. Mit <Shift> + Auswahl bzw. <Strg> + Auswahl können Sie mehrere Prozessschritte auswählen und die Weiterverarbeitung starten.
Ansicht der Jobserver
Die Ansicht <Jobserver> zeigt den Inhalt der Jobqueue sortiert nach den ausführenden Servern. In der
ersten Hierarchieebene werden alle Jobserver mit der Anzahl der verschiedenen Prozessfunktionen dargestellt, die in der Jobqueue für die Jobserver vorhanden sind. Wird ein Jobserverknoten geöffnet, so
werden die Prozessfunktionen aufgelistet und die Anzahl der Prozessschritte pro Prozessfunktion eingeblendet. Unterhalb eines Prozessfunktionsknotens erfolgt die Abbildung der Prozessschritte sortiert
nach ihrer Startzeit.
Ansicht der Jobserver
Ansicht der Jobserver - Bedeutung der Symbole
SYMBOL
BEDEUTUNG
Es wird der Jobserver, welcher die Prozessfunktion ausführt, dargestellt. Pro Jobserver wird
die Anzahl der verschiedenen Prozessfunktionen angezeigt.
Es wird die auszuführende Prozessfunktion angezeigt. Pro Prozessfunktion wird die Anzahl
der Prozessschritte aufgeführt.
25
Quest One Identity Manager
Ansicht der Jobserver - Bedeutung der Symbole
SYMBOL
BEDEUTUNG
Es wird die Startzeit des Prozessschritts angezeigt.
Ansicht der Prozesshistorie
Die Ansicht <Prozesshistorie> zeigt den Inhalt der Tabelle „JobHistory“. Der Verlauf der Prozessverarbeitung wird sortiert nach Prozessen dargestellt. Sie können die Darstellung der Prozesse in der Prozesshistorie über die Programmeinstellungen auf die Prozesse mit Fehlern beschränken (siehe Anpassen der Programmeinstellungen auf Seite 21). Bei Auswahl eines fehlerhaften Prozessschrittes wird die
komplette Fehlermelung als Tooltip angezeigt.
Ansicht der Prozesshistorie
Ansicht der Prozesshistorie - Bedeutung der Symbole
SYMBOL
BEDEUTUNG
Die Prozesse werden nach Namen zusammengefasst. Die Anzahl der Prozesse wird aufgeführt.
Es wird die Startzeit der einzelnen Prozesse dargestellt.
Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Erfolgsfall. Angezeigt wird die ausgeführte Prozessfunktion und der Verarbeitungsstatus des Prozessschritts.
Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Fehlerfall. Angezeigt wird die ausgeführte Prozessfunktion und der Verarbeitungsstatus des Prozessschritts.
26
Arbeiten mit Job Queue Info
Zur besseren Übersicht wird der sich der jeweilige Verarbeitungsstatus eines Prozessschritts zusätzlich
über die Schriftfarbe angezeigt.
Ansicht der Prozesshistorie - Bedeutung der Farben
FARBE
BEDEUTUNG
Schwarz
Dieser Prozessschritt wurde fehlerfrei verarbeitet.
Rot
Bei der Verarbeitung dieses Prozessschritts ist ein Fehler aufgetreten.
Ansicht der Basisobjekte
In dieser Ansicht werden für ein verarbeitetes Objekt die Einträge aus der Prozesshistorie und die aktuellen Einträge aus der Jobqueue zusammengefasst. Tritt während der Verarbeitung ein Fehler auf und
die Verarbeitung des Prozesse wird gestoppt (Ausführungsstatus „Frozen“ oder „Overlimit“), so können
Sie in dieser Ansicht den bisherigen Verarbeitungsverlauf analysieren. Zur Weiterverarbeitung der Prozesse stehen Ihnen hier die in den Abschnitten Ansicht der Jobqueue auf Seite 23 und Ansicht der Prozesshistorie auf Seite 26 beschriebenen Funktionen zur Verfügung. Nach erfolgreicher Verarbeitung aller Prozesse eines Objektes werden die Einträge aus der Ansicht zur Fehlerbehandlung entfernt.
Ansicht der Basisobjekte zur Fehlerbehandlung
Ansicht eines Prozesses
Diese Ansicht gibt einen Überblick über die Verkettung der Prozessschritte eines Prozesses. Somit kann
bei umfangreicheren Prozessen die Verarbeitungsreihenfolge der einzelnen Prozessschritte besser beobachtet werden.
27
Quest One Identity Manager
Nach der Auswahl eines Prozesses in der Jobqueueansicht oder der Jobserveransicht werden in der Ansicht <Prozess> alle Prozessschritte des ausgewählten Prozesses dargestellt.
Ansicht eines Prozesses
Die Darstellung der Prozessschritte und ihrer Eigenschaften erfolgt über ein spezielles Steuerelement.
In der Kopfzeile des Steuerelementes wird der Ausführungsstatus des Prozessschritts sowie die Bezeichnung des Prozessschritts angezeigt. Der Ausführungsstatus des Prozessschritts wird zusätzlich
über die Symbolfarbe verdeutlicht. Alle weiteren Einträge repräsentieren die Parameter dieses Prozessschritts. Die Liste der Parameter können Sie über das Symbol in der Kopfzeile des Steuerelementes einund ausblenden.
Jeder Eintrag des Steuerelementes verfügt über einen Tooltip. Der Tooltip des Prozessschritts enthält
die Bezeichnung der ausführenden Queue, den Namen der Prozesskomponente, den Namen der Prozessfunktion, den Ausführungsstatus sowie die Startzeit des Prozessschritts. Der Tooltip eines Parameters zeigt den Parameternamen und den Wert des Parameters.
Darstellung der Prozessschritte eines Prozesses - Bedeutung der Symbole
SYMBOL
BEDEUTUNG
Anzeige des Ausführungsstatus des Prozessschrittes. Jeder Ausführungsstatus wird farbig
gekennzeichnet.
Parameter des Prozessschritts einblenden
Parameter des Prozessschritts ausblenden
28
Arbeiten mit Job Queue Info
Darstellung der Prozessschritte eines Prozesses - Bedeutung der Farben
FARBE
BEDEUTUNG
AUSFÜHRUNGSSTATUS
Orange
Dieser Prozessschritt ist in Verarbeitung.
Processing
Gelb
Dieser Prozessschritt ist zur Verarbeitung geladen.
Loaded
Grün
Dieser Prozessschritt ist zur Abarbeitung bereit.
True
Blau
Dieser Prozessschritt ist bereits verarbeitet.
Finished
Schwarz
Dieser Prozessschritt ist noch nicht zur Abarbeitung bereit.
False
Rot
Es handelt sich um einen Prozessschritt, der nicht verarbeitet
werden kann. Prozessschritte mit den Ausführungszuständen
„Frozen“ und „Overlimit“ können Sie reaktivieren und somit
erneut zur Abarbeitung einstellen.
Frozen/Overlimit/
unbekannt
Ansicht der Prozessschritte
In dieser Ansicht werden detaillierte Informationen der einzelnen Prozessschritte dargestellt. Die Ansicht stellt die Datenstruktur eines Prozessschrittes zur Kompilierzeit dar. Nach der Auswahl eines Prozessschritts in der Jobqueueansicht oder der Jobserveransicht werden in der Ansicht <Prozessschritt>
die spezifischen Informationen aus der Jobqueue sowie die Einzelparameter des gewählten Prozessschritts mit ihren konkreten Werten abgebildet.
Ansicht eines Prozessschritts
29
Quest One Identity Manager
Ansicht eines Prozessschritts - Bedeutung der Symbole
SYMBOL
BEDEUTUNG
Es erfolgt die Auswahl eines Prozessschritts und seiner Parameter.
Es wird eine Spalte der Tabelle „Jobqueue“ mit ihrer Wertbelegung dargestellt.
Es wird ein Parameter des Prozessschritts mit seiner Wertbelegung angezeigt.
In der Ansicht können Sie die aktuell ausgewählten Daten mit der Tastenkombination <Strg + C> in die
Zwischenablage kopieren. Das Format der Daten ist:
Spaltenname = Wert
Ansicht der Parameter
Nach der Auswahl eines Prozessschritts in der Jobqueueansicht oder der Jobserveransicht werden in der
Ansicht <Parameter> die Übergabeparameter des ausgewählten Prozessschritts mit ihrem Namen und
ihrem Wert dargestellt. Repräsentiert der ausgewählte Knoten keinen Prozessschritt, so wird die Parameteransicht geleert.
Ansicht der Parameter eines Prozessschritts
In der Parameteransicht können Sie die aktuell ausgewählten Daten mit der Tastenkombination <Strg
+ C> in die Zwischenablage kopieren. Das Format der Daten ist:
Spaltenname = Wert
30
Arbeiten mit Job Queue Info
Anzeige von Out-Parametern
Parameter vom Typ „OUT“ bzw. „INOUT“ sind Parameter, in der eine Prozesskomponente einen Wert
nach außen liefern kann. Dieser Wert steht dann allen nachfolgenden Prozessschritten des Prozesses
zur Verfügung und kann als Wertbelegung für IN-Parameter dienen.
Job Queue Info kann technisch nicht bestimmen, ab wann bzw. für welchen Prozessschritt diese Parameter gelten. Deshalb werden Out-Parameter zur Liste der Parameter eines Prozessschrittes hinzugefügt (Blau gekennzeichnet).
Sie sind nicht in der Ansicht <Prozessschritt> unter <ParamIN> eines Prozessschrittes zu sehen, da
diese Ansicht die Datenstruktur eines jeden Prozessschrittes zur Kompilierzeit darstellt, die Out-Parameter entstehen jedoch im Kontext des Prozesses.
Es ist von Bedeutung, zu welchem Zeitpunkt der Prozess in Job Queue Info geladen wird. Wird ein Parameter mehrfach überschrieben, so wird nur der Stand zum Zeitpunkt der Datenabfrage angezeigt.
Beispiel:
Schritt 1
Out-Parameter: X=1
Schritt 2
In-Parameter: X=1
Änderung des Wertes: X=2
Out-Parameter: X=2
Schritt 3
In-Parameter: X=2
Wird der Prozess in Job Queue Info vor der Verarbeitung „Schritt 2“ geladen, wird im Job Queue Info für
den Out-Parameter der Wert „X=1“ angezeigt. Wird der Prozess nach der Verarbeitung von „Schritt 2“
geladen, wird für den Out-Parameter der Wert „X=2“ angezeigt.
Genauere Informationen zu den einzelnen Prozessschritten und deren Parameterbelegungen erhalten
Sie in der Protokolldatei des Identity Manager Services.
31
Quest One Identity Manager
Ansicht des Verlaufs
In der Verlaufsansicht wird die Anzahl der Einträge in der Jobqueue abgefragt. Dabei wird der aktuelle
Wert als Zahl dargestellt und gleichzeitig in einem Balkendiagramm eingefügt. Der Ausführungsstatus
der Prozessschritte wird in unterschiedlichen Farben dargestellt. Die Aktualisierung der Darstellung erfolgt in einem festgelegten Zeitintervall von 5 Sekunden.
Ansicht des Verlaufs
Ansicht des Verlaufs - Bedeutung der Farben
FARBE
BEDEUTUNG
AUSFÜHRUNGSSTATUS
Schwarz
Anzahl der Prozessschritte, die noch nicht zur Abarbeitung
bereit sind.
False
Grün
Anzahl der Prozessschritte, die zur Abarbeitung bereit sind.
True
Gelb
Anzahl der Prozessschritte, die zur Verarbeitung geladen
sind.
Loaded
Blau
Anzahl der Prozessschritte, deren Verarbeitung abgeschlossen ist.
Finished
Rot
Anzahl der Prozessschritte, mit unbekannten Ausführungssta- Frozen/Overlimit/unbetus
kannt
32
Arbeiten mit Job Queue Info
Ermitteln des Serverstatus
Die Ansicht <Serverstatus> liefert einen schnellen Überblick über die Verfügbarkeit aller Jobserver im
Netz. Job Queue Info zieht für genauere Ergebnise der Statusabfragen auch die in der Datenbank hinterlegte Identity Manager Service Konfiguration der einzelnen Jobserver heran. Dies ist insbesondere
erforderlich, wenn der Port des HTTP Servers individuell eingestellt wurde oder ein Jobserver mehrere
Queues bedient. Lesen Sie dazu die Identity Manager Service Konfiguration der Jobserver über den
Zeitplan „Konfigurationsdatei vom Jobserver holen und in die Jobserverkonfiguration schreiben“ in die
Datenbank ein. Den Zeitplan konfigurieren und aktivieren Sie im Designer in der Kategorie <Basisdaten>\<Zeitpläne>. Lesen Sie dazu auch den Abschnitt Einrichten und Konfigurieren von Zeitplänen auf
Seite 274 im Handbuch Konfiguration.
Serverstatus abfragen
Mit <F5> starten Sie die Statusabfrage aller in der Datenbank vorhandenen Jobserver. Den Status eines einzelnen Servers können Sie über das Kontextmenü <Status ermitteln> abfragen. Den abzufragenden HTTP Port und maximale Antwortzeit legen Sie über die Programmeinstellungen fest (siehe Anpassen der Programmeinstellungen auf Seite 21).
Meldet sich der Server, so werden die Systemzeit, die Version des Identity Manager Service und das
Dienstkonto des Identity Manager Service aus der Antwort ermittelt und angezeigt. Zusätzlich werden
der Status der Softwareaktualisierung sowie der aktuelle Softwarestand auf dem Server dargestellt.
Über das Kontextmenü <Im Browser öffnen> wird für einen Server der HTTP-Server des Identity Manager Service angesprochen und die verschiedenen Dienste des Identity Manager Service werden angezeigt.
Sollte es erforderlich sein, die Prozessverarbeitung eines Jobservers vorübergehend zu unterbrechen,
verwenden Sie den Kontextmenüeintrag <Prozessverarbeitung anhalten>. Über das Kontextmenü
<Prozessverarbeitung fortsetzen> starten Sie die Prozessverarbeitung wieder.
33
Quest One Identity Manager
Ansicht der DBQueue
Innerhalb des Identity Managers sind bei Änderungen vererbungsrelevanter Daten, wie beispielsweise
Zuweisungsänderungen, oder bei Änderung bestimmter Systemdaten, wie beispielweise Änderungen
der Benutzeroberfläche für einen Systembenutzer, Neuberechungen der resultierenden Daten erforderlich. Diese Berechnungsaufträge werden in die DBQueue eingestellt und durch den DBScheduler verarbeitet.
In der Ansicht <DBQueue> werden die Berechnungsaufträge in der Tabelle „DialogDBQueue“ dargestellt, die zur Abarbeitung durch den DBScheduler bereitstehen. Angezeigt werden die Anzahl, die Sortierung und der Name der eingestellten Aufträge. Die Aktualisierung der Darstellung erfolgt in einem
festgelegten Zeitintervall von zwei Sekunden.
Ansicht der DBQueue
Der DBScheduler wird durch einen Datenbankschedule „VID_DBScheduler“ in regelmäßigen Abständen
ausgeführt. Mit entsprechenden administrativen Rechten können Sie die Abarbeitung der Berechnungsaufträge bei Bedarf manuell starten. Sofern Sie zur Nutzung dieser Programmfunktion berechtigt sind,
34
Arbeiten mit Job Queue Info
können Sie per Maus-Rechtsklick auf das Datenbankstatussymbol in der Statuszeile des Programms ein
Dialogfenster zur Anzeige der Datenbankinformationen öffnen.
Erweiterte Informationen zum DBScheduler
Auf dem Tabreiter <Berechnungsstatus> werden die Informationen zum Status des SQL Server Agents
und zum Status des DBSchedulers angezeigt. Den DBScheduler können Sie serverseitig über den SQL
Server Agenten (Schaltfläche <Agent starten> oder direkt auf der Verbindung des angemeldeten Nutzers (Schaltfläche <Direkt starten>) starten. Der Tabreiter <offene Berechnungsaufträge> zeigt die aktuell anstehenden Aufträge der DBQueue an. Diese werden mit dem nächsten Verarbeitungslauf des
DBSchedulers verarbeitet. Auf dem Tabreiter <Systemprotokoll> werden die neuesten Einträge des
DBSchedulers in das Systemprotokoll dargestellt (siehe auch Aufzeichnung von Meldungen im Systemprotokoll auf Seite 87). Über die Schaltfläche <Schließen> schließen Sie das Dialogfenster.
Anhalten des Systems (Not-Aus)
In einigen Fällen können Systemsituationen auftreten, die einen sofortigen Stopp der Prozessverarbeitung durch den Identity Manager Service und der Verarbeitung von Aufträgen durch den DBScheduler
erfordern. So können beispielsweise Änderungen innerhalb des Identity Managers dazu führen, dass
Masseneinträge in die Jobqueue oder die DBQueue vorgenommen werden und es so zu einer Überlastung des Systems kommen kann. Um die Systemsituation zu analysieren und gegebenenfalls die notwendigen Schritte zur Problembehebung auszuführen, kann im Job Queue Info das System angehalten
und nach der Problembeseitigung wieder gestartet werden.
35
Quest One Identity Manager
Anhalten und Starten des Systems können Sie mit entsprechenden administrativen Rechten über das
Menü <Hilfe>, Eintrag <System anhalten (Not-Aus)> auslösen.
Anhalten und Starten des Systems
Über die Schaltfläche <DBScheduler> wird der DBScheduler angehalten. Ab diesem Zeitpunkt werden
keine neue Berechnungen innerhalb der Datenbank durchgeführt. Nach Behebung des Problems kann
über die Schaltfläche die Ausführung des DBSchedulers wieder gestartet werden.
Über die Schaltfläche <Identity Manager Service> wird die Abholung von Prozessschritten für alle Identity Manager Services angehalten. Bereits abgeholte Prozessschritte werden von den Diensten noch
verarbeitet, es werden jedoch keine neuen Prozessschritte an die Dienste gesendet. Nach Behebung
des Problems kann über die Schaltfläche die Ausführung der Dienste wieder gestartet werden.
Der Stopp des DBSchedulers und der Dienste wird in allen Administrationswerkzeugen durch entsprechende Symbole in der Statuszeile angezeigt.
Besondere Symbole in der Statuszeile für den Systemstopp
SYMBOL
BEDEUTUNG
Der DBScheduler wurde angehalten.
Die Serverdienste wurden angehalten.
36
3
Prozessverarbeitung im Identity
Manager
• Einleitung
• Arbeiten mit dem Prozesseditor
• Definieren von Prozessen
• Automatisierte Ausführung von Prozessen
• Prozesskomponenten
Quest One Identity Manager
Einleitung
Das Funktionsprinzip des Identity Managers erlaubt es, flexibel Aktionen und Abläufe bestimmten Ereignissen zuzuordnen. So werden zum Beispiel die auszuführenden Schritte beim Anlegen eines Benutzerkontos in Form eines Ablaufes beschrieben. Einzelne Aktionen werden dabei durch Prozessschritte
repräsentiert, die Abläufe durch die Verkettung von Prozessschritten zu Prozessen modelliert.
Arbeiten mit dem Prozesseditor
Der Prozesseditor ist das Programm mit dem Sie die Prozesse definieren und bearbeiten. Der Editor
wird über das Programm „Designer“ gestartet und in der Dokumentenansicht des Programms geöffnet.
Die allgemeinen Funktionen des Programms „Designer“ sind im Kapitel Arbeiten mit dem Designer auf
Seite 29 beschrieben. An dieser Stelle wird nur auf die zusätzlichen Funktionen des Editors eingegangen.
Oberfläche des Designers mit Prozesseditor
38
Prozessverarbeitung im Identity Manager
Erweiterungen der Menüleiste und der Symbolleiste
Nach dem Start des Editors sind die nachfolgenden Erweiterungen in der Menüleiste verfügbar.
Bedeutung der Einträge in der Menüleiste
MENÜ
MENÜEINTRAG
BEDEUTUNG
TASTENKOMBINATION
Prozess
Neu
Es wird ein neuer Prozess erstellt.
Strg + N
Löschen
Der ausgewählte Prozess wird nach einer
Sicherheitsabfrage gelöscht.
Neu anordnen
Der Prozess wird im Prozessdokument neu
angeordnet.
Fehlerkontrolle
Es wird eine Gültigkeitsprüfung für den Prozess ausgeführt. Meldungen werden in der
Ansicht <Prozessfehlerkontrolle> ausgegeben.
Prozesse vergleichen...
Es wird das Dialogfenster für den Prozessvergleich gestartet.
Kompilieren
Der ausgewählte Prozess wird testweise
kompiliert. Meldungen werden in der
Ansicht <Compilerfehler> ausgegeben.
Kompilieren und
in DB speichern
Der ausgewählte Prozess wird kompiliert
und die Assembly in der Datenbank gespeichert. Meldungen werden in der Ansicht
<Compilerfehler> ausgegeben.
Exportieren...
Der ausgewählte Prozess wird in eine XMLDatei exportiert.
Importieren...
Der ausgewählte Prozess wird aus einer
XML-Datei in die Datenbank importiert.
Kopieren...
Der Assistent zum Kopieren eines Prozesses
wird geöffnet.
Ansicht
Es wird zwischen den Ansichten gewechselt.
Ansicht/ Bearbeitungsansicht
Diese Sicht ist die Standardansicht zur
Bearbeitung von Prozessen.
Ansicht/Simulationsansicht
In dieser Sicht wird der Assistent zur Prozesssimulation gestartet.
Ansicht/ Quellcodeansicht
Diese Ansicht ist nur bei aufgetretenen
Compiler-Fehlermeldungen verfügbar.
Ansicht/ Prozessgeneratorlog
In dieser Ansicht wird das Prozessgenerierungsprotokoll nach einer Simulation angezeigt.
39
Quest One Identity Manager
Bedeutung der Einträge in der Menüleiste
TASTENKOMBINATION
MENÜ
MENÜEINTRAG
BEDEUTUNG
Prozessschritt
Neu
Es wird ein neuer Prozessschritt in das Prozessdokument eingefügt.
Löschen
Der ausgewählte Prozessschritt wird aus
der dem Prozessdokument gelöscht.
Importieren
Es kann datenbankweit nach einem Prozessschritt gesucht werden und dieser in
ein Prozessdokument importiert werden.
Suchen
Es wird innerhalb des ausgewählten Prozes- Strg + F
ses nach einem Prozessschritt gesucht.
Kopieren
Der ausgewählte Prozessschritt wird in die
Zwischenablage kopiert.
Ausschneiden
Der ausgewählte Prozessschritt wird aus
dem Prozessdokument ausgeschnitten.
Einfügen
Der ausgewählte Prozessschritt wird aus
der Zwischenablage in das Prozessdokument eingefügt.
Prozessfehler
Es wird die Ansicht <Prozessfehlerkontrolle> eingeblendet/ausgeblendet.
Compilerfehler
Es wird die Ansicht <Compilerfehler> eingeblendet/ausgeblendet.
Parameter/Ereignisse
Es wird die Ansichten <Parameter> bzw.
<Ereignisse> werden eingeblendet/ausgeblendet.
Eigenschaften
Die Bearbeitungsansicht wird eingeblendet/
ausgeblendet.
Hilfe zur Prozessbearbeitung
Die Hilfe zum Thema wird geöffnet
Hilfe zum Prozesseditor
Die Hilfe zum Editor wird geöffnet.
Ansicht
Hilfe
Der Editor verfügt über eigene Symbolleisten, die Sie per Kontextmenü ein- oder ausblenden können.
Die Symbole werden abhängig von der eingeblendeten Ansicht aktiviert oder deaktiviert.
Symbolleiste
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Erstellen eines neuen Prozess.
Löschen des Prozesses.
40
Prozessverarbeitung im Identity Manager
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Fehlerkontrolle für den Prozess ausführen.
Prozess neu anordnen.
Kompilieren des Prozesses.
Kompilieren des Prozesses und Speichern der Assemblies.
Exportieren des Prozesses.
Importieren eines Prozesses.
Einfügen eines neuen Prozessschrittes.
Löschen des Prozessschrittes.
Suchen eines Prozessschrittes und Importieren des Prozessschrittes in das Prozessdokument.
Kopieren des Prozessschrittes in die Zwischenablage.
Ausschneiden des Prozessschrittes.
Einfügen des Prozessschritt aus der Zwischenablage.
Bearbeitungsansicht einblenden/ausblenden.
Simulationsansicht einblenden/ausblenden.
Quellcodeansicht einblenden/ausblenden.
Prozessgenerierungsprotokoll anzeigen (nach einer Simulation).
Bildschirmansicht schrittweise vergrößern.
Genaue Einstellung der Bildschirmansicht.
Bildschirmansicht schrittweise verkleinern.
Bearbeitungsansicht einblenden/ausblenden.
Ansicht der Compilerfehler einblenden/ausblenden.
41
Quest One Identity Manager
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Ansicht der Prozessfehlerkontrolle einblenden/ausblenden.
Ansichten im Prozesseditor
Der Prozesseditor verfügt über verschiedene Ansichten zur Bearbeitung der Prozesse und Prozessschritte:
42
•
Prozessdokument
•
Bearbeitungsansicht für Prozesse und Prozessschritte
•
Bearbeitungsansicht für Ereignisse und Parameter
•
Prozessfehlerkontrolle
•
Compilerfehlermeldungen
•
Quellcodeansicht
•
Simulationsansicht
Prozessverarbeitung im Identity Manager
Funktionen im Prozessdokument
Im Prozessdokument wird ein Prozess mit seinen Prozessschritten über spezielle Steuerelemente dargestellt und bearbeitet. Für jeden Prozess wird ein separates Prozessdokument geöffnet. Zum Umgang
mit einem Prozessdokument lesen Sie den Abschnitt Arbeiten mit einem Prozessdokument auf Seite 46.
Prozessdokument mit Prozess
43
Quest One Identity Manager
Funktionen in der Bearbeitungsansicht für Prozesse und Prozessschritte
In der Bearbeitungsansicht bearbeiten Sie die Eigenschaften eines Prozesses oder eines Prozessschrittes. Je nach Auswahl eines Elementes im Prozessdokument werden die Eigenschaften des Prozesses
oder des Prozessschrittes angezeigt. Für die Eingabefelder ist ein Standardkontextmenü verfügbar.
Bearbeitungsansicht für Prozesse
Funktionen in der Bearbeitungsansicht für Ereignisse und Parameter
In der Bearbeitungsansicht bearbeiten Sie die Eigenschaften der Ereignisse eines Prozesses oder der
Parameter eines Prozessschrittes. Je nach Auswahl eines Elementes im Prozessdokument werden die
Ereignisse oder die Parameter angezeigt. Durch Maus-Einfachklick auf einen Eintrag können Sie diesen
direkt bearbeiten.
Bearbeitungsansicht für Ereignisse
44
Prozessverarbeitung im Identity Manager
Bearbeitungsansicht für Parameter
Die Ansicht hat eine eigene Symbolleiste. Die Funktionen beziehen sich je nach Auswahl auf die Bearbeitung der Ereignisse oder der Parameter.
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Ein neues Ereignis/neuer Parameter wird erstellt.
Das Ereignis/der Parameter wird gelöscht.
Das Dialogfenster zur Bearbeitung des Ereignisses/des Parameters wird geöffnet.
Funktionen in der Ansicht zur Prozessfehlerkontrolle
In der Prozessfehlerkontrolle wird das Ergebnis der Gültigkeitsprüfung ausgegeben und bleibt bis zur
erneuten Gültigkeitsprüfung erhalten. Durch Maus-Doppelklick auf eine Fehlermeldung in der Ansicht
wird der entsprechende Prozess oder Prozessschritt im Prozessdokument aktiviert.
Ansicht der Prozessfehlerkontrolle
45
Quest One Identity Manager
Funktionen in der Ansicht der Compilerfehler
Treten beim Kompilieren eines Prozesses Fehler auf, werden die Fehlermeldungen in dieser Ansicht ausgegeben. Durch Maus-Doppelklick auf eine Fehlermeldung in der Ansicht wird der entsprechende Prozess oder Prozessschritt im Prozessdokument aktiviert.
Ansicht der Compilerfehler
Funktionen in der Quellcodeansicht
Treten während der Übersetzung Fehler auf, dann ist die Quellcodeansicht aktiviert. Diese Ansicht dient
lediglich zur Darstellung des Quellcodes, eine Bearbeitung des Eintrages ist nicht möglich. Durch MausDoppelklick auf die Fehlermeldung in der Ansicht der Compilerfehler wird bei angeschalteter Quellcodeansicht zur entsprechenden Zeile gesprungen.
Funktionen in der Simulationsansicht
Beim Wechsel in die Simulationsansicht, wird ein Assistent gestartet, mit welchem die Generierung eines Prozesses getestet werden kann. Die Funktionsweise des Assistenten wird im Abschnitt Simulieren
einer Prozessgenerierung auf Seite 67 näher erläutert.
Arbeiten mit einem Prozessdokument
Im Prozessdokument wird ein Prozess mit seinen Prozessschritten über spezielle Steuerelemente dargestellt und bearbeitet. Beim Einfügen eines neuen Prozesses wird zunächst ein neues Prozessdokument mit einem Prozesselement erzeugt. Über das Kontextmenü im Prozessdokument fügen Sie ein
neues Prozessschrittelement ein.
Einträge im Kontextmenü des Prozessdokumentes
EINTRAG IM KONTEXTMENÜ
BEDEUTUNG
Neu
Es wird ein neues Prozessschrittelement zur Bearbeitung eines Prozessschrittes angelegt.
Löschen
Der gewählte Prozessschritt wird gelöscht.
Kopieren
Der ausgewählte Prozessschritt wird in die Zwischenablage kopiert.
Einfügen
Der Prozessschritt aus der Zwischenablage wird eingefügt.
Eigenschaften
Die allgemeine Objekteigenschaften des gewählten Eintrags werden
angezeigt.
46
Prozessverarbeitung im Identity Manager
Die einzelnen Elemente verketten Sie über Verbinder miteinander. Die Verbindungspunkte aktivieren
Sie mausgesteuert. Bei der Auswahl eines Verbindungspunktes wechselt der Mauszeiger zum Pfeilsymbol. Halten Sie die linke Maustaste gedrückt und ziehen Sie einen Verbinder von einem Verbindungspunkt zum zweiten Verbindungspunkt. Um einen Verbinder zu entfernen, aktivieren Sie den Ausgangspunkt der Verbindung erneut per Mausklick. Nach Bestätigung einer Sicherheitsabfrage, wird die Verbindung der Steuerelemente gelöst.
Anordnen eines Prozesses
Die Layoutposition der Steuerelemente im Prozessdokument können Sie mausgesteuert verändern. Die
Elemente verfügen über einen Tooltip. Der Inhalt der Tooltips setzt sich aus dem Namen, der Beschreibung des Prozesses oder des Prozessschrittes und dier Beschreibung der Prozessfunktion zusammen.
Mit Maus-Doppelklick auf ein Prozesselement oder ein Prozessschrittelement wird die jeweilige Bearbeitungsansicht geöffnet, in welcher Sie den Prozess oder den Prozessschritt bearbeiten.
Die Einträge für den Prozess und die Prozessschrittes in der Identity Manager-Datenbank werden erst
durch das Speichern des gesamten Prozesses über das Änderungsprotokoll des Designers erzeugt. Der
Prozess ist ab diesem Zeitpunkt für weitere Benutzer im Prozesseditor bearbeitbar, kann jedoch noch
nicht generiert werden. Die Generierung wird erst durch Kompilieren des Prozesses möglich. Zusätzlich
zum Inhalt des Prozesses und seiner Prozessschritte wird auch die Layoutposition im Prozesseditor in
die Identity Manager-Datenbank gespeichert.
Unterstützung bei der Eingabe von Werten
Wenn die Dateneingabe in einer Spalte in VB.Net-Syntax erfolgen soll, wird ein spezielles Eingabefeld
verwendet. Dabei werden verschiedene Funktionen bereitsgestellt, die die Eingabe von Skript-Code erleichtern. Lesen Sie dazu im Handbuch Konfiguration den Abschnitt Unterstützung bei der Eingabe von
Skripten auf Seite 75.
47
Quest One Identity Manager
Definieren von Prozessen
Die Abbildung und Bearbeitung der Prozesse erfolgt im Designer in der Kategorie <Prozess-Orchestrierung>. Zusätzlich zu den von uns mitgelieferten Standardprozessen und den kundenspezifischen Prozessen erhalten Sie in dieser Kategorie einen Überblick über die Prozesskomponenten mit ihren Prozessfunktionen und Parametern. Weiterhin können Sie hier die verfügbaren Prozessaufträge zur zyklischen Ansteuerung von Prozessen einrichten.
Überblick über die Prozess-Orchestrierung
Grundlagen zur Definition von Prozessen
Der Identity Manager verwendet zur Abbildung betrieblicher Arbeitsabläufe sogenannte Prozessschritte,
die Sie über Vorgänger-Nachfolger-Beziehungen zu Prozessen zusammenstellen können.
Ein Prozessschritt ist eine Anweisung zur Ausführung einer bestimmten Aktion durch eine beliebige vi*Prozesskomponente. Die Umwandlung der als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkreten Prozess in der Jobqueue übernimmt der Jobgenerator. Eine Entscheidungslogik überwacht die Ausführung der Prozessschritte und veranlasst abhängig vom gemeldeten Ausführungsergebnis die weitere Verarbeitung des Prozesses. Um die einzelnen elementaren Arbeiten auf Systemebene zu verrichten, wie beispielsweise das Anlegen von Verzeichnissen, werden sogenannte Prozessfunktionen verwendet. Ein oder mehrere Prozessfunktionen und deren Parameter sind in Prozesskomponenten zusammengefasst. Die Prozesskomponenten sowie deren Prozessfunktionen und Parameter sind in den Tabellen „Jobcomponent“, „Jobtask“ und „Jobparameter“ definiert. Diese Definitionen
werden per Datenbankmigration von uns gepflegt und sind nicht bearbeitbar.
48
Prozessverarbeitung im Identity Manager
In der nachfolgenden Abbildung ist als Beispiel eine Verkettung von Prozessschritten dargestellt, mit
der Sie eine Person anlegen, anschließend zu dieser Person ein Active Directory Benutzerkonto einrichten und im letzten Schritt ein Postfach anlegen.
Erstellen einzelner Prozesse aus einer Prozessschrittverkettung
Diesen Ablauf können Sie durch einen Prozess abbilden. Innerhalb dieser Verkettung können Sie jedoch
auch Einstiegspunkte für verschiedene Prozesse definieren. Der Einstiegspunkt Prozess 1 hat das Anlegen einer Person mit Active Directory Benutzerkonto und Postfach als Ergebnis. Der Einstiegspunkt
Prozess 2 führt nur zum Anlegen eines Active Directory Benutzerkontos mit einem Postfach.
Bearbeiten von Prozessen
Zur Erstellung eines kundenspezifischen Prozesses können Sie:
•
einen neuen Prozess erstellen
•
einen vorhandenen Prozess kopieren und die Kopie weiter bearbeiten
Lesen Sie hierzu auch den Abschnitt Kopieren eines Prozesses auf Seite 65.
Alle von uns mitgelieferten Standardprozesse sind durch die Zeichenfolge „VI_“ bzw. „VID_“ gekennzeichnet. Diese Prozesse sind nur begrenzt bearbeitbar und werden durch die Migration aktualisiert.
Prozesse erstellen und bearbeiten Sie mit dem Prozesseditor. Zur Bearbeitung eines bestehenden Prozesses wählen Sie im Designer in der Kategorie <Prozess-Orchestrierung> den Prozess aus. Den Prozesseditor starten Sie über die Aufgabe <Prozess ’XY’ bearbeiten>. Um einen neuen Prozess zu erstel-
49
Quest One Identity Manager
len, starten Sie den Prozesseditor über die Aufgabe <Einen neuen Prozess erstellen>. In der Bearbeitungsansicht für Prozesse richten Sie den Prozess mit seinen Merkmalen ein.
Eigenschaften eines Prozesses
Allgemeine Eigenschaften eines Prozesses
Folgende allgemeine Eigenschaften werden für einen Prozess abgebildet:
50
•
Name des Prozesses
Der Name eines Prozesses muss eindeutig sein. Alle von uns mitgelieferten Standardprozesse sind durch die Präfixe „VI_“ bzw. „VID_“ gekennzeichnet. Kennzeichnen Sie kundenspezifische Prozesse entsprechend durch Ihr Kundenpräfix.
•
Basisobjekt
In der Liste wählen Sie das Basisobjekt (Tabelle), auf dessen Ereignisse der Prozess generiert wird.
•
Beschreibung/ Bemerkung
Geben Sie zusätzliche Beschreibungen und Bemerkungen für den Prozess an.
•
Angaben zur Aufzeichnung von Prozessinformationen
Prozessinformationen erlauben es, alle im Identity Manager ausgeführten Prozesse zu beobachten. Um Prozessinformationen für einen Prozess einzurichten, lesen Sie den Abschnitt
Einrichten der Prozessinformationen für die Prozessverarbeitung auf Seite 300.
•
UID des Prozesses
Es wird die UID des Prozesses angezeigt, diese kann nicht bearbeitet werden.
Prozessverarbeitung im Identity Manager
Angaben für die Generierung eines Prozesses
Für einen Prozess definieren Sie im Eingabefeld <Generierungsbedingung> eine Bedingung in VB.NetSyntax, anhand der wird entschieden, ob es notwendig ist, den Prozess zu generieren. Ist eine Generierungsbedingung angegeben, wird der Prozess nur generiert, wenn die Bedingung erfüllt ist. Die allgemeine Syntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben.
Der unter <Prä-Skript zur Generierung> angegebene Skript-Code wird vor der Ausführung von anderen
Skripten ausgeführt. Über das Prä-Skript können Sie beispielsweise Variablen definieren, die innerhalb
des Prozesses und seiner Prozessschritte in Generierungsbedingungen, Serverauswahlskripten oder in
den Parametern weiterverwendet werden können.
Syntax im Prä-Skript:
values("Name") = "Wert"
Verwendung in den folgenden Codeteilen des Prozesses und seiner Prozessschritte:
Value = values("Name")
Weitere Beispiele finden Sie im Abschnitt Prä-Skripte zur Verwendung in Prozessen und Prozessschritten auf Seite 335.
Mit der Option <Nicht generieren> entscheiden Sie, ob ein Prozess generiert wird. Ist die Option aktiviert, so wird der Prozess nicht generiert und kann nicht kompiliert werden.
Ist die Option <Nicht generieren> für Prozesse gesetzt, so bleibt diese Option auch während
einer Update-Migration im gesetzten Zustand und wird nicht zurückgesetzt.
Für den Prozess können Sie weiterhin eine Präprozessorbedingung zur bedingten Kompilierung definieren. Damit ist ein Prozess nur verfügbar, wenn die Präprozessorbedingung erfüllt ist. Zur Funktion von
Präprozessorbedingungen lesen Sie auch den Abschnitt Verwenden von Präprozessorbedingungen auf
Seite 322.
51
Quest One Identity Manager
Benachrichtung bei der Verarbeitung von Prozessen
Konfigurationsparameter für die Mailbenachrichtigung
KONFIGURATIONSPARAMETER
BEDEUTUNG
Common\MailNotification
Angaben zur Benachrichtigung.
Common\MailNotification\DefaultAddress
Standard E-Mail-Adresse (Empfänger) zum Versenden von
Benachrichtigungen.
Common\MailNotification\DefaultLanguage
Standardsprache zum Versenden von Benachrichtigungen.
Common\MailNotification\DefaultSender
Standard E-Mail-Adresse (Absender) zum Versenden von
Benachrichtigungen.
Common\MailNotification\NotifyAboutWaitingJobs
Angabe, ob eine Benachrichtigung gesendet werden soll,
wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind.
Common\MailNotification\SMTPRelay
SMTP Server zum Versenden von Benachrichtigungen.
Zur Verhinderung von Massenänderungen können Sie pro Prozess festlegen, wie oft dieser Prozess in
der Jobqueue vorhanden sein darf. Nutzen Sie dazu die Werte <Schwellwert (Warnung)> und
<Schwellwert (Sperrung)>. Für die initiale Befüllung des Schwellwertes für die Sperrung können Sie
das Datenbankskript „SDK_SetLimitationCount_in_Jobchain“ verwenden. Dieses Datenbankskript finden Sie im SDK.
Bei Überschreitung des Schwellwertes für die Warnung wird eine E-Mail Benachrichtung an einen bestimmten Empfänger versendet. Voraussetzung für die Nutzung des Benachrichtigungssystems ist die
Einrichtung eines SMTP-Host für den Mailversand sowie die Aktivierung der Konfigurationsparameter für
die Mailbenachrichtigung.
Bei Überschreitung des Schwellwertes für die Sperrung werden die betroffenen Prozesse in der Jobqueue auf den Status „Overlimit“ gesetzt. Diese Prozesse werden nicht mehr durch den Identity Manager Service zur Verarbeitung abgeholt und verbleiben in der Jobqueue. Im Programm „Job Queue Info“
können Sie diese Prozesse reaktivieren. Dazu lesen Sie den Abschnitt Reaktivieren von Prozessschritten
auf Seite 24.
Ist der Konfigurationsparameter „Common\MailNotification\NotifyAboutWaitingJobs“ aktiviert, wird bei
Auftreten von Prozessen mit dem Status „Overlimit“ zusätzlich eine E-Mail Benachrichtigung versendet
und ein entsprechender Eintrag im Ereignisprotokoll des Master SQL Servers erzeugt.
Ereignisse für die Prozessgenerierung
Um Prozesse zu Objekten zuzuordnen, werden Ereignisse definiert. Erst nachdem die Verbindung zwischen Objekt, Ereignis und Prozess hergestellt wurde, können die Prozesse generiert und verarbeitet
werden. Es werden bereits einige vordefinierte Ereignisse zur Verfügung gestellt. Diese sind in der
nachfolgenden Tabelle aufgeführt.
Vordefinierte Ereignisse
EREIGNIS
Insert
52
ANMERKUNG
Das Ereignis wird beim Einfügen eines Objektes ausgelöst. Das Ereignis ist an
jedem Objekt verfügbar.
Prozessverarbeitung im Identity Manager
Vordefinierte Ereignisse
EREIGNIS
ANMERKUNG
Update
Das Ereignis wird beim Ändern eines Objektes ausgelöst. Das Ereignis ist an
jedem Objekt verfügbar.
Delete
Das Ereignis wird beim Löschen eines Objektes ausgelöst. Das Ereignis ist an
jedem Objekt verfügbar.
Execute
Das Ereignis wird vom DBScheduler ausgelöst, wenn der Ausführungszeitpunkt
einer verzögerte Operation erreicht ist.
Weitere Ereignisse werden über die Customizer zur Verfügung gestellt. Diese Ereignisse sind in den Dokumentationen zu den Customizern beschrieben. Sie können weitere kundenspezifische Ereignisse definieren, um Prozesse auszulösen. So können bespielsweise benutzerdefinierte Ereignisse durch einen
Datenbankschedule ausgelöst werden, um Prozesse nach definierten Zeitplänen abzuarbeiten.
Bearbeiten der Ereignisse
Ereignisse erstellen und bearbeiten Sie mit dem Prozesseditor. Öffnen Sie den Prozess im Prozesseditor
und aktivieren Sie im Prozessdokument das Prozesselement. In der Bearbeitungsansicht für Ereignisse
werden alle Ereignisse angezeigt, die für den Prozess definiert sind.
Bearbeiten der Ereignisse für die Prozessgenerierung
Durch Maus-Einfachklick auf einen Eintrag in der Bearbeitungsansicht können Sie das Ereignis direkt
bearbeiten. Über die Symbolleiste der Bearbeitungsansicht fügen Sie weitere Ereignisse ein. Über die
Symbolleiste öffnen Sie ein Dialogfenster zur Bearbeitung der Daten. Über die Schaltfläche <OK> übernehmen Sie die Änderungen, über <Abbruch> werden die Änderungen verworfen. In beiden Fällen wird
das Dialogfenster geschlossen.
Einrichten eines Ereignisses
53
Quest One Identity Manager
Für ein Ereignis erfassen Sie die folgenden Daten:
•
Name des Ereignisses
•
Basisobjekt
Das Basisobjekt ist bereits durch die Prozessdefinition vorgegeben und kann nicht geändert
werden.
•
Reihenfolge
Diese Angabe legt fest, in welcher Reihenfolge die Prozesse generiert werden, wenn mehrere Prozesse auf das gleiche Ereignis des Basisobjektes weisen.
•
Prozessinformationen
Zur Aufzeichnung der Ereignisse in der Prozessverfolgung hinterlegen Sie eine Bildungsvorschrift für die Prozessinformationen (siehe Einrichten der Prozessinformationen für die Prozessverarbeitung auf Seite 300).
Bearbeiten von Prozessschritten
Um Prozessschritte innerhalb eines Prozesses einzufügen, können Sie:
•
einen neuen Prozessschritt erzeugen
•
einen vorhandenen Prozessschritt in den Prozess importieren
Lesen Sie hierzu den Abschnitt Importieren von Prozessschritten auf Seite 63.
•
einen vorhandenen Prozessschritt kopieren und die Kopie weiter bearbeiten
Lesen Sie hierzu auch den Abschnitt Kopieren eines Prozessschrittes auf Seite 64.
Die Prozessschritte eines Prozesses erstellen und bearbeiten Sie mit dem Prozesseditor. Zur Bearbeitung eines bestehenden Prozessschrittes öffnen Sie den Prozess im Prozesseditor und aktivieren Sie im
Prozessdokument das Prozessschrittelement. Einen neuen Prozessschritt erstellen Sie über den
Menüeintrag <Prozessschritt>\<Neu>. In der Bearbeitungsansicht für Prozessschritte richten Sie den
Prozessschritte mit seinen Merkmalen ein.
Eigenschaften eines Prozessschrittes
54
Prozessverarbeitung im Identity Manager
Allgemeine Eigenschaften eines Prozessschrittes
Folgende allgemeine Eigenschaften können Sie für einen Prozessschritt festlegen:
•
Name des Prozessschrittes
•
Prozessfunktion
In der Auswahlliste sind die Prozesskomponenten mit ihren Prozessfunktionen ausgeführt.
Mit der Auswahl einer Prozessfunktion legen Sie fest, welche Aktion durch den Prozessschritt
ausgeführt wird. Die Parametervorlagen der Prozessfunktion werden kopiert und als Parameter in den Prozessschritt übernommen. Dadurch können Sie jedem Prozessschritt, der diese
Prozessfunktion verwendet, andere Parameterwerte übergeben. Das Original wird nicht verändert.
•
Beschreibung
Geben Sie einen Beschreibungstext zur Aufgabe des Prozessschrittes ein.
•
Priorität
Die Priorität legt fest, mit welcher Rangordnung der Prozessschritt in die Jobqueue eingestellt
und verarbeitet wird, dabei sind die Werte 1 bis 15 erlaubt.
•
Prozessinformation aktivieren
Prozessinformationen erlauben es, alle im Identity Manager ausgeführten Prozesse zu beobachten. Um Prozessinformationen für einen Prozessschritt einzurichten, lesen Sie den Abschnitt Einrichten der Prozessinformationen für die Prozessverarbeitung auf Seite 300.
•
Benachrichtigung im Erfolgsfall und Fehlerfall
Sie haben die Möglichkeit für einen Prozessschritt Benachrichtigungen für den Erfolgsfall und
Fehlerfall der Prozessverarbeitung zu konfigurieren. Dazu lesen Sie den Abschnitt Benachrichtigung zur Verarbeitung von Prozessschritten auf Seite 58.
Angaben zur Generierung eines Prozessschrittes
Für einen Prozessschritt definieren Sie im Eingabefeld <Generierungsbedingung> eine Bedingung in
VB.Net-Syntax, anhand der wird entschieden, ob es notwendig ist, den Prozessschritt zu generieren. Ist
eine Generierungsbedingung angegeben, wird der Prozessschritt nur generiert, wenn die Bedingung erfüllt ist. Die allgemeine Syntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben
Für den Prozessschritt können Sie eine Präprozessorbedingung zur bedingten Kompilierung definieren.
Damit ist ein Prozessschritt nur verfügbar, wenn die Präprozessorbedingung erfüllt ist. Zur Funktion von
Präprozessorbedingungen lesen Sie auch den Abschnitt Verwenden von Präprozessorbedingungen auf
Seite 322.
Der unter <Prä-Skript zur Generierung> angegebene Skript-Code wird vor der Ausführung von anderen
Skripten ausgeführt. Über das Prä-Skript können Sie beispielsweise Variablen definieren, die innerhalb
des Prozessschrittes in Generierungsbedingungen, Serverauswahlskripten oder in den Parametern weiterverwendet werden können.
Syntax im Prä-Skript:
values("Name") = "Wert"
Verwendung in den folgenden Codeteilen des Prozessschrittes:
Value = values("Name")
Weitere Beispiele finden Sie im Abschnitt Prä-Skripte zur Verwendung in Prozessen und Prozessschritten auf Seite 335.
55
Quest One Identity Manager
Festlegen des ausführenden Servers
Für jeden Prozessschritt legen Sie fest, welcher Server den Prozessschritt verarbeiten soll. Die Auswahl
des ausführenden Servers können Sie über eine Servermaske oder ein Auswahlskript vornehmen. Die
Auswahl des Servers muss immer zu einem eindeutigen Ergebnis führen. Bei der Ermittlung des gültigen Servers wird zuerst das Auswahlskript ausgewertet. Kann über das Auswahlskript kein Server bestimmt werden, wird die Servermaske ausgewertet. Der Prozessschritt wird für den ersten gefundenen
Server zur Verarbeitung eingestellt.
Auswahl des Servers über die Servermaske
In der Servermaske sind die gängigen Serverrollen, wie beispielsweise PDC oder Master SQL Server definiert. Nutzen Sie die Servermaske, wenn Sie den Server eindeutig bestimmen können.
Auswahl des Servers über ein Auswahlskript
Ist es anhand der Servermaske nicht möglich zu entscheiden, welcher Server genutzt werden soll, beispielsweise bei Vorhandensein mehrerer Mailserver, verwenden Sie ein Auswahlskript zur näheren Bestimmung des Servers. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf
Seite 330 beschrieben.
Zur Ermittlung des Servers über ein Auswahlskript können Sie VB.Net-Ausdrücke verwenden:
•
die eine Zeichenkette mit der UID (!) des Jobservers zurückgeben
•
die eine Zeichenkette mit der Angabe einer „Where“- Klausel für Datenbankabfragen liefern.
Die Auswahl muss eine Zeichenkette liefern, die mit „where“ beginnt und eine logische Bedingung enthält. Die Where-Klausel wird auf die Tabelle „Jobserver“ angewendet.
Beispiel:
"where is10 = 1 and is01=0"
Alternativ können Sie im Auswahlskript die Queue, welche den Prozessschritt abarbeiten soll, direkt angeben. Jeder Identity Manager Service innerhalb des gesamten Netzwerkes hat eine eindeutige Queuebezeichnung. Mit exakt diesem Queuenamen werden die Prozessschritte an der Jobqueue angefordert.
Syntax für die direkte Queue-Angabe:
DIRECT:<Queue>
Beispiel:
Value = "DIRECT:\Server01"
56
Prozessverarbeitung im Identity Manager
Fehlerbehandlung bei der Verarbeitung von Prozessschritten
Konfigurationsparameter für die Mailbenachrichtigung
KONFIGURATIONSPARAMETER
BEDEUTUNG
Common\MailNotification
Angaben zur Benachrichtigung.
Common\MailNotification\DefaultAddress
Standard E-Mail-Adresse (Empfänger) zum Versenden von
Benachrichtigungen.
Common\MailNotification\DefaultLanguage
Standardsprache zum Versenden von Benachrichtigungen.
Common\MailNotification\DefaultSender
Standard E-Mail-Adresse (Absender) zum Versenden von
Benachrichtigungen.
Common\MailNotification\NotifyAboutWaitingJobs
Angabe, ob eine Benachrichtigung gesendet werden soll,
wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind.
Common\MailNotification\SMTPRelay
SMTP Server zum Versenden von Benachrichtigungen.
Ist zum Ausführungszeitpunkt des Prozessschrittes eine bestimmte Bedingung noch nicht erfüllt, so
kann der Identity Manager Service den Prozessschritt wiederholen. Die Aktivierung der Option <Wartemodus bei Fehlern> bewirkt, dass der Prozessschritt in Abhängigkeit der Eingaben <Wartezeit (min)>
und <Wiederholversuche> nochmals ausgeführt wird.
Prozessschritte, die nur zur Verzweigung der Prozessverarbeitung dienen, kennzeichnen Sie mit der Option <Verarbeitung aufzweigen>. Ein Beispiel wäre ein Prozessschritt, welcher die Existenz eines Verzeichnisses überprüft. Abhängig vom zurückgelieferten Ergebnis wird anschließend der Nachfolgeschritt
im Erfolgsfall oder der Nachfolgeschritt im Fehlerfall (ohne Generierung einer Fehlermeldung) abgearbeitet.
Mit die Option <Fehler ignorieren> legen Sie fest, ob Fehler bei der Ausführung des Prozessschrittes ignoriert werden sollen. In diesem Fall wird der nachfolgende Prozessschritt auch ausgeführt, obwohl der
vorgehende Prozessschritt nicht korrekt abgearbeitet wurde.
Ist ein Prozessschritt mit der Option <Stopp bei Fehlern> gekennzeichnet und tritt bei der Verarbeitung
des Prozessschrittes ein Fehler auf, so bleibt der Prozessschritt in der Jobqueue und erhält den Status
„Frozen“. In diesem Fall werden keine weiteren Prozessschritte des betroffenen Prozesses verarbeitet,
sondern verbleiben in der Jobqueue. Die Prozessschritte mit dem Status „Frozen“ können Sie im Programm „Job Queue Info“ reaktivieren. Dazu lesen Sie den Abschnitt Reaktivieren von Prozessschritten
auf Seite 24.
Ist der Konfigurationsparameter „Common\MailNotification\NotifyAboutWaitingJobs“ aktiviert, wird bei
Auftreten von Prozessen mit dem Status „Frozen“ zusätzlich eine E-Mail Benachrichtigung versendet
und und ein entsprechender Eintrag im Ereignisprotokoll des Master SQL Servers erzeugt. Voraussetzung für die Nutzung des Benachrichtigungssystems ist die Einrichtung eines SMTP-Host für den Mailversand sowie die Aktivierung der Konfigurationsparameter für die Mailbenachrichtigung.
Ist die Option <Fehler im Journal protokollieren> aktiviert, werden die Fehlermeldung aus der Prozessverarbeitung im Systemprotokoll aufgezeichnet. Fehlermeldung aus der Prozessverarbeitung können in
der Prozesshistorie aufgezeichnet werden. Lesen Sie auch die Abschnitte Aufzeichnung von Meldungen
im Systemprotokoll auf Seite 87 und Aufzeichnung von Meldungen in der Prozesshistorie auf Seite 86.
57
Quest One Identity Manager
Benachrichtigung zur Verarbeitung von Prozessschritten
Sie haben die Möglichkeit für einen Prozessschritt Benachrichtigungen für den Erfolgsfall und Fehlerfall
der Prozessverarbeitung zu versenden. Voraussetzung für die Nutzung des Benachrichtigungssystems
ist die Einrichtung eines SMTP-Host für den Mailversand. Um Benachrichtigungen für einen Prozessschritt zu konfigurieren, aktivieren Sie in Bearbeitungsansicht des Prozessschrittes die Optionen <Benachrichtigung (Erfolg)> und <Benachrichtigung (Fehler)>. Damit werden die Tabreiter zur Dateneingabe eingeblendet.
Einrichten der Benachrichtigung zur Verarbeitung eines Prozessschrittes
Folgende Daten werden für das Versenden von Benachrichtigungen benötigt:
•
E-Mail-Adresse des Empfängers der Benachrichtigung
•
E-Mail-Adresse des Absenders der Benachrichtigung
•
Betreff
•
zu übermittelnde Nachricht
Alle Angaben müssen Sie in VB.Net-Syntax eintragen. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. Die Syntax zur sprachabhängigen Bildung der Informationen ist im Abschnitt Verwendung der #LD-Notation auf Seite 338 erläutert.
Benachrichtigungen während der Verarbeitung werden nur versendet, wenn alle Angaben für
einen Fall (Fehler, Erfolg) hinterlegt sind!
Bei der Einrichtung können Sie auf die verschiedenen Konfigurationsparameter für den Mailversand zurückgreifen.
Konfigurationsparameter für die Mailbenachrichtigung
KONFIGURATIONSPARAMETER
BEDEUTUNG
Common\MailNotification
Angaben zur Benachrichtigung.
58
Prozessverarbeitung im Identity Manager
Konfigurationsparameter für die Mailbenachrichtigung
KONFIGURATIONSPARAMETER
BEDEUTUNG
Common\MailNotification\DefaultAddress
Standard E-Mail-Adresse (Empfänger) zum Versenden von
Benachrichtigungen.
Common\MailNotification\DefaultLanguage
Standardsprache zum Versenden von Benachrichtigungen.
Common\MailNotification\DefaultSender
Standard E-Mail-Adresse (Absender) zum Versenden von
Benachrichtigungen.
Common\MailNotification\NotifyAboutWaitingJobs
Angabe, ob eine Benachrichtigung gesendet werden soll,
wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind.
Common\MailNotification\SMTPRelay
SMTP Server zum Versenden von Benachrichtigungen.
TargetSystem\ADS\DefaultAddress
Der Konfigurationsparameter enthält die Standard-E-Mail
Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen.
TargetSystem\ADS\Exchange2000\Def
aultAddress
Der Konfigurationsparameter enthält die Standard-E-Mail
Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen.
TargetSystem\LDAP\DefaultAddress
Der Konfigurationsparameter enthält die Standard-E-Mail
Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen.
TargetSystem\Notes\DefaultAddress
Der Konfigurationsparameter enthält die Standard-E-Mail
Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen.
TargetSystem\SAPR3\DefaultAddress
Der Konfigurationsparameter enthält die Standard-E-Mail
Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen.
Parameter eines Prozessschrittes
Mit der Auswahl einer Prozessfunktion im Prozessschritt legen Sie fest, welche Aktion durch den Prozessschritt ausgeführt wird. Die Parametervorlagen der Prozessfunktion werden kopiert und als Parameter in den Prozessschritt übernommen. Dadurch können Sie jedem Prozessschritt, der diese Prozessfunktion verwendet, andere Parameterwerte übergeben. Das Original wird nicht verändert.
Pflichtparameter werden bei der Auswahl der Prozessfunktion sofort in den Prozessschritt eingefügt, optionale Parameter fügen Sie einzeln zum Prozessschritt hinzu. Beim Einfügen eines Parameters wird die
Wertvorlage aus der Parametervorlage übernommen. Die Vorlagen für die Werte der Parameter sind
zum größten Teil vordefiniert, weil beispielsweise Prozeduren die UID’s von Objekten auswerten und
entsprechend vermerken.
59
Quest One Identity Manager
Bearbeiten der Parameter eines Prozessschrittes
Die Parameter eines Prozessschrittes bearbeiten Sie mit dem Prozesseditor. Öffnen Sie den Prozess im
Prozesseditor und aktivieren Sie im Prozessdokument das Prozesselement. In der Bearbeitungsansicht
für Parameter werden alle Parameter angezeigt, die für den Prozessschritt definiert sind.
Zuordnen von Parameter zu einer Prozessschritt
Bedeutung der verwendeten Symbole
SYMBOL
BEDEUTUNG
Pflichtparameter der Prozessfunktion.
Optionaler Parameter der Prozessfunktion, welcher dem Prozessschritt zugewiesen ist.
Optionaler Parameter der Prozessfunktion, welcher dem Prozessschritt nicht zugewiesen ist.
Durch Maus-Einfachklick auf einen Eintrag können Sie den Parameterwert direkt bearbeiten. Über die
Symbolleiste öffnen Sie ein Dialogfenster zur Bearbeitung der Daten. Über die Schaltfläche <OK> übernehmen Sie die Änderungen, über <Abbruch> werden die Änderungen verworfen. In beiden Fällen wird
das Dialogfenster geschlossen.
Einrichten eines Parameters
Für einen Parameter werden die folgenden Eigenschaften abgebildet:
60
Prozessverarbeitung im Identity Manager
•
Name des Parameters
Der Name eines Parameters sollte nicht geändert werden. Ausnahme bilden die speziellen
Parameter der Prozesskomponenten “HandleObjectComponent“ und “LDAPLDAPADSIComponentComponent“. Desweiteren müssen die Parameterweiterungen der zielsystemspezifischen
Prozesskomponenten umbenannt werden. Dazu lesen Sie auch den Abschnitt Weitere
Schritte für den Abgleich der Erweiterungen mit einem Zielsystem auf Seite 402.
•
Versteckt
Mit dieser Option legen Sie fest, ob der Parameter in der Protokolldatei des Identity Manager
Service und im Programm „Job Queue Info“ angezeigt wird. Werte für versteckte Parameter
werden als <HIDDEN> angezeigt. Im Job Queue Info hat nur der Systembenutzer „viadmin“
die Bearbeitungsrechte, um diese Parameter einzusehen.
•
Verschlüsselt
Mit dieser Option legen Sie fest, ob der Parameter verschlüsselt übergeben wird. Ist bereits
in der Parametervorlage die Option gesetzt, so ist der Parameter ebenfalls verschlüsselt zu
übergeben. Zur Verschlüsselung lesen Sie den Abschnitt Verschlüsseln von Datenbankinformationen auf Seite 119.
•
Wertvorlage
Beim Einfügen eines Parameters wird die Wertvorlage aus der Parametervorlage übernommen. Die Wertvorlagen definieren Sie in VB.Net-Syntax. Die allgemeine Skriptsyntax ist im
Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. Im Dialogfenster zur Parameterbearbeitung können Sie über die Schaltfläche <Vorlage> die Standardwertvorlage wiederherstellen.
Wertbelegung von Parametern
Die Syntax ist im Abschnitt Verwendung von Skripten auf Seite 330 ausführlich beschrieben. Für die
Belegung der Werte können folgende Ausdrücke verwendet werden:
•
leer
•
Spalten eines Objektes oder Spalten eines über eine Beziehung verbundenen Objektes
Syntax:
Value =
Value =
Beispiel:
Value =
Value =
Value =
•
$<Spaltenname>:<Datentyp>$
${FK(<Fremdschlüsselspalte>).}<Spaltenname>:<Datentyp>$
$Lastname$
$PasswordNeverExpires:bool$
$FK(Ident_Domain).Description$
Parameter aus der optionalen Parametercollection
Syntax:
Value = $PC(<Parametername>)$
Beispiel:
Value = $PC(SRCUID_Application)$
•
Out-Parameter
Parameter vom Typ „OUT“ bzw. „INOUT“ sind Parameter, in der eine Prozesskomponente einen Wert nach außen liefern kann. Dieser Wert steht dann allen nachfolgenden Prozessschritten des Prozesses zur Verfügung und kann als Wertbelegung für IN-Parameter dienen.
Bei der Verwendung von Out-Parametern ist darauf zu achten, dass diese zur Laufzeit auch
belegt sind. Anderenfalls wird bei Abarbeitung der Text „&OUT(<parametername>)&“ eingetragen, das bedeutet die Variable wird nicht ersetzt.
61
Quest One Identity Manager
Syntax:
Value = &OUT(<Parametername>)&
Beispiel:
Value = "&Out(FileSize)&"
•
Globale Variablen, die das einstellende Programm besetzt
Syntax:
Value = Variables("<Variablenname>")
Beispiel:
Value = Variables("GENPROCID")
Value = Variables("FULLSYNC")
•
Per Prä-Skript erzeugte lokale Variablen des Prozessschrittes oder des Prozesses
Syntax:
Value = values("Name")
Beispiel:
Value = Values("FirstHomeServer")
•
Abfrage von Konfigurationsparametern
Hierbei muss immer der gesamte Pfad zum Konfigurationsparameter angegeben werden.
Syntax:
Value = Connection.GetConfigParm("<vollständiger Pfad>")
Beispiel:
Value = Connection.GetConfigParm("TargetSystem\ADS\RestoreMode")
•
62
VB.Net
Es können beliebige Ausdrücke in VB.Net-Syntax angegeben werden.
Prozessverarbeitung im Identity Manager
Importieren von Prozessschritten
Über die Importfunktion können Sie Prozessschritte innerhalb der Datenbank suchen und in einen Prozess importieren. Über den Menüeintrag <Prozessschritte>\<Importieren> im Prozesseditor wird ein
Dialogfenster geöffnet, in dem Sie die Suchbedingungen festlegen.
Suchen und Importieren von Prozessschritten
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Suchen eines Prozessschrittes.
Kopieren des Prozessschrittes.
Festlegen der Suchoptionen.
Geben Sie einen Suchtext an und legen Sie über die Suchoptionen fest, in welchen Objekten gesucht
werden soll. In den angegebenen Objekten wird intern über eine „Where“-Klausel gesucht. Sind mehrere Objekte angegeben, wird diese intern über „Join“- Bedingungen erweitert.
Durchsuchbare Objekte und Eigenschaften
SUCHEN IN OBJEKT
DURCHSUCHT WERDEN DIE EIGENSCHAFTEN
Prozess
Name
Prozessschritt
Name, Beschreibung, Generierungsbedingung, Skript zur Serverauswahl
Parameter
Name, Wert
Prozesskomponente
Komponentenklasse, Komponentenassembly
Prozessfunktion
Name
Parametervorlage
Name, Wertvorlage
63
Quest One Identity Manager
Den Suchvorgang starten Sie über das entsprechende Symbol der Symbolleiste. Die gefunden Prozessschritte werden in der Ergebnisliste aufgeführt. Wählen Sie in der Liste den gewünschten Prozessschritt
aus und importieren Sie diesen über das entsprechende Symbol der Symbolleiste oder über Maus-Doppelklick in das Prozessdokument. Anschließend binden Sie den Prozessschritt in den Prozess ein.
Suchen eines Prozessschrittes innerhalb eines Prozesses
Um einen Eintrag innerhalb eines Prozesses zu suchen, öffnen Sie mit <Strg + F> einen Suchendialog.
Den Suchvorgang starten Sie über die Schaltfläche <Suchen>. Mit <F3> wird der nächste Eintrag gesucht. Über die Schaltfläche <Abbruch> wird der Vorgang beendet und der Suchendialog geschlossen.
Der eingetragene Text wird gesucht im Prozess und in den Prozessschritten.
Durchsuchte Objekte und Eigenschaften
SUCHEN IN OBJEKT
DURCHSUCHT WERDEN DIE EIGENSCHAFTEN
Prozess
Name
Prozessschritt
Name, Beschreibung, Generierungsbedingung, Skript zur Serverauswahl
Kopieren eines Prozessschrittes
Über den Kontextmenüeintrag <Kopieren> oder <Strg + C> kopieren Sie den Prozessschritt in die
Zwischenablage. Über den Kontextmenüeintrag <Einfügen> oder <Strg + V> fügen Sie die kopierten
Prozessschritte aus der Zwischenablage in einen Prozess ein. Der Prozessschritt erhält einen neue UID,
alle Eigenschaften des Prozessschrittes werden übernommen. Anschließend binden Sie den Prozessschritt in den Prozess ein. Um mehrere Prozessschritte zu kopieren, markieren Sie diese über <Strg> +
Auswahl>.
Mehrfachbearbeitung von Prozessschritten
Im Prozesseditor ist die gleichzeitige Bearbeitung mehrerer Prozessschritte eines Prozesses möglich.
Dazu wählen Sie die gewünschten Prozessschritte im Prozessdokument aus (<Strg + Auswahl>). In der
Bearbeitungsansicht für Prozessschritte werden Eingabefelder, deren Werte unterschiedlich belegt sind,
64
Prozessverarbeitung im Identity Manager
mit einem Symbol hervorgehoben. Bei Bearbeitung eines Eingabefeldes und Speichern der Änderung
wird der Wert in alle gewählten Prozessschritte übernommen.
Mehrfachbearbeitung von Prozessschritten
Kopieren eines Prozesses
Sie haben die Möglichkeit eine Kopie eines Prozesse unter einem anderen Namen zu erstellen. Um einen Prozess zu kopieren, öffnen Sie den Prozess mit dem Prozesseditor und starten über den Menüeintrag <Prozess>\<Kopieren> einen Assistenten.
Der Assistent führt Sie durch die einzelnen Schritte des Kopiervorgangs. Mit der Schaltfläche <Weiter>
gelangen Sie zum nächsten Schritt des Assistenten. Mit der Schaltfläche <Zurück> kehren Sie zum vorherigen Schritt zurück. Über <Abbruch> werden die Änderungen verworfen und der Assistent beendet.
Im Eröffnungsbildschirm des Assistenten wird der Name des zu kopierenden Prozesses angezeigt. Im
nächsten Schritt legen Sie den Namen des neuen Prozesses und die Kopieroptionen fest. Als Optionen
sind verfügbar.
•
Prozessschritt umbenennen
Setzen Sie diese Option, so haben Sie im nächsten Schritt des Assistenten die Möglichkeit die
einzelnen Prozessschritte umzubenennen.
•
Ereignisse kopieren
Aktivieren Sie diese Option damit die Ereignisse, die diesem Prozess zugeordnet sind, ebenfalls kopiert werden.
65
Quest One Identity Manager
•
Ausgangsprozess deaktivieren
Mit dieser Option legen Sie fest, ob der Ausgangsprozess nach der Kopie deaktiviert werden
soll. Wenn Sie diese Option aktivieren, dann wird der Ausgangsprozess auf „nicht generieren“ gesetzt.
•
Kopierten Prozess deaktivieren
Mit dieser Option legen Sie fest, ob der Prozess nach der Kopie deaktiviert werden soll. Wenn
Sie diese Option aktivieren, dann wird der Prozess auf „nicht generieren“ gesetzt.
Festlegen der Kopieroptionen
Haben Sie die Kopieroption <Prozessschritte umbenennen> gesetzt, dann können Sie in der nächsten
Maske die Prozessschritte einzeln umbenennen. Durch Mausklick auf den neuen Namen des Prozessschrittes können Sie diesen ändern.
Umbenennen von Prozessschritten
Im nächsten Dialogfenster werden nochmals alle Aktionen aufgeführt, die beim Kopiervorgang ausgeführt werden. Über die Schaltfläche <Fertig> starten Sie den Kopiervorgang. Während des Vorgangs
wird in einer Statuszeile die aktuell ausgeführte Aktion angezeigt
66
Prozessverarbeitung im Identity Manager
Vergleichen von Prozessen
Um Unterschiede zwischen zwei Prozessen zu ermitteln, öffnen Sie im Prozesseditor über den Menüeintrag <Prozess>\<Prozesse vergleichen...> das Dialogfenster für den Prozessvergleich. Wählen Sie im
Dialogfenster in den Auswahllisten <Prozess A> und <Prozess B> die zu vergleichenden Prozesse aus.
Über die Schaltfläche neben den Auswahllisten starten Sie den Prozessvergleich. In der Auswertung
werden die Unterschiede zwischen den Prozessen werden farblich hervorgehoben.
Vergleichen von Prozessen
Exportieren und Importieren von Prozessen
Der Export und der Import von Prozessen erfolgt über XML-Dateien. Um einen Prozess in eine XML-Datei zu exportieren, öffnen Sie den Prozess im Prozesseditor und starten den Export über den Menüeintrag <Prozess>\<Exportieren>.
Den Import eines Prozess aus einer XML-Datei in die Datenbank starten Sie im Prozesseditor über den
Menüeintrag <Prozess>\<Importieren> oder bei Auswahl der Kategorie <Prozess-Orchestrierung>
über die Aufgabe <Prozesse importieren>.
Simulieren einer Prozessgenerierung
Mit der Simulation der Prozessgenerierung können Sie überprüfen, ob der gewählte Prozess erfolgreich
generiert werden kann oder die Syntax der Parameterübergabe korrekt ist. Somit können die Prozesse
bei Bedarf ohne weiteren Aufwand weiter angepasst werden.
Um die Generierung eines Prozesses zu testen, laden Sie den Prozess im Prozesseditor und starten Sie
die Simulation über den Menüeintrag <Prozess>\<Ansicht>\<Simulationsansicht> oder den Eintrag
<Neue Simulation starten> in der Symbolleiste des Editors. Dabei wird ein Assistent gestartet. Der Assistent führt Sie durch die einzelnen Schritte des Simulationsvorgangs. Mit der Schaltfläche <Weiter>
gelangen Sie zum nächsten Schritt des Assistenten. Mit der Schaltfläche <Zurück> kehren Sie zum vor-
67
Quest One Identity Manager
herigen Schritt zurück. Über <Abbruch> werden die Änderungen verworfen und der Assistent beendet.
Wählen Sie das Ereignis, für welches der Prozess generiert werden soll.
Auswahl des Ereignisses
Bedeutung der verwendeten Symbole für Ereignisse in der Simulation
SYMBOL
BEDEUTUNG
Standardereignis.
Benutzerdefiniertes Ereignis.
Im nächsten Schritt legen Sie fest, für welches Objekt das Ereignis simuliert werden soll.
Auswahl des Objektes
68
Prozessverarbeitung im Identity Manager
Bei Bedarf können die Eigenschaften des Objektes weiter angepasst werden.
Anpassen der Objekteigenschaften
Für Prozesse, die mit Parametercollections generiert werden, müssen die Parameter und die zu übergebenden Werte festgelegt werden (beispielsweise Parameter „SourceDir“ bei Kopien von Profilen). In
Prozessen, die für die Standardereignisse (Insert, Update, Delete) generiert werden, werden keine Parametercollections verwendet.
Beispiel für Übergabe von Parametern in einer Parametercollection
69
Quest One Identity Manager
Legen Sie fest, welche Präprozessorbedingungen bei der Generierung des Prozesses beachtet werden.
Festlegen der Präprozessorbedingungen
Im nächsten Schritt starten Sie die Generierung über die Schaltfläche <Fertig>. Der Simulationsvorgang kann einige Zeit in Anspruch nehmen. Die generierten Assemblies werden lokal auf der Arbeitsstation, auf der die Simulation durchgeführt wird, abgelegt. Eine Simulation hat daher keine Auswirkung auf andere Benutzer.
Bei der Simulation eines Prozesses wird die Option <nicht generieren> beachtet. Nach Abschluss der
Simulation wird der generierte Prozess im Prozessdokument angezeigt.
Simulationsdaten eines Prozesses
70
Prozessverarbeitung im Identity Manager
Je nach Generierung werden die Prozessschritte farbig gekennzeichnet.
Farbcode in der Simulation
FARBE
BEDEUTUNG
grau
Der Prozessschritt wurde nicht generiert.
blau
Der Prozessschritt wurde erfolgreich generiert.
Mit Maus-Doppelklick auf einen erfolgreich generierten Prozessschritt werden die Eigenschaften und Parameter des Prozesses mit den konkreten Werten im Bearbeitungsfenster dargestellt.
Simulationsdaten eines Prozessschrittes
Nach Abschluss der Simulation können Sie das Protokoll zur Prozessgenerierung einsehen.
Protokoll der Prozessgenerierung
Zur Nachbearbeitung der Prozesse können Sie über das Menü <Prozesse>\<Ansicht> zwischen der Bearbeitungsansicht und der Simulationsansicht wechseln. Für jeden Simulationsvorgang wird in der
71
Quest One Identity Manager
Symbolleiste ein Eintrag erzeugt über den Sie die Simulation erneut ausführen können ohne die Simulationsdaten nochmals festzulegen.
Eintrag in der Symbolleiste für eine erneute Simulation
Gültigkeitsprüfung eines Prozesses
Bevor Sie einen Prozess kompilieren, sollten Sie eine Gültigkeitsprüfung des Prozesses und der Prozessschritte durchführen. Laden Sie den Prozess im Prozesseditor und starten Sie die Gültigkeitsprüfung im
Prozesseditor über den Menüeintrag <Prozesse>\<Fehlerkontrolle>.
Das Ergebnis der Gültigkeitsprüfung wird im Fenster <Prozessfehlerkontrolle> ausgegeben und bleibt
bis zur erneuten Gültigkeitsprüfung erhalten. Durch Maus-Doppelklick auf eine Fehlermeldung im Fenster <Prozessfehlerkontrolle> wird zum entsprechenden Eintrag im Prozessdokument gesprungen. Dieser kann hier angepasst werden.
Ansicht der Prozessfehlerkontrolle
Verwendete Symbole in der Gültigkeitsprüfung
SYMBOL
BEDEUTUNG
Es wurde kein Fehler gefunden.
Fehler
Warnung, Information
Mögliche Fehlerursachen in Prozessen
FEHLERKATEGORIE
MÖGLICHE URSACHEN
Fehler
Der Prozess hat keinen Namen.
Es wurde kein Basisobjekttyp angegeben.
Die angegebene Generierungsbedingung entspricht nicht der geforderten
Notation (Value =).
Warnung
Der Prozess hat keinen Basisprozessschritt.
Der Prozess hat kein Ereignis.
72
Prozessverarbeitung im Identity Manager
Mögliche Fehlerursachen in Prozessen
FEHLERKATEGORIE
MÖGLICHE URSACHEN
Information
Für den Prozess ist die Option <nicht generieren> gesetzt.
Mögliche Fehlerursachen in Prozessschritten
FEHLERKATEGORIE
MÖGLICHE URSACHEN
Fehler
Der Prozessschritt hat keinen Namen.
Es wurde kein Prozessfunktion zugeordnet.
Die angegebene Generierungsbedingung entspricht nicht der geforderten
Notation (Value =).
Es wurde kein Server zur Ausführung festgelegt (Skript zur Serverauswahl
oder Servermaske).
Der Name des Prozessschrittes ist nicht eindeutig.
Der Prozessschritt hat keine Parameter.
Der angegebene Parameterwert entspricht nicht der geforderten Notation
(Value =).
Warnung
Der Prozessschritt ist nicht in den Prozess eingebunden.
Kompilieren eines Prozesses
Haben Sie einen neuen Prozess erstellt, einen Prozess importiert oder Änderungen an einem vorhandenen Prozess vorgenommen, müssen Sie den Prozess kompilieren. Erst durch die Kompilierung wird der
Prozess generierbar.
Die Kompilierung erfolgt pro Basisobjekt, das bedeutet alle Prozesse eines Basisobjektes werden übersetzt. Bei der Kompilierung werden die Assemblies erstellt und lokal auf der Arbeitsstation, auf der die
Generierung durchgeführt wird, abgelegt. Während der Übersetzung wird eine Gültigkeitskontrolle des
Quellcodes durchgeführt. Der Vorgang kann daher etwas Zeit in Anspruch nehmen.
Im Prozesseditor sind zur Kompilierung eines Prozesses zwei Verfahren verfügbar:
•
Lokale Kompilierung
Dieses Verfahren können Sie nutzen, um die Kompilierung eines Prozesses zu testen.
•
Kompilierung mit Übernahme der Assemblies in die Hauptdatenbank
Haben Sie die Kompilierung eines Prozesses getestet, setzen Sie dieses Verfahren ein, um
nach der Kompilierung eines Prozesses, die generierten Assemblies in die Hauptdatenbank
zu übernehmen. Mit Übernahme der Änderungen stehen die geänderten Prozesse sofort im
System zur Verfügung. Starten Sie die Kompilierung über den Menüeintrag <Prozess>\<Kompilieren und in DB speichern>.
Laden Sie den Prozess im Prozesseditor und starten Sie den Kompiliervorgang. Die lokale Kompilierung
starten Sie über den Menüeintrag <Prozess>\<Kompilieren>. Die Kompilierung mit Übernahme der Assemblies in die Hauptdatenbank starten Sie über den Menüeintrag <Prozess>\<Kompilieren und in DB
speichern>.
73
Quest One Identity Manager
Fehlermeldungen werden im Fenster <Compilerfehler> ausgegeben. Durch Maus-Doppelklick auf eine
Fehlermeldung im Fenster wird im Prozessdokument zum entsprechenden Eintrag gesprungen. Dieser
kann hier angepasst werden.
Ansicht der Compilerfehler
Treten während der Übersetzung Fehler auf, dann ist die Quellcodeansicht aktiviert. Diese Ansicht dient
lediglich zur Darstellung des Quellcodes, eine Bearbeitung des Eintrages ist nicht möglich. Durch MausDoppelklick auf die Fehlermeldung im Fenster <Compilerfehler> wird bei angeschalteter Quellcodeansicht zur entsprechenden Zeile gesprungen. Die Quellcodeansicht dient lediglich zur Darstellung, eine
Bearbeitung des Eintrages ist nicht möglich.
Bearbeiten mehrere Nutzer gleichzeitig Prozesses eines Basisobjektes, so werden eventuelle Fehlermeldungen anderer Nutzer ebenfalls ausgegeben. Diese können jedoch vom aktuellen Nutzer nicht bearbeitet werden.
Automatisierte Ausführung von Prozessen
Um die zyklische Ausführung von Prozessen, wie beispielsweise die regelmäßige Synchronisation mit einer Zielsystem-Umgebung zu realisieren, werden Prozessaufträge eingerichtet. Prozessaufträge sind
mit Zeitplänen verbunden und werden somit in regelmäßigen Abständen ausgeführt.
Für die automatisierte Ausführung von Prozessen sind die folgenden Schritte erforderlich:
•
Erstellen eines Prozessauftrags
Ein Prozessauftrag umfasst die Grundkonfiguration für die automatisierte Ausführung eines
Prozesses.
•
Einrichten und Konfiguration eines Zeitplans
Ein Zeitplan umfasst die Konfiguration der Ausführungszeiten für einen regelmäßig auszuführenden Prozess.
In der Standardinstallation des Identity Managers sind bereits Zeitpläne definiert. Diese
müssen Sie entsprechend der kundenspezifischen Anforderungen konfigurieren und aktivieren. Lesen Sie dazu den Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274
im Handbuch Konfiguration.
Arbeiten mit dem Editor für Prozessaufträge
Zur Erstellung der Prozessaufträge wird ein eigener Editor bereitgestellt Der Editor wird über das Programm „Designer“ in der Kategrie <Prozess-Orchestrierung>\<Prozessautomatisierung> gestartet und
in der Dokumentenansicht des Programms geöffnet. Die allgemeinen Funktionen des Programms „Desi-
74
Prozessverarbeitung im Identity Manager
gner“ sind im Kapitel Arbeiten mit dem Designer auf Seite 29 beschrieben. An dieser Stelle wird nur auf
die zusätzlichen Funktionen des Editors eingegangen.
Oberfläche des Designers mit Editor
Erweiterungen der Menüleiste und der Symbolleiste
Nach dem Start des Editors sind die nachfolgenden Erweiterungen in der Menüleiste verfügbar.
Bedeutung der Einträge in der Menüleiste
MENÜ
MENÜEINTRAG
BEDEUTUNG
Prozessauftrag
Neu
Es wird ein neuer Prozessauftrag erstellt.
Löschen
Der ausgewählte Prozessauftrag wird nach einer Sicherheitsabfrage gelöscht.
Prozessauftrag jetzt
ausführen
Der ausgewählte Prozessauftrag wird sofort ausgeführt.
Es wird ein Prozess zur Ausführung in die Identity Manager-Datenbank eingestellt.
Übersetzte Bezeichnungen anzeigen
In der Listenansicht werden die technischen Bezeichnungen oder die Bezeichnungen in der Anmeldesprache des
Benutzers angezeigt.
Aktualisieren
Die Listenansicht wird aktualisiert. Die Startzeiten alle
Prozessaufträge werden neu aus der Identity ManagerDatenbank geladen.
Ansicht
Eigenschaften
Die Bearbeitungsansicht wird eingeblendet/ausgeblendet.
Hilfe
Hilfe zur Prozessautomatisierung
Die Hilfe zum Editor wird geöffnet.
75
Quest One Identity Manager
Der Editor verfügt über eigene Symbolleisten, die Sie per Kontextmenü ein- oder ausblenden können.
Die Symbole werden abhängig von der eingeblendeten Ansicht aktiviert oder deaktiviert.
Symbolleiste
Bedeutung der Einträge in der Symbolleiste
SYMBOL
BEDEUTUNG
Aktualisieren der Listenansicht.
Erstellen eines neuen Prozessauftrags.
Löschen des Prozessauftrags.
Technische Bezeichnungen oder Bezeichnungen in der Anmeldesprache des Benutzers in
der Listendarstellung anzeigen.
Ausführung des Prozessauftrags starten.
Ansichten des Editors
Der Editor verfügt über verschiedene Ansichten zur Darstellung und Bearbeitung der Zeitpläne:
•
Listenansicht aller Prozessaufträge
•
Bearbeitungsansicht
Funktionen in der Listenansicht
In der Listenansicht des Editors werden alle Prozessaufträge dargestellt. Über das Kontextmenü <Spalten wählen...> öffnen Sie das Dialogfenster zur Spaltenkonfiguration. Legen Sie fest, welche Eigenschaften in welcher Reihenfolge zusätzlich in der Listenansicht angezeigt werden. Zusätzlich können Sie
die Spaltenbreite und die Ausrichtung der Spaltenbeschriften für die Darstellung angeben.
Listenansicht des Editors
Bedeutung der Symbole in der Listenansicht
SYMBOL
BEDEUTUNG
Der Zeitplan des Prozessauftrags ist nicht aktiviert.
76
Prozessverarbeitung im Identity Manager
Bedeutung der Symbole in der Listenansicht
SYMBOL
BEDEUTUNG
Der Prozessauftrag wurde planmäßig ausgeführt.
Der Prozessauftrag wurde nicht ausgeführt. Dieser Zustand kann auftreten, wenn die
planmäßige Ausführung nicht möglich war oder wenn der Zeitplan neu aktiviert wurde
und der Zeitpunkt der erstmaligen Ausführung noch nicht erreicht wurde.
Einträge im Kontextmenü
EINTRAG IM KONTEXTMENÜ
BEDEUTUNG
Prozessauftrag erstellen
Es wird ein neuer Prozessauftrag erstellt.
Prozessauftrag löschen
Der ausgewählte Prozessauftrag wird gelöscht.
Prozessauftrag bearbeiten Der ausgewählte Prozessauftrag wird bearbeitet.
Prozess bearbeiten
Es kann zum Prozess gewechselt werden, der durch den Prozessauftrag
ausgeführt werden soll.
Ausführen
Der ausgewählte Prozessauftrag wird sofort ausgeführt. Es wird ein Prozess zur Ausführung in die Identity Manager-Datenbank eingestellt.
Spalten wählen...
Es wird ein Dialogfenster zur Auswahl der Spalten für die Listendarstellung
geöffnet.
Navigation
Es werden weitere Editoren angeboten, die für das ausgewählte Objekt
verfügbar sind.
Funktionen in der Bearbeitungsansicht
In der Bearbeitungsansicht bearbeiten Sie die Eigenschaften eines Prozessauftrags. Für die Eingabefelder ist ein Standardkontextmenü verfügbar.
Bearbeitungsansicht des Editors
77
Quest One Identity Manager
Erstellen eines Prozessauftrags
Ein Prozessauftrag umfasst die Grundkonfiguration für die automatisierte Ausführung eines Prozesses.
Prozessaufträge erstellen und bearbeiten Sie im Designer in der Kategorie <Prozess-Orchestrierung>\<Prozessautomatisierung>. Zur Einrichtung neuen eines Prozessauftrags starten Sie den Editor
über die Aufgabe <Prozessaufträge bearbeiten>.
Prozessauftrag bearbeiten
Für einen Prozessauftrag erfassen Sie die folgenden Daten:
78
•
Bezeichnung
Bezeichnung des Prozessauftrages. Für die sprachabhängige Verwendung der Bezeichnung
übersetzen Sie diese über die Schaltfläche neben dem Eingabefeld.
•
Basisobjekt (Tabelle)
Wählen Sie das Basisobjekt (Tabellennamen), für welches der Prozessauftrag ausgeführt
wird.
•
Ereignis
Wählen Sie das Ereignis, welches ausgeführt werden soll. Für neue Prozessaufträge werden
alle Ereignisse des Basisobjektes angeboten. Weitere Informationen erhalten Sie im Abschnitt Ereignisse für die Prozessgenerierung.
•
Zeitplan der Aktivierung
Wählen Sie den Zeitplan, der die Ausführungszeiten für den Prozessauftrag enthält. Über die
Schaltfläche <Einfügen> neben der Auswahlliste wird ein neuer Zeitplan erstellt.
Weitere Informationen dazu erhalten Sie im Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274 im Handbuch Konfiguration.
Prozessverarbeitung im Identity Manager
•
Max. Laufzeit (Stunden)
Geben Sie die Anzahl der Stunden an, nach denen ein Prozessauftrag automatisch beendet
werden soll.
•
Beschreibung
Nähere Beschreibung des Prozessauftrags.
•
Bedingung
Hier haben Sie die Möglichkeit die Abfrage des Basisobjektes weitergehend zu spezifizieren.
Die Angabe muss der „Where-Klausel“-Syntax von Datenbankabfragen genügen.
•
Parameter
Liste von Parametern, die bei Generierung des Prozesses, der über diesen Prozessauftrag
ausgelöst wird, zu besetzen sind.
Beispiel:
Die zyklische Synchronisation einer Active Directory-Umgebung mit der Identity Manager-Datenbank
wird durch den Auftrag „Active Directory Synchronisation (Konfiguration: AD Zielsystem einlesen)“ nur
für die Domänen gestartet, die Active Directory Domänen sind. Es soll dabei die Synchronisationskonfiguration „AD Zielssystem einlesen“ verwendet werden. Der Auftrag wird folgendermaßen eingerichtet:
Name
Active Directory Synchronisation (Konfiguration: AD Zielsystem einlesen)
Basisobjekt
Domain
Ereignis
FULLSYNC_ADS
Bedingung
Ident_Domaintype = 'ADS'
Parameter
ConfigName = AD Zielsystem einlesen
Über das Kontextmenü <Ausführen> oder den Menüeintrag <Prozessauftrag>\<Prozessauftrag
jetzt ausführen> können Sie einen Prozessauftrag sofort ausführen. Es wird der Prozess in die
Identity Manager-Datenbank eingestellt.
Welcher Prozess durch einen Prozessauftrag ausgelöst wird, sehen Sie über das Kontextmenü
<Prozess bearbeiten>.
Prozesskomponenten
Die Prozesskomponenten und ihre Prozessfunktionen bilden das Vorgabegerüst, auf dem alle Prozessschritte basieren. Die Tabellen „Jobcomponent“, „JobTask“ und „Jobparameter“ definieren den Gesamtumfang der zum Identity Manager gehörenden Prozesskomponenten und deren Prozessfunktionen mit
ihren zugehörigen Parametern. Die zur Verfügung stehenden Informationen zu den Prozesskomponenten werden durch die Migration eingepflegt und sind nicht bearbeitbar.
Eine vollständige Übersicht über die Prozesskomponenten mit ihren Prozessfunktionen und Parametern
erhalten Sie über den Report <Prozesskomponenten> in der Kategorie <Dokumentation>\<Berichte
zur Systemkonfiguration>.
79
Quest One Identity Manager
Die nachfolgende Tabelle enthält die Kurzbeschreibungen der Prozesskomponenten.
Kurzbeschreibung der Prozesskomponenten
KOMPONENTE
BESCHREIBUNG
ADSComponent
Die Prozesskomponente führt den Abgleich mit dem Zielsystem Active
Directory und der Datenbank durch.
CommandComponent
Die Prozesskomponente führt ein beliebiges Kommando aus.
DelayComponent
Die Prozesskomponente steuert die Startzeit des nachfolgenden Prozessschrittes.
Ex2010Component
Die Prozesskomponente führt den Abgleich mit Microsoft Exchange 2010
und der Datenbank durch.
Ex2K7Component
Die Prozesskomponente führt den Abgleich mit Microsoft Exchange 2007
und der Datenbank durch.
Ex2KComponent
Die Prozesskomponente führt den Abgleich mit Microsoft Exchange 2000/
2003 und der Datenbank durch.
FileComponent
Die Prozesskomponente erzeugt, löscht, kopiert und modifiziert Dateien
und Verzeichnisse sowie deren Zugriffsberechtigungen. Als Voraussetzung
für die Nutzung der Prozesskomponente unter Linux-Betriebssystemen
wird das Programm „RSync“ benötigt (Herunterladen unter: http://
www.itefix.no/i2/index.php bzw. http://sourceforge.net/project/showfiles.php?group_id=69227&package_id=68081). Als Vorraussetzung für
des Setzen von Rechten wird das Programm „XCacls“ benötigt. Dieses finden Sie im Ressourcekit Ihrer Serverinstallation.
FtpComponent
Die Prozesskomponente kann Dateien per FTP übertragen.
HandleObjectComponent
Die Prozesskomponente führt Standardereignisse und benutzerdefinierte
Ereignisse für Datenbankobjekte aus. Dabei werden analog zu den Frontends (zum Beispiel Identity Manager) die jeweils zugeordneten Standardprozessen generiert. Weiterhin stellt die Komponente die Möglichkeit zur
Verfügung, benutzerdefinierte Ereignisse für das Anstoßen der Generierung eines speziellen Prozesses objektbezogen auszulösen.
ImportExportComponent
Die Prozesskomponente überträgt Daten von A nach B (CSV/XML/Datenbank).
JobService
Die Prozesskomponente bildet die Built-In-Tasks des Identity Manager
Service ab.
LDAPADSIComponent
Die Prozesskomponente führt den Abgleich mit einem LDAP-Verzeichnis
und der Datenbank durch.
LogComponent
Die Prozesskomponente dient zum Protokollieren von Nachrichten, beispielsweise ins Ereignisprotokoll.
MailComponent
Die Prozesskomponente kann E-Mails versenden.
NotesComponent
Die Prozesskomponente führt den Abgleich mit Lotus Notes und der
Datenbank durch.
ObjectTransferComponent
Die Prozesskomponente dient zum Transferieren von Objektänderungen
zwischen Datenbanken.
PowerShellComponent
Die Prozesskomponente dient zum Aufruf der Windows - PowerShell.
ReportComponent
Die Prozesskomponente kann Reports erstellen und dann in eine externe
Datei unterschiedlichen Typs exportieren (z.Bsp.: Report.PDF).
80
Prozessverarbeitung im Identity Manager
Kurzbeschreibung der Prozesskomponenten
KOMPONENTE
BESCHREIBUNG
SAPComponent
Die Prozesskomponente führt den Abgleich mit dem Zielsystem SAP R/3
und der Datenbank durch.
ScriptComponent
Die Prozesskomponente führt Skripte aus Assemblies aus.
SPSComponent
Die Prozesskomponente führt den Abgleich mit dem Zielsystem SharePoint
und der Datenbank durch.
SQLComponent
Die Prozesskomponente führt SQL Abfragen aus und kann zum Ermitteln
von Datensatzanzahl und Datensatzexistenz verwendet werden.
SubversionComponent
Die Prozesskomponente führt Subversion-Operationen aus. Als Voraussetzung für die Nutzung der Prozesskomponente wird das Programm
„SharpSVN“ benötigt (Herunterladen unter:http://
sharpsvn.open.collab.net/servlets/ProjectProcess?pageID=3794)
WakeOnLanComponent
Die Prozesskomponente sendet ein Wake-On-Lan-Paket an eine
bestimmte IP-Adresse oder einen bestimmten IP-Bereich.
ZipComponent
Die Prozesskomponente erstellt oder entpackt ZIP-Dateien.
Im Designer werden in der Kategorie <Prozess-Orchestrierung>\<Prozesskomponenten> alle Prozesskomponenten mit ihren Prozessfunktionen und Parametern dargestellt.
Abbildung der Prozesskomponenten
Zu einer Prozesskomponente werden die folgenden Eigenschaften abgebildet:
•
Name des Assembilies
•
Klasse der Komponente
81
Quest One Identity Manager
•
Beschreibung zur Funktion der Komponente
•
aktuelle Version der Prozesskomponente
•
Systemanteil
Mit dieser Eigenschaft legen Sie fest, ob die Prozesskomponente zum Systemdatenmodell
oder zum Anwendungsdatenmodell gehört.
•
Max. Instanzen
Der Wert legt die maximale Anzahl der Instanzen fest, in der diese Prozesskomponente auf
einem Jobserver laufen darf.
Der Wert wird nur genutzt, wenn die maximale Anzahl der Instanzen einer Prozessfunktion
auf „0“ gesetzt ist. Andernfalls gilt der an der Prozessfunktion gesetzte Wert.
Bedeutung der Werte
WERT
BEDEUTUNG
-1
Alle Instanzen dieser Prozesskomponente werden nacheinander abgearbeitet.
0
Alle Instanzen dieser Prozesskomponente können gleichzeitig abgearbeitet werden.
1 oder größer 1
Genaue Anzahl der Instanzen einer Prozessfunktion, die
gleichzeitig abgearbeitet werden.
•
Definition durch Quest
Diese Angabe wird von uns vorgegeben und kann nicht bearbeitet werden. Die Definitionen
der Prozesskomponente werden durch die Migration überschrieben und sind, bis auf einige
spezielle Eigenschaften, nicht bearbeitbar. Für kundenspezifische Prozesskomponenten ist
diese Eigenschaft nicht gesetzt.
•
Bearbeitungsstatus
Der Bearbeitungstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt.
Um die einzelnen elementaren Arbeiten auf Systemebene zu verrichten, wie beispielsweise das Anlegen
von Verzeichnissen, werden die Prozessfunktionen verwendet. Ein oder mehrere Prozessfunktionen und
deren Parameter sind in Prozesskomponenten zusammengefasst. Zu einer Prozessfunktion werden die
folgenden Eigenschaften abgebildet.
82
•
Name der Prozessfunktion
•
Zugehörigkeit zur Prozesskomponente
•
Beschreibung der Prozessfunktion
Prozessverarbeitung im Identity Manager
•
Max. Instanzen
Der Wert legt die maximale Anzahl der Instanzen, die vom Identity Manager Service parallel
pro Prozessfunktion ausgeführt werden können.
Bedeutung der Werte
WERT
BEDEUTUNG
-1
Alle Instanzen dieser Prozessfunktion werden nacheinander
abgearbeitet.
0
Es wird die an der Prozesskomponente angegebene Anzahl
der maximalen Instanzen genutzt.
1 oder größer 1
Genaue Anzahl der Instanzen dieser Prozessfunktion, die
gleichzeitig abgearbeitet werden.
•
Ausführungstyp
Der Ausführungstyp gibt an, ob für die Prozessfunktion die Prozesskomponenten intern im
Identity Manager Service (Internal) oder extern in einem eigenen Prozess (External) ausgeführt werden sollen.
•
Letzter Schritt des Prozessteilbaums
Diese Angabe legt fest, ob ob eine Prozessfunktion prinzipiell das Ende eines Prozessteilbaums markiert.
•
Betriebssystemklasse
Diese Angabe bestimmt, auf welchem Betriebsystem diese Prozessfunktion ausgeführt werden kann. Zulässig sind die Werte „Win32“, „Linux“ und „ALL“, wobei der Wert „ALL“ für die
Ausführbarkeit dieser Prozessfunktion auf jedem Betriebsystem verwendet wird.
•
Bearbeitungsstatus
Der Bearbeitungstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt.
Beim Erstellen eines Prozesses werden die Parametervorlagen der Prozessfunktion kopiert und als Parameter in den Prozessschritt übernommen. Dadurch können Sie jedem Prozessschritt, der diese Prozessfunktion verwendet, andere Parameterwerte übergeben. Das Original wird nicht verändert. Zu einem
Parameter werden die folgenden Eigenschaften abgebildet:
•
Name des Parameters
•
Zugehörigkeit zur Prozessfunktion
•
Beschreibung des Parameters
•
Typ des Parameters
Hierbei sind die Belegungen IN, OUT und INOUT zulässig.
Parameter vom Typ OUT bzw. INOUT sind Parameter, in der eine Prozesskomponente einen
Wert nach außen liefern kann. Dieser Wert steht dann allen nachfolgenden Prozessschritten
des Prozesses zur Verfügung und kann als Wertbelegung für IN-Parameter dienen.
•
Kennzeichnung des Parameters als Pflichtparameter bzw. optionaler Parameter
•
Wertvorlage
Beim Einfügen eines Parameters in einen Prozessschritt wird die Wertvorlage aus der Parametervorlage übernommen. Die Wertvorlagen definieren Sie in VB.Net-Syntax. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben.
83
Quest One Identity Manager
84
•
Versteckt
Diese Option legt fest, ob der Parameter in der Protokolldatei des Identity Manager Service
und im Programm „Job Queue Info“ angezeigt wird. Werte für versteckte Parameter werden
als <HIDDEN> angezeigt. Im Job Queue Info hat nur der Systembenutzer „viadmin“ die Bearbeitungsrechte, um diese Parameter einzusehen.
•
Verschlüsselt
Diese Option legt fest, ob der Parameter verschlüsselt übergeben wird.
4
Fehlersuche bei der Prozessverarbeitung
• Einleitung
• Aufzeichnung von Meldungen in der Prozesshistorie
• Aufzeichnung von Meldungen im Systemprotokoll
• Protokollierung des Identity Manager Services
• Protokollierung der Prozessgenerierung
• Protokollierung der Datenbankabfragen
• Protokollierung der Objektaktionen
• Protokollierung von DBScheduler Aufträgen
Quest One Identity Manager
Einleitung
Der Identity Manager bietet verschiedene Möglichkeiten der Fehlereingrenzung bei der Verarbeitung
von Prozessschritten. Dazu gehören:
•
Aufzeichnung von Meldungen in der Prozesshistorie
•
Aufzeichnung von Meldungen im Systemprotokoll
•
Ausgabe von Meldungen in der Protokolldatei des Identity Manager Services
•
Ausgabe von Meldungen in das Ereignisprotokoll
•
Protokollierung der Prozessgenerierung
•
Protokollierung von Datenbankabfragen
•
Protokollierung der Objektaktionen
Das Programm „Job Queue Info“ unterstützt die Kontrolle des aktuellen Zustandes der in einem Identity
Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und übersichtliche Darstellung der
Aufträge in der Jobqueue und verschiedene Abfragen des Identity Manager Service auf den Servern.
Das Programm erleichtert die Arbeit mit Prozessen, liefert Zustandsinformationen im laufenden Betrieb
und ermöglicht eine schnelle Fehlererkennung und Fehlersuche. Die Beschreibung des Programms finden Sie im Handbuch „Job Queue Info“ unter Arbeiten mit Job Queue Info auf Seite 15.
Aufzeichnung von Meldungen in der Prozesshistorie
Konfigurationsparameter für die Aufzeichnung von Meldungen in der Prozesshistorie
KONFIGURATIONSPARAMETER
Common\ProcessState\JobHistory
WIRKUNG BEI AKTIVIERUNG
Aufzeichnung von Einträgen in der Tabelle „JobHistory“
Die Aufzeichnung von Meldungen über verarbeitete Prozessschritte wird über den Konfigurationsparameter „Common\ProcessState\JobHistory“ gesteuert.
Ist der Konfigurationsparameter aktiviert, erfolgt die Aufzeichnung der verarbeiteten Prozessschritte in
der Tabelle „JobHistory“. Der Umfang der Aufzeichnungen wird über den Wert des Konfigurationsparameters festgelegt.
Zulässige Werte des Konfigurationsparameters „Common\ProcessState\JobHistory“
WERT
BEDEUTUNG
NO
Es werden keine Meldungen in der Prozesshistorie aufgezeichnet.
ALL
Alle verarbeiteten Prozessschritte werden in Prozesshistorie aufgezeichnet.
ERROR
Es werden nur fehlerhafte Prozessschritte in Prozesshistorie aufgezeichnet.
Die Prozesshistorie kann mit Hilfe des Programms „Job Queue Info“ analysiert werden. Die Beschreibung des Programms finden Sie im Handbuch „Job Queue Info“.
86
Fehlersuche bei der Prozessverarbeitung
Die Aufzeichnungen in der Prozesshistorie sollten in regelmäßigen Abständen aus der Identity ManagerDatenbank entfernt werden. Dazu werden verschiedene Verfahren angeboten. Lesen Sie dazu den Abschnitt „Einrichten des Archivierungsverfahrens auf Seite 313“.
Aufzeichnung von Meldungen im Systemprotokoll
Konfigurationsparameter für die Aufzeichnung im Systemprotokoll
KONFIGURATIONSPARAMETER
BEDEUTUNG
Common\Journal
Allgemeiner Parameter zur Konfiguration des Systemprotokolls.
Common\Journal\LifeTime
Mit diesem Konfigurationsparameter wird die maximale Aufbewahrungszeit (in Tagen) für Einträge des Systemprotokolls
in der Datenbank festgelegt. Ältere Einträge werden aus der
Datenbank gelöscht.
Im Systemprotokoll werden Informationen, Warnungen und Fehlermeldungen verschiedener Komponenten des Identity Managers, wie beispielsweise DBScheduler, Database Installer oder Identity Manager Service aufgezeichnet. Aktionen im Programm „Job Queue Info“, wie beispielsweise das Reaktivieren von Prozessschritten, werden ebenfalls im Systemprotokoll aufgezeichnet.
Um Fehler in der Prozessverarbeitung im Systemprotokoll aufzuzeichnen, müssen die Prozessschritte
mit der Option <Fehler im Journal protokollieren> versehen werden. Dazu lesen Sie auch den Abschnitt
Fehlerbehandlung bei der Verarbeitung von Prozessschritten auf Seite 57.
Das Systemprotokoll wird im Fehlerprotokoll des Programms „Identity Manager“ angezeigt. Lesen Sie
dazu den Abschnitt Anzeige von Fehlerprotokoll und Systemprotokoll auf Seite 202. Die Aufzeichnungen
im Systemprotokoll werden in regelmäßigen Abständen aus der Identity Manager-Datenbank gelöscht.
Alle Aufzeichnungen, die älter sind als die maximale Aufbewahrungszeit (Konfigurationsparameter
„Common\Journal\LifeTime“), werden gelöscht. Dazu verwenden Sie den Zeitplan „Journal löschen“.
Den Zeitplan konfigurieren und aktivieren Sie im Designer in der Kategorie <Basisdaten>\<Zeitpläne>.
Lesen Sie dazu auch den Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274 im Handbuch Konfiguration.
Protokollierung des Identity Manager Services
Fehler- und Erfolgsmeldungen aus der Prozessverarbeitung werden in der Protokolldatei des Identity
Manager Services ausgegeben. Zusätzlich können Meldungen in das Ereignisprotokoll des Servers geschrieben werden. Für diese Aufzeichnungen kann der Informationsgrad der Ausgaben konfiguriert
werden
Konfiguration der Protokolldatei des Identity Manager
Services
Die Konfiguration des Identity Manager Services über das Programm Job Service Configuration wird im
Abschnitt Konfigurieren des Identity Manager Services auf Seite 52 genauer beschrieben. An dieser
Stelle wird nur auf relevante Einstellungen für die Fehlersuche eingegangen.
87
Quest One Identity Manager
Um die Protokolldatei des Identity Manager Services zu erzeugen, muss das Modul „FileLogWriter“ in
der Identity Manager Service-Konfigurationsdatei angepasst werden. Alle Parameter mit ihren Einstellungen werden im Abschnitt FileLogWriter auf Seite 68 beschrieben.
Über dieses Modul wird der Name der Protokolldatei angegeben (Parameter „OutputFile“). Es ist sicherzustellen, dass das angegebene Verzeichnis für die Datei existiert. Kann die Datei nicht erzeugt werden,
ist keine Fehlerausgabe möglich. Fehlermeldungen erscheinen dann unter Windows im Ereignisprotokoll
oder unter Linux in /var/log/messages.
Über das Modul wird weiterhin der Informationsgehalt der Protokolldatei festgelegt. Standardmäßig
werden nur Warnungen und schwere Fehler protokolliert. Über die Einstellung der Meldungstypen im
Parameter „Schweregrad“ (LogSeverity) kann jedoch der Umfang der Meldungen erweitert werden.
Meldungstypen
INFORMATIONSGRAD
BESCHREIBUNG
Info
Alle Meldungen werden in die Protokolldatei geschrieben. Die Protokolldatei wird
schnell groß und unübersichtlich.
Warning
Nur Warnungen und schwere Ausnahmefehler erscheinen in der Protokolldatei
(Standard).
Serious
Nur schwere Ausnahmefehler werden in die Protokolldatei geschrieben.
Das maximale Alter einer Protokolldatei wird über das Umbenennungsintervall (LogLifeTime) konfiguriert. Hat eine Protokolldatei ihr maximales Alter erreicht, wird die Datei umbenannt (zum Beispiel „JobService.log_20040819-083554“) und eine neue Protokolldatei wird erzeugt.
Anzeige der Protokolldatei
Die Anzeige der Protokolldatei ist über ein Browserfrontend möglich. Voraussetzung ist die Konfiguration des HTTPStatusPlugins. Dieses Plugin erweitert den HTTP Server des Identity Manager Services um
verschiedene Dienste. Zur Konfiguration des Plugins lesen Sie den Abschnitt HTTPStatusPlugin auf
Seite 72 im Handbuch Erste Schritte.
Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL:
http://<servername>:1880/Log
88
Fehlersuche bei der Prozessverarbeitung
Bei Konfiguration der SSL-Unterstützung erreichen Sie den Server mittels HTTPS.
Protokolldatei des Identity Manager Services
Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazu gibt es am
oberen Rand der Seite eine Auswahlliste. Dabei können natürlich nur Texte angezeigt werden, die auch
in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf „Warning“ können auch
bei entsprechender Filterwahl keine Meldungen mit dem Meldungstyp „Info“ eingeblendet werden.
Zur besseren Übersichtlichkeit werden die Protokollausgaben farbig gekennzeichnet.
Farbcode in der Protokolldatei
FARBE
BEDEUTUNG
Grün
Die Verarbeitung war erfolgreich.
Gelb
Bei der Verarbeitung wurden Warnung ausgegeben.
Rot
Bei der Verarbeitung sind schwerwiegende Fehler aufgetreten.
Um die Farbinformationen der Protokolldatei für den Mailversand zu erhalten, speichern Sie die komplette Webseite.
Das HTTPStatusPlugin stellt zusätzlich zur Protokolldatei weitere Dienste für den Identity Manager Service zur Verfügung.
Verfügbare Dienste des HTTPStatusPlugins
AUFRUFSYNTAX
BESCHREIBUNG
http://servername:1880/Assemblies
Anzeige der geladenen Assemblies mit Version
http://servername:1880/Cache
Anzeige der Cache-Informationen
http://servername:1880/Comp
Anzeige der ausgeführten Prozesskomponenten mit Version
http://servername:1880/Log
Anzeige der Protokolldatei
89
Quest One Identity Manager
Verfügbare Dienste des HTTPStatusPlugins
AUFRUFSYNTAX
BESCHREIBUNG
http://servername:1880/Statistics
Anzeige der Statistikinformationen
http://servername:1880/Status
Anzeige der Statusinformationen und der Konfiguration des
Identity Manager Services
http://servername:1880/PerfCounter
Liste der aktuell verfügbaren Leistungszähler
Damit ein Benutzer einen HTTP Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der
Administrator dem Benutzer die URL Genehmigung erteilt werden.
Dies kann über folgenden Kommandozeilenaufruf erfolgen:
Windows Server 2003:
httpcfg set urlacl /u http://*:<Port>/ -a D:(A;;GX;;;<SID des Benutzers>)
Windows Server 2008/Windows Sever 2008 (R2):
netsh http add urlacl url=http://*:Portnummer/ user=<Domäne>\<Benutzername>
Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüft werden:
Windows Server 2003:
httpcfg query urlacl
Windows Server 2008/Windows Sever 2008 (R2):
netsh http show urlacl
Erweiterte Fehlerausgabe des Identity Manager Services
Über das Modul „Konfiguration“ der Identity Manager Service-Konfigurationsdatei werden zwei Parameter zur erweiterten Fehlerausgabe zur Verfügung gestellt:
•
Debugmodus (DebugMode)
•
Debugmodus der Komponenten (ComponentDebugMode)
Ist der Debugmodus (DebugMode) aktiviert, schreibt der Identity Manager Service umfangreichere Informationen in die Protokolldatei, wie beispielsweise alle an eine Komponente übergebenen Parameter
sowie die Ergebnisse der Prozessverarbeitung und ihre OUT-Parameter.
Einzelne Prozesskomponenten des Identity Manager Services können zusätzliche Verarbeitungsinformationen in die Protokolldatei des Identity Manager Services ausgeben. Dazu kann im Konfigurationsmodul der Debugmodus der Komponenten (ComponentDebugMode) aktiviert werden. Dieser Debugmodus
dient nur zur Fehlerlokalisierung und ist im normalen Betrieb aus Performancegründen nicht empfehlenswert.
Arbeitet ein Synchronisator im Debugmodus der Komponenten, setzt dieser nach jeweils drei Eigenschaften ein „Commit“ an das Zielsystem ab. Dieses Verhalten dient dem Auffinden von Syntaxverletzungen an einer beliebigen Eigenschaft eines Objektes bei der Synchronisation.
Bei einigen Objekten kann dieses Verhalten jedoch zusätzliche Fehler verursachen. So sind beispielsweise beim Einfügen von lokalen Gruppen in die Active Directory-Umgebung nach drei Eigenschaften
lediglich der Name, der DistinguishedName und die Option „IsGlobal“ gesetzt. Die Option „IsLocal“ wird
erst in den nächsten drei Eigenschaften übergeben, ist dann aber schon nicht mehr bearbeitbar, da eine
90
Fehlersuche bei der Prozessverarbeitung
Active Directory Gruppe nicht umdefiniert werden kann. Somit ist die Gruppe beim ersten Commit nicht
global und nicht lokal, was die Active Directory-Umgebung ablehnt. Damit kommt es beim Anlegen einer lokalen Gruppe zu einem Fehler auf dem Active Directory-Synchronisationsserver und die Gruppe
wird in der Datenbank wieder gelöscht.
Die Ausgaben des Synchronisator werden in eine Protokolldatei „NSProvider.log“ geschrieben. Diese
Datei befindet sich im Installationsverzeichnis des Identity Manager Services und wird überschrieben.
Ist Debugmodus der Komponenten aktiviert, werden externe Prozesse durch die StdioProcessor.exe/
StdioProcessor32.exe ebenfalls protokolliert (StdioProcessor_<ProcessID>.log). Die Protokolldatei liegt
im Protokollverzeichnis des Identity Manager Services. Die Protokolldateien werden maximal 10 Tage
aufbewahrt.
Alle Parameter mit ihren Einstellungen werden im Abschnitt Modul Konfiguration auf Seite 66 beschrieben.
Ausgabe von erweiterten Rückgabewerten einzelner
Prozesskomponenten
Konfigurationsparameter für die Ausgabe von erweiterten Rückgabewerten
KONFIGURATIONSPARAMETER
Common\Jobservice\DoReturnOutput
WIRKUNG BEI AKTIVIERUNG
Bei Prozessfunktionen, die einen erweiterten Rückgabewert
liefern, wird beim Auftreten eines Fehlers die komplette Ausgabe in die Protokolldatei des Identity Manager Services
geschrieben.
Einige Prozesskomponenten besitzen Prozessfunktionen mit Parametern, die einen erweiterten Rückgabewert liefern. Bei Auftreten eines Fehlers kann die komplette Ausgabe des Parameters in die Protokolldatei des Identity Manager Services geschrieben werden.
Das Verhalten zur Fehlerprotokollierung wird über den Konfigurationsparameter „Common\Jobservice\DoReturnOutput“ gesteuert. So kann beispielsweise bei der Ausführung eines Kommandos oder eines Programms über die Prozesskomponente „CommandComponent“ der Ausgabetext des ausgeführten Kommandos oder Programms zurückgegeben werden.
Ausgabe eigener Meldungen in die Protokolldatei des
Identity Manager Services
Für die Ausgabe eigener Meldungen in die Protokolldatei des Identity Manager Services können Sie die
Methode „RaiseMessage“ der Skript-Engine nutzen.
Syntax:
RaiseMessage (MsgSeverity, "Zeichenkette")
Beispiel:
RaiseMessage (MsgSeverity.Warning, "Beispiel für eine Warnung")
RaiseMessage (MsgSeverity.Info, "Beispiel für eine Info")
RaiseMessage (MsgSeverity.Serious, "Beispiel für eine als Fehler markierte Meldung")
91
Quest One Identity Manager
Je nach angegebenem Meldungstyp (MsgSeverity) werden die Meldungen in der Protokolldatei farbig
markiert.
Beispiel für die Ausgabe eigener Meldungen in die Protokolldatei des Identity Manager Services
Weitere Beispiel für Ausgaben in die Protokolldatei des Identity Manager Services entnehmen Sie den
Skriptbeispielen im SDK.
Aufzeichnung von Meldungen in der Ereignisanzeige
Die Konfiguration des Identity Manager Services über das Programm Job Service Configuration wird im
Abschnitt Konfigurieren des Identity Manager Services auf Seite 52 genauer beschrieben. An dieser
Stelle wird nur auf relevante Einstellungen für die Fehlersuche eingegangen.
Um Meldungen des Identity Manager Services in der Ereignisanzeige des Servers aufzuzeichnen, muss
das Modul „EventLogLogWriter“ in der Identity Manager Service-Konfigurationsdatei angepasst werden.
Alle Parameter mit ihren Einstellungen werden im Abschnitt EventLogLogWriter auf Seite 68 beschrieben.
Über den Parameter „Ereignisprotokoll (EventLog)“ geben Sie den Namen des Ereignisprotokolls an, in
das die Meldungen geschrieben werden. Mit dem Standardwert „Application“ werden die Meldungen in
das Anwendungsprotokoll geschrieben.
Über das Modul wird der Informationsgehalt der Aufzeichnungen festgelegt. Standardmäßig werden
nur Warnungen und schwere Ausnahmefehler protokolliert. Über die Einstellung der Meldungstypen im
Parameter „Schweregrad“ (LogSeverity) kann jedoch der Umfang der Meldungen erweitert werden.
Meldungstypen
INFORMATIONSGRAD
BESCHREIBUNG
Info
Alle Meldungen werden in die Protokolldatei geschrieben. Die Protokolldatei wird
schnell groß und unübersichtlich.
Warning
Nur Warnungen und schwere Ausnahmefehler erscheinen in der Protokolldatei
(Standard).
Serious
Nur schwere Ausnahmefehler werden in die Protokolldatei geschrieben.
Meldungen aus der Prozessverarbeitung können ebenfalls in das Ereignisprotokoll eines Servers geschrieben werden. Dazu verwenden Sie die Prozesskomponente “LogComponent“.
Protokollierung der Prozessgenerierung
Um die Protokollierung der Prozessgenerierung zu aktivieren, ist in der Konfigurationssektion „ConnectionBehaviour“ im Parameter „JobGenLogDir“ das Verzeichnis für die Generierungsprotokolle einzutragen. Dies kann entweder in der Konfigurationsdatei des Programms oder unter Windows in der Registrierdatenbank erfolgen. Das angegebene Verzeichnis muss vorhanden sein. Die Konfigurationsdatei des
Identity Manager Services wird mit dem Job Service Configuration angepasst (siehe Modul Connection
auf Seite 70).
92
Fehlersuche bei der Prozessverarbeitung
Beispiel: Eintrag in der Jobservice.cfg des Identity Manager Services
<configuration>
...
<category name="connectionbehaviour">
<value name="jobgenlogdir">%Temp%\jobgenlog</value>
</category>
...
</configuration>
Beispiel: Eintrag in der Konfigurationsdatei einer Applikation
<configuration>
<configSections>
...
<section name="connectionbehaviour" type="System.Configuration.
NameValueSectionHandler" />
</configSections>
...
<connectionbehaviour>
<add key="jobgenlogdir" value="C:\TEMP\jobgenlog" />
</connectionbehaviour>
...
</configuration>
Beispiel: Eintrag für den Object Browser über eine Registrierungsdatei (*.reg).
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Quest Software\Identity Manager\ObjectBrowser\ConnectionBehaviour]
"JobGenLogDir"="c:\\temp\\JobGenLog"
Protokollierung der Datenbankabfragen
Für alle Programme, die mit der VI.DB.DLL arbeiten, kann die Protokollierung der Datenbankabfragen
aktiviert werden. Dazu ist in der Konfigurationssektion „ConnectionBehaviour“ im Parameter „SQLLogDir“ das Verzeichnis für die SQL Protokolle einzutragen. Dies kann entweder in der Konfigurationsdatei
des Programms oder unter Windows in der Registrierdatenbank erfolgen. Das angegebene Verzeichnis
muss vorhanden sein. Die Konfigurationsdatei des Identity Manager Services wird mit dem Job Service
Configuration angepasst (siehe Modul Connection auf Seite 70).
Beispiel: Eintrag in der Jobservice.cfg des Identity Manager Services
<configuration>
...
<category name="connectionbehaviour">
<value name="sqllogdir">%Temp%\sqllogdir</value>
</category>
...
</configuration>
Beispiel: Eintrag in der Konfigurationsdatei einer Applikation
<configuration>
<configSections>
...
<section name="connectionbehaviour" type="System.Configuration.
NameValueSectionHandler" />
</configSections>
93
Quest One Identity Manager
...
<connectionbehaviour>
<add key="sqllogdir" value="C:\TEMP\sqllog" />
</connectionbehaviour>
...
</configuration>
Beispiel: Eintrag für den Object Browser über eine Registrierungsdatei (*.reg).
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Quest Software\Identity Manager\ObjectBrowser\ConnectionBehaviour]
"SQLLogDir"="c:\\temp\\Sqllog"
Protokollierung der Objektaktionen
Für alle Programme, die mit der VI.DB.DLL arbeiten, kann die Protokollierung der Objektaktionen aktiviert werden. Dazu ist in der Konfigurationssektion „ConnectionBehaviour“ im Parameter „ObjectLogDir“
das Verzeichnis für die Objektprotokolle einzutragen. Dies kann entweder in der Konfigurationsdatei des
Programms oder unter Windows in der Registrierdatenbank erfolgen. Das angegebene Verzeichnis muss
vorhanden sein.
Über den Parameter „Regulärer Ausdruck für Staketrace-Positionen (ObjectDumpStackExpression)“
kann ein regulärer Ausdruck festgelegt werden. Wenn die aktuelle Zeile des Objektprotokolls auf den
regulären Ausdruck passt, wird der Stacktrace mit in das Objektprotokoll geschrieben.
Beispielausdruck: „Lastname“
Enthält die aktuelle Zeile den Wert „Lastname“, so wird zusätzlich der Stacktrace in das Protokoll übernommen.
Die Konfigurationsdatei des Identity Manager Services wird mit dem Job Service Configuration angepasst (siehe Modul Connection auf Seite 70).
Beispiel: Eintrag in der Jobservice.cfg des Identity Manager Services
<configuration>
...
<category name="connectionbehaviour">
<value name="objectlogdir">%Temp%\objectlog</value>
</category>
...
</configuration>
Beispiel: Eintrag in der Konfigurationsdatei einer Applikation
<configuration>
<configSections>
...
<section name="connectionbehaviour" type="System.Configuration.
NameValueSectionHandler" />
</configSections>
...
<connectionbehaviour>
<add key="objectlogdir" value="C:\TEMP\objectlog" />
</connectionbehaviour>
...
</configuration>
94
Fehlersuche bei der Prozessverarbeitung
Beispiel: Eintrag für den Object Browser über eine Registrierungsdatei (*.reg).
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Quest Software\Identity Manager\ObjectBrowser\ConnectionBehaviour]
"ObjectLogDir"="c:\\temp\\ObjectLog"
Protokollierung von DBScheduler Aufträgen
Der DBScheduler wird durch einen Datenbankschedule „vid_DBScheduler“ aufgerufen. Bei Bedarf können Sie den Aufrufzyklus der Datenbankschedules im SQL Server Management Studio unter <SQL Server Agent>\<Aufträge> ändern. Mit entsprechenden administrativen Rechten kann der DBScheduler in
einigen Administrationswerkzeugen des Identity Managers bei Bedarf manuell gestartet werden (siehe
auch Informationen über Berechnungsaufträge des DBSchedulers auf Seite 61).
Zur Überprüfung, ob der Datenbankschedule noch aktiv ist, kann das DBSchedulerWatchDogPlugin des
Identity Manager Services genutzt werden. Das Plugin überprüft in definierten Abständen, ob der Datenbankschedule für den DBScheduler aktiv ist und startet ihn gegebenenfalls. Das Plugin sollte nur auf
einem Jobserver im Netz aktiviert werden, empfohlen wird die Aktivierung auf dem Datenbankserver.
Zur Konfiguration des Plugins lesen Sie den Abschnitt DBSchedulerWatchDogPlugin auf Seite 74 im
Handbuch Erste Schritte
Im Systemprotokoll werden Informationen, Warnungen und Fehlermeldungen des DBSchedulers aufgezeichnet. Systemmeldungen, die während der Verarbeitung von DB Scheduler Aufträgen aufgezeichnet
werden, können zusätzlich in den Administrationswerkzeugen eingesehen werden (siehe auch Informationen über Berechnungsaufträge des DBSchedulers auf Seite 61).
95
Quest One Identity Manager
96
5
Dateien des Identity Managers
• Konfigurationsdateien des Identity Manager Services
• Protokolldatei des Identity Manager Services
• Protokolldatei des HTTPLogPlugins
Quest One Identity Manager
Konfigurationsdateien des Identity Manager
Services
Die Konfiguration des Identity Manager Services erfolgt über eine Konfigurationsdatei. Die Konfigurationsdatei muss im gleichen Verzeichnis wie die viNetworkService.exe liegen. Es werden zwei Konfigurationsdateien unterstützt:
•
Jobservice.cfg
•
viNetworkService.exe.config
Jobservice.cfg
Die Jobservice.cfg ist eine XML-Konfigurationsdatei im Quest-eigenen einfacheren Format. Vorteil dieser
Datei ist, dass ein Nachladen im laufenden Betrieb unterstützt wird. Die Texte sind casesensitive. Für
die verschiedenen Module innerhalb des Identity Manager Services gibt es jeweils eine eigene Konfigurationssektion innerhalb der Datei.
Die Wurzel in der XML-Datei heißt immer „configuration“. In der Sektion „category“ wird jeweils ein Modul der Konfigurationsdatei und seine Werte definiert werden. Derzeit unterstützt das Programm nur
den Sektionentyp „System.Configuration.NameValueSectionHandler“.
Sowohl die Sektionen als auch der Namen der Werte müssen „Lower Case“ geschrieben werden.
<configuration>
<category name="serviceconfiguration">
<value name="jobprovider">VI.JobService.MSSqlJobProvider,jobservice</value>
<value name="HttpPort">1180</value>
<value name="logwriter">VI.JobService.FileLogWriter,jobservice</value>
</category>
</configuration>
Beispiel:
Einfache Konfiguration mit:
•
direkter Anbindung an Microsoft SQL Server
•
nur eine Jobdestination (JobProcessor)
•
HTTPStatusPlugIn zur Statusabfrage mittels HTTP
<configuration>
<category name="serviceconfiguration">
<value name="jobprovider">VI.JobService.MSSqlJobProvider,jobservice</value>
<value name="logwriter">VI.JobService.FileLogWriter,jobservice</value>
</category>
<category name="sqlprovider">
<value name="connectstring">User ID=sa;initial Catalog=<Database>;Data
Source=<SQL-Server>;Password=<Password></value>
</category>
<category name="filelogwriter">
<value name="loglifetime">0.01:00:00</value>
98
Dateien des Identity Managers
<value name="logseverity">Info</value>
</category>
<category name="dispatcher" />
<category name="jobdestinations">
<value name="queuex">VI.JobService.JobServiceDestination,jobservice</value>
</category>
<category name="queuex">
<value name="queue">\%COMPUTERNAME%</value>
</category>
<category name="plugins">
<value name="httpstatusplugin">VI.JobService.HttpStatusPlugin,jobservice</value>
</category>
</configuration>
viNetworkService.exe.config
Die viNetworkService.exe.config ist die Standard-Konfigurationsdatei für .NET-exe’s und hat das dafür
vorgegebene Format. Die Texte sind casesensitive. Für die verschiedenen Module innerhalb des Identity
Manager Services gibt es jeweils eine eigene Konfigurationssektion innerhalb der Datei.
Die Wurzel in der XML-Datei heißt immer „configuration“. In der immer vorhandenen Sektion „configSections“ müssen alle weiteren Sektionen der Konfigurationsdatei und deren Typ definiert werden. Derzeit unterstützt das Programm nur den Sektionentyp „System.Configuration.NameValueSectionHandler“.
<configuration>
<configSections>
<section name="sectionname" type="System.Configuration.NameValueSectionHandler" />
</configSections>
<sectionname>
...
</sectionname>
</configuration>
Beispiel für eine einfache Konfiguration mit:
•
direkter Anbindung an Microsoft SQL Server
•
nur eine Jobdestination (JobProcessor)
•
HTTPStatusPlugIn zur Statusabfrage mittels HTTP
<configuration>
<configSections>
<section name="serviceconfiguration" type="System.Configuration.NameValueSectionHandler" />
<section name="sqlprovider" type="System.Configuration.NameValueSectionHandler" />
<section name="filelogwriter" type="System.Configuration.NameValueSectionHandler" />
<section name="dispatcher" type="System.Configuration.NameValueSectionHandler"
/>
<section name="jobdestinations" type="System.Configuration.NameValueSectionHandler" />
<section name="queuex" type="System.Configuration.NameValueSectionHandler" />
<section name="plugins" type="System.Configuration.NameValueSectionHandler" />
<section name="httpstatusplugin" type="System.Configuration.NameValueSectionHandler" />
99
Quest One Identity Manager
</configSections>
<serviceconfiguration>
<add key="jobprovider" value="VI.JobService.MSSqlJobProvider,jobservice" />
<add key="logwriter" value="VI.JobService.FileLogWriter,jobservice" />
</serviceconfiguration>
<sqlprovider>
<add key="ConnectString" value="User ID=sa;initial Catalog=<Database>;Data
Source=<SQL-Server>;Password=<Password>" />
</sqlprovider>
<filelogwriter>
<add key="LogLifeTime" value="0.01:00:00" />
<add key="LogSeverity" value="Info" />
</filelogwriter>
<dispatcher />
<jobdestinations>
<add key="QueueX" value="VI.JobService.JobServiceDestination,jobservice" />
</jobdestinations>
<queuex>
<add key="queue" value="\%COMPUTERNAME%" />
</queuex>
<plugins>
<add key="httpstatusplugin" value="VI.JobService.HttpStatusPlugin,jobservice"
/>
</plugins>
</configuration>
Protokolldatei des Identity Manager Services
Der Logwriter protokolliert aller Aufträge für die Komponenten des Identity Manager Services mit Erfolgs-und Fehlermeldungen. Der Umfang ist abhängig vom konfigurierten Meldungstyp (Parameter
„LogSeverity“).
Meldungstypen
INFORMATIONSGRAD
BESCHREIBUNG
Info
Alle Meldungen werden in die Protokolldatei geschrieben. Die Protokolldatei wird
schnell groß und unübersichtlich.
Warning
Nur Warnungen und schwere Fehler erscheinen in der Protokolldatei (Standard).
Serious
Nur schwere Fehler werden in die Protokolldatei geschrieben (Exceptions).
Die Anzeige der Protokolldatei ist über ein Browserfrontend möglich. Voraussetzung ist die Konfiguration des HTTPStatusPlugins. Dieses Plugin erweitert den HTTP Server des Identity Manager Services um
verschiedene Dienste.
Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL:
http://<servername>:1880/Log
Bei Konfiguration der SSL-Unterstützung erreichen Sie den Server mittels HTTPS.
Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazu gibt es am
oberen Rand der Seite eine Auswahlliste. Dabei können natürlich nur Texte angezeigt werden, die auch
in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf „Warning“ können auch
bei entsprechender Filterwahl keine Meldungen mit dem Meldungstyp „Info“ eingeblendet werden.
100
Dateien des Identity Managers
Das maximale Alter einer Protokolldatei wird über den Parameter „LogLifeTime“ konfiguriert. Hat eine
Protokolldatei ihr maximales Alter erreicht, wird die Datei umbenannt (zum Beispiel „JobService.log_20040819-083554“) und eine neue Protokolldatei wird erzeugt.
Das HTTPStatusPlugin stellt neben dem Aufruf der Protokolldatei weitere Dienste für den Identity Manager Service zur Verfügung. Aufrufsyntax für die Dienste:
http://<servername>:1880/Assemblies
http://<servername>:1880/Cache
http://<servername>:1880/Comp
http://<servername>:1880/Statistics
http://<servername>:1880/Status
http://servername:1880/PerfCounter
Protokolldatei des HTTPLogPlugins
Das HTTPLogPlugin schreibt eine Protokolldatei mit den HTTP Anfragen des Identity Manager Services.
Die Datei wird im Datei wird im Apache HTTP Server Combined Log Format geschrieben.
Beispiel für einen Eintrag:
172.19.2.18 - - [03/Feb/2005:14:55:48 +0100] "GET /resources/JobService.css HTTP/1.x"
OK - "http://vidrn005:1880/status/LogWriter/Config""Mozilla/5.0 (Windows; U; 5.1; de-DE;
rv:1.7.5) Gecko/20041108Firefox/1.0"
Bedeutung der einzelnen Einträge
EINTRAG
BEDEUTUNG
172.19.2.18
IP Adresse von der die Anfrage kam.
-
Benutzername des Clients über IDENT-Protokoll (RFC 1413).
-
Benutzername des Clients gemäß HTP-Authentisierung.
[03/Feb/2005:14:55:48 +0100]
Zeitpunkt der Verarbeitung der Anfrage auf dem Server.
GET /resources/JobService.css HTTP/
1.x"
Anfrage.
OK
Status Code.
-
Größe der an den Browser zurückgeschickten Daten.
"http://vidrn005:1880/status/LogWriter/Config"
URL von der aus der Zugriff auf die aktuelle Seite erfolgt ist.
"Mozilla/5.0 (Windows; U; Windows NT Verwendeter Browser.
5.1; de-DE; rv:1.7.5) Gecko/
20041108Firefox/1.0"
101
Quest One Identity Manager
102
GLOSSAR
Dieses Glossar enthält Definitionen, die aus Microsoft Veröffentlichungen übernommen wurden.
A
ABAP
Advanced Business Application Programming. Programmiersprache der Firma SAP AG.
Abbestellworkflow
Entscheidungsworkflow, durch den die Entscheider ermittelt werden, wenn ein bestelltes Produkt abbestellt wird.
Active Directory (AD)
LDAP-basierter Verzeichnisdienst von Microsoft, der mit Windows 2000 eingeführt wurde.
Active Directory Service
Implementation eines Verzeichnisdienstes von Microsoft.
AdminP-Auftrag
Administrationsprozess im Lotus Notes, durch den verschiedene interne Aufgaben abgearbeitet werden.
Alle AdminP-Aufträge und ihre Ergebnisse werden in die Admin4-Datenbank aufgenommen. Diese Datenbank kann mit der Identity Manager Datenbank synchronisiert werden.
Anwendungsrolle
Die Identity Manager Anwendungsrollen sind funktionale Rollen, mit denen Sie Bearbeitungsrechte auf
die Funktionen des Identity Managers festlegen, die sich aus den Aufgaben der Identity Manager Benutzer innerhalb der Unternehmensstrukturen ergeben. Anwendungsrollen berücksichtigen administrative
Aufgaben und Genehmigungsprozesse. Anwendungsrollen sind durch den Identity Manager vorgegeben, können aber verändert und erweitert werden.
Applikation
Anwendungssoftware.
Application Link Enabling (ALE)
Technologie im SAP mittels der verteilte Anwendungen auf verschiedenen SAP Systemen eingerichtet
und betrieben werden können. Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres
SAP Systems.
Applikationsgruppe
Globale Gruppe zur Zuordnung von Applikationen an Benutzerkonten.
Attestierer
Person, die eine Attestierung durchführt.
Attestierer genehmigen die Daten, die in einem Attestierungsvorgang vorgelegt werden, oder lehnen
diese ab.
Attestierung
Vorgang, um Daten oder interne Regelungen zu autorisieren.
Mit der Attestierungsfunktion des Identity Managers können Manager oder andere verantwortliche Personen die Richtigkeit von Bearbeitungsrechten, Berechtigungen, Bestellungen oder Ausnahmegenehmigungen regelmäßig oder auf Anfrage bescheinigen.
103
Quest One Identity Manager
Attestierungsvorgang
Objekt, das erstellt wird, sobald eine Attestierung automatisch oder manuell angestoßen wird.
Wird eine Attestierung angestoßen, erstellt der Identity Manager zu jedem Attestierungsobjekt einen
Attestierungsvorgang. Im Attestierungsvorgang werden Informationen über die Attestierung gespeichert. Dazu gehören u.a. Attestierungsobjekt, Status (offen, genehmigt, abgelehnt), Datum der Attestierung, Attestierer.
Ausnahmegenehmiger
Person, die Regelverletzungen genehmigen kann.
Ausnahmegenehmiger sind nur die Personen, die über eine Anwendungsrolle <Identity Audit>\<Ausnahmegenehmiger> mindestens einer Complianceregel als Ausnahmegenehmiger zugewiesen sind.
Ausschlussliste
Gesamtheit der Benutzerkonten, die aus einer dynamischen Gruppen ausgeschlossen werden sollen.
Ausschlusslisten können in den Zielsystemen Lotus Notes und LDAP gepflegt werden.
Authentifizierungsmodul
Authentifizierungsmodule dienen dazu festzulegen, wie sich Benutzer an den Identity Manager-Werkzeugen anmelden sollen. Benutzer können sich z. B. als Personen, mit ihrem Active Directory Benutzerkonto oder direkt als Systembenutzer anmelden. Das Authentifizierungsmodul ermittelt den Systembenutzer der dem angemeldeten Benutzer direkt oder indirekt zugeordnet ist. Damit werden dem Benutzer die Bearbeitungsrechte auf die Oberflächenelemente des gestarteten Administrationswerkzeugs und
auf die Objekte der Datenbank zugewiesen.
Authentifizierungsobjekt
Objekt, mit dem sich ein SharePoint Benutzer an einer SharePoint Website anmeldet.
Authentifizierungsobjekte bezieht SharePoint aus der Systemumgebung, in die die SharePoint-Umgebung integriert ist. Der Identity Manager kann Bezüge zu folgenden Authentifizierungsobjekten herstellen: Active Directory Benutzerkonten und Gruppen, LDAP Benutzerkonten und Gruppen.
Automatisierungsgrad
Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbte Eigenschaften der Person an das Benutzerkonto. Der Identity Manager liefert eine Konfiguration für die Automatisierungsgrade „Unmanaged“ und „Full managed“. Weitere Automatisierungsgrade können definiert
werden.
Unmanaged
Benutzerkonten erhalten eine Verbindung zur Person, erben jedoch keine
weiteren Eigenschaften von dieser Person
Full managed
Benutzerkonten erhalten eine Verbindung zur Person und erben definierte
Eigenschaften von dieser Person
B
Basisobjekt
Verweist auf das Authentifizierungsobjekt, mit dem sich ein SharePoint Benutzer an einer SharePoint
Website anmeldet.
Bearbeitungsrechte
Fasst die Rechte der Identity Manager Benutzer auf Datenbankobjekte, Menüführungsobjekte, Formulare und Methoden zusammen.
104
Benutzer
Person, die ein Hilfsmittel zur Erzielung eines Vorteils (eines Nutzens, z. B. zur Zeit- und/oder Kostenverringerung) verwendet.
Benutzerkontenressource
Benutzerkontenressourcen sind spezielle Ressourcen, die verwendet werden, um Benutzerkonten in
den angeschlossenen Zielsystemen automatisch zu erzeugen und zu verwalten. Wird einer Person eine
Benutzerkontenressource zugewiesen, erzeugt der Identity Manager ein Benutzerkonto in dem Zielsystem, dem die Benutzerkontenressource zugeordnet ist. Über den Standardautomatisierungsgrad einer
Benutzerkontenressource ist festgelegt, welche Eigenschaften der Person an das Benutzerkonto vererbt
werden.
Benutzerkonto
Zugangsberechtigung zu einem zugangsbeschränkten IT-System. Üblicherweise muss ein Benutzer sich
bei der Anmeldung mit Benutzername und Kennwort authentisieren.
Benutzerkonto (SharePoint)
Objekt, über das einem SharePoint Benutzer Berechtigungen auf SharePoint Websites bereitgestellt
werden.
Benutzerrichtlinie
Objekt, über das einem SharePoint Benutzer übergreifende Berechtigungen auf alle Websites einer
SharePoint Webanwendung bereitgestellt werden.
Berechtigungsdefinition
Zusammenstellung der Transaktionen und Berechtigungsobjekte im Identity Manager, die durch eine
SAP Funktion geprüft werden sollen.
Berechtigungseditor
Werkzeug zur Bearbeitung der Berechtigungsdefinition für eine SAP Funktion.
Berechtigungsfeld
Objekt im SAP System. Kleinste Einheit, auf die Berechtigungen vergeben werden können. Berechtigungsfelder werden dazu mit konkreten Werten (Aktivitäten oder Daten) versehen. Bis zu 10 Berechtigungsfelder werden zu einem Berechtigungsobjekt zusammengefasst, die nur gemeinsam eine gültige
Berechtigung ergeben.
Berechtigungsobjekt
Objekt im SAP System. Ermöglicht die Definition von Berechtigungen in einem SAP System. Umfasst bis
zu 10 Berechtigungsfelder, die durch eine UND-Verknüpfung verbunden sind.
Berechtigungsstufe
Objekt, über das SharePoint Berechtigungen zusammengefasst werden. Berechtigungsstufen, die mit
einer konkreten SharePoint Website verknüpft sind, werden als SharePoint Rollen in der Identity Manager-Datenbank abgebildet.
Bestellposition
Produkt, das einem Einkaufswagen zugeordnet ist.
An einer Bestellposition ist ersichtlich, welches Produkt vom wem für wen bestellt werden soll.
105
Quest One Identity Manager
Bestellvorlage
Vorlage für einen Einkaufswagen, in der Bestellpositionen, die häufig gemeinsam bestellt werden, zusammengefasst sind.
Öffentliche Bestellvorlagen stehen allen Identity Manager Benutzern zur Verfügung, sobald sie freigegeben sind. Nicht-öffentliche Bestellvorlagen kann nur der Eigentümer der Bestellvorlage nutzen.
Bildungsregel
Vorschrift zur Abbildung von Objekteigenschaften. Bildungsregeln können sowohl in einem Objekt als
auch objektübergreifend wirken.
C
Crypto Configuration
Programm zur Verschlüsselung von Datenbankinhalten einer Identity Manager-Datenbank.
D
Datenbankschema
Eine logische Beschreibung von Daten, die in einer Datenbank gespeichert sind. Das Datenbankschema
definiert nicht nur die Namen der einzelnen Daten, ihre Größe und andere Charakteristiken, sondern
identifiziert auch die Beziehung zwischen den Daten. Das Datenmodell des Identity Managers unterscheidet zwischen Nutzdaten und Metadaten. Die Nutzdaten werden durch das Anwendungsdatenmodell beschrieben, die Metadaten durch das Dialogdatenmodell.
Database Compiler
Programm zum Kompilieren der Identity Manager-Datenbank nach relevanten Änderungen.
Database Installer
Programm zur Installation und Migration einer Identity Manager-Datenbank.
Database Transporter
Programm zum Export von Objekten und kundenspezifischer Änderungen aus einer Identity ManagerDatenbank und Import in eine Identity Manager-Datenbank.
DBQueue
Auftragsliste, in die per Trigger Verarbeitungsaufträge eingestellt werden.
DBScheduler
Der DBScheduler dient zur asynchronen Berechnung der Verarbeitungsaufträge aus der DBQueue . Der
DBScheduler besteht aus einer Kombination von gespeicherten Prozeduren und Triggern. Der DBScheduler steuert auch zyklische wiederkehrende Aufträge, wie die täglichen Wartungsaufträge zur Berechnung von Statistiken oder zur Indizierung der Datenbank.
Delegierung
Spezielle Form der Zuweisungsbestellung.
Dabei gibt eine Person eine beliebige Rollenzuordnung zeitweilig an eine andere Personen ab. Delegierungen können über Genehmigungsverfahren autorisiert werden.
Designer
Zentrale Oberfläche zur Konfiguration des Identity Managers.
106
Domain Name System (DNS)
Das Domain Name System (DNS) ist eine hierarchische verteilte Datenbank, die den Namensraum im
Internet verwaltet.
Domino Server, zentraler
Ausgewählter produktiver Notes Server mit guter Netzwerkanbindung zum Gateway Server.
Bei der Ausführung der Aktionen auf dem produktiven Adressbuch und den Postfachdateien kommuniziert der Gateway Server mit dem zentralen Domino Server.
Dynamic Host Configuration Protocol (DHCP)
Standard für die Verwaltung von dynamischen Einstellungen und Adressen in einem Netzwerk. DHCP
ermöglicht mit Hilfe eines DHCP Servers die dynamische Zuweisung einer IP-Adresse und weiterer Konfigurationsparameter an Computer in einem Netzwerk.
Dynamische Gruppe
Zielsystemgruppe, in die Benutzerkonten anhand fester Auswahlkriterien aufgenommen werden.
Dynamische Gruppen können in den Zielsystemen Active Directory, Lotus Notes und LDAP angelegt
werden.
E
Einkaufswagen
Wird im IT Shop zum Sammeln von Produkten genutzt, die zu einem beliebigen Zeitpunkt bestellt werden sollen.
Ein Kunde kann beliebig viele Einkaufswagen anlegen. Sobald die Bestellungen eines Einkaufswagens
ausgeführt werden, wird der Einkaufswagen gelöscht.
Einschlussliste
Gesamtheit der Benutzerkonten, die zusätzlich zum Auswahlkriterium der Gruppe in eine dynamische
Gruppe aufgenommen werden sollen.
Einschlusslisten können in den Zielsystemen Lotus Notes und LDAP gepflegt werden.
Enterprise Resource Planning (ERP)
Bezeichnet die unternehmerische Aufgabe, die in einem Unternehmen vorhandenen Ressourcen möglichst effizient für den betrieblichen Ablauf einzuplanen.
Entscheider
Ein Entscheider ist eine Person, die innerhalb eines Genehmigungsverfahrens eine Bestellung (Verlängerung oder Abbestellung) genehmigen oder ablehnen kann.
Entscheidungsrichtlinie
Legt fest, welcher Entscheidungsworkflow auf einen Attestierungsvorgang oder eine Bestellung (Verlängerung oder Abbestellung) im IT Shop angewendet werden soll.
Entscheidungsverfahren
Ermittelt die Attestierer für den aktuellen Attestierungsvorgang bzw. die Entscheider für die aktuelle
Bestellung (Verlängerung oder Abbestellung) im IT Shop.
107
Quest One Identity Manager
Entscheidungsworkflow
Legt fest, welche Entscheidungsverfahren in welcher Reihenfolge in Attestierungsvorgängen oder Bestellungen (Verlängerungen oder Abbestellungen) im IT Shop angewendet werden. Ein Entscheidungsworkflow enthält mindestens eine Entscheidungsebene mit mindestens einem Entscheidungsschritt.
F
Freigabeschlüssel
Mit dem Freigabeschlüssel kann ein Systembenutzer Objekte ändern, die von Quest Software definiert
werden. Der Freigabeschlüssel wird zeitlich begrenzt vergeben und muss gesondert angefordert werden.
Funktionsausprägung
Funktionsdefinition, die mit Werten für eine konkrete Anwendungssituation versehen ist. In Funktionsausprägungen wird ein konkreter SAP Mandant angegeben, in dem die SAP Funktion angewendet werden soll. Des Weiteren werden die Variablen, die den Berechtigungsfeldern zugeordnet sind, mit konkreten Werten versehen. Funktionsausprägungen können nur für aktivierte SAP Funktionen erstellt
werden.
Funktionselement
Sammelbegriff für Transaktionen, Berechtigungsobjekte und Berechtigungsfelder, die in einer Berechtigungsdefinition im Berechtigungseditor als Baumstruktur abgebildet sind.
G
Gateway Server
Server innerhalb der Identity Manager-Umgebung, der alle administrativen Aufgaben in einer Lotus Notes-Umgebung, die durch den Identity Manager ausgelöst werden, ausführt.
Der Gateway Server kann selbst nicht produktiver Notes Server sein. Er benötigt jedoch Zugriff auf die
Notes Server der produktiven Umgebung. Auf dem Gateway Server werden der Identity Manager Service mit der Lotus Notes Synchronisationskomponente installiert sowie die Notes-Datenbank
„viAgentsDB.nsf“ bereitgestellt.
Genehmigungsverfahren
Verfahren zur Genehmigung von Produktbestellungen eines Kunden innerhalb des IT Shops. Die Einrichtung eines Genehmigungsverfahrens erfolgt über Entscheidungsrichtlinien, die mehrere Entscheidungsebenen enthalten können. In einer Entscheidungsebene können mehrere Entscheidungsschritte
definiert sein. Pro Entscheidungsschritt kann ein anderer Personenkreis als Entscheider festgelegt sein.
Geschäftsrolle
Geschäftsrollen sind eine Abbildung unternehmensspezifischer Funktionen im Identity Manager. Damit
können damit Genehmigungsabläufe, Zuweisungen oder Entscheidungsverfahren entsprechend den Erfordernissen der Organisationsstruktur gestaltet werden. Sämtliche Geschäftsrollen werden durch das
Unternehmen festgelegt.
Globale Regalvorlage
Vorlage, mit der Sie Regale automatisiert in allen Shops eines IT Shops erzeugen können.
Einer globalen Regalvorlage können Unternehmensressourcen als Produkte und Entscheidungsrichtlinien zugewiesen werden.
108
H
HistoryDB
System zur Archivierung von Datenänderungen.
HistoryDB Manager
Administrationswerkzeug zur Darstellung und Bearbeitung aller Informationen des HistoryDB-Archivsystems.
HistoryDB Service
Systemdienst auf Servern. Der HistoryDB Service importiert die Aufzeichnungen in das HistoryDB-Archivsystem.
Hotfix
Ein Hotfix enthält einzelne Korrekturen an der Standardkonfiguration der eingesetzten Hauptversion jedoch keine Erweiterungen der Funktionalität.
Hypertext Transfer Protocol (HTTP)
Protokoll zur Übertragung von Daten.
I
ID Restore
Verfahren im Identity Manager, mit dem Benutzer-ID-Dateien im Lotus Notes wiederhergestellt werden
können.
Dieses Verfahren kann genutzt werden, wenn die Wiederherstellung von Benutzer-ID-Dateien aus einer
ID Vault nicht eingerichtet ist.
Identity Manager (1)
Produkt der Quest Software für das Provisioning von IT- und anderen Ressourcen in einem Unternehmen.
Identity Manager (2)
Administrationswerkzeug zur Verwaltung von Personen, Benutzerkonten und Berechtigungen in einem
Identity Manager-Netzwerk.
Identity Manager Service
Systemdienst auf Servern. Der Identity Manager Service arbeitet die Prozesse ab.
IT Shop
Programmanteil zur Versorgung von Personen mit Unternehmensressourcen über definierte Genehmigungsverfahren.
IT Shop-Lösungen werden im Identity Manager eingerichtet und können dann im Web Portal genutzt
werden.
IT Shop Struktur
Rollenklasse, unter der die Bestandteile Shoppingcenter, Shop, Regal, Produkt, Kunde einer IT Shop-Lösung zusammengefasst werden.
109
Quest One Identity Manager
J
Job Queue Info
Programm zur Überwachung des aktuellen Zustandes der in einem Identity Manager-Netzwerk laufenden Dienste.
Jobdestination
Komponente des Identity Manager Service. Die Jobdestination verarbeitet die Prozessschritte und liefert ein Ergebnis an den Jobprovider zurück.
Jobprovider
Komponente des Identity Manager Service. Ein Jobprovider stellt einer Jobdestination Prozessschritte
zur Verfügung und wertet das Ergebnis aus.
Jobqueue
Zentraler Ablageort für die generierten und auszuführenden Aktionen der Prozesskomponenten.
Jobserver
Server, auf dem elementare Aufgaben ausgeführt werden.
Jobservereditor
Editor des Designers zur Bearbeitung der Jobservereigenschaften.
Job Service Configuration
Programm zur Konfiguration des Identity Manager Service.
Job Service Updater
Programm zur Aktualisierung des Identity Manager Service auf den Jobservern.
K
Konfigurationsparameter
Parameter, mit denen die Grundeinstellungen zum Systemverhalten des Identity Managers konfiguriert
werden.
Präprozessorrelevante Konfigurationsparameter sind Konfigurationsparameter, die mit Präprozessorbedingungen verbunden sind. Wird ein präprozessorrelevanter Konfigurationsparameter geändert, muss
die Datenbank erneut kompiliert werden.
Konfigurationsparametereditor
Editor des Designers zur Anpassung der Konfigurationsparameter.
Kunde
Person eines Unternehmens, die berechtigt ist, im IT Shop Produkte zu bestellen. Kunde wird man
durch Zuordnung zu einem Shop.
Kunden bilden zusammen mit Regalen, Produkten, Shops und Shoppingcentern eine hierarchisch strukturierte IT Shop-Lösung.
110
L
Leistungsposition
Objekte, die zur internen Kostenverrechnung von Unternehmensressourcen benötigt werden.
Damit Unternehmensressourcen als Produkte im IT Shop bestellt und intern abgerechnet werden können, muss ihnen eine Leistungsposition zugeordnet werden. Eine Leistungsposition enthält eine genaue
Produktdefinition, Kostenstellenzuordnung, Preisinformationen.
Lightweight Directory Access Protocol (LDAP)
Netzwerkprotokoll, dass die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes
(eine im Netzwerk verteilte hierarchische Datenbank) erlaubt.
Listeneditor
Basiseditor des Designers, mit dem Listen dargestellt und bearbeitet werden können.
Lotus Notes
Dokumentorientiertes, verteiltes Datenbanksystem mit sehr enger E-Mail-Anbindung.
M
Manager
Zentrale Administrationsoberfläche zur Verwaltung aller Netzwerkinformationen in einem Identity Manager-Netzwerk.
Mapping
Abbildung der Zielsystemobjekte und ihrer Eigenschaften auf Datenbankobjekte und deren Eigenschaften.
Das Mapping wird genutzt, um Daten zwischen dem Identity Manager und einem Zielsystemen zu synchronisieren.
Mappingdatei
Enthält die erweiterten Vorschriften zur Abbildung der Eigenschaften zwischen Datenbank und Zielsystem. Die Mappingdatei besitzt eine XML-Struktur.
Es kann eine Mappingdatei mit den internen Abbildungsvorschriften der Prozesskomponenten erzeugt
und erweitert werden. Alternativ kann eine neue Mappingdatei erstellt werden, welche nur die Erweiterungen enthält. Ist eine erweiterte Abbildungsvorschrift in Form einer Mappingdatei vorhanden, wird
diese mit der internen Abbildungsvorschrift der Prozesskomponenten zusammengelegt und die daraus
resultierende Vorschrift zur Abbildung der Eigenschaften verwendet.
N
NetBIOS
Network Basic Input Output System - Programmierschnittstelle, die von IBM entwickelt wurde, um die
Kommunikation zwischen zwei Programmen über ein Netzwerk zu ermöglichen. NetBIOS erlaubt 16
Zeichen für einen NetBIOS Namen. Microsoft limitierte die NetBIOS Namen auf 15 Zeichen da das 16.
Zeichen als NetBIOS Suffix benutzt wird.
Benutzer- & Rechtegruppeneditor
Editor des Designers zur Bearbeitung von Rechtegruppen und Systembenutzern.
111
Quest One Identity Manager
Notes Domäne
Im Identity Manager entspricht eine Notes Domäne der Abbildung eines Sichtbarkeitsbereiches im Lotus Notes, beispielsweise einer produktiven Lotus Notes-Umgebung. Durch dieses Konstrukt, das im
Identity Manager wesentlich stringenter behandelt wird als im Lotus Notes, ist es möglich, mehrere
produktive Lotus Notes-Umgebungen parallel mit einer Identity Manager-Datenbank zu verwalten.
O
Oberflächeneditor
Editor des Designers zur Bearbeitung der Benutzeroberfläche der Administrationswerkzeuge.
Objektdefinition
Objektdefinitionen stellen eine Sicht der Datenbankobjekte dar, die es erlaubt, nach bestimmten Eigenschaften zu unterscheiden und somit eine zusätzliche Steuerfunktion zu ermöglichen.
Objekteditor
Basiseditor des Designers, mit dem alle Objekte dargestellt und bearbeitet werden können.
Objekttyp
Element der Synchronisation, das die Verbindung zwischen Zielsystemschema und Datenbankschema
herstellt. Über Objekttypen wird das Mapping von Zielsystemobjekten auf Datenbankobjekte definiert.
Außerdem wird an den Objekttypen das Synchronisationsverhalten für eine Synchronisationskonfiguration festgelegt.
Organisation
Als Organisationen werden im Identity Manager die Unternehmensstrukturen Abteilungen, Kostenstellen und Standorte bezeichnet.
Orgebene
Objekt im SAP System, das konkrete Werte für Berechtigungsfelder definiert. Orgebenen sind beispielsweise unternehmensspezifische Buchungskreise, Geschäftsbereiche oder Kontoarten.
P
Patch
Aktualisierung für Software.
Plugin
Zusatzmodul zur Software.
Präprozessorbedingung
Bedingung, mit der die Kompilierung von Programmcode eingeschränkt werden kann.
Über die bedingte Kompilierung können Teile des Programmcodes übersetzt werden, während andere
Teile von der Kompilierung ausgeschlossen werden. Die möglichen Präprozessorbedingungen werden
über Konfigurationsparameter und deren Optionen definiert.
Produkt
Unternehmensressource, die einem IT Shop-Regal zugewiesen ist und damit bestellt werden kann.
Produkte bilden zusammen mit Regalen, Kunden, Shops und Shoppingcentern eine hierarchisch strukturierte IT Shop-Lösung. Nur Unternehmensressourcen, denen eine Leistungsposition zugeordnet ist
112
und die mit der Option <IT Shop> gekennzeichnet sind, können als Produkte in den IT Shop aufgenommen werden.
Providerclient
Der Providerclient ist eine vollständig eingerichtete Identity Manager-Umgebung des Kunden mit einer
Datenbank, Identity Manager Service und eventuell Identity Manager-Werkzeugen. Der Providerclient
verwaltet aktiv ein Netz. Zusätzlich zu sonstigen Identity Manager-Umgebungen hat der Providerclient
die Möglichkeit über den eigenen Identity Manager Service Aufträge aus einer Queue abzuarbeiten, die
im Providermaster geführt wird.
Providermaster
Eine vollständig eingerichtete Identity Manager-Umgebung des Dienstleisters mit einer Datenbank,
Identity Manager Service und Identity Manager-Werkzeugen. Der Providermaster verwaltet nicht unbedingt ein eigenes Netz, enthält jedoch Zusatzinformationen über die zu verwaltenden Providerclients.
Der Providermaster hält eine Queue, in welche Abarbeitungsaufträge für den Providerclient eingestellt
werden.
Providermodus
Der Providermodus ist ein Modell, bei dem in einer zentralen Identity Manager-Umgebung Informationen gespeichert und verändert werden, die in davon weitgehend unabhängige Identity Manager-Umgebungen übertragen werden und dort eine Wirkung haben.
Prozess
Eine Aneinanderreihung von Prozessschritten zu einer sinnvollen Reihenfolge. Die Aufgabe des Prozesses ist die Abbildung eines Betriebsprozesses.
Prozesseditor
Editor des Designers zur Bearbeitung von Prozessschritten und Prozessen.
Prozessfunktion
Aufgabe, die durch einen Prozess ausgeführt wird.
Prozesskomponente
Elementarkomponenten, die zur Verwendung in Prozessschritten zur Verfügung stehen.
Prozessparameter
Parameter, der für eine einzelne Aufgabe einer Prozesskomponente zulässig ist.
Prozessschritt
Einzelner Bestandteil eines Prozesses. Ein Prozessschritt repräsentiert einen Arbeitsschritt.
R
Rechteeditor
Editor des Designers zur Vergabe von Tabellen- und Spaltenrechten an Rechtegruppen und Systembenutzer.
Rechtegruppe
Verschiedene Bearbeitungsrechte auf die Funktionen des Identity Managers werden in Rechtegruppen
zusammengefasst. Rechtegruppen werden Systembenutzern zugeordnet. Dadurch erhalten die Benut-
113
Quest One Identity Manager
zer der Identity Manager-Werkzeuge ihre Bearbeitungsrechte auf die Funktionen des Identity Managers.
Einzelne Rechtegruppen sind Bestandteil der Identity Manager Installation. Weitere Rechtegruppen
können im Designer unternehmensspezifisch definiert werden.
Regal
IT Shop-Struktur, die Teil eines Shops ist und der Produkte zugeordnet werden können.
Regale bilden zusammen mit Kunden, Shops, Shoppingcentern und Produkten eine hierarchisch strukturierte IT Shop-Lösung.
Regalvorlage
Vorlage, mit der Regale im IT Shop automatisiert angelegt und mit Unternehmensressourcen versehen
werden können.
Regalvorlagen nutzen Sie, wenn Sie in mehreren Shops Regale mit identischer Produktzusammenstellung erstellen möchten. Der Identity Manager unterscheidet zwischen globalen Regalvorlagen, speziellen Regalvorlagen und Shoppingcentervorlagen.
Ressource
Mittel, die vorhanden sind, um eine bestimmte Aufgabe zu lösen.
Ressourcentyp
Objekte, die verwendet werden, um Ressourcen entsprechend ihrer Verwendung einzuteilen.
An Ressourcentypen können Bearbeitungsschritte definiert werden, die auszuführen sind, wenn eine
Ressource erfolgreich an eine Person zugewiesen wurde.
Risikomindernde Maßnahme
Maßnahme, die durchzuführen ist, wenn eine Complianceregel verletzt oder eine SAP Funktion getroffen wird.
Risikomindernde Maßnahmen sind unabhängig von den Funktionen des Identity Managers. So kann beispielsweise durch eine regelmäßige manuelle Überprüfung unerlaubter Berechtigungen das Risiko, das
mit den Regelverletzungen verbunden ist, gemindert werden.
Rolle
Mit dem Begriff „Rollen“ werden die Unternehmensstrukturen Abteilungen, Kostenstellen, Standorte
und Geschäftsrollen zusammengefasst. Rollen sind im Identity Manager alle Objekte, über die Personen
Unternehmensressourcen zugewiesen bekommen können. Damit sind auch IT Shop Strukturen Rollen
im Sinne des Identity Managers.
Beispiele für Rollen sind die Abteilung „Entwicklung“, der Standort „Prag“, das Produkt „FrameMaker German - 9.0“.
Rolle (SharePoint)
SharePoint Berechtigungsstufe, die mit einer konkreten SharePoint Website verknüpft ist. Über SharePoint Rollen werden Berechtigungen auf konkrete Websites an SharePoint Benutzerkonten vergeben.
Rollendefinition
Zuweisung von SharePoint Berechtigungen an eine SharePoint Berechtigungsstufe.
Rollenklasse
Objekte, die gleichartige Rollen zusammenfassen.
Um verschiedene Unternehmensstrukturen unterscheiden zu können, sind im Identity Manager Rollenklassen definiert. Rollenklassen regeln das Vererbungsverhalten dieser Unternehmensstrukturen. Des
Weiteren legen sie fest, welche Zuweisungen von Unternehmensressourcen über die Rollen einer Rol-
114
lenklasse möglich sind.
Beispiele für Rollenklassen sind „Abteilung“, „Standort“ oder „IT Shop Struktur“. Um Geschäftsrollen
abzubilden, definieren Sie unternehmensspezifische Rollenklassen.
Rollentyp
Unternehmensspezifisches Kriterium zur Einteilung von Rollen.
Rollentypen werden hauptsächlich verwendet, um die Vererbung von Entscheidungsrichtlinien innerhalb
einer IT Shop Struktur zu regeln. Dafür definieren Sie Rollentypen, die Sie den Entscheidungsrichtlinien
und IT Shop Regalen zuordnen. Darüber hinaus können Sie Rollentypen nutzen, um Geschäftsrollen
oder Shops im IT Shop nach unternehmensspezifischen Kriterien zu strukturieren.
Rollenzuweisung
Zuweisung von SharePoint Benutzerkonten oder SharePoint Gruppen an eine SharePoint Rolle.
Root-Site
Hauptsite einer SharePoint Websitesammlung. Für jede SharePoint Websitesammlung gibt es genau
eine Root-Site, die die oberste Ebene der Websitehierarchie bildet. Alle weiteren Websites sind der
Root-Site untergeordnet.
An der Root-Site werden die Berechtigungsstufen definiert, die an den untergeordneten Websites der
Websitesammlung als SharePoint Rollen genutzt werden können.
S
SAM Datenbank
Security Accounts Manager - Sicherheitskontenverwaltung unter Windows.
In der SAM Datenbank werden die Benutzerkonten und die verschlüsselten Kennworte verwaltet.
SAP Berechtigung
Bearbeitungsrechte, die SAP Benutzerkonten aufgrund ihrer Zuordnung zu SAP Rollen im SAP System
erhalten.
SAP Funktion
Objekt im Identity Manager über das überprüft werden kann, welche SAP Berechtigungen SAP Benutzerkonten in einem SAP Mandanten effektiv haben.
SAP Funktionskategorie
Objekt, über das SAP Funktionen gruppiert werden können.
SAP Menü
Element der Benutzerführung in der SAPGUI. Mit Berechtigungsobjekten sind im SAP System Berechtigungen auf konkrete Menüeinträge verbunden. Im Identity Manager Berechtigungseditor können Berechtigungsobjekte über die Auswahl von SAP Menüs in die Berechtigungsdefinition eingebunden werden.
SAP R/3
Produkt der Firma SAP AG.
Schedule
Zyklisch auszuführender Auftrag.
115
Quest One Identity Manager
Schema Extension
Programm zur Erweiterung des Identity Manager-Datenbankschemas um kundenspezifische Tabellen
und Spalten.
Schemaeditor
Editor des Designers zur Anpassung der Tabellen- und Spaltendefinitionen des Datenbankschemas.
Secure Sockets Layer (SSL)
Übertragungsprotokoll, mit dem verschlüsselte Kommunikation möglich ist.
Serverberechtigung
Zugriffsliste, die festlegt, welches Notes Benutzerkonte/welche Notes Gruppe für verschiedene Zwecke
Zugriff auf einen Notes Server hat.
Serverbeschränkung
Zugriffsliste, die festlegt, welches Notes Benutzerkonto/welche Notes Gruppe welche Agenten auf einem Notes Server ausführen darf.
Service Provisioning Markup Language (SPML)
Die Service Provisioning Markup Language ist eine XML basierte Beschreibungssprach, die als Austauschformat für Benutzerinformationen und Ressourceinformationen zwischen Provisioning Systemen
dient. Die Standardisierung von SPML wird vom OASIS Consortium vorangetrieben (Organization for
the Advancement of Structured Information Standards, www.oasis-open.org ), an dem sich namhafte
Softwarehersteller beteiligen. Die aktuelle Version 2.0 wurde im April 2006 veröffentlicht.
Service Pack
Ein Service Pack enthält geringfügige Erweiterungen der Funktionalität sowie alle Änderungen seit der
letzten Hauptversion, die bereits in den Hotfixes enthalten waren.
Servicekatalog
Abbildung aller bestellbaren Leistungspositionen gruppiert nach Servicekategorien.
Im Servicekatalog werden die Leistungspositionen der Produkte dargestellt, die den Regalen des IT
Shops zugeordnet sind.
Servicekategorie
Gruppierungsmerkmal für Leistungspositionen.
Damit ein Produkt aus dem Servicekatalog ausgewählt werden kann, muss seiner Leistungsposition
eine Servicekategorie zugeordnet sein.
Shop
IT Shop-Struktur, der Regale und Kunden zugeordnet werden.
Shops bilden zusammen mit Kunden, Regalen, Produkten und Shoppingcentern eine hierarchisch strukturierte IT Shop-Lösung. Jeder Shop beinhaltet eine Anzahl von Regalen, aus denen die Kunden des
Shops Produkte bestellen können.
Shoppingcenter
IT Shop-Struktur, unter der Shops zusammengefasst werden können.
Shoppingcenter bilden zusammen mit Kunden, Regalen, Shops und Produkten eine hierarchisch strukturierte IT Shop-Lösung.
116
Shoppingcentervorlage
Vorlage, mit der Sie das Regal einer speziellen Regalvorlagen in alle Shops eines Shoppingcenters replizieren. Dazu muss der Shoppingcentervorlage mindestens eine spezielle Regalvorlage zugewiesen
sein.
Software Loader
Programm zum Laden neuer oder geänderter Dateien in die Identity Manager-Datenbank, um diese
über die automatische Softwareaktualisierung im Identity Manager-Netzwerk zu verteilen.
Sperrgruppe
Notes Gruppe mit dem Gruppentyp „Nur Negativliste“, für die auf einem Notes Server die Zugriffsart
„Not access server“ definiert ist.
Spezielle Regalvorlage
Vorlage, mit der Sie Regale automatisiert in ausgewählten Shops des IT Shops erzeugen können.
Einer speziellen Regalvorlage können Unternehmensressourcen als Produkte und Entscheidungsrichtlinien zugewiesen werden. Die Shops, in die die Regalvorlage repliziert werden soll, werden einzeln ausgewählt.
Synchronisationskonfiguration
Einstellungen, durch die die Datensynchronisation zwischen einem Zielsystem und dem Identity Manager definiert wird. Eine Synchronisationskonfiguration enthält die Objekttypen und Zuordnungen, die
synchronisiert werden sollen, und einen Zeitplan für die Synchronisation. Für jeden Objekttyp/jede Zuordnung ist das Verhalten bei der Sychronisation festgelegt.
Synchronisationsstatus
Kennzeichen, die an den Synchronisationsobjekten während der Synchronisation gesetzt wird. Am Synchronisationsstatus ist erkennbar, ob das Objekt durch die Synchronisation neu eingelesen, aktualisiert,
publiziert oder als gelöscht markiert wurde. Abhängig vom Synchronisationsstatus ist eine Nachbehandlung der Synchronisationsobjekte möglich.
Systembenutzer (1)
Vordefinierter Benutzer, der verschiedene Bearbeitungsrechte auf die Funktionen des Identity Managers
zusammenfasst. Diese Bearbeitungsrechte erhält der Systembenutzer durch seine Zuordnung zu Rechtegruppen. Während der Anmeldung wird dem Benutzer der Identity Manager-Werkzeuge ein Systembenutzer zugeordnet. Von diesem übernimmt der Benutzer die Bearbeitungsrechte auf die Funktionen
des Identity Managers.
Einzelne Systembenutzer sind Bestandteil der Identity Manager Installation. Weitere Systembenutzer
können im Designer selbst definiert werden.
Systembenutzer (2)
Ein Authentifizierungsmodul zur Anmeldung an den Identity Manager-Werkzeugen. Siehe Authentifizierungsmodul.
Systembenutzerkennung
Nutzerkennung, mit der sich ein Benutzer an den Identity Manager-Werkzeugen anmeldet.
Die Systembenutzerkennung ist abhängig vom gewählten Authentifizierungsmodul. Sie kann z. B. ein
zentrales Benutzerkonto, ein Anmeldename für eine Active Directory Domäne oder ein Systembenutzer
sein.
117
Quest One Identity Manager
Systemrolle
Ressource, in der beliebige Unternehmensressourcen zusammengefasst werden.
Systemrollen werden verwendet, um Zuweisungen von unterschiedlichen Unternehmensressourcen zu
vereinfachen. Wird eine Systemrolle an eine Person zugewiesen, erhält die Person alle Unternehmensressoucen, die der Systemrolle zugewiesen sind. Das können zum Beispiel Systemberechtigungen, Applikationen oder Nicht-IT-Ressourcen sein.
Systemrollen können direkt an Personen zugewiesen, über den IT Shop bestellt oder über Rollen vererbt werden.
T
Textabgleich
Vorgang im SAP, bei dem die Namen der Rollen und Profile aus den Tochtersystemen einer Zentralen
Benutzerverwaltung ins Zentralsystem gespiegelt werden. Nur wenn der Textabgleich mindestens einmal durchgeführt wurde, sind die SAP Rollen und SAP Profile im Zentralsystem namentlich bekannt und
können den SAP Benutzerkonten zugewiesen werden.
Rollen und Profile aus den Tochtersystemen können erst dann mit dem Identity Manager synchronisiert
werden, wenn der Textabgleich in SAP durchgeführt wurde.
Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems.
Transaktion
Objekt im SAP System, durch das ein ABAP-Programm gestartet wird.
U
UID
Die UID ist ein künstlicher Primärschlüssel, der vom Betriebssystem erzeugt wird, sobald das Objekt in
die Datenbank eingefügt wird. Die UID ist ein unikaler Wert, welcher sich auch bei Änderungen der Eigenschaften eines Objektes nicht ändert. Ein Objekt wird durch eine UID gekennzeichnet und kann darüber eindeutig referenziert werden.
Unified Namespace (UNS)
Der Unified Namespace (UNS) ist ein virtuelles Zielsystem, in dem die unterschiedlichsten Zielsysteme
mit ihren Containerstrukturen, Benutzerkonten, Zielsystemgruppen und entsprechenden Mitgliedschaften abgebildet werden. Die Informationen aller am Identity Manager angeschlossenen Zielsysteme werden im Unified Namespace abgebildet. Dadurch können weitere Kernfunktionen des Identity Managers,
wie die Prüfung der Compliance, die Attestierung oder der IT Shop, zielsystemübergreifend genutzt
werden. Die Zielsysteme Active Directory, Lotus Notes, SAP R/3 und LDAP können ebenso abgebildet
werden wie eigene Anwendungen, beispielsweise eine Telefonanlage.
Unternehmensressource
Überbegriff für alle Objekte, die an Personen oder Rollen zugewiesen oder über den IT Shop bestellt
werden können und die selbst keine Rollen sind. Unternehmensressourcen sind: Applikationen, Systemberechtigungen, Ressourcen, Zielsystemgruppen, Systemrollen.
UTC
Koordinierte Weltzeit; engl. Universal Time Coordinated.
118
V
Variablenset
Zusammenstellung aller Variablen und ihrer Werte, die in der Berechtigungsdefinition einer SAP Funktion verwendet werden. Variablensets werden genutzt, um verschiedene Funktionsausprägungen für
ein und dieselbe Funktionsdefinition zu erstellen.
Vererbungsunterbrechung
Die Eigenschaft „Vererbungsunterbrechung“ zeigt an, dass in den Stammdaten der so gekennzeichneten Objekte die Option „Ende der Vererbung“ gesetzt ist.
Verlängerungsworkflow
Entscheidungsworkflow, durch den die Entscheider ermittelt werden, wenn ein bestelltes Produkt verlängert wird.
Verteilungsmodell
Modell im SAP, in dem die Beziehungen zwischen logischen Systemen festgelegt sind. Es wird u.a. vom
Application Link Enabling zur Steuerung der Datenverteilung genutzt.
Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems.
Versionsänderung
Eine Versionsänderung ist verbunden mit signifikanten Erweiterungen der Funktionalität und umfasst
eine Komplettänderung der Installation.
VIAgentsDB.nsf
Datenbank, welche die Agents zum Zugriff auf das produktive Lotus Notes Adressbuch sowie zur Erzeugung von ID-Dateien enthält.
Die Datenbank ist Bestandteil des Identity Manager Installationspakets für die Lotus Notes Komponente. Sie muss nach der Installation neu signiert werden.
VINotes.INI
Abbild der Datei „Notes.INI“, die bei der Konfiguration des Lotus Notes Clients erzeugt wird.
Die Datei „VINotes.INI“ enthält Konfigurationsdaten, die der Identity Manager Service für die Anmeldung an der Lotus Notes-Umgebung benötigt.
W
Web Portal
Webbasierte Applikation, die verschiedene Workflows bereitstellt.
Im Web Portal können eigene Personenstammdaten geändert, Mitarbeiterdaten bearbeitet, Unternehmensressourcen im IT Shop bestellt, eigene Rollen delegiert, Entscheidungen, Attestierungen oder Regelverletzungen bearbeitet werden.
Windows Internet Name Service (WINS)
Der Windows Internet Naming Service (WINS) ist ein von Microsoft entwickelter Softwaredienst, der IPAdressen dynamisch Computernamen zuordnet (NetBIOS-Namen).
Workfloweditor
Editor, mit dem Workflows für Attestierungsvorgänge oder Genehmigungsverfahren erstellt werden
können.
Im Workfloweditor werden die Entscheidungsebenen und Entscheidungsschritte eines Entscheidungs-
119
Quest One Identity Manager
workflows über spezielle grafische Steuerelemente eingefügt. Entscheidungsebenen können beliebig
angeordnet und miteinander verbunden werden.
Wörterbucheditor
Editor des Designers zur Übersetzung von Anzeigetexten.
Z
ZBV
siehe Zentrale Benutzerverwaltung (ZBV).
ZBV Status
Kennzeichnet die Verwendung eines SAP-Mandanten als Zentralsystem oder Tochtersystem in der Zentralen Benutzerverwaltung. Um Mandanten von der Zentralen Benutzerverwaltung auszuschließen, werden sie mit dem ZBV Status „kein ZBV-System“ gekennzeichnet.
Zentrale Benutzerverwaltung (ZBV)
Funktion in SAP, durch die SAP Benutzerkonten in einem Zentralsystem statt in allen SAP Mandanten
separat verwaltet werden.
SAP Mandanten unterschiedlicher SAP Systeme werden zu einem Systemverbund zusammengefasst.
Die SAP Benutzerkonten dieser SAP Mandanten werden in einem Zentralsystem gepflegt und die Daten
an die Tochtersysteme verteilt. Benutzer, die in verschiedenen SAP Mandanten Berechtigungen besitzen, müssen damit nicht mehrfach gepflegt werden. SAP Rollen und SAP Profile werden in den Tochtersystemen verwaltet jedoch nur im Zentralsystem an die SAP Benutzerkonten zugewiesen.
Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems.
Zielsystem
Ein System, in dem die vom Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen
besitzen.
Beispiel: Active Directory, SAP R/3, Lotus Notes
Zielsystembereich
Verwaltungseinheit in einem Zielsystem für Benutzerkonten, Benutzergruppen und Maschinenkonten.
Beispiel: Active Directory Domäne, SAP R/3 Mandant, Lotus Notes Domäne
Zielsystemtyp
Zielsystemtypen werden im Unified Namespace genutzt, um die Daten der verschiedenen Zielsysteme
zu unterscheiden. Jedes Objekt, das im Unified Namespace abgebildet ist, besitzt einen Zielsystemtyp.
Standardmäßig sind im Identity Manager folgende Zielsystemtypen angelegt: ADS, LDAP, NOTES,
SAPR3. Weitere Zielsystemtypen können unternehmensspezifisch definiert werden.
Zuordnung
Element der Synchronisation, das die Verbindung zwischen Zielsystemschema und Datenbankschema
herstellt, wenn die Synchronisationsobjekte als M:N-Beziehung abgebildet werden sollen. Über Zuordnungen wird das Mapping von Zielsystemobjekten auf Zuordnungstabellen definiert. Außerdem wird an
den Zuordnungen das Synchronisationsverhalten für eine Synchronisationskonfiguration festgelegt.
Zuordnungstabelle
Tabelle, in der Beziehungen zwischen zwei Tabellen hergestellt werden.
Die Objekte beider Tabellen werden einander als M:N-Beziehung zugeordnet. Zuordnungstabellen sind
beispielsweise PersonInDepartment oder ADSAccountInADSGroup.
120
Zuweisungsbestellung
Bestellungen von Unternehmensressourcen und Personen für Rollen.
Zuweisungen an Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen können über den IT Shop
bestellt und damit über Genehmigungsverfahren autorisiert werden.
121
Quest One Identity Manager
122
INDEX
A
SQLLogDir 93
Abbestellworkflow 103
Active Directory (AD) 103
Active Directory Service (ADS) 103
Admin4-Datenbank
siehe Notes > AdminP-Auftrag
Anwendungsrolle 103
Application Link Enabling 103
Applikation 103
Applikationsgruppe 103
Attestierung 103
Attestierer 103
Attestierungsvorgang 104
Crypto Configuration 106
D
Database Compiler 106
Database Installer 106
Database Transporter 106
Datenbankabfrage
Protokollierung 93
Datenbankschema 106
DBQueue
Ansicht 34
DBScheduler 106
anhalten 35
Ausnahmegenehmiger 104
starten 34
Ausschlussliste 104
Authentifizierungsmodul 104
Systembenutzer 117
Authentifizierungsobjekt 104
Automatisierungsgrad 104
Systemprotokoll 34
Delegierung 106
Designer 106
Domain Name System 107
Dynamic Host Configuration Protocol 107
Dynamische Gruppe 107
B
Basisobjekt 104
Bearbeitungsrechte 104
Benutzerkontenressource 105
Benutzerkonto
Automatisierungsgrad 104
Berechtigungsdefinition
siehe SAP Funktion > Berechtigungsdefinition
Berechtigungseditor
siehe SAP Funktion > Berechtigungseditor
Berechtigungsfeld
siehe SAP Funktion > Berechtigungsdefinition > Berechtigungsfeld
Berechtigungsobjekt
siehe SAP Funktion > Berechtigungsobjekt
Bestellposition 105
Bestellvorlage 106
Bildungsregel 106
E
Einkaufswagen 107
Einschlussliste 107
Enterprise Resource Planning 107
Entscheider 107
Entscheidungsrichtlinie 107
Entscheidungsverfahren 107
Entscheidungsworkflow 108
Ereignis
bearbeiten 53
EventLogLogWriter
LogSeverity 92
F
FileLogWriter
LogLifeTime 87
LogSeverity 87
OutputFile 87
C
Freigabeschlüssel 108
Combined Log Format 101
Funktionsausprägung
ConnectionBehavior
JobGenLogDir 92
ObjectLogDir 94
siehe SAP Funktion > Funktionsausprägung
Funktionselement
siehe SAP Funktion > Berechtigungsdefiniti-
123
Quest One Identity Manager
on > Funktionselement
Jobprovider 110
Jobqueue 110
G
Ansicht 23
Genehmigungsverfahren 108
Fehlerbehandlung 27
Geschäftsrolle 108
H
Verlauf 32
Jobserver 110
HistoryDB 109
anhalten 33
HistoryDB Manager 109
Ansicht 25
HistoryDB Service 109
Status 33
Hotfix 109
Jobservereditor 110
HTTPLogPlugin
Jobservice.cfg 98
Protokolldatei 101
Hypertext Transfer Protocol (HTTP) 109
K
Kompilierung
I
Fehlermeldung 73
ID Restore 109
Konfigurationsparameter 110
Identity Manager 109
Anwendungsrolle 103
Identity Manager Service 109
anhalten 33, 35
ComponentDebugMode 90
DebugMode 90
Dienste 88
Ereignisanzeige 92
HTTP Server 88
Konfigurationsdatei 98, 99
präprozessorrelevant 110
Konfigurationsparametereditor 110
Kunde 110
L
Leistungsposition 111
Lightweight Directory Access Protocol (LDAP)
111
Listeneditor 111
Logwriter
LogLifeTime 100
NSComponent.log 90
Protokolldatei 87, 90, 100
anzeigen 88
StdioProcessor.log 90
LogSeverity 100
Lotus Notes 111
M
IT Shop 109
Manager 111
IT Shop Struktur 109
Mapping 111
Mappingdatei 111
J
Job Queue Info 15, 110
N
aktualisieren 19
NetBIOS 111
Filter 20
Not-Aus 35
Programmeinstellung 21
Notes
Spaltenkonfiguration 20
AdminP-Auftrag 103
Sprache 21
Benutzer-ID-Datei
Job Service Configuration 110
Job Service Updater 110
wiederherstellen 109
Gateway Server 108
Jobdestination 110
Notes Domäne 112
JobGenLogDir 92
Notes Gruppe
Sperrgruppe 117
124
Index
Notes Server
Domino Server, zentraler 107
Nutzer- & Rechtegruppeneditor 111
einrichten 78
Ereignis 78
Parameter 78
Zeitplan 78
O
Oberflächeneditor 112
ObjectLogDir 94
Objektaktionen
Protokollierung 94
Objektdefinition 112
Objekteditor 112
Objekttyp 112
Organisation 112
Orgebene
siehe SAP Funktion > Orgebene
P
Prozessautomation 74
Prozesseditor 38, 113
Compilerfehler 46
Layoutposition 46
Prozessdokument 43, 46
Prozesselement 46
Prozessfehler 45
Prozessschrittelement 46
Quellcodeansicht 46, 73
Simulationsansicht 46
Prozessfunktion 79, 113
Prozessgenerierung
Patch 112
Plugin 112
Protokollierung 92
Prozesshistorie
Präprozessorbedingung 112
Ansicht 26
Produkt 112
aufzeichnen 86
Providerclient 113
Fehlerbehandlung 27
Providermaster 113
Prozesskomponente 79, 113
Providermodus 113
ADSComponent 80
Prozess 113
CommandComponent 80
bearbeiten 48
ComponentDebugMode 90
Benachrichtigung 52
DelayComponent 80
Ereignis 53
Ex2K10Component 80
exportieren 67
Ex2K7Component 80
Fehlerkontrolle 72
Ex2KComponent 80
Generierungsbedingung 51
FileComponent 80
Gültigkeitsprüfung 72
FtpComponent 80
importieren 67
HandleObjectComponent 80
kompilieren 73
ImportExportComponent 80
kopieren 65
JobService 80
Overlimit 52
LDAPADSIComponent 80
Prä-Skript 51
LogComponent 80
Schwellwert 52
MailComponent 80
Simulation 67
NotesComponent 80
überwachen 23
ObjectTransferComponent 80
vergleichen 67
ReportComponent 80
Prozessauftrag 74
Rückgabewert 91
Basisobjekt 78
SAPComponent 81
Bedingung 78
ScriptComponent 81
125
Quest One Identity Manager
SPSComponent 81
S
SQLComponent 81
SAM Datenbank 115
SubversionComponent 81
SAP
WakeOnLanComponent 81
ZipComponent 81
Prozessparameter 113
Verteilungsmodell 119
SAP Berechtigung 115
SAP Funktion 115
Prozessschritt 113
Berechtigungsdefinition 105
Ansicht 29
Berechtigungsfeld 105
Ausführungsstatus 23
Funktionselement 108
bearbeiten 54
Berechtigungseditor 105
Benachrichtigung 57, 58
Berechtigungsobjekt 105
Fehlerbehandlung 57
Funktionsausprägung 108
Frozen 57
Orgebene 112
Generierungsbedingung 55
SAP Menü 115
importieren 63
Transaktion 118
kopieren 64
Variablenset 119
Mehrfachbearbeitung 64
SAP Funktionskategorie 115
Parameter 30, 59
SAP Menü
Prä-Skript 55
SAP R/3 115
Server 56
Schedule 115
suchen 64
Schema Extension 116
Prozessverarbeitung 37
Schemaeditor 116
Fehlerbehandlung 27, 85
Secure Sockets Layer (SSL) 116
überwachen 15
Server
festlegen 56
R
Rechteeditor 113
Rechtegruppe 113
Regal 114
Regalvorlage 114
global 108
Shoppingcentervorlage 117
speziell 117
Ressource 114
Ressourcentyp 114
Risikomindernde Maßnahme 114
Rolle 114
Anwendungsrolle 103
Geschäftsrolle 108
Organisation 112
Rollenklasse 114
Rollentyp 115
Root-Site 115
126
siehe SAP Funktion > SAP Menü
reaktivieren 24
Serverberechtigung 116
Serverbeschränkung 116
Serverstatus
Ansicht 33
Service Pack 116
Service Provisioning Markup Language 116
Servicekatalog 116
Servicekategorie 116
SharePoint Benutzerkonto 105
SharePoint Benutzerrichtlinie 105
SharePoint Berechtigungsstufe 105
Rollendefinition 114
SharePoint Rolle 114
Rollenzuweisung 115
Shop 116
Shoppingcenter 116
Software Loader 117
Index
SQLLogDir 93
Workfloweditor 119
Standardautomatisierungsgrad
Wörterbucheditor 120
104
siehe Automatisierungsgrad
Synchronisationskonfiguration 117
Synchronisationsstatus 117
System
anhalten 35
Systembenutzer 117
Authentifizierungsmodul 117
Systembenutzerkennung
Definition 117
Systemprotokoll
anzeigen 34
aufzeichnen 87
Z
ZBV
siehe Zentrale Benutzerverwaltung
ZBV Status 120
Zeitzone 118
Zentrale Benutzerverwaltung 120
Zielsystem 120
Zielsystembereich 120
Zielsystemtyp 120
Zuordnung 120
Zuordnungstabelle 120
Zuweisungsbestellung 121
Systemrolle 118
T
Textabgleich 118
Transaktion
siehe SAP Funktion > Transaktion
U
UID 118
Unified Namespace 118
Zielsystemtyp 120
UNS 118
Unternehmensressource 118
UTC 118
V
Variablenset
siehe SAP Funktion > Variablenset
Vererbung
unterbrechen 119
Verlängerungsworkflow 119
Versionsänderung 119
Verteilungsmodell 119
VIAgentsDB.nsf 119
viNetworkService.exe.config 99
VINotes.INI 119
W
Web Portal 119
Windows Internet Name Service 119
127
Quest One Identity Manager
128

Documentos relacionados