Stratégies d'identité › Stratégies d'identité › Synchronisation des utilisateurs et des stratégies d'identité

Synchronisation des utilisateurs et des stratégies d'identité

Lorsque vous utilisez des stratégies d'identité, il est important que vous compreniez l'évaluation des stratégies par CA Identity Manager et leur application aux utilisateurs. Si vous ne comprenez pas parfaitement le processus de synchronisation des utilisateurs, vous risquez de configurer des ensembles de stratégies d'identité qui génèrent des résultats indésirables.

La procédure suivante décrit l'évaluation et l'application des stratégies d'identité par CA Identity Manager.

1. Le processus de synchronisation des utilisateurs commence :
   • Automatiquement : vous pouvez configurer des tâches CA Identity Manager pour déclencher automatiquement la synchronisation des utilisateurs.
   • Manuellement : la tâche de synchronisation de l'utilisateur de la console d'utilisateur permet de synchroniser un utilisateur.
2. CA Identity Manager détermine l'ensemble de stratégies d'identité qui s'applique à un utilisateur.
3. CA Identity Manager compare cet ensemble à la liste des stratégies qui ont déjà été appliquées à cet utilisateur.

   Remarque : La liste des stratégies ayant été appliquées à un utilisateur est stockée dans l'attribut %IDENTITY_POLICY% du profil de l'utilisateur. Pour obtenir des informations sur la configuration de cet attribut, reportez-vous au manuel de configuration.

   • Si une stratégie d'identité figure dans la liste des stratégies applicables et qu'elle n'a pas déjà été appliquée à l'utilisateur, CA Identity Manager l'ajoute à une liste d'affectation.
   • Si une stratégie d'identité figure dans la liste des stratégies applicables, qu'elle a déjà été appliquée à l'utilisateur et que son paramètre Appliquer une fois est désactivé, CA Identity Manager l'ajoute à la liste de réaffectation.
   • Si une stratégie d'identité ne figure pas dans la liste des stratégies applicables, qu'elle a déjà été appliquée à l'utilisateur et que ce dernier ne remplit plus les conditions de cette stratégie, CA Identity Manager ajoute cette stratégie à une liste de désaffectation.
4. Une fois que CA Identity Manager a évalué toutes les stratégies d'un utilisateur, il les applique dans l'ordre suivant.
   1. Stratégies d'identité de la liste de désaffectation
   2. Stratégies d'identité de la liste d'affectation
   3. Stratégies d'identité de la liste de réaffectation
5. Une fois les stratégies d'identité appliquées, CA Identity Manager les réévalue pour savoir si des modifications supplémentaires sont requises, selon les modifications apportées au cours du premier processus de synchronisation (étapes 2 à 4).

   Cette étape vise à vérifier que les modifications apportées en appliquant les stratégies d'identité n'ont pas déclenché d'autres stratégies d'identité.

6. CA Identity Manager continue à réévaluer et à appliquer les stratégies d'identité jusqu'à ce que l'utilisateur soit synchronisé avec toutes les stratégies applicables ou jusqu'à ce que CA Identity Manager atteigne le niveau de traitement récursif maximum, défini dans la console de gestion.

   Par exemple, une stratégie d'identité peut modifier un département d'utilisateur lorsque qu'un rôle est affecté à ce dernier. Le nouveau département déclenche une autre stratégie d'identité. Cependant, si le niveau de récursion est défini sur 1, la modification suivante n'est pas effectuée tant que l'utilisateur n'a pas été synchronisé à nouveau.

   Pour plus d'informations sur la définition du niveau de récursion, reportez-vous à l'Aide en ligne de la console de gestion.

Informations complémentaires

Configuration de la synchronisation automatique des utilisateurs

Synchronisation manuelle des utilisateurs

Vérification de la synchronisation des utilisateurs