Vorheriges Thema: Importieren der Rollendefinitions-DateiNächstes Thema: Hinzufügen des Endpunkts zu der Umgebung

Konten an verwalteten EndpunktenIntegrieren von verwalteten EndpunktenErstellen von Korrelationsregeln

Erstellen von Korrelationsregeln

Ein Hosting-Administrator oder ein Administrator mit der Aufgabe "Korrelationsattribute konfigurieren" kann Regeln erstellen, die verwendet werden, wenn Sie einen Endpunkt durchsuchen. Die Aufgabe "'Durchsuchen und Korrelieren' ausführen" verwendet diese Regeln für den Korrelationsteil der Aufgabe.

Korrelationsregeln entscheiden, wie ein Endpunkt-Benutzerkonto-Attribut einem Benutzerattribut in der Benutzerkonsole zugeordnet wird. Zum Beispiel ist in Access Control ein Attribut "AccountName" vorhanden. Sie können eine Regel erstellen, um es "FullName" in der Benutzerkonsole zuzuordnen. Wenn die Regeln dazu führen, dass zwei Zuordnungen für ein Benutzerattribut gelten, wird der erste Parameterwert verwendet.

Gehen Sie wie folgt vor:
  1. Melden Sie sich bei der Benutzerkonsole an.
  2. Klicken Sie auf "System", "Bereitstellungskonfiguration", "Korrelationsattribute konfigurieren".
  3. Klicken Sie auf Hinzufügen.
  4. Definieren Sie eine Korrelationsregel wie folgt:
    1. Wählen Sie eine globale Benutzerattributliste aus.

      Dieser Wert bezieht sich auf das im Bereitstellungsverzeichnis aufgelistete Benutzerattribut.

    2. Aktivieren Sie das Kontrollkästchen "Ein bestimmtes Kontenattribut festlegen".
    3. Wählen Sie einen Endpunktyp aus.
    4. Wählen Sie ein Kontoattribut aus, das sich auf das globale Benutzerattribut bezieht.
    5. Füllen Sie optional die Unterzeichenfolgen-Felder aus.

      Wenn das Feld "Unterzeichenfolge von" leer ist, fängt die Verarbeitung am Anfang der Zeichenfolge an. Wenn das Feld "Unterzeichenfolge von" leer ist, fängt die Verarbeitung am Anfang der Zeichenfolge an.

  5. Klicken Sie auf "OK".
  6. Klicken Sie auf "Senden".

Hinweis: Immer wenn Sie eine Korrelationsregel ändern, müssen Sie den Endpunkt durchsuchen, auch wenn Sie ihn zuvor durchsucht haben.

Beispiel für Korrelationsregeln

Das folgende Beispiel enthält Beispieleinstellungen für einen Active Directory-Endpunkt.

GlobalUserName
FullName=LDAP Namespace:globalFullName
FullName=ActiveDirectory:DisplayName
 CustomField01=ActiveDirectory:Telephone

Die folgenden Aktionen treten für jedes zuvor unkorrelierte Konto auf, das gefunden wird, während Konten in einem Active Directory-Container korreliert werden:

  1. Der Bereitstellungsserver vergleicht den ersten Parameterwert (GlobalUserName) mit dem Active Directory-Endpunkt-Benutzerkonto-Attribut (NT_AccountID). Der Server versucht, den eindeutigen globalen Benutzer zu finden, dessen Name mit dem NT_AccountID-Attributwert für dieses Konto übereinstimmt. Wenn eine eindeutige Übereinstimmung gefunden wird, ordnet der Bereitstellungsserver das Konto dem globalen Benutzer zu. Wenn mehr als eine Übereinstimmung gefunden wird, führt der Bereitstellungsserver Schritt 5 aus. Wenn keine Übereinstimmung gefunden wird, führt der Bereitstellungsserver den nächsten Schritt aus.
  2. Der Bereitstellungsserver beachtet den zweiten Parameterwert (FullName=LDAP Namespace:globalFullName). Da dieser Wert spezifisch für einen anderen Endpunkttyp ist, wird er übersprungen, und der Bereitstellungsserver führt den nächsten Schritt aus.
  3. Der Bereitstellungsserver beachtet den dritten Parameterwert (FullName=ActiveDirectory:DisplayName). Da dieser Wert spezifisch für Active Directory ist, wird er verwendet. Der Server versucht, den eindeutigen globalen Benutzer zu finden, dessen Name mit dem Anzeigenamen-Attributwert für dieses Konto übereinstimmt. Wenn eine eindeutige Übereinstimmung gefunden wird, ordnet der Bereitstellungsserver das Konto dem globalen Benutzer zu. Wenn mehr als eine Übereinstimmung gefunden wird, führt der Bereitstellungsserver Schritt 5 aus. Wenn keine Übereinstimmung gefunden wird, führt der Bereitstellungsserver Schritt 4 aus.
  4. Der Bereitstellungsserver beachtet den letzten Parameterwert (CustomField01=ActiveDirectory:Telephone). Da dieser Wert spezifisch für Active Directory ist, wird er verwendet. Der Server versucht, den eindeutigen globalen Benutzer zu finden, dessen "Custom Field #01"-Attribut gleich dem "Telephone"-Attributwert für dieses Konto ist. Der Name, den Sie dem benutzerdefinierten globalen Benutzerattribut mithilfe globaler Eigenschaften der Systemaufgabe zugewiesen haben, wird hier nicht angezeigt. Wenn eine eindeutige Übereinstimmung gefunden wird, ordnet der Bereitstellungsserver das Konto dem globalen Benutzer zu. Wenn mehr als eine Übereinstimmung gefunden wird, führt der Bereitstellungsserver Schritt 5 aus. Wenn keine Übereinstimmung gefunden wird, führt der Bereitstellungsserver den nächsten Schritt aus.
  5. Der Bereitstellungsserver ordnet das Konto dem Objekt [Standardbenutzer] zu. Wenn das Objekt [Standardbenutzer] nicht vorhanden ist, wird es vom Server erstellt.