アイデンティティ ポリシー › アイデンティティ ポリシー › ユーザとアイデンティティ ポリシーとの同期の方法
ユーザとアイデンティティ ポリシーとの同期の方法
アイデンティティ ポリシーを使用する際には、CA Identity Manager でのポリシー評価方法とユーザへの適用方法を理解することが重要です。 ユーザの同期プロセスを十分に理解していない場合、予期しない結果を引き起こすアイデンティティ ポリシーを設定してしまう場合があります。
CA Identity Manager でアイデンティティ ポリシーが評価および適用される方法を以下の手順に示します。
- ユーザ同期プロセスは以下の方法で開始されます。
- 自動 — 自動的にユーザ同期をトリガするように CA Identity Manager のタスクを設定できます。
- 手動 — ユーザ コンソールの[ユーザの同期]タスクを使用して、ユーザを同期します。
- CA Identity Manager は、ユーザに適用するアイデンティティ ポリシーの組み合わせを判別します。
- CA Identity Manager は、そのユーザに適用するアイデンティティ ポリシーの一式を、そのユーザに対して適用済みのポリシーの一覧と比較します。
注: ユーザに適用されたポリシーの一覧は、ユーザ プロファイルの %IDENTITY_POLICY% 汎用属性に格納されています。 属性の設定の詳細については、「設定ガイド」を参照してください。
- 適用可能なポリシーの一覧に含まれるアイデンティティ ポリシーが、以前にそのユーザに適用されていない場合、そのポリシーは CA Identity Manager で割り当て一覧に追加されます。
- 適用可能なポリシーの一覧に含まれるアイデンティティ ポリシーが、以前にそのユーザに適用されていて、さらにそのポリシーで[1 回のみ適用]設定が無効になっている場合、そのポリシーは CA Identity Manager で再割り当て一覧に追加されます。
- アイデンティティ ポリシーが適用可能なポリシーの一覧になく、かつ、そのポリシーがユーザに適用されている場合は、ユーザはそのポリシー条件に一致しなくなります。 CA Identity Manager ではそれらのポリシーは割り当て解除一覧に追加されます。
- ユーザに対するすべてのポリシーを CA Identity Manager が評価後、以下の順序でポリシーが適用されます。
- 割り当て解除一覧のアイデンティティ ポリシー
- 割り当て一覧のアイデンティティ ポリシー
- 再割り当て一覧のアイデンティティ ポリシー
- 各アイデンティティ ポリシーの適用後、CA Identity Manager はポリシーを再評価し、最初の同期化プロセス(手順 2 から 4)で発生した変更に基づいて、新たな変更が必要かどうか確認します。
この手順は、アイデンティティ ポリシーの適用によって加えられた変更が、他のアイデンティティ ポリシーをトリガしていないことを確認するためのものです。
- 適用可能なすべてのポリシーとユーザが同期するまで、または管理コンソールで定義された最大再帰レベルに CA Identity Manager で達するまで、CA Identity Manager は引き続きアイデンティティ ポリシーの再評価と適用を実施します。
たとえば、ユーザがロールに割り当てられると、アイデンティティ ポリシーはユーザの部署を変更します。 新しい部署は、別のアイデンティティ ポリシーをトリガします。 ただし、再帰レベルが 1 に設定されている場合は、ユーザが再同期されるまで後続の変更は行われません。
再帰レベルの設定の詳細については、管理コンソールのオンライン ヘルプを参照してください。
詳細情報:
自動的なユーザ同期の設定
手動によるユーザの同期化
ユーザ同期化の確認
Copyright © 2015 CA Technologies.
All rights reserved.
|
|