Argomento precedente: Importazione del file di definizione dei ruoliArgomento successivo: Aggiunta dell'endpoint all'ambiente

Account endpoint gestitiIntegrazione di endpoint gestitiCreazione di regole di correlazione

Creazione di regole di correlazione

Un amministratore ospitante o un amministratore con il compito Configura attributi di correlazione può creare regole utilizzate quando si esamina un endpoint. L'attività Esegui Esplora e correla utilizza queste regole per la parte di correlazione dell'attività.

Le regole di correlazione determinano il tipo di mapping di un attributo dell'account endpoint con un attributo dell'utente nella console utente. Ad esempio, in Access Control esiste un attributo che viene chiamato AccountName. È possibile creare una regola per eseguirne il mapping su FullName nella console utente. Se le regole provocano due mapping su un attributo dell'utente, viene utilizzato il primo valore del parametro.

Procedere come descritto di seguito:
  1. Accedere alla console utente.
  2. Fare clic su Sistema, Configurazione di provisioning, Configura attributi di correlazione.
  3. Fare clic su Aggiungi.
  4. Definire una regola di correlazione nel modo seguente:
    1. Selezionare un elenco di attributi dell'utente globale.

      Questo valore fa riferimento all'attributo dell'utente classificato nella Directory di provisioning.

    2. Abilitare la casella di controllo Impostare un attributo account specifico.
    3. Selezionare un tipo di endpoint.
    4. Selezionare un attributo account che si applica all'attributo dell'utente globale.
    5. Facoltativamente, completare i campi della sottostringa.

      Se il campo Inizio sottostringa è vuoto, l'elaborazione inizia all'inizio della stringa. Se il campo Fine sottostringa è vuoto, l'elaborazione inizia all'inizio della stringa.

  5. Fare clic su OK.
  6. Fare clic su Inoltra.

Nota: quando si modifica una regola di correlazione, assicurarsi di esaminare l'endpoint, anche se controllato precedentemente.

Esempio di regole di correlazione

L'esempio seguente fornisce impostazioni d'esempio per un endpoint Active Directory.

GlobalUserName
FullName=LDAP Namespace:globalFullName
FullName=ActiveDirectory:DisplayName
 CustomField01=ActiveDirectory:Telephone

Le azioni seguenti si verificano per ciascun account precedentemente non messo in correlazione, che viene trovato mettendo in correlazione account in un contenitore di Active Directory:

  1. Il Server di provisioning confronta il primo parametro (GlobalUserName) con l'attributo dell'account endpoint Active Directory (NT_AccountID). Il server tenta di trovare l'utente globale univoco il cui nome corrisponde al valore attributo NT_AccountID per tale account. Se viene rilevata una corrispondenza univoca, il Server di provisioning associa l'account con l'utente globale. Se viene rilevata più di una corrispondenza, il Server di provisioning esegue il passaggio 5. Se non viene rilevata alcuna corrispondenza, il Server di provisioning esegue il passaggio successivo.
  2. Il Server di provisioning considera il secondo parametro (FullName=LDAP Namespace:globalFullName). Poiché questo valore è specifico di un altro tipo di endpoint, viene ignorato e il Server di provisioning esegue il passaggio successivo.
  3. Il Server di provisioning considera il terzo parametro (FullName=ActiveDirectory:DisplayName). Poiché questo valore è specifico di Active Directory, viene utilizzato. Il server tenta di trovare l'utente globale univoco il cui FullName corrisponde al valore attributo DisplayName per tale account. Se viene rilevata una corrispondenza univoca, il Server di provisioning associa l'account con l'utente globale. Se viene rilevata più di una corrispondenza, il Server di provisioning esegue il passaggio 5. Se non viene rilevata alcuna corrispondenza, il server di provisioning esegue la fase 4.
  4. Il Server di provisioning considera il parametro finale (CustomField01=ActiveDirectory:Telephone). Poiché questo valore è specifico di Active Directory, viene utilizzato. Il server tenta di trovare l'utente globale univoco il cui attributo Campo personalizzato 01 è uguale al valore attributo Telefono per tale account. Il nome assegnato all'attributo dell'utente globale personalizzato mediante proprietà globali dell'Attività di sistema non viene visualizzato qui. Se viene rilevata una corrispondenza univoca, il Server di provisioning associa l'account con l'utente globale. Se viene rilevata più di una corrispondenza, il Server di provisioning esegue il passaggio 5. Se non viene rilevata alcuna corrispondenza, il Server di provisioning esegue il passaggio successivo.
  5. Il Server di provisioning associa l'account con l'oggetto [utente predefinito]. Se l'oggetto [utente predefinito] non esiste, viene creato dal server.