创建身份策略时请使用以下准则:
CA IdentityMinder 在支持身份策略的对象存储中创建对象。 要减少对象存储的对象的数目,请使用复杂表达式创建身份策略。
为角色策略推荐类似方法。
您可以为身份策略配置递归级别,它确定在同步用户时,CA IdentityMinder 评估和应用身份策略的次数。 例如,为用户分配角色时,某个身份策略可能会更改用户所在的部门。 新部门会触发另一个身份策略。 不过,如果递归级别设置为 1,则只有再次同步用户时,才会进行随后的更改。
设置递归级别会限制 CA IdentityMinder 必须评估身份策略的次数。
您可以创建一个身份策略,其中一个策略的更改操作(应用策略操作或删除策略操作)用于另一个策略的身份策略条件,如下表所示。
|
身份策略条件 |
应用策略时的操作 |
针对删除策略的操作 |
|---|---|---|
|
(Job Code = "100") 位置 |
成为 (provisioning role "Account Manager") 的成员 |
删除 (provisioning role "Account Manager") 的成员 |
|
(provisioning role "Account Manager") 的成员 |
成为 (group "Account Managers") 的成员 |
删除 (group "Account Managers") 的成员 |
在 CA IdentityMinder 评估这种策略时,它必须至少两次评估和应用更改,以确保两个条件都可以满足。 为整个 CA IdentityMinder 环境设置的递归级别必须大于 1,这会使每个身份策略集产生其他评估。
|
版权所有 © 2013 CA。
保留所有权利。
|
|