某些默认的 CA IdentityMinder 任务包括若干个事件,这些事件是 CA IdentityMinder 完成某项任务所执行的操作,这些操作可确定配给角色成员资格。 例如,默认的“修改用户”任务包括 AssignProvisioningRoleEvent 和 RevokeProvisioningRoleEvent。 分配或吊销配给角色可能会在端点上添加或删除帐户。 某些情况下,端点可能会要求所有“添加”操作必须发生在“删除”操作之前。
要强制 CA IdentityMinder 首先处理“添加”操作,请在管理控制台中启用“配给角色成员资格事件累计”设置。 启用该设置后,CA IdentityMinder 会将所有的“添加”和“删除”操作累计到单个事件中,称为 AccumulatedProvisioningRolesEvent。 例如,如果“修改用户”任务将一个用户分配给三个配给角色,然后将该用户从其他两个配给角色中删除,则会生成 AccumulatedProvisioningRolesEvent,其中包含五个操作:3 个添加操作和 2 个删除操作。
执行该事件后,所有的“添加”操作都会被合并到单个操作中,然后发送到配给服务器进行处理。 “添加”操作处理完成后,CA IdentityMinder 即会将“删除”操作合并到单个操作中,然后将该操作发送到配给服务器。
启用该设置会对 CA IdentityMinder 的下列功能产生影响:
当管理员使用“配给角色”选项卡将用户添加到配给角色或将其从中删除时,CA IdentityMinder 会将这些操作累计到单个事件中。
“身份策略”评估所生成的所有配给角色成员资格事件(AssignProvisioningRoleEvent 或 RevokeProvisioningRoleEvent)都会累计到单个的 AccumulatedProvisioningRolesEvent 中。 CA IdentityMinder 像处理其他任何次要事件那样执行该事件。 例如,某个身份策略集包括两个身份策略:策略 A 吊销配给角色 A 中的成员资格,而策略 B 使用户成为配给角色 B 的成员。 如果 CA IdentityMinder 确定某用户不再满足策略 A 但开始满足策略 B,则会生成包含两个操作(一个是删除操作,另一个是添加操作)的 AccumulatedProvisioningRolesEvent。 首先执行“添加”操作,然后执行“删除”操作。
要查看 AccumulatedProvisioningRolesEvent 以及每个操作的状态,请使用“查看提交的任务”任务来查看事件详细信息。
如果其中一个操作失败,该事件的状态则为失败,这使该任务也进入失败状态。
您可以将工作流流程与 AccumulatedProvisioningRolesEvent 相关联。 在这种情况下,批准人可以批准或拒绝整个事件,也就是批准或拒绝每个单独的事件。
还需要其他配置来启用 AccumulatedProvisioningRolesEvent 内各个事件的工作流。
CA IdentityMinder 审核 AccumulatedProvisioningRolesEvent 以及每个单独事件的相关信息。
|
版权所有 © 2013 CA。
保留所有权利。
|
|