Para mejorar rendimiento de las búsquedas de administradores y miembros de grupo, se debe considerar la posibilidad de realizar lo siguiente:
Un atributo conocido es un atributo que tiene un significado especial en CA IdentityMinder.
Para mejorar las búsquedas de administradores o miembros de grupo, se definen los siguientes atributos conocidos para el objeto de usuario:
Identifica un atributo en el objeto de usuario que almacena una lista de grupos de los que el usuario es miembro.
Cuando se define, este atributo puede evitar que CA IdentityMinder busque en todos los miembros de todos los grupos del almacén de usuarios. Las búsquedas de grupos pueden afectar de forma significativa al rendimiento en grupos muy grandes.
Identifica un atributo en el objeto de usuario que almacena una lista de grupos de los que el usuario es administrador.
Al igual que el atributo %MEMBER_OF%, este atributo conocido puede eliminar búsquedas de grupos largas.
CA IdentityMinder admite tres tipos de grupos: grupos estándares, grupos anidados y grupos dinámicos.
Cuando se define el objeto de grupo en el archivo de configuración del directorio, se pueden especificar los tipos de grupos con los que es compatible el almacén de usuarios. Si su implementación no es compatible con los grupos anidados o dinámicos, se establece el atributo Tipo de grupo como se muestra a continuación:
GroupType = NONE
El valor NONE especifica la compatibilidad con los grupos estándares.
El valor predeterminado de Tipo de grupo es ALL, lo que puede afectar al rendimiento.
Nota: Para obtener más información sobre los atributos conocidos y los tipos de grupo en el archivo de configuración del directorio, consulte la Guía de configuración.
Para implementaciones de CA IdentityMinder que incluyen un almacén de usuarios combinado y directorio de aprovisionamiento, la pertenencia a GlobalGroup se puede optimizar para la evaluación de regla de la política para roles y políticas de identidad.
Para activar esta optimización, se indexan los siguientes atributos, que el servidor de aprovisionamiento utiliza para resolver la pertenencia a un grupo, en la memoria caché del directorio de aprovisionamiento:
El atributo de ID de objeto único. Para búsquedas de miembros del grupo, el valor es un usuario específico o grupo involucrado en la búsqueda.
El ID principal del objeto utilizado al buscar relaciones de pertenencia.
El ID secundario del objeto utilizado al buscar relaciones de pertenencia.
Además, se pueden agregar las siguientes entradas de hash:
El tipo del objeto principal en una búsqueda de pertenencia.
El tipo del objeto secundario en una búsqueda de pertenencia.
Nota: Para obtener más información sobre la memoria caché del directorio de aprovisionamiento, consulte la Guía de instalación.
|
Copyright © 2014 CA.
Todos los derechos reservados.
|
|