身份策略 › 身份策略 › 用户和身份策略如何同步

用户和身份策略如何同步

使用身份策略时，了解 CA IdentityMinder 如何评估策略及将策略应用到用户很重要。 如果对用户同步过程了解得不够透彻，则在配置身份策略集时可能会出现意外结果。

以下步骤说明了 CA IdentityMinder 如何评估和应用身份策略：

1. 用户同步过程开始：
   • 自动 - 可以将 CA IdentityMinder 任务配置为自动触发用户同步。
   • 手工 - 使用用户控制台中的“同步用户”任务来同步用户。
2. CA IdentityMinder 确定应用到用户的身份策略集。
3. CA IdentityMinder 将要应用到用户的身份策略集和已应用到该用户的策略列表进行比较。

   注意：已应用到用户的策略列表存储在用户配置文件中的已知属性 %IDENTITY_POLICY% 中。 有关配置此属性的信息，请参阅《Configuration Guide》。

   • 如果某一身份策略位于适用策略列表中，且该策略先前未应用到用户，则 CA IdentityMinder 会将该策略添加到分配列表中。
   • 如果某一身份策略位于适用策略列表中，该策略先前已应用到用户，且该策略的“应用一次”设置处于禁用状态，则 CA IdentityMinder 会将该策略添加到重新分配列表中。
   • 如果某一身份策略未在适用策略列表中，且该策略已应用到用户，则此用户将不再匹配策略条件。 CA IdentityMinder 会将这些策略添加到取消分配列表中。
4. CA IdentityMinder 为用户评估所有策略后，将按以下顺序应用策略：
   1. 取消分配列表中的身份策略
   2. 分配列表中的身份策略
   3. 重新分配列表中的身份策略
5. 应用身份策略后，CA IdentityMinder 将重新评估这些策略，以确定是否需要根据在第一次同步过程（步骤 2 至 4）中发生的更改进行任何其他更改。

   这有助于确保应用身份策略时所做的更改不会触发其他身份策略。

6. CA IdentityMinder 会继续重新评估和应用身份策略，直到用户与所有适用策略同步，或者直到 CA IdentityMinder 达到在管理控制台中定义的最大递归级别。

   例如，为用户分配角色时，某个身份策略可能会更改用户所在的部门。 新部门会触发另一个身份策略。 不过，如果递归级别设置为 1，则只有再次同步用户时，才会进行随后的更改。

   有关设置递归级别的详细信息，请参阅管理控制台在线帮助。

更多信息：

配置自动用户同步

手工同步用户

验证用户同步