同期は、アカウントが複数のアカウント テンプレートに属しているかどうかによっても異なります。 アカウントがアカウント テンプレートを 1 つのみ持ち、そのテンプレートの同期が強い場合、各属性は、アカウント テンプレート属性値の評価対象に正確に一致するように更新されます。 その結果、属性は最初の属性と同じ値になります。
ユーザが複数のプロビジョニング ロールに属し、それぞれのロールが同じ管理対象エンドポイントに対して一定のレベルのアクセス権を持つ場合、アカウントは複数のアカウント テンプレートに属する場合があります。 この状態になると、CA Identity Manager はこれらのアカウント テンプレートを 1 つの有効なアカウント テンプレートにまとめ、個々のアカウント テンプレートの機能を合わせた上位集合として規定します。 個々のアカウント テンプレートすべての同期が弱い場合、アカウント テンプレート単体は弱い同期となりますが、アカウント テンプレートのうち強い同期を持つものが 1 つでもあると、強い同期となります。
注: アカウント テンプレートが 1 つのアカウントのみを制御している場合、弱い同期のみまたは強い同期のみを使用することが多いです。これは、ユーザに必要なアクセス権を企業のロールが完全に定義しているかどうかによって決まります。 ユーザのロールが明確でなく、ユーザのアカウントに柔軟に対応する必要がある場合、弱い同期を使用します。 ユーザに必要なアクセス権を明確に指定するロールを定義する場合、強い同期を使用します。
以下の例は、複数のアカウント テンプレートが 1 つの有効なアカウント テンプレートにまとめられる方法を示します。 この例では、1 つのアカウント テンプレートが弱い同期としてマークされ、もう一方のテンプレートが強い同期としてマークされています。 したがって、2 つのアカウント テンプレートをまとめて作成された有効なアカウント テンプレートは、強い同期を持つアカウント テンプレートになります。 整数を持つ Quota 属性は、2 つのアカウント テンプレートから大きい方の値をとり、複数値を持つ Groups 属性は、2 つのポリシーの値を合わせたものになります。
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|