アイデンティティ ポリシーを作成する際には、以下のガイドラインに従います。
CA Identity Manager は、アイデンティティ ポリシーをサポートするオブジェクト ストアにオブジェクトを作成します。 オブジェクト ストア内のオブジェクトの数を減らすには、複雑な表現でアイデンティティ ポリシーを作成します。
ロール ポリシーについても、同様のアプローチが推奨されています。
アイデンティティ ポリシーには再帰レベルを設定できます。これによって、ユーザの同期時に CA Identity Manager がアイデンティティ ポリシーを評価および適用する回数が決定します。 たとえば、ユーザがロールに割り当てられると、アイデンティティ ポリシーはユーザの部署を変更します。 新しい部署は、別のアイデンティティ ポリシーをトリガします。 ただし、再帰レベルが 1 に設定されている場合は、ユーザが再同期されるまで後続の変更は行われません。
再帰レベルの設定によって、CA Identity Manager がアイデンティティ ポリシーを評価する必要のある回数が制限されます。
以下の表で示されるように、あるポリシーの変更アクション([ポリシー適用時のアクション]または[ポリシー削除時のアクション])が別のポリシーのアイデンティティ ポリシー条件で使用されるアイデンティティ ポリシーを作成できます。
|
アイデンティティ ポリシー条件 |
ポリシー適用時のアクション |
ポリシー削除時のアクション |
|---|---|---|
|
where (Job Code = "100") |
Make member of (provisioning role "Account Manager") |
Remove member of (provisioning role "Account Manager") |
|
Who are members of (provisioning role "Account Manager") |
Make member of (group "Account Managers") |
Remove member of (group "Account Managers") |
CA Identity Manager は、このタイプのポリシーを評価する際には、変更を少なくとも 2 回評価および適用して、両方の条件が満たされていることを確認する必要があります。 再帰レベルは、CA Identity Manager 環境全体に対して設定し、2 以上にする必要があります。そうすれば、アイデンティティ ポリシー セットごとに追加評価が行われます。
|
Copyright © 2015 CA Technologies.
All rights reserved.
|
|