アイデンティティ ポリシー › アイデンティティ ポリシー › ユーザとアイデンティティ ポリシーとの同期の方法

ユーザとアイデンティティ ポリシーとの同期の方法

アイデンティティ ポリシーを使用する際には、CA IdentityMinder でのポリシー評価方法とユーザへの適用方法を理解することが重要です。 ユーザの同期プロセスを十分に理解していない場合、予期しない結果を引き起こすアイデンティティ ポリシーを設定してしまう場合があります。

CA IdentityMinder でアイデンティティ ポリシーが評価および適用される方法を以下の手順に示します。

1. ユーザ同期プロセスは以下の方法で開始されます。
   • 自動 — 自動的にユーザ同期をトリガするように CA IdentityMinder のタスクを設定できます。
   • 手動 — ユーザ コンソールの［ユーザの同期］タスクを使用して、ユーザを同期します。
2. CA IdentityMinder は、ユーザに適用するアイデンティティ ポリシーの組み合わせを判別します。
3. CA IdentityMinder は、そのユーザに適用するアイデンティティ ポリシーの一式を、そのユーザに対して適用済みのポリシーの一覧と比較します。

   注： ユーザに適用されたポリシーの一覧は、ユーザ プロファイルの %IDENTITY_POLICY% 汎用属性に格納されています。 属性の設定の詳細については、「設定ガイド」を参照してください。

   • 適用可能なポリシーの一覧に含まれるアイデンティティ ポリシーが、以前にそのユーザに適用されていない場合、そのポリシーは CA IdentityMinder で割り当て一覧に追加されます。
   • 適用可能なポリシーの一覧に含まれるアイデンティティ ポリシーが、以前にそのユーザに適用されていて、さらにそのポリシーで［1 回のみ適用］設定が無効になっている場合、そのポリシーは CA IdentityMinder で再割り当て一覧に追加されます。
   • アイデンティティ ポリシーが適用可能なポリシーの一覧になく、かつ、そのポリシーがユーザに適用されている場合は、ユーザはそのポリシー条件に一致しなくなります。 CA IdentityMinder ではそれらのポリシーは割り当て解除一覧に追加されます。
4. ユーザに対するすべてのポリシーを CA IdentityMinder が評価後、以下の順序でポリシーが適用されます。
   1. 割り当て解除一覧のアイデンティティ ポリシー
   2. 割り当て一覧のアイデンティティ ポリシー
   3. 再割り当て一覧のアイデンティティ ポリシー
5. 各アイデンティティ ポリシーの適用後、CA IdentityMinder はポリシーを再評価し、最初の同期化プロセス（手順 2 から 4）で発生した変更に基づいて、新たな変更が必要かどうか確認します。

   この手順は、アイデンティティ ポリシーの適用によって加えられた変更が、他のアイデンティティ ポリシーをトリガしていないことを確認するためのものです。

6. 適用可能なすべてのポリシーとユーザが同期するまで、または管理コンソールで定義された最大再帰レベルに CA IdentityMinder で達するまで、CA IdentityMinder は引き続きアイデンティティ ポリシーの再評価と適用を実施します。

   たとえば、ユーザがロールに割り当てられると、アイデンティティ ポリシーはユーザの部署を変更します。 新しい部署は、別のアイデンティティ ポリシーをトリガします。 ただし、再帰レベルが 1 に設定されている場合は、ユーザが再同期されるまで後続の変更は行われません。

   再帰レベルの設定の詳細については、管理コンソールのオンライン ヘルプを参照してください。

詳細情報：

自動的なユーザ同期の設定

手動によるユーザの同期化

ユーザ同期化の確認