Prozess Orchestrierung
Transcrição
Prozess Orchestrierung
5.0 Prozess Orchestrierung © 2011 Quest Software, Inc. ALLE RECHTE VORBEHALTEN. Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert werden. Diese Anleitung darf ohne schriftliche Erlaubnis von Quest Software, Inc. weder ganz noch teilweise in beliebiger Form oder durch beliebige elektronische oder mechanische Hilfsmittel einschließlich des Fotokopierens und Speicherns für andere Zwecke als den persönlichen Gebrauch des Käufers vervielfältigt oder weitergegeben werden. Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise, eine Lizenz auf intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON QUEST, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT QUEST KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET QUEST FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENSERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE. Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen vorzunehmen. Quest geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu aktualisieren. Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich bitte an: Quest Software World Headquarters LEGAL Dept 5 Polaris Way Aliso Viejo, CA 92656 USA E-Mail: [email protected] Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website (www.quest.com). Patente Dieses Produkt enthält zum Patent angemeldete Technologie. Warenzeichen Quest, Quest Software, das Quest Software-Logo und Quest One Identity Manager sind Warenzeichen und eingetragene Warenzeichen von Quest Software, Inc in den Vereinigten Staaten von Amerika und in anderen Ländern. Eine komplette Liste der Quest Software Warenzeichen finden Sie unter http:// www.quest.com/legal/trademarks.aspx. Andere in diesem Handbuch verwendete Warenzeichen und eingetragene Warenzeichen sind Eigentum ihrer jeweiligen Besitzer. Beiträge von Drittanbietern Quest One Identity Manager enthält einige Komponenten von Drittanbietern (nachfolgend aufgelistet). Kopien der Lizenzen dieser Drittanbieter finden Sie auf unserer Webseite unter http://www.quest.com/ legal/third-party-licenses.aspx. KOMPONENTE LIZENZ ODER BESTÄTIGUNG ExplorerCanvas Release 3 Copyright © 2006 Google Inc. Apache 2.0 Lizenz. MochiKit 1.4.2 Copyright © 2005 Bob Ippolito. All rights reserved. MIT Lizenz. Mono.Security 2.0.3600.1 Copyright © 2004 Novell, Inc. (http://www.novell.com). MIT Lizenz. Novell.Directory.LDAP 2.1.9.0 Copyright © 2003 Novell, Inc. (http://www.novell.com). MIT Lizenz. PlotKit 0.9.1 Copyright © 2006 Alastair Tse. BSD Simple Lizenz. Quest One Identity Manager - Prozess Orchestrierung Aktualisiert - 21.10.2011 Softwareversion - 5.0.2 INHALT KAPITEL 1 ÜBER DIESES HANDBUCH QUEST ® ONE IDENTITY MANAGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 ZIELGRUPPE DES HANDBUCHES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 BESTANDTEILE DER DOKUMENTATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 FORMATIERUNGSKONVENTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 ÜBER DIE QUEST SOFTWARE, INC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 KONTAKT ZU QUEST SOFTWARE, INC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 KONTAKT ZUM QUEST-SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 KAPITEL 2 ARBEITEN MIT JOB QUEUE INFO EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 AUFBAU DER PROGRAMMOBERFLÄCHE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 TITELLEISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 STATUSZEILE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 MENÜLEISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 KONTEXTMENÜS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 SYMBOLLEISTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 AKTUALISIERUNG DER ANSICHTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 FILTERN DER ANSICHTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 SPALTENKONFIGURATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 ANPASSEN DER PROGRAMMEINSTELLUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 ÄNDERN DES KENNWORTES FÜR DEN ANGEMELDETEN BENUTZER . . . . . . . . . . . . . . . . . 22 ANSICHT DER JOBQUEUE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 REAKTIVIEREN VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 ANSICHT DER JOBSERVER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 ANSICHT DER PROZESSHISTORIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 ANSICHT DER BASISOBJEKTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 ANSICHT EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 ANSICHT DER PROZESSSCHRITTE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 ANSICHT DER PARAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 ANZEIGE VON OUT-PARAMETERN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 ANSICHT DES VERLAUFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 ERMITTELN DES SERVERSTATUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 ANSICHT DER DBQUEUE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 ANHALTEN DES SYSTEMS (NOT-AUS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 KAPITEL 3 PROZESSVERARBEITUNG IM IDENTITY MANAGER EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 ARBEITEN MIT DEM PROZESSEDITOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 ERWEITERUNGEN DER MENÜLEISTE UND DER SYMBOLLEISTE . . . . . . . . . . . . . . . . . . . 39 ANSICHTEN IM PROZESSEDITOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 FUNKTIONEN IM PROZESSDOKUMENT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 FUNKTIONEN IN DER BEARBEITUNGSANSICHT FÜR PROZESSE UND PROZESSSCHRITTE . . 44 5 Quest One Identity Manager FUNKTIONEN FUNKTIONEN FUNKTIONEN FUNKTIONEN FUNKTIONEN BEARBEITUNGSANSICHT FÜR EREIGNISSE UND ANSICHT ZUR PROZESSFEHLERKONTROLLE. . . IN DER ANSICHT DER COMPILERFEHLER . . . . . . . . . IN DER QUELLCODEANSICHT . . . . . . . . . . . . . . . . IN DER SIMULATIONSANSICHT . . . . . . . . . . . . . . ARBEITEN MIT EINEM PROZESSDOKUMENT . . . . . . . . . . . . . . . . . IN DER IN DER PARAMETER . ........ ........ ........ ........ ........ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 45 46 46 46 46 UNTERSTÜTZUNG BEI DER EINGABE VON WERTEN . . . . . . . . . . . . . . . . . . . . . . . . . . 47 DEFINIEREN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 GRUNDLAGEN ZUR DEFINITION VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . 48 BEARBEITEN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 ALLGEMEINE EIGENSCHAFTEN EINES PROZESSES . . . . . . . ANGABEN FÜR DIE GENERIERUNG EINES PROZESSES . . . . . BENACHRICHTUNG BEI DER VERARBEITUNG VON PROZESSEN EREIGNISSE FÜR DIE PROZESSGENERIERUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 51 52 52 BEARBEITEN DER EREIGNISSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 BEARBEITEN VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 ALLGEMEINE EIGENSCHAFTEN EINES PROZESSSCHRITTES . . . . . . . . ANGABEN ZUR GENERIERUNG EINES PROZESSSCHRITTES . . . . . . . . FESTLEGEN DES AUSFÜHRENDEN SERVERS . . . . . . . . . . . . . . . . . FEHLERBEHANDLUNG BEI DER VERARBEITUNG VON PROZESSSCHRITTEN BENACHRICHTIGUNG ZUR VERARBEITUNG VON PROZESSSCHRITTEN . . PARAMETER EINES PROZESSSCHRITTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 55 56 57 58 59 BEARBEITEN DER PARAMETER EINES PROZESSSCHRITTES . . . . . . . . . . . . . . . . . . . 60 WERTBELEGUNG VON PARAMETERN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 IMPORTIEREN VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 SUCHEN EINES PROZESSSCHRITTES INNERHALB EINES PROZESSES . . . . . . . . . . . . . . . . 64 KOPIEREN EINES PROZESSSCHRITTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 MEHRFACHBEARBEITUNG VON PROZESSSCHRITTEN . . . . . . . . . . . . . . . . . . . . . . . . . 64 KOPIEREN EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 VERGLEICHEN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 EXPORTIEREN UND IMPORTIEREN VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . 67 SIMULIEREN EINER PROZESSGENERIERUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 GÜLTIGKEITSPRÜFUNG EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 KOMPILIEREN EINES PROZESSES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 AUTOMATISIERTE AUSFÜHRUNG VON PROZESSEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 ARBEITEN MIT DEM EDITOR FÜR PROZESSAUFTRÄGE . . . . . . . . . . . . . . . . . . . . . . . . 74 ERWEITERUNGEN DER MENÜLEISTE UND DER SYMBOLLEISTE ANSICHTEN DES EDITORS . . . . . . . . . . . . . . . . . . . . . FUNKTIONEN IN DER LISTENANSICHT . . . . . . . . . . . . . . FUNKTIONEN IN DER BEARBEITUNGSANSICHT. . . . . . . . . . ERSTELLEN EINES PROZESSAUFTRAGS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 76 76 77 78 PROZESSKOMPONENTEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 KAPITEL 4 FEHLERSUCHE BEI DER PROZESSVERARBEITUNG EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 6 AUFZEICHNUNG VON MELDUNGEN IN DER PROZESSHISTORIE . . . . . . . . . . . . . . . . . . . . . . 86 AUFZEICHNUNG VON MELDUNGEN IM SYSTEMPROTOKOLL . . . . . . . . . . . . . . . . . . . . . . . . 87 PROTOKOLLIERUNG DES IDENTITY MANAGER SERVICES. . . . . . . . . . . . . . . . . . . . . . . . . . 87 KONFIGURATION DER PROTOKOLLDATEI DES IDENTITY MANAGER SERVICES . . . . . . . . . . 87 ANZEIGE DER PROTOKOLLDATEI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 ERWEITERTE FEHLERAUSGABE DES IDENTITY MANAGER SERVICES . . . . . . . . . . . . . . . . 90 AUSGABE VON ERWEITERTEN RÜCKGABEWERTEN EINZELNER PROZESSKOMPONENTEN . . . . . 91 AUSGABE EIGENER MELDUNGEN IN DIE PROTOKOLLDATEI DES IDENTITY MANAGER SERVICES 91 AUFZEICHNUNG VON MELDUNGEN IN DER EREIGNISANZEIGE . . . . . . . . . . . . . . . . . . . 92 PROTOKOLLIERUNG DER PROZESSGENERIERUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 PROTOKOLLIERUNG DER DATENBANKABFRAGEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 PROTOKOLLIERUNG DER OBJEKTAKTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 PROTOKOLLIERUNG VON DBSCHEDULER AUFTRÄGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 KAPITEL 5 DATEIEN DES IDENTITY MANAGERS KONFIGURATIONSDATEIEN DES IDENTITY MANAGER SERVICES . . . . . . . . . . . . . . . . . . . . . 98 JOBSERVICE.CFG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 VINETWORKSERVICE.EXE.CONFIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 PROTOKOLLDATEI DES IDENTITY MANAGER SERVICES . . . . . . . . . . . . . . . . . . . . . . . . . .100 PROTOKOLLDATEI DES HTTPLOGPLUGINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .101 GLOSSAR ............................................................................................................... 103 INDEX .................................................................................................................. 123 7 Quest One Identity Manager 8 1 Über dieses Handbuch • Quest® One Identity Manager • Zielgruppe des Handbuches • Formatierungskonventionen • Über die Quest Software, Inc. Quest One Identity Manager Quest® One Identity Manager Der Quest One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffberechtigungen und Sicherheitsrichtlinien. Er ermöglicht, IAM anhand von Unternehmensanforderungen, statt durch IT Ressourcen, zu betreiben. Der Quest One Identity Manager basiert auf einer prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen IAM Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten. Zielgruppe des Handbuches Dieses Handbuch beschreibt die Funktionen des Identity Managers, mit denen Sie die Prozess-Orchestrierung steuern können. Sie erfahren, wie Sie Prozesse definieren, bearbeiten, simulieren und automatisieren können. Sie erhalten einen Überblick über alle Prozesskomponenten, die als Prozessfunktionen genutzt werden können. Des Weiteren ist beschrieben, wie Sie den Identity Manager konfigurieren, um Fehler in der Prozessverarbeitung zu überwachen und Fehler in der Prozessverarbeitung zu erkennen. Der Identity Manager unterstützt Sie darin durch eine detaillierte Darstellung der Prozesse, Informationen über den Verarbeitungszustand der einzelnen Prozessschritte und den Prozessverlauf. Dieses Handbuch wurde als Nachschlagewerk für Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt. Dieses Handbuch beschreibt die Funktionen des Identity Managers, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung. Bestandteile der Dokumentation Neben dem Handbuch „Prozess-Orchestrierung“ umfasst die Identity Manager-Dokumentation die im Folgenden beschriebenen Handbücher. Sie befinden sich auf der Auslieferungs-CD im Verzeichnis ...\Quest One Identity Manager\Documentation. Erste Schritte Wesentliche Bestandteile des Handbuchs Erste Schritte sind: 10 • Installationsvoraussetzungen • Installation und Aktualisierung der Identity Manager-Administrationswerkzeuge • Einrichtung der Identity Manager-Datenbank • Einrichtung der administrativen Arbeitsstationen • Einrichtung der Server für den Zugriff auf die Datenbank • Überblick über die Administrations- und Konfigurationswerkzeuge des Identity Managers • Benutzeroberfläche der zentralen Identity Manager-Werkzeuge Über dieses Handbuch Identity Management Wesentliche Bestandteile des Handbuchs Identity Management sind: • Identity Management und User Provisioning mit dem Identity Manager • Einhaltung und Überwachung regulatorischer Anforderungen mittels Identity Audit Prozess-Orchestrierung Wesentliche Bestandteile des Handbuchs Prozess-Orchestrierung sind: • Überwachung der Prozessverarbeitung • Steuerung der Prozessverarbeitung • Fehlersuche Konfiguration Wesentliche Bestandteile des Handbuchs Konfiguration sind: • Softwarearchitektur des Identity Managers • Konfiguration des Identity Manager-Datenmodells • Konfiguration der Bearbeitungsrechte • Konfiguration der Benutzeroberflächen • Skriptverarbeitung • Erstellung von Reporten • Datentransport • Parameter zur Systemkonfiguration • Vererbungsmechanismen des Identity Managers • Service Provisioning mittels Service Provisioning Markup Language (SPML) • Providermodus IT Shop Wesentliche Bestandteile des Handbuchs IT Shop sind: • IT Shop zur Selbstversorgung autorisierter Mitarbeiter mit Unternehmensressourcen • Entwicklung von Entscheidungsrichtlinien und Entscheidungsworkflows Web Designer Referenzhandbuch Wesentliche Bestandteile des Web Designer Referenzhandbuchs sind: • Entwicklung und Konfiguration des Web Portals mit dem Web Designer 11 Quest One Identity Manager Formatierungskonventionen In diesem Handbuch werden bestimmte Formatierungskonventionen eingehalten, die die effektive Verwendung des Dokuments sicherstellen. Diese Konventionen werden auf unterschiedliche Vorgänge, Symbole, Tastenkombinationen und Querverweise angewandt. ELEMENT KONVENTION <> Kennzeichnet Schaltflächen und Menüeinträge der Benutzeroberfläche oder Tasten auf der Tastatur. Blaue Schrift Zeigt einen Querverweis an. Wird zum Hervorheben zusätzlicher Informationen verwendet, die für den jeweils beschriebenen Vorgang sachdienlich sind. Wird für empfohlene Vorgehensweisen verwendet. Eine empfohlene Vorgehensweise beschreibt detailliert einen Ablauf von Vorgängen, um optimale Ergebnisse zu erzielen. Damit werden Vorgänge hervorgehoben, die mit Vorsicht durchzuführen sind. + Ein Plus-Zeichen zwischen zwei Tasten bedeutet, dass beide Tasten gleichzeitig gedrückt werden müssen. Über die Quest Software, Inc. Quest Software vereinfacht das Management von IT-Infrastrukturen und sorgt damit für Kostensenkungen bei mehr als 100.000 Kunden weltweit. Die innovativen Lösungen unterstützen Unternehmen selbst bei den größten Herausforderungen des IT-Managements, verbessern die Effizienz der IT-Abläufe und helfen Zeit und Geld zu sparen - über physische, virtuelle und Cloud-Umgebungen hinweg. Weitere Informationen unter www.quest.com. Kontakt zu Quest Software, Inc. E-Mail [email protected] Postanschrift Quest Software, Inc. World Headquarters 5 Polaris Way Aliso Viejo, CA 92656 USA Website www.quest.com Informationen über unsere regionalen und internationalen Niederlassungen entnehmen Sie bitte unserer Website. 12 Über dieses Handbuch Kontakt zum Quest-Support Der Support von Quest ist für Kunden verfügbar, die über eine Evaluierungsversion eines Quest-Produkts verfügen oder die eine kommerzielle Version erworben haben und über einen gültigen Wartungsvertrag verfügen. Der Quest-Support steht Ihnen über SupportLink, unsere Service-Website, rund um die Uhr zur Verfügung. Besuchen Sie SupportLink unter http://support.quest.com/. Auf der SupportLink-Website haben Sie folgende Möglichkeiten: • Schnell Tausende von Lösungen finden (Knowledge Base-Artikel und Dokumente). • Patches und Aktualisierungen herunterladen. • Die Hilfe eines technisch geschulten Support-Mitarbeiters anfordern. • Ihren Fall protokollieren, aktualisieren und seinen Status überprüfen. Im Global Support Guide finden Sie eine ausführliche Erläuterung der Supportprogramme, Onlinedienste, Kontaktinformationen sowie Richtlinien und Vorgehensweisen. Das Handbuch kann unter folgender Adresse heruntergeladen werden: http://support.quest.com/pdfs/Global Support Guide.pdf. 13 Quest One Identity Manager 14 2 Arbeiten mit Job Queue Info • Einleitung • Aufbau der Programmoberfläche • Ansicht der Jobqueue • Ansicht der Jobserver • Ansicht der Prozesshistorie • Ansicht der Basisobjekte • Ansicht eines Prozesses • Ansicht der Prozessschritte • Ansicht der Parameter • Ansicht des Verlaufs • Ermitteln des Serverstatus • Ansicht der DBQueue • Anhalten des Systems (Not-Aus) Quest One Identity Manager Einleitung Das Programm Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der in einem Identity Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und übersichtliche Darstellung der Aufträge in der Jobqueue und verschiedene Abfragen des Identity Manager Services auf den Servern. Das Programm erleichtert die Arbeit mit Prozessen, liefert Zustandsinformationen im laufenden Betrieb und ermöglicht eine schnelle Fehlererkennung und Fehlersuche. Aufbau der Programmoberfläche Die Anmeldung am Programm erfolgt wie im Handbuch Erste Schritte im Abschnitt Anmelden an den Identity Manager-Werkzeugen auf Seite 137 beschrieben. Die graphische Benutzeroberfläche des Programms kann mittels Maus und Tastenkombinationen gesteuert werden. Für eine optimale Darstellung der Graphik empfehlen wir eine minimale Bildschirmauflösung von 1280 x 1024 Bildpunkten mit mindestens 16 Bit Farbtiefe. Die Programmoberfläche von Job Queue Info enthält eine Titelleiste, eine Statuszeile, eine Menüleiste, eine Symbolleiste und einen Bearbeitungsbereich. Innerhalb des Bearbeitungsbereichs sind unterschiedliche Ansichten zur Darstellung der Informationen definiert. Titelleiste In der Titelleiste werden das Programmsymbol, der Name des Programms und die verbundene Datenbank in der Notation <Nutzer>@<Datenbankserver>\<Datenbank(Beschreibung)> angezeigt. Titelleiste mit Programmname und Datenbank Statuszeile In der Statuszeile werden die verbundene Datenbank in der Notation <Server>\<Datenbank (Beschreibung)> und der verbundene Systembenutzer dargestellt. Zusätzlich wird der Systemstatus angezeigt. Datenbankaktivität wie beispielsweise Laden oder Speichern von Objekten wird durch das Statussymbol angezeigt. Erweiterte Statuszeile des Programms Symbole in der Statuszeile SYMBOL BEDEUTUNG Systembenutzer ohne Freigabeschlüssel. Systembenutzer mit Freigabeschlüssel. Die Verarbeitung des DBSchedulers wurde gestoppt, da die Datenbank kompiliert werden muss. 16 Arbeiten mit Job Queue Info Symbole in der Statuszeile SYMBOL BEDEUTUNG Der DBScheduler wurde angehalten. Die Dienste wurden angehalten. Die Datenbank ist verbunden. Status der Datenbank und Anzeige der Berechnungsaufträge des DBSchedulers. Menüleiste Die Menüleiste enthält die Menüs <Datenbank>, <Filter>, <Ansicht> und <Hilfe>. Die Menüs <Datenbank> und <Hilfe> werden immer angeboten. Die Menüs <Filter> und <Ansicht> werden nur angezeigt, wenn eine Datenbank verbunden ist. Menüleiste mit Menübefehlen Allgemeine Tastenkombinationen in der Menüleiste TASTENKOMBINATION AKTION Alt + unterlegter Buchstabe Menü auswählen. Pfeil unten, Pfeil oben Bewegen innerhalb der Menüeinträge eines Menüs. Enter Selektion eines Menüeintrages. Esc Abbruch des Menüs. Job Queue Info - Bedeutung der Menübefehle MENÜ MENÜBEFEHL Datenbank Neue Verbindung... BEDEUTUNG Es wird eine Datenbankverbindung hergestellt. Verbindung schließen Die aktuelle Datenbankverbindung wird geschlossen. Kennwort ändern... Das Kennwort für den angemeldeten Benutzer kann geändert werden. Einstellungen... Es können allgemeine Programmeinstellungen konfiguriert werden. Beenden Das Programm wird beendet. 17 Quest One Identity Manager Job Queue Info - Bedeutung der Menübefehle MENÜ MENÜBEFEHL BEDEUTUNG Filter Filter definieren Zur Erstellung eines Filters wird der Where-Klausel Assistent geöffnet. Filter löschen Der Filter wird gelöscht. Jobqueue Die Ansicht der Jobqueue wird eingeblendet/ausgeblendet. Jobserver Die Ansicht der Jobserver wird eingeblendet/ausgeblendet. Prozesshistorie Die Ansicht der Prozesshistorie wird eingeblendet/ausgeblendet. Basisobjekte Die Ansicht der Basisobjekte wird eingeblendet/ausgeblendet. Prozess Die Ansicht des Prozesses wird eingeblendet/ausgeblendet. Prozessschritt Die Ansicht des Prozessschritts wird eingeblendet/ausgeblendet. Parameter Die Ansicht der Parameter wird eingeblendet/ausgeblendet. Verlauf Die Ansicht des Verlaufs wird eingeblendet/ausgeblendet. Serverstatus Die Ansicht der Serverstatus wird eingeblendet/ausgeblendet. DBQueue Die Ansicht der DBQueue wird eingeblendet/ausgeblendet. Ansicht Standard wiederherstel- Das Standardlayout der Programmoberfläche wird wiederhergelen stellt. Hilfe System anhalten (NotAus) Dialog zum Stoppen des Systems wird angezeigt. Hilfe zum Job Queue Info Die Hilfe zum Programm wird geöffnet. Info... Die Versionsinformationen zum Programm werden angezeigt. Kontextmenüs Einige Elemente des Bearbeitungsbereichs besitzen ein separates Kontextmenü. Kontextmenüs öffnen Sie mit <Shift+F10>, der Kontextmenütaste oder der rechten Maustaste. Der Inhalt eines Kontextmenüs ist abhängig von der Ansicht. Allgemeine Tastenkombinationen für das Kontextmenü TASTENKOMBINATION AKTION Shift + F10 oder Kontexttaste Kontextmenü aufrufen. Pfeil unten, Pfeil oben Bewegen im Kontextmenü. Enter Eintrag im Kontextmenü auswählen. Esc Kontextmenü abbrechen. 18 Arbeiten mit Job Queue Info Symbolleiste Die Symbolleiste wird immer angeboten. Die Symbole werden abhängig von der eingeblendeten Ansicht aktiviert oder deaktiviert. Symbolleiste Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Neue Datenbankverbindung herstellen. Aktuelle Datenbankverbindung schließen. Ansicht der Jobqueue einblenden/ausblenden. Ansicht der Jobserver einblenden/ausblenden. Ansicht der Prozesshistorie einblenden/ausblenden. Ansicht des Prozesses einblenden/ausblenden. Ansicht des Prozessschrittes einblenden/ausblenden. Ansicht der Parameter einblenden/ausblenden. Where-Klausel Assistenten zur Erstellung eines Filters öffnen. Filter löschen. Aktualisierung der Ansichten Die Aktualisierung der Ansichten erfolgt über <F5>. Steht der Fokus in einer Ansicht auf dem Wurzelknoten einer Hierarchie, so wird die gesamte Darstellung aktualisiert und der Hierarchiebaum geschlossen. Diese Aktualisierung erneuert auch den Inhalt der anderen Ansichten. Da sich der Inhalt der Jobqueue ständig ändert, kann es sich bei der Darstellung immer nur um eine Momentaufnahme des Inhaltes handeln. Beim Öffnen eines Knotens oder bei Aktualisierung können die erforderlichen Informationen also schon aus der Jobqueue gelöscht sein. Ist dies der Fall, so wird der entsprechende Eintrag aus der hierarchischen Darstellung entfernt oder es werden entsprechend keine Elemente dargestellt. 19 Quest One Identity Manager Filtern der Ansichten In den Ansichten <Jobqueue>, <Jobserver> und <Prozesshistorie> können Sie die dargestellten Einträge über definierte Filterbedingungen weiter einschränken. Die Filterbedingungen werden bei Programmende gespeichert und beim Programmstart wieder geladen. Zur Definition der Filterbedingungen nutzen Sie den Where-Klausel Assistenten, den Sie über den Menüeintrag <Filter>\<Filter definieren> starten. Über den Menüeintrag <Filter>\<Filter löschen> können Sie die Filterbedingung entfernen. Geben Sie die Bedingung zur Einschränkung der Ergebnismenge an. Die Bedingung wird als gültige Where-Klausel für Datenbankabfragen definiert. Die angegebene Bedingung bezieht sich auf die ausgewählte Datenbanktabelle, die beim Start des Assistenten vorbelegt wird. Erstellen eines Filters Über die Schaltfläche <Weiter> gelangen Sie zur Vorschau. Es werden alle Einträge angezeigt, die der definierten Bedingung entsprechen. Bestätigen Sie nochmals die Schaltfläche <Weiter> wird die Bedingung aus SQL-Abfrage dargestellt. Über die Schaltfläche <Zurück> gelangen Sie zurück zur letzten Ansicht. Mit der Schaltfläche <Fertig> übernehmen Sie die Einstellungen, über die Schaltfläche <Abbruch> verwerfen Sie die Einstellungen. In beiden Fällen wird das Dialogfenster geschlossen. Spaltenkonfiguration In den Ansichten <Jobqueue>, <Jobserver>, <Prozesshistorie> und <Basisobjekte> können Sie festlegen, welche Spalten in den einzelnen Darstellungen abgebildet werden sollen. Dazu wählen Sie einen Knoten in der hierarchischen Darstellung und öffnen über das Kontextmenü <Spalten konfigurieren> das Dialogfenster zur Spaltenkonfiguration. Über die Pfeiltasten können Sie die gewünschten Spalten übernehmen und die Reihenfolge ihrer Darstellung ändern. Über die Schaltfläche <OK> übernehmen Sie Ihre Konfigurationseinstellungen, über 20 Arbeiten mit Job Queue Info die Schaltfläche <Abbruch> brechen Sie die Spaltenkonfiguration ab. In beiden Fällen wird das Dialogfenster geschlossen. Konfiguration der Spalten In den Ansichten <Jobqueue>, <Jobserver>, <Prozesshistorie> und <Basisobjekte> können Sie die Breite der dargestellten Spalten anpassen. Dafür ist folgendes Verhalten implementiert: • Per Maus-Doppelklick auf einen Spaltenbegrenzer wird die Spalte optimal verbreitert. • Per <Shift> + Maus-Doppelklick auf einen Spaltenbegrenzer werden alle Spalten optimal verbreitert. Anpassen der Programmeinstellungen Über das Menü <Datenbank>\<Einstellungen...> können Sie folgende Programmeinstellungen vornehmen: • Sprache Legen Sie die Sprache der Programmoberfläche fest. Die Änderung wird bei Neustart des Programms wirksam. Dabei wird die Sprache global für alle Programme des Identity Managers festgelegt, somit muss die Spracheinstellung nicht in jedem Programm erneut vorgenommen werden. Weitere Informationen erhalten Sie im Handbuch Konfiguration im Abschnitt Sprachen für die Anzeige und Pflege der Daten auf Seite 279. • Ergebnismengengrenze Mit dieser Begrenzung legen Sie die Anzahl der zu ladenden und darzustellenden Einträge für Prozesse oder Prozessschritte fest. • Serverstatus Für die Abfrage des Serverstatus der Jobserver geben Sie den HTTP Port an, an dem der Identity Manager Service arbeitet. Standardwert ist Port 1880. Zusätzlich legen Sie die maximale Dauer einer Statusabfrage fest. Die Angabe erfolgt in Sekunden. Jobserver, die innerhalb dieser Zeit nicht antworten, gelten als nicht erreichbar. 21 Quest One Identity Manager • Prozesshistorie Mit dieser Einstellung können Sie die Darstellung der Prozesshistorie auf die Prozesse mit Fehlern beschränken. Die Einstellung hat keine Auswirkung auf die Aufzeichnung der Prozesshistorie, sondern nur auf die Darstellung im Programm. Über die Schaltfläche <OK> übernehmen Sie Ihre Einstellungen, über die Schaltfläche <Abbruch> brechen Sie die Konfiguration ab. In beiden Fällen wird das Dialogfenster geschlossen. Konfiguration der Programmeinstellungen Ändern des Kennwortes für den angemeldeten Benutzer Über den Menüeintrag <Datenbank>\<Kennwort ändern...> können Sie das Kennwort für den aktuell angemeldeten Benutzer ändern. Geben Sie das alte Kennwort sowie das neue Kennwort einschließlich der Kennwortwiederholung an und übernehmen Sie die Änderung mit <OK>. Dialogfenster zum Ändern des Kennwortes eines Benutzers 22 Arbeiten mit Job Queue Info Ansicht der Jobqueue Die Ansicht <Jobqueue> zeigt den Inhalt der Jobqueue gruppiert nach Prozessen. In der ersten Hierarchieebene werden alle Prozesse mit Anzahl dargestellt. Ansicht der Jobqueue Wird ein Prozessknoten geöffnet, so werden alle Prozesse mit ihrer Startzeit eingeblendet. Unterhalb eines solchen Prozessknotens erfolgt die Abbildung des kompletten Prozesses in seiner Hierarchie. Dabei enthält jeder Prozessschritt seinen Erfolgs- und Fehlerzweig als Unterelemente. Über den Eintrag im Kontextmenü <Prozess überwachen> erfolgt eine regelmäßige Aktualisierung der Informationen zum Prozess. Ansicht der Jobqueue - Bedeutung der Symbole SYMBOL BEDEUTUNG Die Prozesse werden nach Namen zusammengefasst. Die Anzahl der Prozesse wird aufgeführt. Es wird die Startzeit der einzelnen Prozesse dargestellt. Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Erfolgsfall. Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Fehlerfall. 23 Quest One Identity Manager Zur besseren Übersicht spiegelt sich der jeweilige Ausführungsstatus eines Prozessschritts in der Schriftfarbe wider. Darstellung der Jobqueue - Bedeutung der Farben FARBE BEDEUTUNG AUSFÜHRUNGSSTATUS Orange Dieser Prozessschritt ist in Verarbeitung. Processing Gelb Dieser Prozessschritt ist zur Verarbeitung geladen. Loaded Grün Dieser Prozessschritt ist zur Abarbeitung bereit. True Blau Dieser Prozessschritt ist bereits verarbeitet. Finished Schwarz Dieser Prozessschritt ist noch nicht zur Abarbeitung bereit. False Rot Es handelt sich um einen Prozessschritt, der nicht verarbeitet werden kann. Prozessschritte mit den Ausführungszuständen „Frozen“ und „Overlimit“ können Sie reaktivieren und somit erneut zur Abarbeitung einstellen. Frozen/Overlimit/ unbekannt Reaktivieren von Prozessschritten Zur Verhinderung von Massenänderungen kann die maximale Anzahl, mit der ein Prozess in der Jobqueue vorhanden sein darf, limitiert werden. Bei Überschreitung des Limits werden die Prozessschritte auf den Status „Overlimit“ gesetzt und somit nicht mehr zur Verarbeitung abgeholt. Diese Prozessschritte können Sie über den Kontextmenüeintrag <Prozessschritt reaktivieren> erneut zur Ausführung einstellen. Kritische Prozessschritte, deren Verarbeitung fehl geschlagen ist, werden auf den Ausführungsstatus „Frozen“ gesetzt. Diese Prozessschritte können Sie nach Beseitigung der Fehlerursache über den Kontextmenüeintrag <Prozessschritt reaktivieren> ebenfalls erneut zur Ausführung einstellen. Mit <Shift> + Auswahl bzw. <Strg> + Auswahl können Sie mehrere Prozessschritte auswählen und reaktivieren. Reaktivieren von Prozessschritten 24 Arbeiten mit Job Queue Info In einigen Fällen ist die erneute Ausführung des fehlgeschlagenen Prozessschritts nicht erwünscht. Dies kann der Fall sein, wenn die Aktionen des Prozessschritts bereits manuell ausgeführt wurden, beispielsweise ein erwartetes Verzeichnis manuell angelegt wurde. Ebenso kann es vorkommen, dass eine Fehlerursache nicht behebbar ist, der Prozess aber zur weiteren Abarbeitung fortgesetzt werden soll, beispielsweise für ein Rollback der bereits ausgeführten Schritte. Für diese Fälle kann zur weiteren Ausführung des Prozesses der nächste Prozessschritt im Erfolgszweig oder im Fehlerzweig abgearbeitet werden. Dazu nutzen Sie die Kontextmenüeinträge <Mit Erfolg beenden> oder <Mit Fehler beenden> des fehlgeschlagenen Prozessschritts. Beide Einträge sind nur sichtbar, wenn es einen Fehler-/Erfolgsnachfolger gibt und der Prozessschritt im Status „Frozen“ ist. Mit <Shift> + Auswahl bzw. <Strg> + Auswahl können Sie mehrere Prozessschritte auswählen und die Weiterverarbeitung starten. Ansicht der Jobserver Die Ansicht <Jobserver> zeigt den Inhalt der Jobqueue sortiert nach den ausführenden Servern. In der ersten Hierarchieebene werden alle Jobserver mit der Anzahl der verschiedenen Prozessfunktionen dargestellt, die in der Jobqueue für die Jobserver vorhanden sind. Wird ein Jobserverknoten geöffnet, so werden die Prozessfunktionen aufgelistet und die Anzahl der Prozessschritte pro Prozessfunktion eingeblendet. Unterhalb eines Prozessfunktionsknotens erfolgt die Abbildung der Prozessschritte sortiert nach ihrer Startzeit. Ansicht der Jobserver Ansicht der Jobserver - Bedeutung der Symbole SYMBOL BEDEUTUNG Es wird der Jobserver, welcher die Prozessfunktion ausführt, dargestellt. Pro Jobserver wird die Anzahl der verschiedenen Prozessfunktionen angezeigt. Es wird die auszuführende Prozessfunktion angezeigt. Pro Prozessfunktion wird die Anzahl der Prozessschritte aufgeführt. 25 Quest One Identity Manager Ansicht der Jobserver - Bedeutung der Symbole SYMBOL BEDEUTUNG Es wird die Startzeit des Prozessschritts angezeigt. Ansicht der Prozesshistorie Die Ansicht <Prozesshistorie> zeigt den Inhalt der Tabelle „JobHistory“. Der Verlauf der Prozessverarbeitung wird sortiert nach Prozessen dargestellt. Sie können die Darstellung der Prozesse in der Prozesshistorie über die Programmeinstellungen auf die Prozesse mit Fehlern beschränken (siehe Anpassen der Programmeinstellungen auf Seite 21). Bei Auswahl eines fehlerhaften Prozessschrittes wird die komplette Fehlermelung als Tooltip angezeigt. Ansicht der Prozesshistorie Ansicht der Prozesshistorie - Bedeutung der Symbole SYMBOL BEDEUTUNG Die Prozesse werden nach Namen zusammengefasst. Die Anzahl der Prozesse wird aufgeführt. Es wird die Startzeit der einzelnen Prozesse dargestellt. Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Erfolgsfall. Angezeigt wird die ausgeführte Prozessfunktion und der Verarbeitungsstatus des Prozessschritts. Bei diesem Prozessschritt handelt es sich um den nachfolgenden Prozessschritt im Fehlerfall. Angezeigt wird die ausgeführte Prozessfunktion und der Verarbeitungsstatus des Prozessschritts. 26 Arbeiten mit Job Queue Info Zur besseren Übersicht wird der sich der jeweilige Verarbeitungsstatus eines Prozessschritts zusätzlich über die Schriftfarbe angezeigt. Ansicht der Prozesshistorie - Bedeutung der Farben FARBE BEDEUTUNG Schwarz Dieser Prozessschritt wurde fehlerfrei verarbeitet. Rot Bei der Verarbeitung dieses Prozessschritts ist ein Fehler aufgetreten. Ansicht der Basisobjekte In dieser Ansicht werden für ein verarbeitetes Objekt die Einträge aus der Prozesshistorie und die aktuellen Einträge aus der Jobqueue zusammengefasst. Tritt während der Verarbeitung ein Fehler auf und die Verarbeitung des Prozesse wird gestoppt (Ausführungsstatus „Frozen“ oder „Overlimit“), so können Sie in dieser Ansicht den bisherigen Verarbeitungsverlauf analysieren. Zur Weiterverarbeitung der Prozesse stehen Ihnen hier die in den Abschnitten Ansicht der Jobqueue auf Seite 23 und Ansicht der Prozesshistorie auf Seite 26 beschriebenen Funktionen zur Verfügung. Nach erfolgreicher Verarbeitung aller Prozesse eines Objektes werden die Einträge aus der Ansicht zur Fehlerbehandlung entfernt. Ansicht der Basisobjekte zur Fehlerbehandlung Ansicht eines Prozesses Diese Ansicht gibt einen Überblick über die Verkettung der Prozessschritte eines Prozesses. Somit kann bei umfangreicheren Prozessen die Verarbeitungsreihenfolge der einzelnen Prozessschritte besser beobachtet werden. 27 Quest One Identity Manager Nach der Auswahl eines Prozesses in der Jobqueueansicht oder der Jobserveransicht werden in der Ansicht <Prozess> alle Prozessschritte des ausgewählten Prozesses dargestellt. Ansicht eines Prozesses Die Darstellung der Prozessschritte und ihrer Eigenschaften erfolgt über ein spezielles Steuerelement. In der Kopfzeile des Steuerelementes wird der Ausführungsstatus des Prozessschritts sowie die Bezeichnung des Prozessschritts angezeigt. Der Ausführungsstatus des Prozessschritts wird zusätzlich über die Symbolfarbe verdeutlicht. Alle weiteren Einträge repräsentieren die Parameter dieses Prozessschritts. Die Liste der Parameter können Sie über das Symbol in der Kopfzeile des Steuerelementes einund ausblenden. Jeder Eintrag des Steuerelementes verfügt über einen Tooltip. Der Tooltip des Prozessschritts enthält die Bezeichnung der ausführenden Queue, den Namen der Prozesskomponente, den Namen der Prozessfunktion, den Ausführungsstatus sowie die Startzeit des Prozessschritts. Der Tooltip eines Parameters zeigt den Parameternamen und den Wert des Parameters. Darstellung der Prozessschritte eines Prozesses - Bedeutung der Symbole SYMBOL BEDEUTUNG Anzeige des Ausführungsstatus des Prozessschrittes. Jeder Ausführungsstatus wird farbig gekennzeichnet. Parameter des Prozessschritts einblenden Parameter des Prozessschritts ausblenden 28 Arbeiten mit Job Queue Info Darstellung der Prozessschritte eines Prozesses - Bedeutung der Farben FARBE BEDEUTUNG AUSFÜHRUNGSSTATUS Orange Dieser Prozessschritt ist in Verarbeitung. Processing Gelb Dieser Prozessschritt ist zur Verarbeitung geladen. Loaded Grün Dieser Prozessschritt ist zur Abarbeitung bereit. True Blau Dieser Prozessschritt ist bereits verarbeitet. Finished Schwarz Dieser Prozessschritt ist noch nicht zur Abarbeitung bereit. False Rot Es handelt sich um einen Prozessschritt, der nicht verarbeitet werden kann. Prozessschritte mit den Ausführungszuständen „Frozen“ und „Overlimit“ können Sie reaktivieren und somit erneut zur Abarbeitung einstellen. Frozen/Overlimit/ unbekannt Ansicht der Prozessschritte In dieser Ansicht werden detaillierte Informationen der einzelnen Prozessschritte dargestellt. Die Ansicht stellt die Datenstruktur eines Prozessschrittes zur Kompilierzeit dar. Nach der Auswahl eines Prozessschritts in der Jobqueueansicht oder der Jobserveransicht werden in der Ansicht <Prozessschritt> die spezifischen Informationen aus der Jobqueue sowie die Einzelparameter des gewählten Prozessschritts mit ihren konkreten Werten abgebildet. Ansicht eines Prozessschritts 29 Quest One Identity Manager Ansicht eines Prozessschritts - Bedeutung der Symbole SYMBOL BEDEUTUNG Es erfolgt die Auswahl eines Prozessschritts und seiner Parameter. Es wird eine Spalte der Tabelle „Jobqueue“ mit ihrer Wertbelegung dargestellt. Es wird ein Parameter des Prozessschritts mit seiner Wertbelegung angezeigt. In der Ansicht können Sie die aktuell ausgewählten Daten mit der Tastenkombination <Strg + C> in die Zwischenablage kopieren. Das Format der Daten ist: Spaltenname = Wert Ansicht der Parameter Nach der Auswahl eines Prozessschritts in der Jobqueueansicht oder der Jobserveransicht werden in der Ansicht <Parameter> die Übergabeparameter des ausgewählten Prozessschritts mit ihrem Namen und ihrem Wert dargestellt. Repräsentiert der ausgewählte Knoten keinen Prozessschritt, so wird die Parameteransicht geleert. Ansicht der Parameter eines Prozessschritts In der Parameteransicht können Sie die aktuell ausgewählten Daten mit der Tastenkombination <Strg + C> in die Zwischenablage kopieren. Das Format der Daten ist: Spaltenname = Wert 30 Arbeiten mit Job Queue Info Anzeige von Out-Parametern Parameter vom Typ „OUT“ bzw. „INOUT“ sind Parameter, in der eine Prozesskomponente einen Wert nach außen liefern kann. Dieser Wert steht dann allen nachfolgenden Prozessschritten des Prozesses zur Verfügung und kann als Wertbelegung für IN-Parameter dienen. Job Queue Info kann technisch nicht bestimmen, ab wann bzw. für welchen Prozessschritt diese Parameter gelten. Deshalb werden Out-Parameter zur Liste der Parameter eines Prozessschrittes hinzugefügt (Blau gekennzeichnet). Sie sind nicht in der Ansicht <Prozessschritt> unter <ParamIN> eines Prozessschrittes zu sehen, da diese Ansicht die Datenstruktur eines jeden Prozessschrittes zur Kompilierzeit darstellt, die Out-Parameter entstehen jedoch im Kontext des Prozesses. Es ist von Bedeutung, zu welchem Zeitpunkt der Prozess in Job Queue Info geladen wird. Wird ein Parameter mehrfach überschrieben, so wird nur der Stand zum Zeitpunkt der Datenabfrage angezeigt. Beispiel: Schritt 1 Out-Parameter: X=1 Schritt 2 In-Parameter: X=1 Änderung des Wertes: X=2 Out-Parameter: X=2 Schritt 3 In-Parameter: X=2 Wird der Prozess in Job Queue Info vor der Verarbeitung „Schritt 2“ geladen, wird im Job Queue Info für den Out-Parameter der Wert „X=1“ angezeigt. Wird der Prozess nach der Verarbeitung von „Schritt 2“ geladen, wird für den Out-Parameter der Wert „X=2“ angezeigt. Genauere Informationen zu den einzelnen Prozessschritten und deren Parameterbelegungen erhalten Sie in der Protokolldatei des Identity Manager Services. 31 Quest One Identity Manager Ansicht des Verlaufs In der Verlaufsansicht wird die Anzahl der Einträge in der Jobqueue abgefragt. Dabei wird der aktuelle Wert als Zahl dargestellt und gleichzeitig in einem Balkendiagramm eingefügt. Der Ausführungsstatus der Prozessschritte wird in unterschiedlichen Farben dargestellt. Die Aktualisierung der Darstellung erfolgt in einem festgelegten Zeitintervall von 5 Sekunden. Ansicht des Verlaufs Ansicht des Verlaufs - Bedeutung der Farben FARBE BEDEUTUNG AUSFÜHRUNGSSTATUS Schwarz Anzahl der Prozessschritte, die noch nicht zur Abarbeitung bereit sind. False Grün Anzahl der Prozessschritte, die zur Abarbeitung bereit sind. True Gelb Anzahl der Prozessschritte, die zur Verarbeitung geladen sind. Loaded Blau Anzahl der Prozessschritte, deren Verarbeitung abgeschlossen ist. Finished Rot Anzahl der Prozessschritte, mit unbekannten Ausführungssta- Frozen/Overlimit/unbetus kannt 32 Arbeiten mit Job Queue Info Ermitteln des Serverstatus Die Ansicht <Serverstatus> liefert einen schnellen Überblick über die Verfügbarkeit aller Jobserver im Netz. Job Queue Info zieht für genauere Ergebnise der Statusabfragen auch die in der Datenbank hinterlegte Identity Manager Service Konfiguration der einzelnen Jobserver heran. Dies ist insbesondere erforderlich, wenn der Port des HTTP Servers individuell eingestellt wurde oder ein Jobserver mehrere Queues bedient. Lesen Sie dazu die Identity Manager Service Konfiguration der Jobserver über den Zeitplan „Konfigurationsdatei vom Jobserver holen und in die Jobserverkonfiguration schreiben“ in die Datenbank ein. Den Zeitplan konfigurieren und aktivieren Sie im Designer in der Kategorie <Basisdaten>\<Zeitpläne>. Lesen Sie dazu auch den Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274 im Handbuch Konfiguration. Serverstatus abfragen Mit <F5> starten Sie die Statusabfrage aller in der Datenbank vorhandenen Jobserver. Den Status eines einzelnen Servers können Sie über das Kontextmenü <Status ermitteln> abfragen. Den abzufragenden HTTP Port und maximale Antwortzeit legen Sie über die Programmeinstellungen fest (siehe Anpassen der Programmeinstellungen auf Seite 21). Meldet sich der Server, so werden die Systemzeit, die Version des Identity Manager Service und das Dienstkonto des Identity Manager Service aus der Antwort ermittelt und angezeigt. Zusätzlich werden der Status der Softwareaktualisierung sowie der aktuelle Softwarestand auf dem Server dargestellt. Über das Kontextmenü <Im Browser öffnen> wird für einen Server der HTTP-Server des Identity Manager Service angesprochen und die verschiedenen Dienste des Identity Manager Service werden angezeigt. Sollte es erforderlich sein, die Prozessverarbeitung eines Jobservers vorübergehend zu unterbrechen, verwenden Sie den Kontextmenüeintrag <Prozessverarbeitung anhalten>. Über das Kontextmenü <Prozessverarbeitung fortsetzen> starten Sie die Prozessverarbeitung wieder. 33 Quest One Identity Manager Ansicht der DBQueue Innerhalb des Identity Managers sind bei Änderungen vererbungsrelevanter Daten, wie beispielsweise Zuweisungsänderungen, oder bei Änderung bestimmter Systemdaten, wie beispielweise Änderungen der Benutzeroberfläche für einen Systembenutzer, Neuberechungen der resultierenden Daten erforderlich. Diese Berechnungsaufträge werden in die DBQueue eingestellt und durch den DBScheduler verarbeitet. In der Ansicht <DBQueue> werden die Berechnungsaufträge in der Tabelle „DialogDBQueue“ dargestellt, die zur Abarbeitung durch den DBScheduler bereitstehen. Angezeigt werden die Anzahl, die Sortierung und der Name der eingestellten Aufträge. Die Aktualisierung der Darstellung erfolgt in einem festgelegten Zeitintervall von zwei Sekunden. Ansicht der DBQueue Der DBScheduler wird durch einen Datenbankschedule „VID_DBScheduler“ in regelmäßigen Abständen ausgeführt. Mit entsprechenden administrativen Rechten können Sie die Abarbeitung der Berechnungsaufträge bei Bedarf manuell starten. Sofern Sie zur Nutzung dieser Programmfunktion berechtigt sind, 34 Arbeiten mit Job Queue Info können Sie per Maus-Rechtsklick auf das Datenbankstatussymbol in der Statuszeile des Programms ein Dialogfenster zur Anzeige der Datenbankinformationen öffnen. Erweiterte Informationen zum DBScheduler Auf dem Tabreiter <Berechnungsstatus> werden die Informationen zum Status des SQL Server Agents und zum Status des DBSchedulers angezeigt. Den DBScheduler können Sie serverseitig über den SQL Server Agenten (Schaltfläche <Agent starten> oder direkt auf der Verbindung des angemeldeten Nutzers (Schaltfläche <Direkt starten>) starten. Der Tabreiter <offene Berechnungsaufträge> zeigt die aktuell anstehenden Aufträge der DBQueue an. Diese werden mit dem nächsten Verarbeitungslauf des DBSchedulers verarbeitet. Auf dem Tabreiter <Systemprotokoll> werden die neuesten Einträge des DBSchedulers in das Systemprotokoll dargestellt (siehe auch Aufzeichnung von Meldungen im Systemprotokoll auf Seite 87). Über die Schaltfläche <Schließen> schließen Sie das Dialogfenster. Anhalten des Systems (Not-Aus) In einigen Fällen können Systemsituationen auftreten, die einen sofortigen Stopp der Prozessverarbeitung durch den Identity Manager Service und der Verarbeitung von Aufträgen durch den DBScheduler erfordern. So können beispielsweise Änderungen innerhalb des Identity Managers dazu führen, dass Masseneinträge in die Jobqueue oder die DBQueue vorgenommen werden und es so zu einer Überlastung des Systems kommen kann. Um die Systemsituation zu analysieren und gegebenenfalls die notwendigen Schritte zur Problembehebung auszuführen, kann im Job Queue Info das System angehalten und nach der Problembeseitigung wieder gestartet werden. 35 Quest One Identity Manager Anhalten und Starten des Systems können Sie mit entsprechenden administrativen Rechten über das Menü <Hilfe>, Eintrag <System anhalten (Not-Aus)> auslösen. Anhalten und Starten des Systems Über die Schaltfläche <DBScheduler> wird der DBScheduler angehalten. Ab diesem Zeitpunkt werden keine neue Berechnungen innerhalb der Datenbank durchgeführt. Nach Behebung des Problems kann über die Schaltfläche die Ausführung des DBSchedulers wieder gestartet werden. Über die Schaltfläche <Identity Manager Service> wird die Abholung von Prozessschritten für alle Identity Manager Services angehalten. Bereits abgeholte Prozessschritte werden von den Diensten noch verarbeitet, es werden jedoch keine neuen Prozessschritte an die Dienste gesendet. Nach Behebung des Problems kann über die Schaltfläche die Ausführung der Dienste wieder gestartet werden. Der Stopp des DBSchedulers und der Dienste wird in allen Administrationswerkzeugen durch entsprechende Symbole in der Statuszeile angezeigt. Besondere Symbole in der Statuszeile für den Systemstopp SYMBOL BEDEUTUNG Der DBScheduler wurde angehalten. Die Serverdienste wurden angehalten. 36 3 Prozessverarbeitung im Identity Manager • Einleitung • Arbeiten mit dem Prozesseditor • Definieren von Prozessen • Automatisierte Ausführung von Prozessen • Prozesskomponenten Quest One Identity Manager Einleitung Das Funktionsprinzip des Identity Managers erlaubt es, flexibel Aktionen und Abläufe bestimmten Ereignissen zuzuordnen. So werden zum Beispiel die auszuführenden Schritte beim Anlegen eines Benutzerkontos in Form eines Ablaufes beschrieben. Einzelne Aktionen werden dabei durch Prozessschritte repräsentiert, die Abläufe durch die Verkettung von Prozessschritten zu Prozessen modelliert. Arbeiten mit dem Prozesseditor Der Prozesseditor ist das Programm mit dem Sie die Prozesse definieren und bearbeiten. Der Editor wird über das Programm „Designer“ gestartet und in der Dokumentenansicht des Programms geöffnet. Die allgemeinen Funktionen des Programms „Designer“ sind im Kapitel Arbeiten mit dem Designer auf Seite 29 beschrieben. An dieser Stelle wird nur auf die zusätzlichen Funktionen des Editors eingegangen. Oberfläche des Designers mit Prozesseditor 38 Prozessverarbeitung im Identity Manager Erweiterungen der Menüleiste und der Symbolleiste Nach dem Start des Editors sind die nachfolgenden Erweiterungen in der Menüleiste verfügbar. Bedeutung der Einträge in der Menüleiste MENÜ MENÜEINTRAG BEDEUTUNG TASTENKOMBINATION Prozess Neu Es wird ein neuer Prozess erstellt. Strg + N Löschen Der ausgewählte Prozess wird nach einer Sicherheitsabfrage gelöscht. Neu anordnen Der Prozess wird im Prozessdokument neu angeordnet. Fehlerkontrolle Es wird eine Gültigkeitsprüfung für den Prozess ausgeführt. Meldungen werden in der Ansicht <Prozessfehlerkontrolle> ausgegeben. Prozesse vergleichen... Es wird das Dialogfenster für den Prozessvergleich gestartet. Kompilieren Der ausgewählte Prozess wird testweise kompiliert. Meldungen werden in der Ansicht <Compilerfehler> ausgegeben. Kompilieren und in DB speichern Der ausgewählte Prozess wird kompiliert und die Assembly in der Datenbank gespeichert. Meldungen werden in der Ansicht <Compilerfehler> ausgegeben. Exportieren... Der ausgewählte Prozess wird in eine XMLDatei exportiert. Importieren... Der ausgewählte Prozess wird aus einer XML-Datei in die Datenbank importiert. Kopieren... Der Assistent zum Kopieren eines Prozesses wird geöffnet. Ansicht Es wird zwischen den Ansichten gewechselt. Ansicht/ Bearbeitungsansicht Diese Sicht ist die Standardansicht zur Bearbeitung von Prozessen. Ansicht/Simulationsansicht In dieser Sicht wird der Assistent zur Prozesssimulation gestartet. Ansicht/ Quellcodeansicht Diese Ansicht ist nur bei aufgetretenen Compiler-Fehlermeldungen verfügbar. Ansicht/ Prozessgeneratorlog In dieser Ansicht wird das Prozessgenerierungsprotokoll nach einer Simulation angezeigt. 39 Quest One Identity Manager Bedeutung der Einträge in der Menüleiste TASTENKOMBINATION MENÜ MENÜEINTRAG BEDEUTUNG Prozessschritt Neu Es wird ein neuer Prozessschritt in das Prozessdokument eingefügt. Löschen Der ausgewählte Prozessschritt wird aus der dem Prozessdokument gelöscht. Importieren Es kann datenbankweit nach einem Prozessschritt gesucht werden und dieser in ein Prozessdokument importiert werden. Suchen Es wird innerhalb des ausgewählten Prozes- Strg + F ses nach einem Prozessschritt gesucht. Kopieren Der ausgewählte Prozessschritt wird in die Zwischenablage kopiert. Ausschneiden Der ausgewählte Prozessschritt wird aus dem Prozessdokument ausgeschnitten. Einfügen Der ausgewählte Prozessschritt wird aus der Zwischenablage in das Prozessdokument eingefügt. Prozessfehler Es wird die Ansicht <Prozessfehlerkontrolle> eingeblendet/ausgeblendet. Compilerfehler Es wird die Ansicht <Compilerfehler> eingeblendet/ausgeblendet. Parameter/Ereignisse Es wird die Ansichten <Parameter> bzw. <Ereignisse> werden eingeblendet/ausgeblendet. Eigenschaften Die Bearbeitungsansicht wird eingeblendet/ ausgeblendet. Hilfe zur Prozessbearbeitung Die Hilfe zum Thema wird geöffnet Hilfe zum Prozesseditor Die Hilfe zum Editor wird geöffnet. Ansicht Hilfe Der Editor verfügt über eigene Symbolleisten, die Sie per Kontextmenü ein- oder ausblenden können. Die Symbole werden abhängig von der eingeblendeten Ansicht aktiviert oder deaktiviert. Symbolleiste Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Erstellen eines neuen Prozess. Löschen des Prozesses. 40 Prozessverarbeitung im Identity Manager Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Fehlerkontrolle für den Prozess ausführen. Prozess neu anordnen. Kompilieren des Prozesses. Kompilieren des Prozesses und Speichern der Assemblies. Exportieren des Prozesses. Importieren eines Prozesses. Einfügen eines neuen Prozessschrittes. Löschen des Prozessschrittes. Suchen eines Prozessschrittes und Importieren des Prozessschrittes in das Prozessdokument. Kopieren des Prozessschrittes in die Zwischenablage. Ausschneiden des Prozessschrittes. Einfügen des Prozessschritt aus der Zwischenablage. Bearbeitungsansicht einblenden/ausblenden. Simulationsansicht einblenden/ausblenden. Quellcodeansicht einblenden/ausblenden. Prozessgenerierungsprotokoll anzeigen (nach einer Simulation). Bildschirmansicht schrittweise vergrößern. Genaue Einstellung der Bildschirmansicht. Bildschirmansicht schrittweise verkleinern. Bearbeitungsansicht einblenden/ausblenden. Ansicht der Compilerfehler einblenden/ausblenden. 41 Quest One Identity Manager Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Ansicht der Prozessfehlerkontrolle einblenden/ausblenden. Ansichten im Prozesseditor Der Prozesseditor verfügt über verschiedene Ansichten zur Bearbeitung der Prozesse und Prozessschritte: 42 • Prozessdokument • Bearbeitungsansicht für Prozesse und Prozessschritte • Bearbeitungsansicht für Ereignisse und Parameter • Prozessfehlerkontrolle • Compilerfehlermeldungen • Quellcodeansicht • Simulationsansicht Prozessverarbeitung im Identity Manager Funktionen im Prozessdokument Im Prozessdokument wird ein Prozess mit seinen Prozessschritten über spezielle Steuerelemente dargestellt und bearbeitet. Für jeden Prozess wird ein separates Prozessdokument geöffnet. Zum Umgang mit einem Prozessdokument lesen Sie den Abschnitt Arbeiten mit einem Prozessdokument auf Seite 46. Prozessdokument mit Prozess 43 Quest One Identity Manager Funktionen in der Bearbeitungsansicht für Prozesse und Prozessschritte In der Bearbeitungsansicht bearbeiten Sie die Eigenschaften eines Prozesses oder eines Prozessschrittes. Je nach Auswahl eines Elementes im Prozessdokument werden die Eigenschaften des Prozesses oder des Prozessschrittes angezeigt. Für die Eingabefelder ist ein Standardkontextmenü verfügbar. Bearbeitungsansicht für Prozesse Funktionen in der Bearbeitungsansicht für Ereignisse und Parameter In der Bearbeitungsansicht bearbeiten Sie die Eigenschaften der Ereignisse eines Prozesses oder der Parameter eines Prozessschrittes. Je nach Auswahl eines Elementes im Prozessdokument werden die Ereignisse oder die Parameter angezeigt. Durch Maus-Einfachklick auf einen Eintrag können Sie diesen direkt bearbeiten. Bearbeitungsansicht für Ereignisse 44 Prozessverarbeitung im Identity Manager Bearbeitungsansicht für Parameter Die Ansicht hat eine eigene Symbolleiste. Die Funktionen beziehen sich je nach Auswahl auf die Bearbeitung der Ereignisse oder der Parameter. Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Ein neues Ereignis/neuer Parameter wird erstellt. Das Ereignis/der Parameter wird gelöscht. Das Dialogfenster zur Bearbeitung des Ereignisses/des Parameters wird geöffnet. Funktionen in der Ansicht zur Prozessfehlerkontrolle In der Prozessfehlerkontrolle wird das Ergebnis der Gültigkeitsprüfung ausgegeben und bleibt bis zur erneuten Gültigkeitsprüfung erhalten. Durch Maus-Doppelklick auf eine Fehlermeldung in der Ansicht wird der entsprechende Prozess oder Prozessschritt im Prozessdokument aktiviert. Ansicht der Prozessfehlerkontrolle 45 Quest One Identity Manager Funktionen in der Ansicht der Compilerfehler Treten beim Kompilieren eines Prozesses Fehler auf, werden die Fehlermeldungen in dieser Ansicht ausgegeben. Durch Maus-Doppelklick auf eine Fehlermeldung in der Ansicht wird der entsprechende Prozess oder Prozessschritt im Prozessdokument aktiviert. Ansicht der Compilerfehler Funktionen in der Quellcodeansicht Treten während der Übersetzung Fehler auf, dann ist die Quellcodeansicht aktiviert. Diese Ansicht dient lediglich zur Darstellung des Quellcodes, eine Bearbeitung des Eintrages ist nicht möglich. Durch MausDoppelklick auf die Fehlermeldung in der Ansicht der Compilerfehler wird bei angeschalteter Quellcodeansicht zur entsprechenden Zeile gesprungen. Funktionen in der Simulationsansicht Beim Wechsel in die Simulationsansicht, wird ein Assistent gestartet, mit welchem die Generierung eines Prozesses getestet werden kann. Die Funktionsweise des Assistenten wird im Abschnitt Simulieren einer Prozessgenerierung auf Seite 67 näher erläutert. Arbeiten mit einem Prozessdokument Im Prozessdokument wird ein Prozess mit seinen Prozessschritten über spezielle Steuerelemente dargestellt und bearbeitet. Beim Einfügen eines neuen Prozesses wird zunächst ein neues Prozessdokument mit einem Prozesselement erzeugt. Über das Kontextmenü im Prozessdokument fügen Sie ein neues Prozessschrittelement ein. Einträge im Kontextmenü des Prozessdokumentes EINTRAG IM KONTEXTMENÜ BEDEUTUNG Neu Es wird ein neues Prozessschrittelement zur Bearbeitung eines Prozessschrittes angelegt. Löschen Der gewählte Prozessschritt wird gelöscht. Kopieren Der ausgewählte Prozessschritt wird in die Zwischenablage kopiert. Einfügen Der Prozessschritt aus der Zwischenablage wird eingefügt. Eigenschaften Die allgemeine Objekteigenschaften des gewählten Eintrags werden angezeigt. 46 Prozessverarbeitung im Identity Manager Die einzelnen Elemente verketten Sie über Verbinder miteinander. Die Verbindungspunkte aktivieren Sie mausgesteuert. Bei der Auswahl eines Verbindungspunktes wechselt der Mauszeiger zum Pfeilsymbol. Halten Sie die linke Maustaste gedrückt und ziehen Sie einen Verbinder von einem Verbindungspunkt zum zweiten Verbindungspunkt. Um einen Verbinder zu entfernen, aktivieren Sie den Ausgangspunkt der Verbindung erneut per Mausklick. Nach Bestätigung einer Sicherheitsabfrage, wird die Verbindung der Steuerelemente gelöst. Anordnen eines Prozesses Die Layoutposition der Steuerelemente im Prozessdokument können Sie mausgesteuert verändern. Die Elemente verfügen über einen Tooltip. Der Inhalt der Tooltips setzt sich aus dem Namen, der Beschreibung des Prozesses oder des Prozessschrittes und dier Beschreibung der Prozessfunktion zusammen. Mit Maus-Doppelklick auf ein Prozesselement oder ein Prozessschrittelement wird die jeweilige Bearbeitungsansicht geöffnet, in welcher Sie den Prozess oder den Prozessschritt bearbeiten. Die Einträge für den Prozess und die Prozessschrittes in der Identity Manager-Datenbank werden erst durch das Speichern des gesamten Prozesses über das Änderungsprotokoll des Designers erzeugt. Der Prozess ist ab diesem Zeitpunkt für weitere Benutzer im Prozesseditor bearbeitbar, kann jedoch noch nicht generiert werden. Die Generierung wird erst durch Kompilieren des Prozesses möglich. Zusätzlich zum Inhalt des Prozesses und seiner Prozessschritte wird auch die Layoutposition im Prozesseditor in die Identity Manager-Datenbank gespeichert. Unterstützung bei der Eingabe von Werten Wenn die Dateneingabe in einer Spalte in VB.Net-Syntax erfolgen soll, wird ein spezielles Eingabefeld verwendet. Dabei werden verschiedene Funktionen bereitsgestellt, die die Eingabe von Skript-Code erleichtern. Lesen Sie dazu im Handbuch Konfiguration den Abschnitt Unterstützung bei der Eingabe von Skripten auf Seite 75. 47 Quest One Identity Manager Definieren von Prozessen Die Abbildung und Bearbeitung der Prozesse erfolgt im Designer in der Kategorie <Prozess-Orchestrierung>. Zusätzlich zu den von uns mitgelieferten Standardprozessen und den kundenspezifischen Prozessen erhalten Sie in dieser Kategorie einen Überblick über die Prozesskomponenten mit ihren Prozessfunktionen und Parametern. Weiterhin können Sie hier die verfügbaren Prozessaufträge zur zyklischen Ansteuerung von Prozessen einrichten. Überblick über die Prozess-Orchestrierung Grundlagen zur Definition von Prozessen Der Identity Manager verwendet zur Abbildung betrieblicher Arbeitsabläufe sogenannte Prozessschritte, die Sie über Vorgänger-Nachfolger-Beziehungen zu Prozessen zusammenstellen können. Ein Prozessschritt ist eine Anweisung zur Ausführung einer bestimmten Aktion durch eine beliebige vi*Prozesskomponente. Die Umwandlung der als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkreten Prozess in der Jobqueue übernimmt der Jobgenerator. Eine Entscheidungslogik überwacht die Ausführung der Prozessschritte und veranlasst abhängig vom gemeldeten Ausführungsergebnis die weitere Verarbeitung des Prozesses. Um die einzelnen elementaren Arbeiten auf Systemebene zu verrichten, wie beispielsweise das Anlegen von Verzeichnissen, werden sogenannte Prozessfunktionen verwendet. Ein oder mehrere Prozessfunktionen und deren Parameter sind in Prozesskomponenten zusammengefasst. Die Prozesskomponenten sowie deren Prozessfunktionen und Parameter sind in den Tabellen „Jobcomponent“, „Jobtask“ und „Jobparameter“ definiert. Diese Definitionen werden per Datenbankmigration von uns gepflegt und sind nicht bearbeitbar. 48 Prozessverarbeitung im Identity Manager In der nachfolgenden Abbildung ist als Beispiel eine Verkettung von Prozessschritten dargestellt, mit der Sie eine Person anlegen, anschließend zu dieser Person ein Active Directory Benutzerkonto einrichten und im letzten Schritt ein Postfach anlegen. Erstellen einzelner Prozesse aus einer Prozessschrittverkettung Diesen Ablauf können Sie durch einen Prozess abbilden. Innerhalb dieser Verkettung können Sie jedoch auch Einstiegspunkte für verschiedene Prozesse definieren. Der Einstiegspunkt Prozess 1 hat das Anlegen einer Person mit Active Directory Benutzerkonto und Postfach als Ergebnis. Der Einstiegspunkt Prozess 2 führt nur zum Anlegen eines Active Directory Benutzerkontos mit einem Postfach. Bearbeiten von Prozessen Zur Erstellung eines kundenspezifischen Prozesses können Sie: • einen neuen Prozess erstellen • einen vorhandenen Prozess kopieren und die Kopie weiter bearbeiten Lesen Sie hierzu auch den Abschnitt Kopieren eines Prozesses auf Seite 65. Alle von uns mitgelieferten Standardprozesse sind durch die Zeichenfolge „VI_“ bzw. „VID_“ gekennzeichnet. Diese Prozesse sind nur begrenzt bearbeitbar und werden durch die Migration aktualisiert. Prozesse erstellen und bearbeiten Sie mit dem Prozesseditor. Zur Bearbeitung eines bestehenden Prozesses wählen Sie im Designer in der Kategorie <Prozess-Orchestrierung> den Prozess aus. Den Prozesseditor starten Sie über die Aufgabe <Prozess ’XY’ bearbeiten>. Um einen neuen Prozess zu erstel- 49 Quest One Identity Manager len, starten Sie den Prozesseditor über die Aufgabe <Einen neuen Prozess erstellen>. In der Bearbeitungsansicht für Prozesse richten Sie den Prozess mit seinen Merkmalen ein. Eigenschaften eines Prozesses Allgemeine Eigenschaften eines Prozesses Folgende allgemeine Eigenschaften werden für einen Prozess abgebildet: 50 • Name des Prozesses Der Name eines Prozesses muss eindeutig sein. Alle von uns mitgelieferten Standardprozesse sind durch die Präfixe „VI_“ bzw. „VID_“ gekennzeichnet. Kennzeichnen Sie kundenspezifische Prozesse entsprechend durch Ihr Kundenpräfix. • Basisobjekt In der Liste wählen Sie das Basisobjekt (Tabelle), auf dessen Ereignisse der Prozess generiert wird. • Beschreibung/ Bemerkung Geben Sie zusätzliche Beschreibungen und Bemerkungen für den Prozess an. • Angaben zur Aufzeichnung von Prozessinformationen Prozessinformationen erlauben es, alle im Identity Manager ausgeführten Prozesse zu beobachten. Um Prozessinformationen für einen Prozess einzurichten, lesen Sie den Abschnitt Einrichten der Prozessinformationen für die Prozessverarbeitung auf Seite 300. • UID des Prozesses Es wird die UID des Prozesses angezeigt, diese kann nicht bearbeitet werden. Prozessverarbeitung im Identity Manager Angaben für die Generierung eines Prozesses Für einen Prozess definieren Sie im Eingabefeld <Generierungsbedingung> eine Bedingung in VB.NetSyntax, anhand der wird entschieden, ob es notwendig ist, den Prozess zu generieren. Ist eine Generierungsbedingung angegeben, wird der Prozess nur generiert, wenn die Bedingung erfüllt ist. Die allgemeine Syntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. Der unter <Prä-Skript zur Generierung> angegebene Skript-Code wird vor der Ausführung von anderen Skripten ausgeführt. Über das Prä-Skript können Sie beispielsweise Variablen definieren, die innerhalb des Prozesses und seiner Prozessschritte in Generierungsbedingungen, Serverauswahlskripten oder in den Parametern weiterverwendet werden können. Syntax im Prä-Skript: values("Name") = "Wert" Verwendung in den folgenden Codeteilen des Prozesses und seiner Prozessschritte: Value = values("Name") Weitere Beispiele finden Sie im Abschnitt Prä-Skripte zur Verwendung in Prozessen und Prozessschritten auf Seite 335. Mit der Option <Nicht generieren> entscheiden Sie, ob ein Prozess generiert wird. Ist die Option aktiviert, so wird der Prozess nicht generiert und kann nicht kompiliert werden. Ist die Option <Nicht generieren> für Prozesse gesetzt, so bleibt diese Option auch während einer Update-Migration im gesetzten Zustand und wird nicht zurückgesetzt. Für den Prozess können Sie weiterhin eine Präprozessorbedingung zur bedingten Kompilierung definieren. Damit ist ein Prozess nur verfügbar, wenn die Präprozessorbedingung erfüllt ist. Zur Funktion von Präprozessorbedingungen lesen Sie auch den Abschnitt Verwenden von Präprozessorbedingungen auf Seite 322. 51 Quest One Identity Manager Benachrichtung bei der Verarbeitung von Prozessen Konfigurationsparameter für die Mailbenachrichtigung KONFIGURATIONSPARAMETER BEDEUTUNG Common\MailNotification Angaben zur Benachrichtigung. Common\MailNotification\DefaultAddress Standard E-Mail-Adresse (Empfänger) zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultLanguage Standardsprache zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultSender Standard E-Mail-Adresse (Absender) zum Versenden von Benachrichtigungen. Common\MailNotification\NotifyAboutWaitingJobs Angabe, ob eine Benachrichtigung gesendet werden soll, wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind. Common\MailNotification\SMTPRelay SMTP Server zum Versenden von Benachrichtigungen. Zur Verhinderung von Massenänderungen können Sie pro Prozess festlegen, wie oft dieser Prozess in der Jobqueue vorhanden sein darf. Nutzen Sie dazu die Werte <Schwellwert (Warnung)> und <Schwellwert (Sperrung)>. Für die initiale Befüllung des Schwellwertes für die Sperrung können Sie das Datenbankskript „SDK_SetLimitationCount_in_Jobchain“ verwenden. Dieses Datenbankskript finden Sie im SDK. Bei Überschreitung des Schwellwertes für die Warnung wird eine E-Mail Benachrichtung an einen bestimmten Empfänger versendet. Voraussetzung für die Nutzung des Benachrichtigungssystems ist die Einrichtung eines SMTP-Host für den Mailversand sowie die Aktivierung der Konfigurationsparameter für die Mailbenachrichtigung. Bei Überschreitung des Schwellwertes für die Sperrung werden die betroffenen Prozesse in der Jobqueue auf den Status „Overlimit“ gesetzt. Diese Prozesse werden nicht mehr durch den Identity Manager Service zur Verarbeitung abgeholt und verbleiben in der Jobqueue. Im Programm „Job Queue Info“ können Sie diese Prozesse reaktivieren. Dazu lesen Sie den Abschnitt Reaktivieren von Prozessschritten auf Seite 24. Ist der Konfigurationsparameter „Common\MailNotification\NotifyAboutWaitingJobs“ aktiviert, wird bei Auftreten von Prozessen mit dem Status „Overlimit“ zusätzlich eine E-Mail Benachrichtigung versendet und ein entsprechender Eintrag im Ereignisprotokoll des Master SQL Servers erzeugt. Ereignisse für die Prozessgenerierung Um Prozesse zu Objekten zuzuordnen, werden Ereignisse definiert. Erst nachdem die Verbindung zwischen Objekt, Ereignis und Prozess hergestellt wurde, können die Prozesse generiert und verarbeitet werden. Es werden bereits einige vordefinierte Ereignisse zur Verfügung gestellt. Diese sind in der nachfolgenden Tabelle aufgeführt. Vordefinierte Ereignisse EREIGNIS Insert 52 ANMERKUNG Das Ereignis wird beim Einfügen eines Objektes ausgelöst. Das Ereignis ist an jedem Objekt verfügbar. Prozessverarbeitung im Identity Manager Vordefinierte Ereignisse EREIGNIS ANMERKUNG Update Das Ereignis wird beim Ändern eines Objektes ausgelöst. Das Ereignis ist an jedem Objekt verfügbar. Delete Das Ereignis wird beim Löschen eines Objektes ausgelöst. Das Ereignis ist an jedem Objekt verfügbar. Execute Das Ereignis wird vom DBScheduler ausgelöst, wenn der Ausführungszeitpunkt einer verzögerte Operation erreicht ist. Weitere Ereignisse werden über die Customizer zur Verfügung gestellt. Diese Ereignisse sind in den Dokumentationen zu den Customizern beschrieben. Sie können weitere kundenspezifische Ereignisse definieren, um Prozesse auszulösen. So können bespielsweise benutzerdefinierte Ereignisse durch einen Datenbankschedule ausgelöst werden, um Prozesse nach definierten Zeitplänen abzuarbeiten. Bearbeiten der Ereignisse Ereignisse erstellen und bearbeiten Sie mit dem Prozesseditor. Öffnen Sie den Prozess im Prozesseditor und aktivieren Sie im Prozessdokument das Prozesselement. In der Bearbeitungsansicht für Ereignisse werden alle Ereignisse angezeigt, die für den Prozess definiert sind. Bearbeiten der Ereignisse für die Prozessgenerierung Durch Maus-Einfachklick auf einen Eintrag in der Bearbeitungsansicht können Sie das Ereignis direkt bearbeiten. Über die Symbolleiste der Bearbeitungsansicht fügen Sie weitere Ereignisse ein. Über die Symbolleiste öffnen Sie ein Dialogfenster zur Bearbeitung der Daten. Über die Schaltfläche <OK> übernehmen Sie die Änderungen, über <Abbruch> werden die Änderungen verworfen. In beiden Fällen wird das Dialogfenster geschlossen. Einrichten eines Ereignisses 53 Quest One Identity Manager Für ein Ereignis erfassen Sie die folgenden Daten: • Name des Ereignisses • Basisobjekt Das Basisobjekt ist bereits durch die Prozessdefinition vorgegeben und kann nicht geändert werden. • Reihenfolge Diese Angabe legt fest, in welcher Reihenfolge die Prozesse generiert werden, wenn mehrere Prozesse auf das gleiche Ereignis des Basisobjektes weisen. • Prozessinformationen Zur Aufzeichnung der Ereignisse in der Prozessverfolgung hinterlegen Sie eine Bildungsvorschrift für die Prozessinformationen (siehe Einrichten der Prozessinformationen für die Prozessverarbeitung auf Seite 300). Bearbeiten von Prozessschritten Um Prozessschritte innerhalb eines Prozesses einzufügen, können Sie: • einen neuen Prozessschritt erzeugen • einen vorhandenen Prozessschritt in den Prozess importieren Lesen Sie hierzu den Abschnitt Importieren von Prozessschritten auf Seite 63. • einen vorhandenen Prozessschritt kopieren und die Kopie weiter bearbeiten Lesen Sie hierzu auch den Abschnitt Kopieren eines Prozessschrittes auf Seite 64. Die Prozessschritte eines Prozesses erstellen und bearbeiten Sie mit dem Prozesseditor. Zur Bearbeitung eines bestehenden Prozessschrittes öffnen Sie den Prozess im Prozesseditor und aktivieren Sie im Prozessdokument das Prozessschrittelement. Einen neuen Prozessschritt erstellen Sie über den Menüeintrag <Prozessschritt>\<Neu>. In der Bearbeitungsansicht für Prozessschritte richten Sie den Prozessschritte mit seinen Merkmalen ein. Eigenschaften eines Prozessschrittes 54 Prozessverarbeitung im Identity Manager Allgemeine Eigenschaften eines Prozessschrittes Folgende allgemeine Eigenschaften können Sie für einen Prozessschritt festlegen: • Name des Prozessschrittes • Prozessfunktion In der Auswahlliste sind die Prozesskomponenten mit ihren Prozessfunktionen ausgeführt. Mit der Auswahl einer Prozessfunktion legen Sie fest, welche Aktion durch den Prozessschritt ausgeführt wird. Die Parametervorlagen der Prozessfunktion werden kopiert und als Parameter in den Prozessschritt übernommen. Dadurch können Sie jedem Prozessschritt, der diese Prozessfunktion verwendet, andere Parameterwerte übergeben. Das Original wird nicht verändert. • Beschreibung Geben Sie einen Beschreibungstext zur Aufgabe des Prozessschrittes ein. • Priorität Die Priorität legt fest, mit welcher Rangordnung der Prozessschritt in die Jobqueue eingestellt und verarbeitet wird, dabei sind die Werte 1 bis 15 erlaubt. • Prozessinformation aktivieren Prozessinformationen erlauben es, alle im Identity Manager ausgeführten Prozesse zu beobachten. Um Prozessinformationen für einen Prozessschritt einzurichten, lesen Sie den Abschnitt Einrichten der Prozessinformationen für die Prozessverarbeitung auf Seite 300. • Benachrichtigung im Erfolgsfall und Fehlerfall Sie haben die Möglichkeit für einen Prozessschritt Benachrichtigungen für den Erfolgsfall und Fehlerfall der Prozessverarbeitung zu konfigurieren. Dazu lesen Sie den Abschnitt Benachrichtigung zur Verarbeitung von Prozessschritten auf Seite 58. Angaben zur Generierung eines Prozessschrittes Für einen Prozessschritt definieren Sie im Eingabefeld <Generierungsbedingung> eine Bedingung in VB.Net-Syntax, anhand der wird entschieden, ob es notwendig ist, den Prozessschritt zu generieren. Ist eine Generierungsbedingung angegeben, wird der Prozessschritt nur generiert, wenn die Bedingung erfüllt ist. Die allgemeine Syntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben Für den Prozessschritt können Sie eine Präprozessorbedingung zur bedingten Kompilierung definieren. Damit ist ein Prozessschritt nur verfügbar, wenn die Präprozessorbedingung erfüllt ist. Zur Funktion von Präprozessorbedingungen lesen Sie auch den Abschnitt Verwenden von Präprozessorbedingungen auf Seite 322. Der unter <Prä-Skript zur Generierung> angegebene Skript-Code wird vor der Ausführung von anderen Skripten ausgeführt. Über das Prä-Skript können Sie beispielsweise Variablen definieren, die innerhalb des Prozessschrittes in Generierungsbedingungen, Serverauswahlskripten oder in den Parametern weiterverwendet werden können. Syntax im Prä-Skript: values("Name") = "Wert" Verwendung in den folgenden Codeteilen des Prozessschrittes: Value = values("Name") Weitere Beispiele finden Sie im Abschnitt Prä-Skripte zur Verwendung in Prozessen und Prozessschritten auf Seite 335. 55 Quest One Identity Manager Festlegen des ausführenden Servers Für jeden Prozessschritt legen Sie fest, welcher Server den Prozessschritt verarbeiten soll. Die Auswahl des ausführenden Servers können Sie über eine Servermaske oder ein Auswahlskript vornehmen. Die Auswahl des Servers muss immer zu einem eindeutigen Ergebnis führen. Bei der Ermittlung des gültigen Servers wird zuerst das Auswahlskript ausgewertet. Kann über das Auswahlskript kein Server bestimmt werden, wird die Servermaske ausgewertet. Der Prozessschritt wird für den ersten gefundenen Server zur Verarbeitung eingestellt. Auswahl des Servers über die Servermaske In der Servermaske sind die gängigen Serverrollen, wie beispielsweise PDC oder Master SQL Server definiert. Nutzen Sie die Servermaske, wenn Sie den Server eindeutig bestimmen können. Auswahl des Servers über ein Auswahlskript Ist es anhand der Servermaske nicht möglich zu entscheiden, welcher Server genutzt werden soll, beispielsweise bei Vorhandensein mehrerer Mailserver, verwenden Sie ein Auswahlskript zur näheren Bestimmung des Servers. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. Zur Ermittlung des Servers über ein Auswahlskript können Sie VB.Net-Ausdrücke verwenden: • die eine Zeichenkette mit der UID (!) des Jobservers zurückgeben • die eine Zeichenkette mit der Angabe einer „Where“- Klausel für Datenbankabfragen liefern. Die Auswahl muss eine Zeichenkette liefern, die mit „where“ beginnt und eine logische Bedingung enthält. Die Where-Klausel wird auf die Tabelle „Jobserver“ angewendet. Beispiel: "where is10 = 1 and is01=0" Alternativ können Sie im Auswahlskript die Queue, welche den Prozessschritt abarbeiten soll, direkt angeben. Jeder Identity Manager Service innerhalb des gesamten Netzwerkes hat eine eindeutige Queuebezeichnung. Mit exakt diesem Queuenamen werden die Prozessschritte an der Jobqueue angefordert. Syntax für die direkte Queue-Angabe: DIRECT:<Queue> Beispiel: Value = "DIRECT:\Server01" 56 Prozessverarbeitung im Identity Manager Fehlerbehandlung bei der Verarbeitung von Prozessschritten Konfigurationsparameter für die Mailbenachrichtigung KONFIGURATIONSPARAMETER BEDEUTUNG Common\MailNotification Angaben zur Benachrichtigung. Common\MailNotification\DefaultAddress Standard E-Mail-Adresse (Empfänger) zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultLanguage Standardsprache zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultSender Standard E-Mail-Adresse (Absender) zum Versenden von Benachrichtigungen. Common\MailNotification\NotifyAboutWaitingJobs Angabe, ob eine Benachrichtigung gesendet werden soll, wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind. Common\MailNotification\SMTPRelay SMTP Server zum Versenden von Benachrichtigungen. Ist zum Ausführungszeitpunkt des Prozessschrittes eine bestimmte Bedingung noch nicht erfüllt, so kann der Identity Manager Service den Prozessschritt wiederholen. Die Aktivierung der Option <Wartemodus bei Fehlern> bewirkt, dass der Prozessschritt in Abhängigkeit der Eingaben <Wartezeit (min)> und <Wiederholversuche> nochmals ausgeführt wird. Prozessschritte, die nur zur Verzweigung der Prozessverarbeitung dienen, kennzeichnen Sie mit der Option <Verarbeitung aufzweigen>. Ein Beispiel wäre ein Prozessschritt, welcher die Existenz eines Verzeichnisses überprüft. Abhängig vom zurückgelieferten Ergebnis wird anschließend der Nachfolgeschritt im Erfolgsfall oder der Nachfolgeschritt im Fehlerfall (ohne Generierung einer Fehlermeldung) abgearbeitet. Mit die Option <Fehler ignorieren> legen Sie fest, ob Fehler bei der Ausführung des Prozessschrittes ignoriert werden sollen. In diesem Fall wird der nachfolgende Prozessschritt auch ausgeführt, obwohl der vorgehende Prozessschritt nicht korrekt abgearbeitet wurde. Ist ein Prozessschritt mit der Option <Stopp bei Fehlern> gekennzeichnet und tritt bei der Verarbeitung des Prozessschrittes ein Fehler auf, so bleibt der Prozessschritt in der Jobqueue und erhält den Status „Frozen“. In diesem Fall werden keine weiteren Prozessschritte des betroffenen Prozesses verarbeitet, sondern verbleiben in der Jobqueue. Die Prozessschritte mit dem Status „Frozen“ können Sie im Programm „Job Queue Info“ reaktivieren. Dazu lesen Sie den Abschnitt Reaktivieren von Prozessschritten auf Seite 24. Ist der Konfigurationsparameter „Common\MailNotification\NotifyAboutWaitingJobs“ aktiviert, wird bei Auftreten von Prozessen mit dem Status „Frozen“ zusätzlich eine E-Mail Benachrichtigung versendet und und ein entsprechender Eintrag im Ereignisprotokoll des Master SQL Servers erzeugt. Voraussetzung für die Nutzung des Benachrichtigungssystems ist die Einrichtung eines SMTP-Host für den Mailversand sowie die Aktivierung der Konfigurationsparameter für die Mailbenachrichtigung. Ist die Option <Fehler im Journal protokollieren> aktiviert, werden die Fehlermeldung aus der Prozessverarbeitung im Systemprotokoll aufgezeichnet. Fehlermeldung aus der Prozessverarbeitung können in der Prozesshistorie aufgezeichnet werden. Lesen Sie auch die Abschnitte Aufzeichnung von Meldungen im Systemprotokoll auf Seite 87 und Aufzeichnung von Meldungen in der Prozesshistorie auf Seite 86. 57 Quest One Identity Manager Benachrichtigung zur Verarbeitung von Prozessschritten Sie haben die Möglichkeit für einen Prozessschritt Benachrichtigungen für den Erfolgsfall und Fehlerfall der Prozessverarbeitung zu versenden. Voraussetzung für die Nutzung des Benachrichtigungssystems ist die Einrichtung eines SMTP-Host für den Mailversand. Um Benachrichtigungen für einen Prozessschritt zu konfigurieren, aktivieren Sie in Bearbeitungsansicht des Prozessschrittes die Optionen <Benachrichtigung (Erfolg)> und <Benachrichtigung (Fehler)>. Damit werden die Tabreiter zur Dateneingabe eingeblendet. Einrichten der Benachrichtigung zur Verarbeitung eines Prozessschrittes Folgende Daten werden für das Versenden von Benachrichtigungen benötigt: • E-Mail-Adresse des Empfängers der Benachrichtigung • E-Mail-Adresse des Absenders der Benachrichtigung • Betreff • zu übermittelnde Nachricht Alle Angaben müssen Sie in VB.Net-Syntax eintragen. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. Die Syntax zur sprachabhängigen Bildung der Informationen ist im Abschnitt Verwendung der #LD-Notation auf Seite 338 erläutert. Benachrichtigungen während der Verarbeitung werden nur versendet, wenn alle Angaben für einen Fall (Fehler, Erfolg) hinterlegt sind! Bei der Einrichtung können Sie auf die verschiedenen Konfigurationsparameter für den Mailversand zurückgreifen. Konfigurationsparameter für die Mailbenachrichtigung KONFIGURATIONSPARAMETER BEDEUTUNG Common\MailNotification Angaben zur Benachrichtigung. 58 Prozessverarbeitung im Identity Manager Konfigurationsparameter für die Mailbenachrichtigung KONFIGURATIONSPARAMETER BEDEUTUNG Common\MailNotification\DefaultAddress Standard E-Mail-Adresse (Empfänger) zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultLanguage Standardsprache zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultSender Standard E-Mail-Adresse (Absender) zum Versenden von Benachrichtigungen. Common\MailNotification\NotifyAboutWaitingJobs Angabe, ob eine Benachrichtigung gesendet werden soll, wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind. Common\MailNotification\SMTPRelay SMTP Server zum Versenden von Benachrichtigungen. TargetSystem\ADS\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen. TargetSystem\ADS\Exchange2000\Def aultAddress Der Konfigurationsparameter enthält die Standard-E-Mail Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen. TargetSystem\LDAP\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen. TargetSystem\Notes\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen. TargetSystem\SAPR3\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail Adresse für Benachrichtigungen, wenn im Zielsystem Aktionen fehlschlagen. Parameter eines Prozessschrittes Mit der Auswahl einer Prozessfunktion im Prozessschritt legen Sie fest, welche Aktion durch den Prozessschritt ausgeführt wird. Die Parametervorlagen der Prozessfunktion werden kopiert und als Parameter in den Prozessschritt übernommen. Dadurch können Sie jedem Prozessschritt, der diese Prozessfunktion verwendet, andere Parameterwerte übergeben. Das Original wird nicht verändert. Pflichtparameter werden bei der Auswahl der Prozessfunktion sofort in den Prozessschritt eingefügt, optionale Parameter fügen Sie einzeln zum Prozessschritt hinzu. Beim Einfügen eines Parameters wird die Wertvorlage aus der Parametervorlage übernommen. Die Vorlagen für die Werte der Parameter sind zum größten Teil vordefiniert, weil beispielsweise Prozeduren die UID’s von Objekten auswerten und entsprechend vermerken. 59 Quest One Identity Manager Bearbeiten der Parameter eines Prozessschrittes Die Parameter eines Prozessschrittes bearbeiten Sie mit dem Prozesseditor. Öffnen Sie den Prozess im Prozesseditor und aktivieren Sie im Prozessdokument das Prozesselement. In der Bearbeitungsansicht für Parameter werden alle Parameter angezeigt, die für den Prozessschritt definiert sind. Zuordnen von Parameter zu einer Prozessschritt Bedeutung der verwendeten Symbole SYMBOL BEDEUTUNG Pflichtparameter der Prozessfunktion. Optionaler Parameter der Prozessfunktion, welcher dem Prozessschritt zugewiesen ist. Optionaler Parameter der Prozessfunktion, welcher dem Prozessschritt nicht zugewiesen ist. Durch Maus-Einfachklick auf einen Eintrag können Sie den Parameterwert direkt bearbeiten. Über die Symbolleiste öffnen Sie ein Dialogfenster zur Bearbeitung der Daten. Über die Schaltfläche <OK> übernehmen Sie die Änderungen, über <Abbruch> werden die Änderungen verworfen. In beiden Fällen wird das Dialogfenster geschlossen. Einrichten eines Parameters Für einen Parameter werden die folgenden Eigenschaften abgebildet: 60 Prozessverarbeitung im Identity Manager • Name des Parameters Der Name eines Parameters sollte nicht geändert werden. Ausnahme bilden die speziellen Parameter der Prozesskomponenten “HandleObjectComponent“ und “LDAPLDAPADSIComponentComponent“. Desweiteren müssen die Parameterweiterungen der zielsystemspezifischen Prozesskomponenten umbenannt werden. Dazu lesen Sie auch den Abschnitt Weitere Schritte für den Abgleich der Erweiterungen mit einem Zielsystem auf Seite 402. • Versteckt Mit dieser Option legen Sie fest, ob der Parameter in der Protokolldatei des Identity Manager Service und im Programm „Job Queue Info“ angezeigt wird. Werte für versteckte Parameter werden als <HIDDEN> angezeigt. Im Job Queue Info hat nur der Systembenutzer „viadmin“ die Bearbeitungsrechte, um diese Parameter einzusehen. • Verschlüsselt Mit dieser Option legen Sie fest, ob der Parameter verschlüsselt übergeben wird. Ist bereits in der Parametervorlage die Option gesetzt, so ist der Parameter ebenfalls verschlüsselt zu übergeben. Zur Verschlüsselung lesen Sie den Abschnitt Verschlüsseln von Datenbankinformationen auf Seite 119. • Wertvorlage Beim Einfügen eines Parameters wird die Wertvorlage aus der Parametervorlage übernommen. Die Wertvorlagen definieren Sie in VB.Net-Syntax. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. Im Dialogfenster zur Parameterbearbeitung können Sie über die Schaltfläche <Vorlage> die Standardwertvorlage wiederherstellen. Wertbelegung von Parametern Die Syntax ist im Abschnitt Verwendung von Skripten auf Seite 330 ausführlich beschrieben. Für die Belegung der Werte können folgende Ausdrücke verwendet werden: • leer • Spalten eines Objektes oder Spalten eines über eine Beziehung verbundenen Objektes Syntax: Value = Value = Beispiel: Value = Value = Value = • $<Spaltenname>:<Datentyp>$ ${FK(<Fremdschlüsselspalte>).}<Spaltenname>:<Datentyp>$ $Lastname$ $PasswordNeverExpires:bool$ $FK(Ident_Domain).Description$ Parameter aus der optionalen Parametercollection Syntax: Value = $PC(<Parametername>)$ Beispiel: Value = $PC(SRCUID_Application)$ • Out-Parameter Parameter vom Typ „OUT“ bzw. „INOUT“ sind Parameter, in der eine Prozesskomponente einen Wert nach außen liefern kann. Dieser Wert steht dann allen nachfolgenden Prozessschritten des Prozesses zur Verfügung und kann als Wertbelegung für IN-Parameter dienen. Bei der Verwendung von Out-Parametern ist darauf zu achten, dass diese zur Laufzeit auch belegt sind. Anderenfalls wird bei Abarbeitung der Text „&OUT(<parametername>)&“ eingetragen, das bedeutet die Variable wird nicht ersetzt. 61 Quest One Identity Manager Syntax: Value = &OUT(<Parametername>)& Beispiel: Value = "&Out(FileSize)&" • Globale Variablen, die das einstellende Programm besetzt Syntax: Value = Variables("<Variablenname>") Beispiel: Value = Variables("GENPROCID") Value = Variables("FULLSYNC") • Per Prä-Skript erzeugte lokale Variablen des Prozessschrittes oder des Prozesses Syntax: Value = values("Name") Beispiel: Value = Values("FirstHomeServer") • Abfrage von Konfigurationsparametern Hierbei muss immer der gesamte Pfad zum Konfigurationsparameter angegeben werden. Syntax: Value = Connection.GetConfigParm("<vollständiger Pfad>") Beispiel: Value = Connection.GetConfigParm("TargetSystem\ADS\RestoreMode") • 62 VB.Net Es können beliebige Ausdrücke in VB.Net-Syntax angegeben werden. Prozessverarbeitung im Identity Manager Importieren von Prozessschritten Über die Importfunktion können Sie Prozessschritte innerhalb der Datenbank suchen und in einen Prozess importieren. Über den Menüeintrag <Prozessschritte>\<Importieren> im Prozesseditor wird ein Dialogfenster geöffnet, in dem Sie die Suchbedingungen festlegen. Suchen und Importieren von Prozessschritten Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Suchen eines Prozessschrittes. Kopieren des Prozessschrittes. Festlegen der Suchoptionen. Geben Sie einen Suchtext an und legen Sie über die Suchoptionen fest, in welchen Objekten gesucht werden soll. In den angegebenen Objekten wird intern über eine „Where“-Klausel gesucht. Sind mehrere Objekte angegeben, wird diese intern über „Join“- Bedingungen erweitert. Durchsuchbare Objekte und Eigenschaften SUCHEN IN OBJEKT DURCHSUCHT WERDEN DIE EIGENSCHAFTEN Prozess Name Prozessschritt Name, Beschreibung, Generierungsbedingung, Skript zur Serverauswahl Parameter Name, Wert Prozesskomponente Komponentenklasse, Komponentenassembly Prozessfunktion Name Parametervorlage Name, Wertvorlage 63 Quest One Identity Manager Den Suchvorgang starten Sie über das entsprechende Symbol der Symbolleiste. Die gefunden Prozessschritte werden in der Ergebnisliste aufgeführt. Wählen Sie in der Liste den gewünschten Prozessschritt aus und importieren Sie diesen über das entsprechende Symbol der Symbolleiste oder über Maus-Doppelklick in das Prozessdokument. Anschließend binden Sie den Prozessschritt in den Prozess ein. Suchen eines Prozessschrittes innerhalb eines Prozesses Um einen Eintrag innerhalb eines Prozesses zu suchen, öffnen Sie mit <Strg + F> einen Suchendialog. Den Suchvorgang starten Sie über die Schaltfläche <Suchen>. Mit <F3> wird der nächste Eintrag gesucht. Über die Schaltfläche <Abbruch> wird der Vorgang beendet und der Suchendialog geschlossen. Der eingetragene Text wird gesucht im Prozess und in den Prozessschritten. Durchsuchte Objekte und Eigenschaften SUCHEN IN OBJEKT DURCHSUCHT WERDEN DIE EIGENSCHAFTEN Prozess Name Prozessschritt Name, Beschreibung, Generierungsbedingung, Skript zur Serverauswahl Kopieren eines Prozessschrittes Über den Kontextmenüeintrag <Kopieren> oder <Strg + C> kopieren Sie den Prozessschritt in die Zwischenablage. Über den Kontextmenüeintrag <Einfügen> oder <Strg + V> fügen Sie die kopierten Prozessschritte aus der Zwischenablage in einen Prozess ein. Der Prozessschritt erhält einen neue UID, alle Eigenschaften des Prozessschrittes werden übernommen. Anschließend binden Sie den Prozessschritt in den Prozess ein. Um mehrere Prozessschritte zu kopieren, markieren Sie diese über <Strg> + Auswahl>. Mehrfachbearbeitung von Prozessschritten Im Prozesseditor ist die gleichzeitige Bearbeitung mehrerer Prozessschritte eines Prozesses möglich. Dazu wählen Sie die gewünschten Prozessschritte im Prozessdokument aus (<Strg + Auswahl>). In der Bearbeitungsansicht für Prozessschritte werden Eingabefelder, deren Werte unterschiedlich belegt sind, 64 Prozessverarbeitung im Identity Manager mit einem Symbol hervorgehoben. Bei Bearbeitung eines Eingabefeldes und Speichern der Änderung wird der Wert in alle gewählten Prozessschritte übernommen. Mehrfachbearbeitung von Prozessschritten Kopieren eines Prozesses Sie haben die Möglichkeit eine Kopie eines Prozesse unter einem anderen Namen zu erstellen. Um einen Prozess zu kopieren, öffnen Sie den Prozess mit dem Prozesseditor und starten über den Menüeintrag <Prozess>\<Kopieren> einen Assistenten. Der Assistent führt Sie durch die einzelnen Schritte des Kopiervorgangs. Mit der Schaltfläche <Weiter> gelangen Sie zum nächsten Schritt des Assistenten. Mit der Schaltfläche <Zurück> kehren Sie zum vorherigen Schritt zurück. Über <Abbruch> werden die Änderungen verworfen und der Assistent beendet. Im Eröffnungsbildschirm des Assistenten wird der Name des zu kopierenden Prozesses angezeigt. Im nächsten Schritt legen Sie den Namen des neuen Prozesses und die Kopieroptionen fest. Als Optionen sind verfügbar. • Prozessschritt umbenennen Setzen Sie diese Option, so haben Sie im nächsten Schritt des Assistenten die Möglichkeit die einzelnen Prozessschritte umzubenennen. • Ereignisse kopieren Aktivieren Sie diese Option damit die Ereignisse, die diesem Prozess zugeordnet sind, ebenfalls kopiert werden. 65 Quest One Identity Manager • Ausgangsprozess deaktivieren Mit dieser Option legen Sie fest, ob der Ausgangsprozess nach der Kopie deaktiviert werden soll. Wenn Sie diese Option aktivieren, dann wird der Ausgangsprozess auf „nicht generieren“ gesetzt. • Kopierten Prozess deaktivieren Mit dieser Option legen Sie fest, ob der Prozess nach der Kopie deaktiviert werden soll. Wenn Sie diese Option aktivieren, dann wird der Prozess auf „nicht generieren“ gesetzt. Festlegen der Kopieroptionen Haben Sie die Kopieroption <Prozessschritte umbenennen> gesetzt, dann können Sie in der nächsten Maske die Prozessschritte einzeln umbenennen. Durch Mausklick auf den neuen Namen des Prozessschrittes können Sie diesen ändern. Umbenennen von Prozessschritten Im nächsten Dialogfenster werden nochmals alle Aktionen aufgeführt, die beim Kopiervorgang ausgeführt werden. Über die Schaltfläche <Fertig> starten Sie den Kopiervorgang. Während des Vorgangs wird in einer Statuszeile die aktuell ausgeführte Aktion angezeigt 66 Prozessverarbeitung im Identity Manager Vergleichen von Prozessen Um Unterschiede zwischen zwei Prozessen zu ermitteln, öffnen Sie im Prozesseditor über den Menüeintrag <Prozess>\<Prozesse vergleichen...> das Dialogfenster für den Prozessvergleich. Wählen Sie im Dialogfenster in den Auswahllisten <Prozess A> und <Prozess B> die zu vergleichenden Prozesse aus. Über die Schaltfläche neben den Auswahllisten starten Sie den Prozessvergleich. In der Auswertung werden die Unterschiede zwischen den Prozessen werden farblich hervorgehoben. Vergleichen von Prozessen Exportieren und Importieren von Prozessen Der Export und der Import von Prozessen erfolgt über XML-Dateien. Um einen Prozess in eine XML-Datei zu exportieren, öffnen Sie den Prozess im Prozesseditor und starten den Export über den Menüeintrag <Prozess>\<Exportieren>. Den Import eines Prozess aus einer XML-Datei in die Datenbank starten Sie im Prozesseditor über den Menüeintrag <Prozess>\<Importieren> oder bei Auswahl der Kategorie <Prozess-Orchestrierung> über die Aufgabe <Prozesse importieren>. Simulieren einer Prozessgenerierung Mit der Simulation der Prozessgenerierung können Sie überprüfen, ob der gewählte Prozess erfolgreich generiert werden kann oder die Syntax der Parameterübergabe korrekt ist. Somit können die Prozesse bei Bedarf ohne weiteren Aufwand weiter angepasst werden. Um die Generierung eines Prozesses zu testen, laden Sie den Prozess im Prozesseditor und starten Sie die Simulation über den Menüeintrag <Prozess>\<Ansicht>\<Simulationsansicht> oder den Eintrag <Neue Simulation starten> in der Symbolleiste des Editors. Dabei wird ein Assistent gestartet. Der Assistent führt Sie durch die einzelnen Schritte des Simulationsvorgangs. Mit der Schaltfläche <Weiter> gelangen Sie zum nächsten Schritt des Assistenten. Mit der Schaltfläche <Zurück> kehren Sie zum vor- 67 Quest One Identity Manager herigen Schritt zurück. Über <Abbruch> werden die Änderungen verworfen und der Assistent beendet. Wählen Sie das Ereignis, für welches der Prozess generiert werden soll. Auswahl des Ereignisses Bedeutung der verwendeten Symbole für Ereignisse in der Simulation SYMBOL BEDEUTUNG Standardereignis. Benutzerdefiniertes Ereignis. Im nächsten Schritt legen Sie fest, für welches Objekt das Ereignis simuliert werden soll. Auswahl des Objektes 68 Prozessverarbeitung im Identity Manager Bei Bedarf können die Eigenschaften des Objektes weiter angepasst werden. Anpassen der Objekteigenschaften Für Prozesse, die mit Parametercollections generiert werden, müssen die Parameter und die zu übergebenden Werte festgelegt werden (beispielsweise Parameter „SourceDir“ bei Kopien von Profilen). In Prozessen, die für die Standardereignisse (Insert, Update, Delete) generiert werden, werden keine Parametercollections verwendet. Beispiel für Übergabe von Parametern in einer Parametercollection 69 Quest One Identity Manager Legen Sie fest, welche Präprozessorbedingungen bei der Generierung des Prozesses beachtet werden. Festlegen der Präprozessorbedingungen Im nächsten Schritt starten Sie die Generierung über die Schaltfläche <Fertig>. Der Simulationsvorgang kann einige Zeit in Anspruch nehmen. Die generierten Assemblies werden lokal auf der Arbeitsstation, auf der die Simulation durchgeführt wird, abgelegt. Eine Simulation hat daher keine Auswirkung auf andere Benutzer. Bei der Simulation eines Prozesses wird die Option <nicht generieren> beachtet. Nach Abschluss der Simulation wird der generierte Prozess im Prozessdokument angezeigt. Simulationsdaten eines Prozesses 70 Prozessverarbeitung im Identity Manager Je nach Generierung werden die Prozessschritte farbig gekennzeichnet. Farbcode in der Simulation FARBE BEDEUTUNG grau Der Prozessschritt wurde nicht generiert. blau Der Prozessschritt wurde erfolgreich generiert. Mit Maus-Doppelklick auf einen erfolgreich generierten Prozessschritt werden die Eigenschaften und Parameter des Prozesses mit den konkreten Werten im Bearbeitungsfenster dargestellt. Simulationsdaten eines Prozessschrittes Nach Abschluss der Simulation können Sie das Protokoll zur Prozessgenerierung einsehen. Protokoll der Prozessgenerierung Zur Nachbearbeitung der Prozesse können Sie über das Menü <Prozesse>\<Ansicht> zwischen der Bearbeitungsansicht und der Simulationsansicht wechseln. Für jeden Simulationsvorgang wird in der 71 Quest One Identity Manager Symbolleiste ein Eintrag erzeugt über den Sie die Simulation erneut ausführen können ohne die Simulationsdaten nochmals festzulegen. Eintrag in der Symbolleiste für eine erneute Simulation Gültigkeitsprüfung eines Prozesses Bevor Sie einen Prozess kompilieren, sollten Sie eine Gültigkeitsprüfung des Prozesses und der Prozessschritte durchführen. Laden Sie den Prozess im Prozesseditor und starten Sie die Gültigkeitsprüfung im Prozesseditor über den Menüeintrag <Prozesse>\<Fehlerkontrolle>. Das Ergebnis der Gültigkeitsprüfung wird im Fenster <Prozessfehlerkontrolle> ausgegeben und bleibt bis zur erneuten Gültigkeitsprüfung erhalten. Durch Maus-Doppelklick auf eine Fehlermeldung im Fenster <Prozessfehlerkontrolle> wird zum entsprechenden Eintrag im Prozessdokument gesprungen. Dieser kann hier angepasst werden. Ansicht der Prozessfehlerkontrolle Verwendete Symbole in der Gültigkeitsprüfung SYMBOL BEDEUTUNG Es wurde kein Fehler gefunden. Fehler Warnung, Information Mögliche Fehlerursachen in Prozessen FEHLERKATEGORIE MÖGLICHE URSACHEN Fehler Der Prozess hat keinen Namen. Es wurde kein Basisobjekttyp angegeben. Die angegebene Generierungsbedingung entspricht nicht der geforderten Notation (Value =). Warnung Der Prozess hat keinen Basisprozessschritt. Der Prozess hat kein Ereignis. 72 Prozessverarbeitung im Identity Manager Mögliche Fehlerursachen in Prozessen FEHLERKATEGORIE MÖGLICHE URSACHEN Information Für den Prozess ist die Option <nicht generieren> gesetzt. Mögliche Fehlerursachen in Prozessschritten FEHLERKATEGORIE MÖGLICHE URSACHEN Fehler Der Prozessschritt hat keinen Namen. Es wurde kein Prozessfunktion zugeordnet. Die angegebene Generierungsbedingung entspricht nicht der geforderten Notation (Value =). Es wurde kein Server zur Ausführung festgelegt (Skript zur Serverauswahl oder Servermaske). Der Name des Prozessschrittes ist nicht eindeutig. Der Prozessschritt hat keine Parameter. Der angegebene Parameterwert entspricht nicht der geforderten Notation (Value =). Warnung Der Prozessschritt ist nicht in den Prozess eingebunden. Kompilieren eines Prozesses Haben Sie einen neuen Prozess erstellt, einen Prozess importiert oder Änderungen an einem vorhandenen Prozess vorgenommen, müssen Sie den Prozess kompilieren. Erst durch die Kompilierung wird der Prozess generierbar. Die Kompilierung erfolgt pro Basisobjekt, das bedeutet alle Prozesse eines Basisobjektes werden übersetzt. Bei der Kompilierung werden die Assemblies erstellt und lokal auf der Arbeitsstation, auf der die Generierung durchgeführt wird, abgelegt. Während der Übersetzung wird eine Gültigkeitskontrolle des Quellcodes durchgeführt. Der Vorgang kann daher etwas Zeit in Anspruch nehmen. Im Prozesseditor sind zur Kompilierung eines Prozesses zwei Verfahren verfügbar: • Lokale Kompilierung Dieses Verfahren können Sie nutzen, um die Kompilierung eines Prozesses zu testen. • Kompilierung mit Übernahme der Assemblies in die Hauptdatenbank Haben Sie die Kompilierung eines Prozesses getestet, setzen Sie dieses Verfahren ein, um nach der Kompilierung eines Prozesses, die generierten Assemblies in die Hauptdatenbank zu übernehmen. Mit Übernahme der Änderungen stehen die geänderten Prozesse sofort im System zur Verfügung. Starten Sie die Kompilierung über den Menüeintrag <Prozess>\<Kompilieren und in DB speichern>. Laden Sie den Prozess im Prozesseditor und starten Sie den Kompiliervorgang. Die lokale Kompilierung starten Sie über den Menüeintrag <Prozess>\<Kompilieren>. Die Kompilierung mit Übernahme der Assemblies in die Hauptdatenbank starten Sie über den Menüeintrag <Prozess>\<Kompilieren und in DB speichern>. 73 Quest One Identity Manager Fehlermeldungen werden im Fenster <Compilerfehler> ausgegeben. Durch Maus-Doppelklick auf eine Fehlermeldung im Fenster wird im Prozessdokument zum entsprechenden Eintrag gesprungen. Dieser kann hier angepasst werden. Ansicht der Compilerfehler Treten während der Übersetzung Fehler auf, dann ist die Quellcodeansicht aktiviert. Diese Ansicht dient lediglich zur Darstellung des Quellcodes, eine Bearbeitung des Eintrages ist nicht möglich. Durch MausDoppelklick auf die Fehlermeldung im Fenster <Compilerfehler> wird bei angeschalteter Quellcodeansicht zur entsprechenden Zeile gesprungen. Die Quellcodeansicht dient lediglich zur Darstellung, eine Bearbeitung des Eintrages ist nicht möglich. Bearbeiten mehrere Nutzer gleichzeitig Prozesses eines Basisobjektes, so werden eventuelle Fehlermeldungen anderer Nutzer ebenfalls ausgegeben. Diese können jedoch vom aktuellen Nutzer nicht bearbeitet werden. Automatisierte Ausführung von Prozessen Um die zyklische Ausführung von Prozessen, wie beispielsweise die regelmäßige Synchronisation mit einer Zielsystem-Umgebung zu realisieren, werden Prozessaufträge eingerichtet. Prozessaufträge sind mit Zeitplänen verbunden und werden somit in regelmäßigen Abständen ausgeführt. Für die automatisierte Ausführung von Prozessen sind die folgenden Schritte erforderlich: • Erstellen eines Prozessauftrags Ein Prozessauftrag umfasst die Grundkonfiguration für die automatisierte Ausführung eines Prozesses. • Einrichten und Konfiguration eines Zeitplans Ein Zeitplan umfasst die Konfiguration der Ausführungszeiten für einen regelmäßig auszuführenden Prozess. In der Standardinstallation des Identity Managers sind bereits Zeitpläne definiert. Diese müssen Sie entsprechend der kundenspezifischen Anforderungen konfigurieren und aktivieren. Lesen Sie dazu den Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274 im Handbuch Konfiguration. Arbeiten mit dem Editor für Prozessaufträge Zur Erstellung der Prozessaufträge wird ein eigener Editor bereitgestellt Der Editor wird über das Programm „Designer“ in der Kategrie <Prozess-Orchestrierung>\<Prozessautomatisierung> gestartet und in der Dokumentenansicht des Programms geöffnet. Die allgemeinen Funktionen des Programms „Desi- 74 Prozessverarbeitung im Identity Manager gner“ sind im Kapitel Arbeiten mit dem Designer auf Seite 29 beschrieben. An dieser Stelle wird nur auf die zusätzlichen Funktionen des Editors eingegangen. Oberfläche des Designers mit Editor Erweiterungen der Menüleiste und der Symbolleiste Nach dem Start des Editors sind die nachfolgenden Erweiterungen in der Menüleiste verfügbar. Bedeutung der Einträge in der Menüleiste MENÜ MENÜEINTRAG BEDEUTUNG Prozessauftrag Neu Es wird ein neuer Prozessauftrag erstellt. Löschen Der ausgewählte Prozessauftrag wird nach einer Sicherheitsabfrage gelöscht. Prozessauftrag jetzt ausführen Der ausgewählte Prozessauftrag wird sofort ausgeführt. Es wird ein Prozess zur Ausführung in die Identity Manager-Datenbank eingestellt. Übersetzte Bezeichnungen anzeigen In der Listenansicht werden die technischen Bezeichnungen oder die Bezeichnungen in der Anmeldesprache des Benutzers angezeigt. Aktualisieren Die Listenansicht wird aktualisiert. Die Startzeiten alle Prozessaufträge werden neu aus der Identity ManagerDatenbank geladen. Ansicht Eigenschaften Die Bearbeitungsansicht wird eingeblendet/ausgeblendet. Hilfe Hilfe zur Prozessautomatisierung Die Hilfe zum Editor wird geöffnet. 75 Quest One Identity Manager Der Editor verfügt über eigene Symbolleisten, die Sie per Kontextmenü ein- oder ausblenden können. Die Symbole werden abhängig von der eingeblendeten Ansicht aktiviert oder deaktiviert. Symbolleiste Bedeutung der Einträge in der Symbolleiste SYMBOL BEDEUTUNG Aktualisieren der Listenansicht. Erstellen eines neuen Prozessauftrags. Löschen des Prozessauftrags. Technische Bezeichnungen oder Bezeichnungen in der Anmeldesprache des Benutzers in der Listendarstellung anzeigen. Ausführung des Prozessauftrags starten. Ansichten des Editors Der Editor verfügt über verschiedene Ansichten zur Darstellung und Bearbeitung der Zeitpläne: • Listenansicht aller Prozessaufträge • Bearbeitungsansicht Funktionen in der Listenansicht In der Listenansicht des Editors werden alle Prozessaufträge dargestellt. Über das Kontextmenü <Spalten wählen...> öffnen Sie das Dialogfenster zur Spaltenkonfiguration. Legen Sie fest, welche Eigenschaften in welcher Reihenfolge zusätzlich in der Listenansicht angezeigt werden. Zusätzlich können Sie die Spaltenbreite und die Ausrichtung der Spaltenbeschriften für die Darstellung angeben. Listenansicht des Editors Bedeutung der Symbole in der Listenansicht SYMBOL BEDEUTUNG Der Zeitplan des Prozessauftrags ist nicht aktiviert. 76 Prozessverarbeitung im Identity Manager Bedeutung der Symbole in der Listenansicht SYMBOL BEDEUTUNG Der Prozessauftrag wurde planmäßig ausgeführt. Der Prozessauftrag wurde nicht ausgeführt. Dieser Zustand kann auftreten, wenn die planmäßige Ausführung nicht möglich war oder wenn der Zeitplan neu aktiviert wurde und der Zeitpunkt der erstmaligen Ausführung noch nicht erreicht wurde. Einträge im Kontextmenü EINTRAG IM KONTEXTMENÜ BEDEUTUNG Prozessauftrag erstellen Es wird ein neuer Prozessauftrag erstellt. Prozessauftrag löschen Der ausgewählte Prozessauftrag wird gelöscht. Prozessauftrag bearbeiten Der ausgewählte Prozessauftrag wird bearbeitet. Prozess bearbeiten Es kann zum Prozess gewechselt werden, der durch den Prozessauftrag ausgeführt werden soll. Ausführen Der ausgewählte Prozessauftrag wird sofort ausgeführt. Es wird ein Prozess zur Ausführung in die Identity Manager-Datenbank eingestellt. Spalten wählen... Es wird ein Dialogfenster zur Auswahl der Spalten für die Listendarstellung geöffnet. Navigation Es werden weitere Editoren angeboten, die für das ausgewählte Objekt verfügbar sind. Funktionen in der Bearbeitungsansicht In der Bearbeitungsansicht bearbeiten Sie die Eigenschaften eines Prozessauftrags. Für die Eingabefelder ist ein Standardkontextmenü verfügbar. Bearbeitungsansicht des Editors 77 Quest One Identity Manager Erstellen eines Prozessauftrags Ein Prozessauftrag umfasst die Grundkonfiguration für die automatisierte Ausführung eines Prozesses. Prozessaufträge erstellen und bearbeiten Sie im Designer in der Kategorie <Prozess-Orchestrierung>\<Prozessautomatisierung>. Zur Einrichtung neuen eines Prozessauftrags starten Sie den Editor über die Aufgabe <Prozessaufträge bearbeiten>. Prozessauftrag bearbeiten Für einen Prozessauftrag erfassen Sie die folgenden Daten: 78 • Bezeichnung Bezeichnung des Prozessauftrages. Für die sprachabhängige Verwendung der Bezeichnung übersetzen Sie diese über die Schaltfläche neben dem Eingabefeld. • Basisobjekt (Tabelle) Wählen Sie das Basisobjekt (Tabellennamen), für welches der Prozessauftrag ausgeführt wird. • Ereignis Wählen Sie das Ereignis, welches ausgeführt werden soll. Für neue Prozessaufträge werden alle Ereignisse des Basisobjektes angeboten. Weitere Informationen erhalten Sie im Abschnitt Ereignisse für die Prozessgenerierung. • Zeitplan der Aktivierung Wählen Sie den Zeitplan, der die Ausführungszeiten für den Prozessauftrag enthält. Über die Schaltfläche <Einfügen> neben der Auswahlliste wird ein neuer Zeitplan erstellt. Weitere Informationen dazu erhalten Sie im Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274 im Handbuch Konfiguration. Prozessverarbeitung im Identity Manager • Max. Laufzeit (Stunden) Geben Sie die Anzahl der Stunden an, nach denen ein Prozessauftrag automatisch beendet werden soll. • Beschreibung Nähere Beschreibung des Prozessauftrags. • Bedingung Hier haben Sie die Möglichkeit die Abfrage des Basisobjektes weitergehend zu spezifizieren. Die Angabe muss der „Where-Klausel“-Syntax von Datenbankabfragen genügen. • Parameter Liste von Parametern, die bei Generierung des Prozesses, der über diesen Prozessauftrag ausgelöst wird, zu besetzen sind. Beispiel: Die zyklische Synchronisation einer Active Directory-Umgebung mit der Identity Manager-Datenbank wird durch den Auftrag „Active Directory Synchronisation (Konfiguration: AD Zielsystem einlesen)“ nur für die Domänen gestartet, die Active Directory Domänen sind. Es soll dabei die Synchronisationskonfiguration „AD Zielssystem einlesen“ verwendet werden. Der Auftrag wird folgendermaßen eingerichtet: Name Active Directory Synchronisation (Konfiguration: AD Zielsystem einlesen) Basisobjekt Domain Ereignis FULLSYNC_ADS Bedingung Ident_Domaintype = 'ADS' Parameter ConfigName = AD Zielsystem einlesen Über das Kontextmenü <Ausführen> oder den Menüeintrag <Prozessauftrag>\<Prozessauftrag jetzt ausführen> können Sie einen Prozessauftrag sofort ausführen. Es wird der Prozess in die Identity Manager-Datenbank eingestellt. Welcher Prozess durch einen Prozessauftrag ausgelöst wird, sehen Sie über das Kontextmenü <Prozess bearbeiten>. Prozesskomponenten Die Prozesskomponenten und ihre Prozessfunktionen bilden das Vorgabegerüst, auf dem alle Prozessschritte basieren. Die Tabellen „Jobcomponent“, „JobTask“ und „Jobparameter“ definieren den Gesamtumfang der zum Identity Manager gehörenden Prozesskomponenten und deren Prozessfunktionen mit ihren zugehörigen Parametern. Die zur Verfügung stehenden Informationen zu den Prozesskomponenten werden durch die Migration eingepflegt und sind nicht bearbeitbar. Eine vollständige Übersicht über die Prozesskomponenten mit ihren Prozessfunktionen und Parametern erhalten Sie über den Report <Prozesskomponenten> in der Kategorie <Dokumentation>\<Berichte zur Systemkonfiguration>. 79 Quest One Identity Manager Die nachfolgende Tabelle enthält die Kurzbeschreibungen der Prozesskomponenten. Kurzbeschreibung der Prozesskomponenten KOMPONENTE BESCHREIBUNG ADSComponent Die Prozesskomponente führt den Abgleich mit dem Zielsystem Active Directory und der Datenbank durch. CommandComponent Die Prozesskomponente führt ein beliebiges Kommando aus. DelayComponent Die Prozesskomponente steuert die Startzeit des nachfolgenden Prozessschrittes. Ex2010Component Die Prozesskomponente führt den Abgleich mit Microsoft Exchange 2010 und der Datenbank durch. Ex2K7Component Die Prozesskomponente führt den Abgleich mit Microsoft Exchange 2007 und der Datenbank durch. Ex2KComponent Die Prozesskomponente führt den Abgleich mit Microsoft Exchange 2000/ 2003 und der Datenbank durch. FileComponent Die Prozesskomponente erzeugt, löscht, kopiert und modifiziert Dateien und Verzeichnisse sowie deren Zugriffsberechtigungen. Als Voraussetzung für die Nutzung der Prozesskomponente unter Linux-Betriebssystemen wird das Programm „RSync“ benötigt (Herunterladen unter: http:// www.itefix.no/i2/index.php bzw. http://sourceforge.net/project/showfiles.php?group_id=69227&package_id=68081). Als Vorraussetzung für des Setzen von Rechten wird das Programm „XCacls“ benötigt. Dieses finden Sie im Ressourcekit Ihrer Serverinstallation. FtpComponent Die Prozesskomponente kann Dateien per FTP übertragen. HandleObjectComponent Die Prozesskomponente führt Standardereignisse und benutzerdefinierte Ereignisse für Datenbankobjekte aus. Dabei werden analog zu den Frontends (zum Beispiel Identity Manager) die jeweils zugeordneten Standardprozessen generiert. Weiterhin stellt die Komponente die Möglichkeit zur Verfügung, benutzerdefinierte Ereignisse für das Anstoßen der Generierung eines speziellen Prozesses objektbezogen auszulösen. ImportExportComponent Die Prozesskomponente überträgt Daten von A nach B (CSV/XML/Datenbank). JobService Die Prozesskomponente bildet die Built-In-Tasks des Identity Manager Service ab. LDAPADSIComponent Die Prozesskomponente führt den Abgleich mit einem LDAP-Verzeichnis und der Datenbank durch. LogComponent Die Prozesskomponente dient zum Protokollieren von Nachrichten, beispielsweise ins Ereignisprotokoll. MailComponent Die Prozesskomponente kann E-Mails versenden. NotesComponent Die Prozesskomponente führt den Abgleich mit Lotus Notes und der Datenbank durch. ObjectTransferComponent Die Prozesskomponente dient zum Transferieren von Objektänderungen zwischen Datenbanken. PowerShellComponent Die Prozesskomponente dient zum Aufruf der Windows - PowerShell. ReportComponent Die Prozesskomponente kann Reports erstellen und dann in eine externe Datei unterschiedlichen Typs exportieren (z.Bsp.: Report.PDF). 80 Prozessverarbeitung im Identity Manager Kurzbeschreibung der Prozesskomponenten KOMPONENTE BESCHREIBUNG SAPComponent Die Prozesskomponente führt den Abgleich mit dem Zielsystem SAP R/3 und der Datenbank durch. ScriptComponent Die Prozesskomponente führt Skripte aus Assemblies aus. SPSComponent Die Prozesskomponente führt den Abgleich mit dem Zielsystem SharePoint und der Datenbank durch. SQLComponent Die Prozesskomponente führt SQL Abfragen aus und kann zum Ermitteln von Datensatzanzahl und Datensatzexistenz verwendet werden. SubversionComponent Die Prozesskomponente führt Subversion-Operationen aus. Als Voraussetzung für die Nutzung der Prozesskomponente wird das Programm „SharpSVN“ benötigt (Herunterladen unter:http:// sharpsvn.open.collab.net/servlets/ProjectProcess?pageID=3794) WakeOnLanComponent Die Prozesskomponente sendet ein Wake-On-Lan-Paket an eine bestimmte IP-Adresse oder einen bestimmten IP-Bereich. ZipComponent Die Prozesskomponente erstellt oder entpackt ZIP-Dateien. Im Designer werden in der Kategorie <Prozess-Orchestrierung>\<Prozesskomponenten> alle Prozesskomponenten mit ihren Prozessfunktionen und Parametern dargestellt. Abbildung der Prozesskomponenten Zu einer Prozesskomponente werden die folgenden Eigenschaften abgebildet: • Name des Assembilies • Klasse der Komponente 81 Quest One Identity Manager • Beschreibung zur Funktion der Komponente • aktuelle Version der Prozesskomponente • Systemanteil Mit dieser Eigenschaft legen Sie fest, ob die Prozesskomponente zum Systemdatenmodell oder zum Anwendungsdatenmodell gehört. • Max. Instanzen Der Wert legt die maximale Anzahl der Instanzen fest, in der diese Prozesskomponente auf einem Jobserver laufen darf. Der Wert wird nur genutzt, wenn die maximale Anzahl der Instanzen einer Prozessfunktion auf „0“ gesetzt ist. Andernfalls gilt der an der Prozessfunktion gesetzte Wert. Bedeutung der Werte WERT BEDEUTUNG -1 Alle Instanzen dieser Prozesskomponente werden nacheinander abgearbeitet. 0 Alle Instanzen dieser Prozesskomponente können gleichzeitig abgearbeitet werden. 1 oder größer 1 Genaue Anzahl der Instanzen einer Prozessfunktion, die gleichzeitig abgearbeitet werden. • Definition durch Quest Diese Angabe wird von uns vorgegeben und kann nicht bearbeitet werden. Die Definitionen der Prozesskomponente werden durch die Migration überschrieben und sind, bis auf einige spezielle Eigenschaften, nicht bearbeitbar. Für kundenspezifische Prozesskomponenten ist diese Eigenschaft nicht gesetzt. • Bearbeitungsstatus Der Bearbeitungstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt. Um die einzelnen elementaren Arbeiten auf Systemebene zu verrichten, wie beispielsweise das Anlegen von Verzeichnissen, werden die Prozessfunktionen verwendet. Ein oder mehrere Prozessfunktionen und deren Parameter sind in Prozesskomponenten zusammengefasst. Zu einer Prozessfunktion werden die folgenden Eigenschaften abgebildet. 82 • Name der Prozessfunktion • Zugehörigkeit zur Prozesskomponente • Beschreibung der Prozessfunktion Prozessverarbeitung im Identity Manager • Max. Instanzen Der Wert legt die maximale Anzahl der Instanzen, die vom Identity Manager Service parallel pro Prozessfunktion ausgeführt werden können. Bedeutung der Werte WERT BEDEUTUNG -1 Alle Instanzen dieser Prozessfunktion werden nacheinander abgearbeitet. 0 Es wird die an der Prozesskomponente angegebene Anzahl der maximalen Instanzen genutzt. 1 oder größer 1 Genaue Anzahl der Instanzen dieser Prozessfunktion, die gleichzeitig abgearbeitet werden. • Ausführungstyp Der Ausführungstyp gibt an, ob für die Prozessfunktion die Prozesskomponenten intern im Identity Manager Service (Internal) oder extern in einem eigenen Prozess (External) ausgeführt werden sollen. • Letzter Schritt des Prozessteilbaums Diese Angabe legt fest, ob ob eine Prozessfunktion prinzipiell das Ende eines Prozessteilbaums markiert. • Betriebssystemklasse Diese Angabe bestimmt, auf welchem Betriebsystem diese Prozessfunktion ausgeführt werden kann. Zulässig sind die Werte „Win32“, „Linux“ und „ALL“, wobei der Wert „ALL“ für die Ausführbarkeit dieser Prozessfunktion auf jedem Betriebsystem verwendet wird. • Bearbeitungsstatus Der Bearbeitungstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt. Beim Erstellen eines Prozesses werden die Parametervorlagen der Prozessfunktion kopiert und als Parameter in den Prozessschritt übernommen. Dadurch können Sie jedem Prozessschritt, der diese Prozessfunktion verwendet, andere Parameterwerte übergeben. Das Original wird nicht verändert. Zu einem Parameter werden die folgenden Eigenschaften abgebildet: • Name des Parameters • Zugehörigkeit zur Prozessfunktion • Beschreibung des Parameters • Typ des Parameters Hierbei sind die Belegungen IN, OUT und INOUT zulässig. Parameter vom Typ OUT bzw. INOUT sind Parameter, in der eine Prozesskomponente einen Wert nach außen liefern kann. Dieser Wert steht dann allen nachfolgenden Prozessschritten des Prozesses zur Verfügung und kann als Wertbelegung für IN-Parameter dienen. • Kennzeichnung des Parameters als Pflichtparameter bzw. optionaler Parameter • Wertvorlage Beim Einfügen eines Parameters in einen Prozessschritt wird die Wertvorlage aus der Parametervorlage übernommen. Die Wertvorlagen definieren Sie in VB.Net-Syntax. Die allgemeine Skriptsyntax ist im Abschnitt Verwendung von Skripten auf Seite 330 beschrieben. 83 Quest One Identity Manager 84 • Versteckt Diese Option legt fest, ob der Parameter in der Protokolldatei des Identity Manager Service und im Programm „Job Queue Info“ angezeigt wird. Werte für versteckte Parameter werden als <HIDDEN> angezeigt. Im Job Queue Info hat nur der Systembenutzer „viadmin“ die Bearbeitungsrechte, um diese Parameter einzusehen. • Verschlüsselt Diese Option legt fest, ob der Parameter verschlüsselt übergeben wird. 4 Fehlersuche bei der Prozessverarbeitung • Einleitung • Aufzeichnung von Meldungen in der Prozesshistorie • Aufzeichnung von Meldungen im Systemprotokoll • Protokollierung des Identity Manager Services • Protokollierung der Prozessgenerierung • Protokollierung der Datenbankabfragen • Protokollierung der Objektaktionen • Protokollierung von DBScheduler Aufträgen Quest One Identity Manager Einleitung Der Identity Manager bietet verschiedene Möglichkeiten der Fehlereingrenzung bei der Verarbeitung von Prozessschritten. Dazu gehören: • Aufzeichnung von Meldungen in der Prozesshistorie • Aufzeichnung von Meldungen im Systemprotokoll • Ausgabe von Meldungen in der Protokolldatei des Identity Manager Services • Ausgabe von Meldungen in das Ereignisprotokoll • Protokollierung der Prozessgenerierung • Protokollierung von Datenbankabfragen • Protokollierung der Objektaktionen Das Programm „Job Queue Info“ unterstützt die Kontrolle des aktuellen Zustandes der in einem Identity Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und übersichtliche Darstellung der Aufträge in der Jobqueue und verschiedene Abfragen des Identity Manager Service auf den Servern. Das Programm erleichtert die Arbeit mit Prozessen, liefert Zustandsinformationen im laufenden Betrieb und ermöglicht eine schnelle Fehlererkennung und Fehlersuche. Die Beschreibung des Programms finden Sie im Handbuch „Job Queue Info“ unter Arbeiten mit Job Queue Info auf Seite 15. Aufzeichnung von Meldungen in der Prozesshistorie Konfigurationsparameter für die Aufzeichnung von Meldungen in der Prozesshistorie KONFIGURATIONSPARAMETER Common\ProcessState\JobHistory WIRKUNG BEI AKTIVIERUNG Aufzeichnung von Einträgen in der Tabelle „JobHistory“ Die Aufzeichnung von Meldungen über verarbeitete Prozessschritte wird über den Konfigurationsparameter „Common\ProcessState\JobHistory“ gesteuert. Ist der Konfigurationsparameter aktiviert, erfolgt die Aufzeichnung der verarbeiteten Prozessschritte in der Tabelle „JobHistory“. Der Umfang der Aufzeichnungen wird über den Wert des Konfigurationsparameters festgelegt. Zulässige Werte des Konfigurationsparameters „Common\ProcessState\JobHistory“ WERT BEDEUTUNG NO Es werden keine Meldungen in der Prozesshistorie aufgezeichnet. ALL Alle verarbeiteten Prozessschritte werden in Prozesshistorie aufgezeichnet. ERROR Es werden nur fehlerhafte Prozessschritte in Prozesshistorie aufgezeichnet. Die Prozesshistorie kann mit Hilfe des Programms „Job Queue Info“ analysiert werden. Die Beschreibung des Programms finden Sie im Handbuch „Job Queue Info“. 86 Fehlersuche bei der Prozessverarbeitung Die Aufzeichnungen in der Prozesshistorie sollten in regelmäßigen Abständen aus der Identity ManagerDatenbank entfernt werden. Dazu werden verschiedene Verfahren angeboten. Lesen Sie dazu den Abschnitt „Einrichten des Archivierungsverfahrens auf Seite 313“. Aufzeichnung von Meldungen im Systemprotokoll Konfigurationsparameter für die Aufzeichnung im Systemprotokoll KONFIGURATIONSPARAMETER BEDEUTUNG Common\Journal Allgemeiner Parameter zur Konfiguration des Systemprotokolls. Common\Journal\LifeTime Mit diesem Konfigurationsparameter wird die maximale Aufbewahrungszeit (in Tagen) für Einträge des Systemprotokolls in der Datenbank festgelegt. Ältere Einträge werden aus der Datenbank gelöscht. Im Systemprotokoll werden Informationen, Warnungen und Fehlermeldungen verschiedener Komponenten des Identity Managers, wie beispielsweise DBScheduler, Database Installer oder Identity Manager Service aufgezeichnet. Aktionen im Programm „Job Queue Info“, wie beispielsweise das Reaktivieren von Prozessschritten, werden ebenfalls im Systemprotokoll aufgezeichnet. Um Fehler in der Prozessverarbeitung im Systemprotokoll aufzuzeichnen, müssen die Prozessschritte mit der Option <Fehler im Journal protokollieren> versehen werden. Dazu lesen Sie auch den Abschnitt Fehlerbehandlung bei der Verarbeitung von Prozessschritten auf Seite 57. Das Systemprotokoll wird im Fehlerprotokoll des Programms „Identity Manager“ angezeigt. Lesen Sie dazu den Abschnitt Anzeige von Fehlerprotokoll und Systemprotokoll auf Seite 202. Die Aufzeichnungen im Systemprotokoll werden in regelmäßigen Abständen aus der Identity Manager-Datenbank gelöscht. Alle Aufzeichnungen, die älter sind als die maximale Aufbewahrungszeit (Konfigurationsparameter „Common\Journal\LifeTime“), werden gelöscht. Dazu verwenden Sie den Zeitplan „Journal löschen“. Den Zeitplan konfigurieren und aktivieren Sie im Designer in der Kategorie <Basisdaten>\<Zeitpläne>. Lesen Sie dazu auch den Abschnitt Einrichten und Konfigurieren von Zeitplänen auf Seite 274 im Handbuch Konfiguration. Protokollierung des Identity Manager Services Fehler- und Erfolgsmeldungen aus der Prozessverarbeitung werden in der Protokolldatei des Identity Manager Services ausgegeben. Zusätzlich können Meldungen in das Ereignisprotokoll des Servers geschrieben werden. Für diese Aufzeichnungen kann der Informationsgrad der Ausgaben konfiguriert werden Konfiguration der Protokolldatei des Identity Manager Services Die Konfiguration des Identity Manager Services über das Programm Job Service Configuration wird im Abschnitt Konfigurieren des Identity Manager Services auf Seite 52 genauer beschrieben. An dieser Stelle wird nur auf relevante Einstellungen für die Fehlersuche eingegangen. 87 Quest One Identity Manager Um die Protokolldatei des Identity Manager Services zu erzeugen, muss das Modul „FileLogWriter“ in der Identity Manager Service-Konfigurationsdatei angepasst werden. Alle Parameter mit ihren Einstellungen werden im Abschnitt FileLogWriter auf Seite 68 beschrieben. Über dieses Modul wird der Name der Protokolldatei angegeben (Parameter „OutputFile“). Es ist sicherzustellen, dass das angegebene Verzeichnis für die Datei existiert. Kann die Datei nicht erzeugt werden, ist keine Fehlerausgabe möglich. Fehlermeldungen erscheinen dann unter Windows im Ereignisprotokoll oder unter Linux in /var/log/messages. Über das Modul wird weiterhin der Informationsgehalt der Protokolldatei festgelegt. Standardmäßig werden nur Warnungen und schwere Fehler protokolliert. Über die Einstellung der Meldungstypen im Parameter „Schweregrad“ (LogSeverity) kann jedoch der Umfang der Meldungen erweitert werden. Meldungstypen INFORMATIONSGRAD BESCHREIBUNG Info Alle Meldungen werden in die Protokolldatei geschrieben. Die Protokolldatei wird schnell groß und unübersichtlich. Warning Nur Warnungen und schwere Ausnahmefehler erscheinen in der Protokolldatei (Standard). Serious Nur schwere Ausnahmefehler werden in die Protokolldatei geschrieben. Das maximale Alter einer Protokolldatei wird über das Umbenennungsintervall (LogLifeTime) konfiguriert. Hat eine Protokolldatei ihr maximales Alter erreicht, wird die Datei umbenannt (zum Beispiel „JobService.log_20040819-083554“) und eine neue Protokolldatei wird erzeugt. Anzeige der Protokolldatei Die Anzeige der Protokolldatei ist über ein Browserfrontend möglich. Voraussetzung ist die Konfiguration des HTTPStatusPlugins. Dieses Plugin erweitert den HTTP Server des Identity Manager Services um verschiedene Dienste. Zur Konfiguration des Plugins lesen Sie den Abschnitt HTTPStatusPlugin auf Seite 72 im Handbuch Erste Schritte. Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL: http://<servername>:1880/Log 88 Fehlersuche bei der Prozessverarbeitung Bei Konfiguration der SSL-Unterstützung erreichen Sie den Server mittels HTTPS. Protokolldatei des Identity Manager Services Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazu gibt es am oberen Rand der Seite eine Auswahlliste. Dabei können natürlich nur Texte angezeigt werden, die auch in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf „Warning“ können auch bei entsprechender Filterwahl keine Meldungen mit dem Meldungstyp „Info“ eingeblendet werden. Zur besseren Übersichtlichkeit werden die Protokollausgaben farbig gekennzeichnet. Farbcode in der Protokolldatei FARBE BEDEUTUNG Grün Die Verarbeitung war erfolgreich. Gelb Bei der Verarbeitung wurden Warnung ausgegeben. Rot Bei der Verarbeitung sind schwerwiegende Fehler aufgetreten. Um die Farbinformationen der Protokolldatei für den Mailversand zu erhalten, speichern Sie die komplette Webseite. Das HTTPStatusPlugin stellt zusätzlich zur Protokolldatei weitere Dienste für den Identity Manager Service zur Verfügung. Verfügbare Dienste des HTTPStatusPlugins AUFRUFSYNTAX BESCHREIBUNG http://servername:1880/Assemblies Anzeige der geladenen Assemblies mit Version http://servername:1880/Cache Anzeige der Cache-Informationen http://servername:1880/Comp Anzeige der ausgeführten Prozesskomponenten mit Version http://servername:1880/Log Anzeige der Protokolldatei 89 Quest One Identity Manager Verfügbare Dienste des HTTPStatusPlugins AUFRUFSYNTAX BESCHREIBUNG http://servername:1880/Statistics Anzeige der Statistikinformationen http://servername:1880/Status Anzeige der Statusinformationen und der Konfiguration des Identity Manager Services http://servername:1880/PerfCounter Liste der aktuell verfügbaren Leistungszähler Damit ein Benutzer einen HTTP Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der Administrator dem Benutzer die URL Genehmigung erteilt werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen: Windows Server 2003: httpcfg set urlacl /u http://*:<Port>/ -a D:(A;;GX;;;<SID des Benutzers>) Windows Server 2008/Windows Sever 2008 (R2): netsh http add urlacl url=http://*:Portnummer/ user=<Domäne>\<Benutzername> Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüft werden: Windows Server 2003: httpcfg query urlacl Windows Server 2008/Windows Sever 2008 (R2): netsh http show urlacl Erweiterte Fehlerausgabe des Identity Manager Services Über das Modul „Konfiguration“ der Identity Manager Service-Konfigurationsdatei werden zwei Parameter zur erweiterten Fehlerausgabe zur Verfügung gestellt: • Debugmodus (DebugMode) • Debugmodus der Komponenten (ComponentDebugMode) Ist der Debugmodus (DebugMode) aktiviert, schreibt der Identity Manager Service umfangreichere Informationen in die Protokolldatei, wie beispielsweise alle an eine Komponente übergebenen Parameter sowie die Ergebnisse der Prozessverarbeitung und ihre OUT-Parameter. Einzelne Prozesskomponenten des Identity Manager Services können zusätzliche Verarbeitungsinformationen in die Protokolldatei des Identity Manager Services ausgeben. Dazu kann im Konfigurationsmodul der Debugmodus der Komponenten (ComponentDebugMode) aktiviert werden. Dieser Debugmodus dient nur zur Fehlerlokalisierung und ist im normalen Betrieb aus Performancegründen nicht empfehlenswert. Arbeitet ein Synchronisator im Debugmodus der Komponenten, setzt dieser nach jeweils drei Eigenschaften ein „Commit“ an das Zielsystem ab. Dieses Verhalten dient dem Auffinden von Syntaxverletzungen an einer beliebigen Eigenschaft eines Objektes bei der Synchronisation. Bei einigen Objekten kann dieses Verhalten jedoch zusätzliche Fehler verursachen. So sind beispielsweise beim Einfügen von lokalen Gruppen in die Active Directory-Umgebung nach drei Eigenschaften lediglich der Name, der DistinguishedName und die Option „IsGlobal“ gesetzt. Die Option „IsLocal“ wird erst in den nächsten drei Eigenschaften übergeben, ist dann aber schon nicht mehr bearbeitbar, da eine 90 Fehlersuche bei der Prozessverarbeitung Active Directory Gruppe nicht umdefiniert werden kann. Somit ist die Gruppe beim ersten Commit nicht global und nicht lokal, was die Active Directory-Umgebung ablehnt. Damit kommt es beim Anlegen einer lokalen Gruppe zu einem Fehler auf dem Active Directory-Synchronisationsserver und die Gruppe wird in der Datenbank wieder gelöscht. Die Ausgaben des Synchronisator werden in eine Protokolldatei „NSProvider.log“ geschrieben. Diese Datei befindet sich im Installationsverzeichnis des Identity Manager Services und wird überschrieben. Ist Debugmodus der Komponenten aktiviert, werden externe Prozesse durch die StdioProcessor.exe/ StdioProcessor32.exe ebenfalls protokolliert (StdioProcessor_<ProcessID>.log). Die Protokolldatei liegt im Protokollverzeichnis des Identity Manager Services. Die Protokolldateien werden maximal 10 Tage aufbewahrt. Alle Parameter mit ihren Einstellungen werden im Abschnitt Modul Konfiguration auf Seite 66 beschrieben. Ausgabe von erweiterten Rückgabewerten einzelner Prozesskomponenten Konfigurationsparameter für die Ausgabe von erweiterten Rückgabewerten KONFIGURATIONSPARAMETER Common\Jobservice\DoReturnOutput WIRKUNG BEI AKTIVIERUNG Bei Prozessfunktionen, die einen erweiterten Rückgabewert liefern, wird beim Auftreten eines Fehlers die komplette Ausgabe in die Protokolldatei des Identity Manager Services geschrieben. Einige Prozesskomponenten besitzen Prozessfunktionen mit Parametern, die einen erweiterten Rückgabewert liefern. Bei Auftreten eines Fehlers kann die komplette Ausgabe des Parameters in die Protokolldatei des Identity Manager Services geschrieben werden. Das Verhalten zur Fehlerprotokollierung wird über den Konfigurationsparameter „Common\Jobservice\DoReturnOutput“ gesteuert. So kann beispielsweise bei der Ausführung eines Kommandos oder eines Programms über die Prozesskomponente „CommandComponent“ der Ausgabetext des ausgeführten Kommandos oder Programms zurückgegeben werden. Ausgabe eigener Meldungen in die Protokolldatei des Identity Manager Services Für die Ausgabe eigener Meldungen in die Protokolldatei des Identity Manager Services können Sie die Methode „RaiseMessage“ der Skript-Engine nutzen. Syntax: RaiseMessage (MsgSeverity, "Zeichenkette") Beispiel: RaiseMessage (MsgSeverity.Warning, "Beispiel für eine Warnung") RaiseMessage (MsgSeverity.Info, "Beispiel für eine Info") RaiseMessage (MsgSeverity.Serious, "Beispiel für eine als Fehler markierte Meldung") 91 Quest One Identity Manager Je nach angegebenem Meldungstyp (MsgSeverity) werden die Meldungen in der Protokolldatei farbig markiert. Beispiel für die Ausgabe eigener Meldungen in die Protokolldatei des Identity Manager Services Weitere Beispiel für Ausgaben in die Protokolldatei des Identity Manager Services entnehmen Sie den Skriptbeispielen im SDK. Aufzeichnung von Meldungen in der Ereignisanzeige Die Konfiguration des Identity Manager Services über das Programm Job Service Configuration wird im Abschnitt Konfigurieren des Identity Manager Services auf Seite 52 genauer beschrieben. An dieser Stelle wird nur auf relevante Einstellungen für die Fehlersuche eingegangen. Um Meldungen des Identity Manager Services in der Ereignisanzeige des Servers aufzuzeichnen, muss das Modul „EventLogLogWriter“ in der Identity Manager Service-Konfigurationsdatei angepasst werden. Alle Parameter mit ihren Einstellungen werden im Abschnitt EventLogLogWriter auf Seite 68 beschrieben. Über den Parameter „Ereignisprotokoll (EventLog)“ geben Sie den Namen des Ereignisprotokolls an, in das die Meldungen geschrieben werden. Mit dem Standardwert „Application“ werden die Meldungen in das Anwendungsprotokoll geschrieben. Über das Modul wird der Informationsgehalt der Aufzeichnungen festgelegt. Standardmäßig werden nur Warnungen und schwere Ausnahmefehler protokolliert. Über die Einstellung der Meldungstypen im Parameter „Schweregrad“ (LogSeverity) kann jedoch der Umfang der Meldungen erweitert werden. Meldungstypen INFORMATIONSGRAD BESCHREIBUNG Info Alle Meldungen werden in die Protokolldatei geschrieben. Die Protokolldatei wird schnell groß und unübersichtlich. Warning Nur Warnungen und schwere Ausnahmefehler erscheinen in der Protokolldatei (Standard). Serious Nur schwere Ausnahmefehler werden in die Protokolldatei geschrieben. Meldungen aus der Prozessverarbeitung können ebenfalls in das Ereignisprotokoll eines Servers geschrieben werden. Dazu verwenden Sie die Prozesskomponente “LogComponent“. Protokollierung der Prozessgenerierung Um die Protokollierung der Prozessgenerierung zu aktivieren, ist in der Konfigurationssektion „ConnectionBehaviour“ im Parameter „JobGenLogDir“ das Verzeichnis für die Generierungsprotokolle einzutragen. Dies kann entweder in der Konfigurationsdatei des Programms oder unter Windows in der Registrierdatenbank erfolgen. Das angegebene Verzeichnis muss vorhanden sein. Die Konfigurationsdatei des Identity Manager Services wird mit dem Job Service Configuration angepasst (siehe Modul Connection auf Seite 70). 92 Fehlersuche bei der Prozessverarbeitung Beispiel: Eintrag in der Jobservice.cfg des Identity Manager Services <configuration> ... <category name="connectionbehaviour"> <value name="jobgenlogdir">%Temp%\jobgenlog</value> </category> ... </configuration> Beispiel: Eintrag in der Konfigurationsdatei einer Applikation <configuration> <configSections> ... <section name="connectionbehaviour" type="System.Configuration. NameValueSectionHandler" /> </configSections> ... <connectionbehaviour> <add key="jobgenlogdir" value="C:\TEMP\jobgenlog" /> </connectionbehaviour> ... </configuration> Beispiel: Eintrag für den Object Browser über eine Registrierungsdatei (*.reg). Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Quest Software\Identity Manager\ObjectBrowser\ConnectionBehaviour] "JobGenLogDir"="c:\\temp\\JobGenLog" Protokollierung der Datenbankabfragen Für alle Programme, die mit der VI.DB.DLL arbeiten, kann die Protokollierung der Datenbankabfragen aktiviert werden. Dazu ist in der Konfigurationssektion „ConnectionBehaviour“ im Parameter „SQLLogDir“ das Verzeichnis für die SQL Protokolle einzutragen. Dies kann entweder in der Konfigurationsdatei des Programms oder unter Windows in der Registrierdatenbank erfolgen. Das angegebene Verzeichnis muss vorhanden sein. Die Konfigurationsdatei des Identity Manager Services wird mit dem Job Service Configuration angepasst (siehe Modul Connection auf Seite 70). Beispiel: Eintrag in der Jobservice.cfg des Identity Manager Services <configuration> ... <category name="connectionbehaviour"> <value name="sqllogdir">%Temp%\sqllogdir</value> </category> ... </configuration> Beispiel: Eintrag in der Konfigurationsdatei einer Applikation <configuration> <configSections> ... <section name="connectionbehaviour" type="System.Configuration. NameValueSectionHandler" /> </configSections> 93 Quest One Identity Manager ... <connectionbehaviour> <add key="sqllogdir" value="C:\TEMP\sqllog" /> </connectionbehaviour> ... </configuration> Beispiel: Eintrag für den Object Browser über eine Registrierungsdatei (*.reg). Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Quest Software\Identity Manager\ObjectBrowser\ConnectionBehaviour] "SQLLogDir"="c:\\temp\\Sqllog" Protokollierung der Objektaktionen Für alle Programme, die mit der VI.DB.DLL arbeiten, kann die Protokollierung der Objektaktionen aktiviert werden. Dazu ist in der Konfigurationssektion „ConnectionBehaviour“ im Parameter „ObjectLogDir“ das Verzeichnis für die Objektprotokolle einzutragen. Dies kann entweder in der Konfigurationsdatei des Programms oder unter Windows in der Registrierdatenbank erfolgen. Das angegebene Verzeichnis muss vorhanden sein. Über den Parameter „Regulärer Ausdruck für Staketrace-Positionen (ObjectDumpStackExpression)“ kann ein regulärer Ausdruck festgelegt werden. Wenn die aktuelle Zeile des Objektprotokolls auf den regulären Ausdruck passt, wird der Stacktrace mit in das Objektprotokoll geschrieben. Beispielausdruck: „Lastname“ Enthält die aktuelle Zeile den Wert „Lastname“, so wird zusätzlich der Stacktrace in das Protokoll übernommen. Die Konfigurationsdatei des Identity Manager Services wird mit dem Job Service Configuration angepasst (siehe Modul Connection auf Seite 70). Beispiel: Eintrag in der Jobservice.cfg des Identity Manager Services <configuration> ... <category name="connectionbehaviour"> <value name="objectlogdir">%Temp%\objectlog</value> </category> ... </configuration> Beispiel: Eintrag in der Konfigurationsdatei einer Applikation <configuration> <configSections> ... <section name="connectionbehaviour" type="System.Configuration. NameValueSectionHandler" /> </configSections> ... <connectionbehaviour> <add key="objectlogdir" value="C:\TEMP\objectlog" /> </connectionbehaviour> ... </configuration> 94 Fehlersuche bei der Prozessverarbeitung Beispiel: Eintrag für den Object Browser über eine Registrierungsdatei (*.reg). Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Quest Software\Identity Manager\ObjectBrowser\ConnectionBehaviour] "ObjectLogDir"="c:\\temp\\ObjectLog" Protokollierung von DBScheduler Aufträgen Der DBScheduler wird durch einen Datenbankschedule „vid_DBScheduler“ aufgerufen. Bei Bedarf können Sie den Aufrufzyklus der Datenbankschedules im SQL Server Management Studio unter <SQL Server Agent>\<Aufträge> ändern. Mit entsprechenden administrativen Rechten kann der DBScheduler in einigen Administrationswerkzeugen des Identity Managers bei Bedarf manuell gestartet werden (siehe auch Informationen über Berechnungsaufträge des DBSchedulers auf Seite 61). Zur Überprüfung, ob der Datenbankschedule noch aktiv ist, kann das DBSchedulerWatchDogPlugin des Identity Manager Services genutzt werden. Das Plugin überprüft in definierten Abständen, ob der Datenbankschedule für den DBScheduler aktiv ist und startet ihn gegebenenfalls. Das Plugin sollte nur auf einem Jobserver im Netz aktiviert werden, empfohlen wird die Aktivierung auf dem Datenbankserver. Zur Konfiguration des Plugins lesen Sie den Abschnitt DBSchedulerWatchDogPlugin auf Seite 74 im Handbuch Erste Schritte Im Systemprotokoll werden Informationen, Warnungen und Fehlermeldungen des DBSchedulers aufgezeichnet. Systemmeldungen, die während der Verarbeitung von DB Scheduler Aufträgen aufgezeichnet werden, können zusätzlich in den Administrationswerkzeugen eingesehen werden (siehe auch Informationen über Berechnungsaufträge des DBSchedulers auf Seite 61). 95 Quest One Identity Manager 96 5 Dateien des Identity Managers • Konfigurationsdateien des Identity Manager Services • Protokolldatei des Identity Manager Services • Protokolldatei des HTTPLogPlugins Quest One Identity Manager Konfigurationsdateien des Identity Manager Services Die Konfiguration des Identity Manager Services erfolgt über eine Konfigurationsdatei. Die Konfigurationsdatei muss im gleichen Verzeichnis wie die viNetworkService.exe liegen. Es werden zwei Konfigurationsdateien unterstützt: • Jobservice.cfg • viNetworkService.exe.config Jobservice.cfg Die Jobservice.cfg ist eine XML-Konfigurationsdatei im Quest-eigenen einfacheren Format. Vorteil dieser Datei ist, dass ein Nachladen im laufenden Betrieb unterstützt wird. Die Texte sind casesensitive. Für die verschiedenen Module innerhalb des Identity Manager Services gibt es jeweils eine eigene Konfigurationssektion innerhalb der Datei. Die Wurzel in der XML-Datei heißt immer „configuration“. In der Sektion „category“ wird jeweils ein Modul der Konfigurationsdatei und seine Werte definiert werden. Derzeit unterstützt das Programm nur den Sektionentyp „System.Configuration.NameValueSectionHandler“. Sowohl die Sektionen als auch der Namen der Werte müssen „Lower Case“ geschrieben werden. <configuration> <category name="serviceconfiguration"> <value name="jobprovider">VI.JobService.MSSqlJobProvider,jobservice</value> <value name="HttpPort">1180</value> <value name="logwriter">VI.JobService.FileLogWriter,jobservice</value> </category> </configuration> Beispiel: Einfache Konfiguration mit: • direkter Anbindung an Microsoft SQL Server • nur eine Jobdestination (JobProcessor) • HTTPStatusPlugIn zur Statusabfrage mittels HTTP <configuration> <category name="serviceconfiguration"> <value name="jobprovider">VI.JobService.MSSqlJobProvider,jobservice</value> <value name="logwriter">VI.JobService.FileLogWriter,jobservice</value> </category> <category name="sqlprovider"> <value name="connectstring">User ID=sa;initial Catalog=<Database>;Data Source=<SQL-Server>;Password=<Password></value> </category> <category name="filelogwriter"> <value name="loglifetime">0.01:00:00</value> 98 Dateien des Identity Managers <value name="logseverity">Info</value> </category> <category name="dispatcher" /> <category name="jobdestinations"> <value name="queuex">VI.JobService.JobServiceDestination,jobservice</value> </category> <category name="queuex"> <value name="queue">\%COMPUTERNAME%</value> </category> <category name="plugins"> <value name="httpstatusplugin">VI.JobService.HttpStatusPlugin,jobservice</value> </category> </configuration> viNetworkService.exe.config Die viNetworkService.exe.config ist die Standard-Konfigurationsdatei für .NET-exe’s und hat das dafür vorgegebene Format. Die Texte sind casesensitive. Für die verschiedenen Module innerhalb des Identity Manager Services gibt es jeweils eine eigene Konfigurationssektion innerhalb der Datei. Die Wurzel in der XML-Datei heißt immer „configuration“. In der immer vorhandenen Sektion „configSections“ müssen alle weiteren Sektionen der Konfigurationsdatei und deren Typ definiert werden. Derzeit unterstützt das Programm nur den Sektionentyp „System.Configuration.NameValueSectionHandler“. <configuration> <configSections> <section name="sectionname" type="System.Configuration.NameValueSectionHandler" /> </configSections> <sectionname> ... </sectionname> </configuration> Beispiel für eine einfache Konfiguration mit: • direkter Anbindung an Microsoft SQL Server • nur eine Jobdestination (JobProcessor) • HTTPStatusPlugIn zur Statusabfrage mittels HTTP <configuration> <configSections> <section name="serviceconfiguration" type="System.Configuration.NameValueSectionHandler" /> <section name="sqlprovider" type="System.Configuration.NameValueSectionHandler" /> <section name="filelogwriter" type="System.Configuration.NameValueSectionHandler" /> <section name="dispatcher" type="System.Configuration.NameValueSectionHandler" /> <section name="jobdestinations" type="System.Configuration.NameValueSectionHandler" /> <section name="queuex" type="System.Configuration.NameValueSectionHandler" /> <section name="plugins" type="System.Configuration.NameValueSectionHandler" /> <section name="httpstatusplugin" type="System.Configuration.NameValueSectionHandler" /> 99 Quest One Identity Manager </configSections> <serviceconfiguration> <add key="jobprovider" value="VI.JobService.MSSqlJobProvider,jobservice" /> <add key="logwriter" value="VI.JobService.FileLogWriter,jobservice" /> </serviceconfiguration> <sqlprovider> <add key="ConnectString" value="User ID=sa;initial Catalog=<Database>;Data Source=<SQL-Server>;Password=<Password>" /> </sqlprovider> <filelogwriter> <add key="LogLifeTime" value="0.01:00:00" /> <add key="LogSeverity" value="Info" /> </filelogwriter> <dispatcher /> <jobdestinations> <add key="QueueX" value="VI.JobService.JobServiceDestination,jobservice" /> </jobdestinations> <queuex> <add key="queue" value="\%COMPUTERNAME%" /> </queuex> <plugins> <add key="httpstatusplugin" value="VI.JobService.HttpStatusPlugin,jobservice" /> </plugins> </configuration> Protokolldatei des Identity Manager Services Der Logwriter protokolliert aller Aufträge für die Komponenten des Identity Manager Services mit Erfolgs-und Fehlermeldungen. Der Umfang ist abhängig vom konfigurierten Meldungstyp (Parameter „LogSeverity“). Meldungstypen INFORMATIONSGRAD BESCHREIBUNG Info Alle Meldungen werden in die Protokolldatei geschrieben. Die Protokolldatei wird schnell groß und unübersichtlich. Warning Nur Warnungen und schwere Fehler erscheinen in der Protokolldatei (Standard). Serious Nur schwere Fehler werden in die Protokolldatei geschrieben (Exceptions). Die Anzeige der Protokolldatei ist über ein Browserfrontend möglich. Voraussetzung ist die Konfiguration des HTTPStatusPlugins. Dieses Plugin erweitert den HTTP Server des Identity Manager Services um verschiedene Dienste. Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL: http://<servername>:1880/Log Bei Konfiguration der SSL-Unterstützung erreichen Sie den Server mittels HTTPS. Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazu gibt es am oberen Rand der Seite eine Auswahlliste. Dabei können natürlich nur Texte angezeigt werden, die auch in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf „Warning“ können auch bei entsprechender Filterwahl keine Meldungen mit dem Meldungstyp „Info“ eingeblendet werden. 100 Dateien des Identity Managers Das maximale Alter einer Protokolldatei wird über den Parameter „LogLifeTime“ konfiguriert. Hat eine Protokolldatei ihr maximales Alter erreicht, wird die Datei umbenannt (zum Beispiel „JobService.log_20040819-083554“) und eine neue Protokolldatei wird erzeugt. Das HTTPStatusPlugin stellt neben dem Aufruf der Protokolldatei weitere Dienste für den Identity Manager Service zur Verfügung. Aufrufsyntax für die Dienste: http://<servername>:1880/Assemblies http://<servername>:1880/Cache http://<servername>:1880/Comp http://<servername>:1880/Statistics http://<servername>:1880/Status http://servername:1880/PerfCounter Protokolldatei des HTTPLogPlugins Das HTTPLogPlugin schreibt eine Protokolldatei mit den HTTP Anfragen des Identity Manager Services. Die Datei wird im Datei wird im Apache HTTP Server Combined Log Format geschrieben. Beispiel für einen Eintrag: 172.19.2.18 - - [03/Feb/2005:14:55:48 +0100] "GET /resources/JobService.css HTTP/1.x" OK - "http://vidrn005:1880/status/LogWriter/Config""Mozilla/5.0 (Windows; U; 5.1; de-DE; rv:1.7.5) Gecko/20041108Firefox/1.0" Bedeutung der einzelnen Einträge EINTRAG BEDEUTUNG 172.19.2.18 IP Adresse von der die Anfrage kam. - Benutzername des Clients über IDENT-Protokoll (RFC 1413). - Benutzername des Clients gemäß HTP-Authentisierung. [03/Feb/2005:14:55:48 +0100] Zeitpunkt der Verarbeitung der Anfrage auf dem Server. GET /resources/JobService.css HTTP/ 1.x" Anfrage. OK Status Code. - Größe der an den Browser zurückgeschickten Daten. "http://vidrn005:1880/status/LogWriter/Config" URL von der aus der Zugriff auf die aktuelle Seite erfolgt ist. "Mozilla/5.0 (Windows; U; Windows NT Verwendeter Browser. 5.1; de-DE; rv:1.7.5) Gecko/ 20041108Firefox/1.0" 101 Quest One Identity Manager 102 GLOSSAR Dieses Glossar enthält Definitionen, die aus Microsoft Veröffentlichungen übernommen wurden. A ABAP Advanced Business Application Programming. Programmiersprache der Firma SAP AG. Abbestellworkflow Entscheidungsworkflow, durch den die Entscheider ermittelt werden, wenn ein bestelltes Produkt abbestellt wird. Active Directory (AD) LDAP-basierter Verzeichnisdienst von Microsoft, der mit Windows 2000 eingeführt wurde. Active Directory Service Implementation eines Verzeichnisdienstes von Microsoft. AdminP-Auftrag Administrationsprozess im Lotus Notes, durch den verschiedene interne Aufgaben abgearbeitet werden. Alle AdminP-Aufträge und ihre Ergebnisse werden in die Admin4-Datenbank aufgenommen. Diese Datenbank kann mit der Identity Manager Datenbank synchronisiert werden. Anwendungsrolle Die Identity Manager Anwendungsrollen sind funktionale Rollen, mit denen Sie Bearbeitungsrechte auf die Funktionen des Identity Managers festlegen, die sich aus den Aufgaben der Identity Manager Benutzer innerhalb der Unternehmensstrukturen ergeben. Anwendungsrollen berücksichtigen administrative Aufgaben und Genehmigungsprozesse. Anwendungsrollen sind durch den Identity Manager vorgegeben, können aber verändert und erweitert werden. Applikation Anwendungssoftware. Application Link Enabling (ALE) Technologie im SAP mittels der verteilte Anwendungen auf verschiedenen SAP Systemen eingerichtet und betrieben werden können. Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems. Applikationsgruppe Globale Gruppe zur Zuordnung von Applikationen an Benutzerkonten. Attestierer Person, die eine Attestierung durchführt. Attestierer genehmigen die Daten, die in einem Attestierungsvorgang vorgelegt werden, oder lehnen diese ab. Attestierung Vorgang, um Daten oder interne Regelungen zu autorisieren. Mit der Attestierungsfunktion des Identity Managers können Manager oder andere verantwortliche Personen die Richtigkeit von Bearbeitungsrechten, Berechtigungen, Bestellungen oder Ausnahmegenehmigungen regelmäßig oder auf Anfrage bescheinigen. 103 Quest One Identity Manager Attestierungsvorgang Objekt, das erstellt wird, sobald eine Attestierung automatisch oder manuell angestoßen wird. Wird eine Attestierung angestoßen, erstellt der Identity Manager zu jedem Attestierungsobjekt einen Attestierungsvorgang. Im Attestierungsvorgang werden Informationen über die Attestierung gespeichert. Dazu gehören u.a. Attestierungsobjekt, Status (offen, genehmigt, abgelehnt), Datum der Attestierung, Attestierer. Ausnahmegenehmiger Person, die Regelverletzungen genehmigen kann. Ausnahmegenehmiger sind nur die Personen, die über eine Anwendungsrolle <Identity Audit>\<Ausnahmegenehmiger> mindestens einer Complianceregel als Ausnahmegenehmiger zugewiesen sind. Ausschlussliste Gesamtheit der Benutzerkonten, die aus einer dynamischen Gruppen ausgeschlossen werden sollen. Ausschlusslisten können in den Zielsystemen Lotus Notes und LDAP gepflegt werden. Authentifizierungsmodul Authentifizierungsmodule dienen dazu festzulegen, wie sich Benutzer an den Identity Manager-Werkzeugen anmelden sollen. Benutzer können sich z. B. als Personen, mit ihrem Active Directory Benutzerkonto oder direkt als Systembenutzer anmelden. Das Authentifizierungsmodul ermittelt den Systembenutzer der dem angemeldeten Benutzer direkt oder indirekt zugeordnet ist. Damit werden dem Benutzer die Bearbeitungsrechte auf die Oberflächenelemente des gestarteten Administrationswerkzeugs und auf die Objekte der Datenbank zugewiesen. Authentifizierungsobjekt Objekt, mit dem sich ein SharePoint Benutzer an einer SharePoint Website anmeldet. Authentifizierungsobjekte bezieht SharePoint aus der Systemumgebung, in die die SharePoint-Umgebung integriert ist. Der Identity Manager kann Bezüge zu folgenden Authentifizierungsobjekten herstellen: Active Directory Benutzerkonten und Gruppen, LDAP Benutzerkonten und Gruppen. Automatisierungsgrad Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbte Eigenschaften der Person an das Benutzerkonto. Der Identity Manager liefert eine Konfiguration für die Automatisierungsgrade „Unmanaged“ und „Full managed“. Weitere Automatisierungsgrade können definiert werden. Unmanaged Benutzerkonten erhalten eine Verbindung zur Person, erben jedoch keine weiteren Eigenschaften von dieser Person Full managed Benutzerkonten erhalten eine Verbindung zur Person und erben definierte Eigenschaften von dieser Person B Basisobjekt Verweist auf das Authentifizierungsobjekt, mit dem sich ein SharePoint Benutzer an einer SharePoint Website anmeldet. Bearbeitungsrechte Fasst die Rechte der Identity Manager Benutzer auf Datenbankobjekte, Menüführungsobjekte, Formulare und Methoden zusammen. 104 Benutzer Person, die ein Hilfsmittel zur Erzielung eines Vorteils (eines Nutzens, z. B. zur Zeit- und/oder Kostenverringerung) verwendet. Benutzerkontenressource Benutzerkontenressourcen sind spezielle Ressourcen, die verwendet werden, um Benutzerkonten in den angeschlossenen Zielsystemen automatisch zu erzeugen und zu verwalten. Wird einer Person eine Benutzerkontenressource zugewiesen, erzeugt der Identity Manager ein Benutzerkonto in dem Zielsystem, dem die Benutzerkontenressource zugeordnet ist. Über den Standardautomatisierungsgrad einer Benutzerkontenressource ist festgelegt, welche Eigenschaften der Person an das Benutzerkonto vererbt werden. Benutzerkonto Zugangsberechtigung zu einem zugangsbeschränkten IT-System. Üblicherweise muss ein Benutzer sich bei der Anmeldung mit Benutzername und Kennwort authentisieren. Benutzerkonto (SharePoint) Objekt, über das einem SharePoint Benutzer Berechtigungen auf SharePoint Websites bereitgestellt werden. Benutzerrichtlinie Objekt, über das einem SharePoint Benutzer übergreifende Berechtigungen auf alle Websites einer SharePoint Webanwendung bereitgestellt werden. Berechtigungsdefinition Zusammenstellung der Transaktionen und Berechtigungsobjekte im Identity Manager, die durch eine SAP Funktion geprüft werden sollen. Berechtigungseditor Werkzeug zur Bearbeitung der Berechtigungsdefinition für eine SAP Funktion. Berechtigungsfeld Objekt im SAP System. Kleinste Einheit, auf die Berechtigungen vergeben werden können. Berechtigungsfelder werden dazu mit konkreten Werten (Aktivitäten oder Daten) versehen. Bis zu 10 Berechtigungsfelder werden zu einem Berechtigungsobjekt zusammengefasst, die nur gemeinsam eine gültige Berechtigung ergeben. Berechtigungsobjekt Objekt im SAP System. Ermöglicht die Definition von Berechtigungen in einem SAP System. Umfasst bis zu 10 Berechtigungsfelder, die durch eine UND-Verknüpfung verbunden sind. Berechtigungsstufe Objekt, über das SharePoint Berechtigungen zusammengefasst werden. Berechtigungsstufen, die mit einer konkreten SharePoint Website verknüpft sind, werden als SharePoint Rollen in der Identity Manager-Datenbank abgebildet. Bestellposition Produkt, das einem Einkaufswagen zugeordnet ist. An einer Bestellposition ist ersichtlich, welches Produkt vom wem für wen bestellt werden soll. 105 Quest One Identity Manager Bestellvorlage Vorlage für einen Einkaufswagen, in der Bestellpositionen, die häufig gemeinsam bestellt werden, zusammengefasst sind. Öffentliche Bestellvorlagen stehen allen Identity Manager Benutzern zur Verfügung, sobald sie freigegeben sind. Nicht-öffentliche Bestellvorlagen kann nur der Eigentümer der Bestellvorlage nutzen. Bildungsregel Vorschrift zur Abbildung von Objekteigenschaften. Bildungsregeln können sowohl in einem Objekt als auch objektübergreifend wirken. C Crypto Configuration Programm zur Verschlüsselung von Datenbankinhalten einer Identity Manager-Datenbank. D Datenbankschema Eine logische Beschreibung von Daten, die in einer Datenbank gespeichert sind. Das Datenbankschema definiert nicht nur die Namen der einzelnen Daten, ihre Größe und andere Charakteristiken, sondern identifiziert auch die Beziehung zwischen den Daten. Das Datenmodell des Identity Managers unterscheidet zwischen Nutzdaten und Metadaten. Die Nutzdaten werden durch das Anwendungsdatenmodell beschrieben, die Metadaten durch das Dialogdatenmodell. Database Compiler Programm zum Kompilieren der Identity Manager-Datenbank nach relevanten Änderungen. Database Installer Programm zur Installation und Migration einer Identity Manager-Datenbank. Database Transporter Programm zum Export von Objekten und kundenspezifischer Änderungen aus einer Identity ManagerDatenbank und Import in eine Identity Manager-Datenbank. DBQueue Auftragsliste, in die per Trigger Verarbeitungsaufträge eingestellt werden. DBScheduler Der DBScheduler dient zur asynchronen Berechnung der Verarbeitungsaufträge aus der DBQueue . Der DBScheduler besteht aus einer Kombination von gespeicherten Prozeduren und Triggern. Der DBScheduler steuert auch zyklische wiederkehrende Aufträge, wie die täglichen Wartungsaufträge zur Berechnung von Statistiken oder zur Indizierung der Datenbank. Delegierung Spezielle Form der Zuweisungsbestellung. Dabei gibt eine Person eine beliebige Rollenzuordnung zeitweilig an eine andere Personen ab. Delegierungen können über Genehmigungsverfahren autorisiert werden. Designer Zentrale Oberfläche zur Konfiguration des Identity Managers. 106 Domain Name System (DNS) Das Domain Name System (DNS) ist eine hierarchische verteilte Datenbank, die den Namensraum im Internet verwaltet. Domino Server, zentraler Ausgewählter produktiver Notes Server mit guter Netzwerkanbindung zum Gateway Server. Bei der Ausführung der Aktionen auf dem produktiven Adressbuch und den Postfachdateien kommuniziert der Gateway Server mit dem zentralen Domino Server. Dynamic Host Configuration Protocol (DHCP) Standard für die Verwaltung von dynamischen Einstellungen und Adressen in einem Netzwerk. DHCP ermöglicht mit Hilfe eines DHCP Servers die dynamische Zuweisung einer IP-Adresse und weiterer Konfigurationsparameter an Computer in einem Netzwerk. Dynamische Gruppe Zielsystemgruppe, in die Benutzerkonten anhand fester Auswahlkriterien aufgenommen werden. Dynamische Gruppen können in den Zielsystemen Active Directory, Lotus Notes und LDAP angelegt werden. E Einkaufswagen Wird im IT Shop zum Sammeln von Produkten genutzt, die zu einem beliebigen Zeitpunkt bestellt werden sollen. Ein Kunde kann beliebig viele Einkaufswagen anlegen. Sobald die Bestellungen eines Einkaufswagens ausgeführt werden, wird der Einkaufswagen gelöscht. Einschlussliste Gesamtheit der Benutzerkonten, die zusätzlich zum Auswahlkriterium der Gruppe in eine dynamische Gruppe aufgenommen werden sollen. Einschlusslisten können in den Zielsystemen Lotus Notes und LDAP gepflegt werden. Enterprise Resource Planning (ERP) Bezeichnet die unternehmerische Aufgabe, die in einem Unternehmen vorhandenen Ressourcen möglichst effizient für den betrieblichen Ablauf einzuplanen. Entscheider Ein Entscheider ist eine Person, die innerhalb eines Genehmigungsverfahrens eine Bestellung (Verlängerung oder Abbestellung) genehmigen oder ablehnen kann. Entscheidungsrichtlinie Legt fest, welcher Entscheidungsworkflow auf einen Attestierungsvorgang oder eine Bestellung (Verlängerung oder Abbestellung) im IT Shop angewendet werden soll. Entscheidungsverfahren Ermittelt die Attestierer für den aktuellen Attestierungsvorgang bzw. die Entscheider für die aktuelle Bestellung (Verlängerung oder Abbestellung) im IT Shop. 107 Quest One Identity Manager Entscheidungsworkflow Legt fest, welche Entscheidungsverfahren in welcher Reihenfolge in Attestierungsvorgängen oder Bestellungen (Verlängerungen oder Abbestellungen) im IT Shop angewendet werden. Ein Entscheidungsworkflow enthält mindestens eine Entscheidungsebene mit mindestens einem Entscheidungsschritt. F Freigabeschlüssel Mit dem Freigabeschlüssel kann ein Systembenutzer Objekte ändern, die von Quest Software definiert werden. Der Freigabeschlüssel wird zeitlich begrenzt vergeben und muss gesondert angefordert werden. Funktionsausprägung Funktionsdefinition, die mit Werten für eine konkrete Anwendungssituation versehen ist. In Funktionsausprägungen wird ein konkreter SAP Mandant angegeben, in dem die SAP Funktion angewendet werden soll. Des Weiteren werden die Variablen, die den Berechtigungsfeldern zugeordnet sind, mit konkreten Werten versehen. Funktionsausprägungen können nur für aktivierte SAP Funktionen erstellt werden. Funktionselement Sammelbegriff für Transaktionen, Berechtigungsobjekte und Berechtigungsfelder, die in einer Berechtigungsdefinition im Berechtigungseditor als Baumstruktur abgebildet sind. G Gateway Server Server innerhalb der Identity Manager-Umgebung, der alle administrativen Aufgaben in einer Lotus Notes-Umgebung, die durch den Identity Manager ausgelöst werden, ausführt. Der Gateway Server kann selbst nicht produktiver Notes Server sein. Er benötigt jedoch Zugriff auf die Notes Server der produktiven Umgebung. Auf dem Gateway Server werden der Identity Manager Service mit der Lotus Notes Synchronisationskomponente installiert sowie die Notes-Datenbank „viAgentsDB.nsf“ bereitgestellt. Genehmigungsverfahren Verfahren zur Genehmigung von Produktbestellungen eines Kunden innerhalb des IT Shops. Die Einrichtung eines Genehmigungsverfahrens erfolgt über Entscheidungsrichtlinien, die mehrere Entscheidungsebenen enthalten können. In einer Entscheidungsebene können mehrere Entscheidungsschritte definiert sein. Pro Entscheidungsschritt kann ein anderer Personenkreis als Entscheider festgelegt sein. Geschäftsrolle Geschäftsrollen sind eine Abbildung unternehmensspezifischer Funktionen im Identity Manager. Damit können damit Genehmigungsabläufe, Zuweisungen oder Entscheidungsverfahren entsprechend den Erfordernissen der Organisationsstruktur gestaltet werden. Sämtliche Geschäftsrollen werden durch das Unternehmen festgelegt. Globale Regalvorlage Vorlage, mit der Sie Regale automatisiert in allen Shops eines IT Shops erzeugen können. Einer globalen Regalvorlage können Unternehmensressourcen als Produkte und Entscheidungsrichtlinien zugewiesen werden. 108 H HistoryDB System zur Archivierung von Datenänderungen. HistoryDB Manager Administrationswerkzeug zur Darstellung und Bearbeitung aller Informationen des HistoryDB-Archivsystems. HistoryDB Service Systemdienst auf Servern. Der HistoryDB Service importiert die Aufzeichnungen in das HistoryDB-Archivsystem. Hotfix Ein Hotfix enthält einzelne Korrekturen an der Standardkonfiguration der eingesetzten Hauptversion jedoch keine Erweiterungen der Funktionalität. Hypertext Transfer Protocol (HTTP) Protokoll zur Übertragung von Daten. I ID Restore Verfahren im Identity Manager, mit dem Benutzer-ID-Dateien im Lotus Notes wiederhergestellt werden können. Dieses Verfahren kann genutzt werden, wenn die Wiederherstellung von Benutzer-ID-Dateien aus einer ID Vault nicht eingerichtet ist. Identity Manager (1) Produkt der Quest Software für das Provisioning von IT- und anderen Ressourcen in einem Unternehmen. Identity Manager (2) Administrationswerkzeug zur Verwaltung von Personen, Benutzerkonten und Berechtigungen in einem Identity Manager-Netzwerk. Identity Manager Service Systemdienst auf Servern. Der Identity Manager Service arbeitet die Prozesse ab. IT Shop Programmanteil zur Versorgung von Personen mit Unternehmensressourcen über definierte Genehmigungsverfahren. IT Shop-Lösungen werden im Identity Manager eingerichtet und können dann im Web Portal genutzt werden. IT Shop Struktur Rollenklasse, unter der die Bestandteile Shoppingcenter, Shop, Regal, Produkt, Kunde einer IT Shop-Lösung zusammengefasst werden. 109 Quest One Identity Manager J Job Queue Info Programm zur Überwachung des aktuellen Zustandes der in einem Identity Manager-Netzwerk laufenden Dienste. Jobdestination Komponente des Identity Manager Service. Die Jobdestination verarbeitet die Prozessschritte und liefert ein Ergebnis an den Jobprovider zurück. Jobprovider Komponente des Identity Manager Service. Ein Jobprovider stellt einer Jobdestination Prozessschritte zur Verfügung und wertet das Ergebnis aus. Jobqueue Zentraler Ablageort für die generierten und auszuführenden Aktionen der Prozesskomponenten. Jobserver Server, auf dem elementare Aufgaben ausgeführt werden. Jobservereditor Editor des Designers zur Bearbeitung der Jobservereigenschaften. Job Service Configuration Programm zur Konfiguration des Identity Manager Service. Job Service Updater Programm zur Aktualisierung des Identity Manager Service auf den Jobservern. K Konfigurationsparameter Parameter, mit denen die Grundeinstellungen zum Systemverhalten des Identity Managers konfiguriert werden. Präprozessorrelevante Konfigurationsparameter sind Konfigurationsparameter, die mit Präprozessorbedingungen verbunden sind. Wird ein präprozessorrelevanter Konfigurationsparameter geändert, muss die Datenbank erneut kompiliert werden. Konfigurationsparametereditor Editor des Designers zur Anpassung der Konfigurationsparameter. Kunde Person eines Unternehmens, die berechtigt ist, im IT Shop Produkte zu bestellen. Kunde wird man durch Zuordnung zu einem Shop. Kunden bilden zusammen mit Regalen, Produkten, Shops und Shoppingcentern eine hierarchisch strukturierte IT Shop-Lösung. 110 L Leistungsposition Objekte, die zur internen Kostenverrechnung von Unternehmensressourcen benötigt werden. Damit Unternehmensressourcen als Produkte im IT Shop bestellt und intern abgerechnet werden können, muss ihnen eine Leistungsposition zugeordnet werden. Eine Leistungsposition enthält eine genaue Produktdefinition, Kostenstellenzuordnung, Preisinformationen. Lightweight Directory Access Protocol (LDAP) Netzwerkprotokoll, dass die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) erlaubt. Listeneditor Basiseditor des Designers, mit dem Listen dargestellt und bearbeitet werden können. Lotus Notes Dokumentorientiertes, verteiltes Datenbanksystem mit sehr enger E-Mail-Anbindung. M Manager Zentrale Administrationsoberfläche zur Verwaltung aller Netzwerkinformationen in einem Identity Manager-Netzwerk. Mapping Abbildung der Zielsystemobjekte und ihrer Eigenschaften auf Datenbankobjekte und deren Eigenschaften. Das Mapping wird genutzt, um Daten zwischen dem Identity Manager und einem Zielsystemen zu synchronisieren. Mappingdatei Enthält die erweiterten Vorschriften zur Abbildung der Eigenschaften zwischen Datenbank und Zielsystem. Die Mappingdatei besitzt eine XML-Struktur. Es kann eine Mappingdatei mit den internen Abbildungsvorschriften der Prozesskomponenten erzeugt und erweitert werden. Alternativ kann eine neue Mappingdatei erstellt werden, welche nur die Erweiterungen enthält. Ist eine erweiterte Abbildungsvorschrift in Form einer Mappingdatei vorhanden, wird diese mit der internen Abbildungsvorschrift der Prozesskomponenten zusammengelegt und die daraus resultierende Vorschrift zur Abbildung der Eigenschaften verwendet. N NetBIOS Network Basic Input Output System - Programmierschnittstelle, die von IBM entwickelt wurde, um die Kommunikation zwischen zwei Programmen über ein Netzwerk zu ermöglichen. NetBIOS erlaubt 16 Zeichen für einen NetBIOS Namen. Microsoft limitierte die NetBIOS Namen auf 15 Zeichen da das 16. Zeichen als NetBIOS Suffix benutzt wird. Benutzer- & Rechtegruppeneditor Editor des Designers zur Bearbeitung von Rechtegruppen und Systembenutzern. 111 Quest One Identity Manager Notes Domäne Im Identity Manager entspricht eine Notes Domäne der Abbildung eines Sichtbarkeitsbereiches im Lotus Notes, beispielsweise einer produktiven Lotus Notes-Umgebung. Durch dieses Konstrukt, das im Identity Manager wesentlich stringenter behandelt wird als im Lotus Notes, ist es möglich, mehrere produktive Lotus Notes-Umgebungen parallel mit einer Identity Manager-Datenbank zu verwalten. O Oberflächeneditor Editor des Designers zur Bearbeitung der Benutzeroberfläche der Administrationswerkzeuge. Objektdefinition Objektdefinitionen stellen eine Sicht der Datenbankobjekte dar, die es erlaubt, nach bestimmten Eigenschaften zu unterscheiden und somit eine zusätzliche Steuerfunktion zu ermöglichen. Objekteditor Basiseditor des Designers, mit dem alle Objekte dargestellt und bearbeitet werden können. Objekttyp Element der Synchronisation, das die Verbindung zwischen Zielsystemschema und Datenbankschema herstellt. Über Objekttypen wird das Mapping von Zielsystemobjekten auf Datenbankobjekte definiert. Außerdem wird an den Objekttypen das Synchronisationsverhalten für eine Synchronisationskonfiguration festgelegt. Organisation Als Organisationen werden im Identity Manager die Unternehmensstrukturen Abteilungen, Kostenstellen und Standorte bezeichnet. Orgebene Objekt im SAP System, das konkrete Werte für Berechtigungsfelder definiert. Orgebenen sind beispielsweise unternehmensspezifische Buchungskreise, Geschäftsbereiche oder Kontoarten. P Patch Aktualisierung für Software. Plugin Zusatzmodul zur Software. Präprozessorbedingung Bedingung, mit der die Kompilierung von Programmcode eingeschränkt werden kann. Über die bedingte Kompilierung können Teile des Programmcodes übersetzt werden, während andere Teile von der Kompilierung ausgeschlossen werden. Die möglichen Präprozessorbedingungen werden über Konfigurationsparameter und deren Optionen definiert. Produkt Unternehmensressource, die einem IT Shop-Regal zugewiesen ist und damit bestellt werden kann. Produkte bilden zusammen mit Regalen, Kunden, Shops und Shoppingcentern eine hierarchisch strukturierte IT Shop-Lösung. Nur Unternehmensressourcen, denen eine Leistungsposition zugeordnet ist 112 und die mit der Option <IT Shop> gekennzeichnet sind, können als Produkte in den IT Shop aufgenommen werden. Providerclient Der Providerclient ist eine vollständig eingerichtete Identity Manager-Umgebung des Kunden mit einer Datenbank, Identity Manager Service und eventuell Identity Manager-Werkzeugen. Der Providerclient verwaltet aktiv ein Netz. Zusätzlich zu sonstigen Identity Manager-Umgebungen hat der Providerclient die Möglichkeit über den eigenen Identity Manager Service Aufträge aus einer Queue abzuarbeiten, die im Providermaster geführt wird. Providermaster Eine vollständig eingerichtete Identity Manager-Umgebung des Dienstleisters mit einer Datenbank, Identity Manager Service und Identity Manager-Werkzeugen. Der Providermaster verwaltet nicht unbedingt ein eigenes Netz, enthält jedoch Zusatzinformationen über die zu verwaltenden Providerclients. Der Providermaster hält eine Queue, in welche Abarbeitungsaufträge für den Providerclient eingestellt werden. Providermodus Der Providermodus ist ein Modell, bei dem in einer zentralen Identity Manager-Umgebung Informationen gespeichert und verändert werden, die in davon weitgehend unabhängige Identity Manager-Umgebungen übertragen werden und dort eine Wirkung haben. Prozess Eine Aneinanderreihung von Prozessschritten zu einer sinnvollen Reihenfolge. Die Aufgabe des Prozesses ist die Abbildung eines Betriebsprozesses. Prozesseditor Editor des Designers zur Bearbeitung von Prozessschritten und Prozessen. Prozessfunktion Aufgabe, die durch einen Prozess ausgeführt wird. Prozesskomponente Elementarkomponenten, die zur Verwendung in Prozessschritten zur Verfügung stehen. Prozessparameter Parameter, der für eine einzelne Aufgabe einer Prozesskomponente zulässig ist. Prozessschritt Einzelner Bestandteil eines Prozesses. Ein Prozessschritt repräsentiert einen Arbeitsschritt. R Rechteeditor Editor des Designers zur Vergabe von Tabellen- und Spaltenrechten an Rechtegruppen und Systembenutzer. Rechtegruppe Verschiedene Bearbeitungsrechte auf die Funktionen des Identity Managers werden in Rechtegruppen zusammengefasst. Rechtegruppen werden Systembenutzern zugeordnet. Dadurch erhalten die Benut- 113 Quest One Identity Manager zer der Identity Manager-Werkzeuge ihre Bearbeitungsrechte auf die Funktionen des Identity Managers. Einzelne Rechtegruppen sind Bestandteil der Identity Manager Installation. Weitere Rechtegruppen können im Designer unternehmensspezifisch definiert werden. Regal IT Shop-Struktur, die Teil eines Shops ist und der Produkte zugeordnet werden können. Regale bilden zusammen mit Kunden, Shops, Shoppingcentern und Produkten eine hierarchisch strukturierte IT Shop-Lösung. Regalvorlage Vorlage, mit der Regale im IT Shop automatisiert angelegt und mit Unternehmensressourcen versehen werden können. Regalvorlagen nutzen Sie, wenn Sie in mehreren Shops Regale mit identischer Produktzusammenstellung erstellen möchten. Der Identity Manager unterscheidet zwischen globalen Regalvorlagen, speziellen Regalvorlagen und Shoppingcentervorlagen. Ressource Mittel, die vorhanden sind, um eine bestimmte Aufgabe zu lösen. Ressourcentyp Objekte, die verwendet werden, um Ressourcen entsprechend ihrer Verwendung einzuteilen. An Ressourcentypen können Bearbeitungsschritte definiert werden, die auszuführen sind, wenn eine Ressource erfolgreich an eine Person zugewiesen wurde. Risikomindernde Maßnahme Maßnahme, die durchzuführen ist, wenn eine Complianceregel verletzt oder eine SAP Funktion getroffen wird. Risikomindernde Maßnahmen sind unabhängig von den Funktionen des Identity Managers. So kann beispielsweise durch eine regelmäßige manuelle Überprüfung unerlaubter Berechtigungen das Risiko, das mit den Regelverletzungen verbunden ist, gemindert werden. Rolle Mit dem Begriff „Rollen“ werden die Unternehmensstrukturen Abteilungen, Kostenstellen, Standorte und Geschäftsrollen zusammengefasst. Rollen sind im Identity Manager alle Objekte, über die Personen Unternehmensressourcen zugewiesen bekommen können. Damit sind auch IT Shop Strukturen Rollen im Sinne des Identity Managers. Beispiele für Rollen sind die Abteilung „Entwicklung“, der Standort „Prag“, das Produkt „FrameMaker German - 9.0“. Rolle (SharePoint) SharePoint Berechtigungsstufe, die mit einer konkreten SharePoint Website verknüpft ist. Über SharePoint Rollen werden Berechtigungen auf konkrete Websites an SharePoint Benutzerkonten vergeben. Rollendefinition Zuweisung von SharePoint Berechtigungen an eine SharePoint Berechtigungsstufe. Rollenklasse Objekte, die gleichartige Rollen zusammenfassen. Um verschiedene Unternehmensstrukturen unterscheiden zu können, sind im Identity Manager Rollenklassen definiert. Rollenklassen regeln das Vererbungsverhalten dieser Unternehmensstrukturen. Des Weiteren legen sie fest, welche Zuweisungen von Unternehmensressourcen über die Rollen einer Rol- 114 lenklasse möglich sind. Beispiele für Rollenklassen sind „Abteilung“, „Standort“ oder „IT Shop Struktur“. Um Geschäftsrollen abzubilden, definieren Sie unternehmensspezifische Rollenklassen. Rollentyp Unternehmensspezifisches Kriterium zur Einteilung von Rollen. Rollentypen werden hauptsächlich verwendet, um die Vererbung von Entscheidungsrichtlinien innerhalb einer IT Shop Struktur zu regeln. Dafür definieren Sie Rollentypen, die Sie den Entscheidungsrichtlinien und IT Shop Regalen zuordnen. Darüber hinaus können Sie Rollentypen nutzen, um Geschäftsrollen oder Shops im IT Shop nach unternehmensspezifischen Kriterien zu strukturieren. Rollenzuweisung Zuweisung von SharePoint Benutzerkonten oder SharePoint Gruppen an eine SharePoint Rolle. Root-Site Hauptsite einer SharePoint Websitesammlung. Für jede SharePoint Websitesammlung gibt es genau eine Root-Site, die die oberste Ebene der Websitehierarchie bildet. Alle weiteren Websites sind der Root-Site untergeordnet. An der Root-Site werden die Berechtigungsstufen definiert, die an den untergeordneten Websites der Websitesammlung als SharePoint Rollen genutzt werden können. S SAM Datenbank Security Accounts Manager - Sicherheitskontenverwaltung unter Windows. In der SAM Datenbank werden die Benutzerkonten und die verschlüsselten Kennworte verwaltet. SAP Berechtigung Bearbeitungsrechte, die SAP Benutzerkonten aufgrund ihrer Zuordnung zu SAP Rollen im SAP System erhalten. SAP Funktion Objekt im Identity Manager über das überprüft werden kann, welche SAP Berechtigungen SAP Benutzerkonten in einem SAP Mandanten effektiv haben. SAP Funktionskategorie Objekt, über das SAP Funktionen gruppiert werden können. SAP Menü Element der Benutzerführung in der SAPGUI. Mit Berechtigungsobjekten sind im SAP System Berechtigungen auf konkrete Menüeinträge verbunden. Im Identity Manager Berechtigungseditor können Berechtigungsobjekte über die Auswahl von SAP Menüs in die Berechtigungsdefinition eingebunden werden. SAP R/3 Produkt der Firma SAP AG. Schedule Zyklisch auszuführender Auftrag. 115 Quest One Identity Manager Schema Extension Programm zur Erweiterung des Identity Manager-Datenbankschemas um kundenspezifische Tabellen und Spalten. Schemaeditor Editor des Designers zur Anpassung der Tabellen- und Spaltendefinitionen des Datenbankschemas. Secure Sockets Layer (SSL) Übertragungsprotokoll, mit dem verschlüsselte Kommunikation möglich ist. Serverberechtigung Zugriffsliste, die festlegt, welches Notes Benutzerkonte/welche Notes Gruppe für verschiedene Zwecke Zugriff auf einen Notes Server hat. Serverbeschränkung Zugriffsliste, die festlegt, welches Notes Benutzerkonto/welche Notes Gruppe welche Agenten auf einem Notes Server ausführen darf. Service Provisioning Markup Language (SPML) Die Service Provisioning Markup Language ist eine XML basierte Beschreibungssprach, die als Austauschformat für Benutzerinformationen und Ressourceinformationen zwischen Provisioning Systemen dient. Die Standardisierung von SPML wird vom OASIS Consortium vorangetrieben (Organization for the Advancement of Structured Information Standards, www.oasis-open.org ), an dem sich namhafte Softwarehersteller beteiligen. Die aktuelle Version 2.0 wurde im April 2006 veröffentlicht. Service Pack Ein Service Pack enthält geringfügige Erweiterungen der Funktionalität sowie alle Änderungen seit der letzten Hauptversion, die bereits in den Hotfixes enthalten waren. Servicekatalog Abbildung aller bestellbaren Leistungspositionen gruppiert nach Servicekategorien. Im Servicekatalog werden die Leistungspositionen der Produkte dargestellt, die den Regalen des IT Shops zugeordnet sind. Servicekategorie Gruppierungsmerkmal für Leistungspositionen. Damit ein Produkt aus dem Servicekatalog ausgewählt werden kann, muss seiner Leistungsposition eine Servicekategorie zugeordnet sein. Shop IT Shop-Struktur, der Regale und Kunden zugeordnet werden. Shops bilden zusammen mit Kunden, Regalen, Produkten und Shoppingcentern eine hierarchisch strukturierte IT Shop-Lösung. Jeder Shop beinhaltet eine Anzahl von Regalen, aus denen die Kunden des Shops Produkte bestellen können. Shoppingcenter IT Shop-Struktur, unter der Shops zusammengefasst werden können. Shoppingcenter bilden zusammen mit Kunden, Regalen, Shops und Produkten eine hierarchisch strukturierte IT Shop-Lösung. 116 Shoppingcentervorlage Vorlage, mit der Sie das Regal einer speziellen Regalvorlagen in alle Shops eines Shoppingcenters replizieren. Dazu muss der Shoppingcentervorlage mindestens eine spezielle Regalvorlage zugewiesen sein. Software Loader Programm zum Laden neuer oder geänderter Dateien in die Identity Manager-Datenbank, um diese über die automatische Softwareaktualisierung im Identity Manager-Netzwerk zu verteilen. Sperrgruppe Notes Gruppe mit dem Gruppentyp „Nur Negativliste“, für die auf einem Notes Server die Zugriffsart „Not access server“ definiert ist. Spezielle Regalvorlage Vorlage, mit der Sie Regale automatisiert in ausgewählten Shops des IT Shops erzeugen können. Einer speziellen Regalvorlage können Unternehmensressourcen als Produkte und Entscheidungsrichtlinien zugewiesen werden. Die Shops, in die die Regalvorlage repliziert werden soll, werden einzeln ausgewählt. Synchronisationskonfiguration Einstellungen, durch die die Datensynchronisation zwischen einem Zielsystem und dem Identity Manager definiert wird. Eine Synchronisationskonfiguration enthält die Objekttypen und Zuordnungen, die synchronisiert werden sollen, und einen Zeitplan für die Synchronisation. Für jeden Objekttyp/jede Zuordnung ist das Verhalten bei der Sychronisation festgelegt. Synchronisationsstatus Kennzeichen, die an den Synchronisationsobjekten während der Synchronisation gesetzt wird. Am Synchronisationsstatus ist erkennbar, ob das Objekt durch die Synchronisation neu eingelesen, aktualisiert, publiziert oder als gelöscht markiert wurde. Abhängig vom Synchronisationsstatus ist eine Nachbehandlung der Synchronisationsobjekte möglich. Systembenutzer (1) Vordefinierter Benutzer, der verschiedene Bearbeitungsrechte auf die Funktionen des Identity Managers zusammenfasst. Diese Bearbeitungsrechte erhält der Systembenutzer durch seine Zuordnung zu Rechtegruppen. Während der Anmeldung wird dem Benutzer der Identity Manager-Werkzeuge ein Systembenutzer zugeordnet. Von diesem übernimmt der Benutzer die Bearbeitungsrechte auf die Funktionen des Identity Managers. Einzelne Systembenutzer sind Bestandteil der Identity Manager Installation. Weitere Systembenutzer können im Designer selbst definiert werden. Systembenutzer (2) Ein Authentifizierungsmodul zur Anmeldung an den Identity Manager-Werkzeugen. Siehe Authentifizierungsmodul. Systembenutzerkennung Nutzerkennung, mit der sich ein Benutzer an den Identity Manager-Werkzeugen anmeldet. Die Systembenutzerkennung ist abhängig vom gewählten Authentifizierungsmodul. Sie kann z. B. ein zentrales Benutzerkonto, ein Anmeldename für eine Active Directory Domäne oder ein Systembenutzer sein. 117 Quest One Identity Manager Systemrolle Ressource, in der beliebige Unternehmensressourcen zusammengefasst werden. Systemrollen werden verwendet, um Zuweisungen von unterschiedlichen Unternehmensressourcen zu vereinfachen. Wird eine Systemrolle an eine Person zugewiesen, erhält die Person alle Unternehmensressoucen, die der Systemrolle zugewiesen sind. Das können zum Beispiel Systemberechtigungen, Applikationen oder Nicht-IT-Ressourcen sein. Systemrollen können direkt an Personen zugewiesen, über den IT Shop bestellt oder über Rollen vererbt werden. T Textabgleich Vorgang im SAP, bei dem die Namen der Rollen und Profile aus den Tochtersystemen einer Zentralen Benutzerverwaltung ins Zentralsystem gespiegelt werden. Nur wenn der Textabgleich mindestens einmal durchgeführt wurde, sind die SAP Rollen und SAP Profile im Zentralsystem namentlich bekannt und können den SAP Benutzerkonten zugewiesen werden. Rollen und Profile aus den Tochtersystemen können erst dann mit dem Identity Manager synchronisiert werden, wenn der Textabgleich in SAP durchgeführt wurde. Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems. Transaktion Objekt im SAP System, durch das ein ABAP-Programm gestartet wird. U UID Die UID ist ein künstlicher Primärschlüssel, der vom Betriebssystem erzeugt wird, sobald das Objekt in die Datenbank eingefügt wird. Die UID ist ein unikaler Wert, welcher sich auch bei Änderungen der Eigenschaften eines Objektes nicht ändert. Ein Objekt wird durch eine UID gekennzeichnet und kann darüber eindeutig referenziert werden. Unified Namespace (UNS) Der Unified Namespace (UNS) ist ein virtuelles Zielsystem, in dem die unterschiedlichsten Zielsysteme mit ihren Containerstrukturen, Benutzerkonten, Zielsystemgruppen und entsprechenden Mitgliedschaften abgebildet werden. Die Informationen aller am Identity Manager angeschlossenen Zielsysteme werden im Unified Namespace abgebildet. Dadurch können weitere Kernfunktionen des Identity Managers, wie die Prüfung der Compliance, die Attestierung oder der IT Shop, zielsystemübergreifend genutzt werden. Die Zielsysteme Active Directory, Lotus Notes, SAP R/3 und LDAP können ebenso abgebildet werden wie eigene Anwendungen, beispielsweise eine Telefonanlage. Unternehmensressource Überbegriff für alle Objekte, die an Personen oder Rollen zugewiesen oder über den IT Shop bestellt werden können und die selbst keine Rollen sind. Unternehmensressourcen sind: Applikationen, Systemberechtigungen, Ressourcen, Zielsystemgruppen, Systemrollen. UTC Koordinierte Weltzeit; engl. Universal Time Coordinated. 118 V Variablenset Zusammenstellung aller Variablen und ihrer Werte, die in der Berechtigungsdefinition einer SAP Funktion verwendet werden. Variablensets werden genutzt, um verschiedene Funktionsausprägungen für ein und dieselbe Funktionsdefinition zu erstellen. Vererbungsunterbrechung Die Eigenschaft „Vererbungsunterbrechung“ zeigt an, dass in den Stammdaten der so gekennzeichneten Objekte die Option „Ende der Vererbung“ gesetzt ist. Verlängerungsworkflow Entscheidungsworkflow, durch den die Entscheider ermittelt werden, wenn ein bestelltes Produkt verlängert wird. Verteilungsmodell Modell im SAP, in dem die Beziehungen zwischen logischen Systemen festgelegt sind. Es wird u.a. vom Application Link Enabling zur Steuerung der Datenverteilung genutzt. Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems. Versionsänderung Eine Versionsänderung ist verbunden mit signifikanten Erweiterungen der Funktionalität und umfasst eine Komplettänderung der Installation. VIAgentsDB.nsf Datenbank, welche die Agents zum Zugriff auf das produktive Lotus Notes Adressbuch sowie zur Erzeugung von ID-Dateien enthält. Die Datenbank ist Bestandteil des Identity Manager Installationspakets für die Lotus Notes Komponente. Sie muss nach der Installation neu signiert werden. VINotes.INI Abbild der Datei „Notes.INI“, die bei der Konfiguration des Lotus Notes Clients erzeugt wird. Die Datei „VINotes.INI“ enthält Konfigurationsdaten, die der Identity Manager Service für die Anmeldung an der Lotus Notes-Umgebung benötigt. W Web Portal Webbasierte Applikation, die verschiedene Workflows bereitstellt. Im Web Portal können eigene Personenstammdaten geändert, Mitarbeiterdaten bearbeitet, Unternehmensressourcen im IT Shop bestellt, eigene Rollen delegiert, Entscheidungen, Attestierungen oder Regelverletzungen bearbeitet werden. Windows Internet Name Service (WINS) Der Windows Internet Naming Service (WINS) ist ein von Microsoft entwickelter Softwaredienst, der IPAdressen dynamisch Computernamen zuordnet (NetBIOS-Namen). Workfloweditor Editor, mit dem Workflows für Attestierungsvorgänge oder Genehmigungsverfahren erstellt werden können. Im Workfloweditor werden die Entscheidungsebenen und Entscheidungsschritte eines Entscheidungs- 119 Quest One Identity Manager workflows über spezielle grafische Steuerelemente eingefügt. Entscheidungsebenen können beliebig angeordnet und miteinander verbunden werden. Wörterbucheditor Editor des Designers zur Übersetzung von Anzeigetexten. Z ZBV siehe Zentrale Benutzerverwaltung (ZBV). ZBV Status Kennzeichnet die Verwendung eines SAP-Mandanten als Zentralsystem oder Tochtersystem in der Zentralen Benutzerverwaltung. Um Mandanten von der Zentralen Benutzerverwaltung auszuschließen, werden sie mit dem ZBV Status „kein ZBV-System“ gekennzeichnet. Zentrale Benutzerverwaltung (ZBV) Funktion in SAP, durch die SAP Benutzerkonten in einem Zentralsystem statt in allen SAP Mandanten separat verwaltet werden. SAP Mandanten unterschiedlicher SAP Systeme werden zu einem Systemverbund zusammengefasst. Die SAP Benutzerkonten dieser SAP Mandanten werden in einem Zentralsystem gepflegt und die Daten an die Tochtersysteme verteilt. Benutzer, die in verschiedenen SAP Mandanten Berechtigungen besitzen, müssen damit nicht mehrfach gepflegt werden. SAP Rollen und SAP Profile werden in den Tochtersystemen verwaltet jedoch nur im Zentralsystem an die SAP Benutzerkonten zugewiesen. Weitere Erläuterungen entnehmen Sie der Dokumentation Ihres SAP Systems. Zielsystem Ein System, in dem die vom Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiel: Active Directory, SAP R/3, Lotus Notes Zielsystembereich Verwaltungseinheit in einem Zielsystem für Benutzerkonten, Benutzergruppen und Maschinenkonten. Beispiel: Active Directory Domäne, SAP R/3 Mandant, Lotus Notes Domäne Zielsystemtyp Zielsystemtypen werden im Unified Namespace genutzt, um die Daten der verschiedenen Zielsysteme zu unterscheiden. Jedes Objekt, das im Unified Namespace abgebildet ist, besitzt einen Zielsystemtyp. Standardmäßig sind im Identity Manager folgende Zielsystemtypen angelegt: ADS, LDAP, NOTES, SAPR3. Weitere Zielsystemtypen können unternehmensspezifisch definiert werden. Zuordnung Element der Synchronisation, das die Verbindung zwischen Zielsystemschema und Datenbankschema herstellt, wenn die Synchronisationsobjekte als M:N-Beziehung abgebildet werden sollen. Über Zuordnungen wird das Mapping von Zielsystemobjekten auf Zuordnungstabellen definiert. Außerdem wird an den Zuordnungen das Synchronisationsverhalten für eine Synchronisationskonfiguration festgelegt. Zuordnungstabelle Tabelle, in der Beziehungen zwischen zwei Tabellen hergestellt werden. Die Objekte beider Tabellen werden einander als M:N-Beziehung zugeordnet. Zuordnungstabellen sind beispielsweise PersonInDepartment oder ADSAccountInADSGroup. 120 Zuweisungsbestellung Bestellungen von Unternehmensressourcen und Personen für Rollen. Zuweisungen an Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen können über den IT Shop bestellt und damit über Genehmigungsverfahren autorisiert werden. 121 Quest One Identity Manager 122 INDEX A SQLLogDir 93 Abbestellworkflow 103 Active Directory (AD) 103 Active Directory Service (ADS) 103 Admin4-Datenbank siehe Notes > AdminP-Auftrag Anwendungsrolle 103 Application Link Enabling 103 Applikation 103 Applikationsgruppe 103 Attestierung 103 Attestierer 103 Attestierungsvorgang 104 Crypto Configuration 106 D Database Compiler 106 Database Installer 106 Database Transporter 106 Datenbankabfrage Protokollierung 93 Datenbankschema 106 DBQueue Ansicht 34 DBScheduler 106 anhalten 35 Ausnahmegenehmiger 104 starten 34 Ausschlussliste 104 Authentifizierungsmodul 104 Systembenutzer 117 Authentifizierungsobjekt 104 Automatisierungsgrad 104 Systemprotokoll 34 Delegierung 106 Designer 106 Domain Name System 107 Dynamic Host Configuration Protocol 107 Dynamische Gruppe 107 B Basisobjekt 104 Bearbeitungsrechte 104 Benutzerkontenressource 105 Benutzerkonto Automatisierungsgrad 104 Berechtigungsdefinition siehe SAP Funktion > Berechtigungsdefinition Berechtigungseditor siehe SAP Funktion > Berechtigungseditor Berechtigungsfeld siehe SAP Funktion > Berechtigungsdefinition > Berechtigungsfeld Berechtigungsobjekt siehe SAP Funktion > Berechtigungsobjekt Bestellposition 105 Bestellvorlage 106 Bildungsregel 106 E Einkaufswagen 107 Einschlussliste 107 Enterprise Resource Planning 107 Entscheider 107 Entscheidungsrichtlinie 107 Entscheidungsverfahren 107 Entscheidungsworkflow 108 Ereignis bearbeiten 53 EventLogLogWriter LogSeverity 92 F FileLogWriter LogLifeTime 87 LogSeverity 87 OutputFile 87 C Freigabeschlüssel 108 Combined Log Format 101 Funktionsausprägung ConnectionBehavior JobGenLogDir 92 ObjectLogDir 94 siehe SAP Funktion > Funktionsausprägung Funktionselement siehe SAP Funktion > Berechtigungsdefiniti- 123 Quest One Identity Manager on > Funktionselement Jobprovider 110 Jobqueue 110 G Ansicht 23 Genehmigungsverfahren 108 Fehlerbehandlung 27 Geschäftsrolle 108 H Verlauf 32 Jobserver 110 HistoryDB 109 anhalten 33 HistoryDB Manager 109 Ansicht 25 HistoryDB Service 109 Status 33 Hotfix 109 Jobservereditor 110 HTTPLogPlugin Jobservice.cfg 98 Protokolldatei 101 Hypertext Transfer Protocol (HTTP) 109 K Kompilierung I Fehlermeldung 73 ID Restore 109 Konfigurationsparameter 110 Identity Manager 109 Anwendungsrolle 103 Identity Manager Service 109 anhalten 33, 35 ComponentDebugMode 90 DebugMode 90 Dienste 88 Ereignisanzeige 92 HTTP Server 88 Konfigurationsdatei 98, 99 präprozessorrelevant 110 Konfigurationsparametereditor 110 Kunde 110 L Leistungsposition 111 Lightweight Directory Access Protocol (LDAP) 111 Listeneditor 111 Logwriter LogLifeTime 100 NSComponent.log 90 Protokolldatei 87, 90, 100 anzeigen 88 StdioProcessor.log 90 LogSeverity 100 Lotus Notes 111 M IT Shop 109 Manager 111 IT Shop Struktur 109 Mapping 111 Mappingdatei 111 J Job Queue Info 15, 110 N aktualisieren 19 NetBIOS 111 Filter 20 Not-Aus 35 Programmeinstellung 21 Notes Spaltenkonfiguration 20 AdminP-Auftrag 103 Sprache 21 Benutzer-ID-Datei Job Service Configuration 110 Job Service Updater 110 wiederherstellen 109 Gateway Server 108 Jobdestination 110 Notes Domäne 112 JobGenLogDir 92 Notes Gruppe Sperrgruppe 117 124 Index Notes Server Domino Server, zentraler 107 Nutzer- & Rechtegruppeneditor 111 einrichten 78 Ereignis 78 Parameter 78 Zeitplan 78 O Oberflächeneditor 112 ObjectLogDir 94 Objektaktionen Protokollierung 94 Objektdefinition 112 Objekteditor 112 Objekttyp 112 Organisation 112 Orgebene siehe SAP Funktion > Orgebene P Prozessautomation 74 Prozesseditor 38, 113 Compilerfehler 46 Layoutposition 46 Prozessdokument 43, 46 Prozesselement 46 Prozessfehler 45 Prozessschrittelement 46 Quellcodeansicht 46, 73 Simulationsansicht 46 Prozessfunktion 79, 113 Prozessgenerierung Patch 112 Plugin 112 Protokollierung 92 Prozesshistorie Präprozessorbedingung 112 Ansicht 26 Produkt 112 aufzeichnen 86 Providerclient 113 Fehlerbehandlung 27 Providermaster 113 Prozesskomponente 79, 113 Providermodus 113 ADSComponent 80 Prozess 113 CommandComponent 80 bearbeiten 48 ComponentDebugMode 90 Benachrichtigung 52 DelayComponent 80 Ereignis 53 Ex2K10Component 80 exportieren 67 Ex2K7Component 80 Fehlerkontrolle 72 Ex2KComponent 80 Generierungsbedingung 51 FileComponent 80 Gültigkeitsprüfung 72 FtpComponent 80 importieren 67 HandleObjectComponent 80 kompilieren 73 ImportExportComponent 80 kopieren 65 JobService 80 Overlimit 52 LDAPADSIComponent 80 Prä-Skript 51 LogComponent 80 Schwellwert 52 MailComponent 80 Simulation 67 NotesComponent 80 überwachen 23 ObjectTransferComponent 80 vergleichen 67 ReportComponent 80 Prozessauftrag 74 Rückgabewert 91 Basisobjekt 78 SAPComponent 81 Bedingung 78 ScriptComponent 81 125 Quest One Identity Manager SPSComponent 81 S SQLComponent 81 SAM Datenbank 115 SubversionComponent 81 SAP WakeOnLanComponent 81 ZipComponent 81 Prozessparameter 113 Verteilungsmodell 119 SAP Berechtigung 115 SAP Funktion 115 Prozessschritt 113 Berechtigungsdefinition 105 Ansicht 29 Berechtigungsfeld 105 Ausführungsstatus 23 Funktionselement 108 bearbeiten 54 Berechtigungseditor 105 Benachrichtigung 57, 58 Berechtigungsobjekt 105 Fehlerbehandlung 57 Funktionsausprägung 108 Frozen 57 Orgebene 112 Generierungsbedingung 55 SAP Menü 115 importieren 63 Transaktion 118 kopieren 64 Variablenset 119 Mehrfachbearbeitung 64 SAP Funktionskategorie 115 Parameter 30, 59 SAP Menü Prä-Skript 55 SAP R/3 115 Server 56 Schedule 115 suchen 64 Schema Extension 116 Prozessverarbeitung 37 Schemaeditor 116 Fehlerbehandlung 27, 85 Secure Sockets Layer (SSL) 116 überwachen 15 Server festlegen 56 R Rechteeditor 113 Rechtegruppe 113 Regal 114 Regalvorlage 114 global 108 Shoppingcentervorlage 117 speziell 117 Ressource 114 Ressourcentyp 114 Risikomindernde Maßnahme 114 Rolle 114 Anwendungsrolle 103 Geschäftsrolle 108 Organisation 112 Rollenklasse 114 Rollentyp 115 Root-Site 115 126 siehe SAP Funktion > SAP Menü reaktivieren 24 Serverberechtigung 116 Serverbeschränkung 116 Serverstatus Ansicht 33 Service Pack 116 Service Provisioning Markup Language 116 Servicekatalog 116 Servicekategorie 116 SharePoint Benutzerkonto 105 SharePoint Benutzerrichtlinie 105 SharePoint Berechtigungsstufe 105 Rollendefinition 114 SharePoint Rolle 114 Rollenzuweisung 115 Shop 116 Shoppingcenter 116 Software Loader 117 Index SQLLogDir 93 Workfloweditor 119 Standardautomatisierungsgrad Wörterbucheditor 120 104 siehe Automatisierungsgrad Synchronisationskonfiguration 117 Synchronisationsstatus 117 System anhalten 35 Systembenutzer 117 Authentifizierungsmodul 117 Systembenutzerkennung Definition 117 Systemprotokoll anzeigen 34 aufzeichnen 87 Z ZBV siehe Zentrale Benutzerverwaltung ZBV Status 120 Zeitzone 118 Zentrale Benutzerverwaltung 120 Zielsystem 120 Zielsystembereich 120 Zielsystemtyp 120 Zuordnung 120 Zuordnungstabelle 120 Zuweisungsbestellung 121 Systemrolle 118 T Textabgleich 118 Transaktion siehe SAP Funktion > Transaktion U UID 118 Unified Namespace 118 Zielsystemtyp 120 UNS 118 Unternehmensressource 118 UTC 118 V Variablenset siehe SAP Funktion > Variablenset Vererbung unterbrechen 119 Verlängerungsworkflow 119 Versionsänderung 119 Verteilungsmodell 119 VIAgentsDB.nsf 119 viNetworkService.exe.config 99 VINotes.INI 119 W Web Portal 119 Windows Internet Name Service 119 127 Quest One Identity Manager 128