为应用程序设置账户同步

在线编辑

帐户同步操作是目标帐户属性和许可权与 Verify 用户和许可权同步的过程。 如果供应已启用并受目标支持,那么可以配置帐户同步设置。 使用此任务来配置目标帐户如何与 Verify 用户匹配并进行修复。

准备工作

  • 您必须具有管理许可权。
  • 请确保应用程序类型支持帐户同步。 请参阅支持账户同步的应用程序
  • 确保已完成基本应用程序设置。 请参阅 “设置应用程序基本信息 ”。
  • 确保为应用程序启用了供应,并且未在帐户生命周期选项卡上禁用供应帐户选项。
注意: 若要为联合用户设置账户同步,必须启用该 unqualifiedUserName 属性的配置功能。
  1. 转到 “目录” > “属性”
  2. 搜索 unqualifiedUserName 并选择编辑图标。 滚动至 “可用性 ”,然后选择 “配置 ”。
  3. 选择 “保存 ”。
请参阅 “管理属性”。 将 unqualifiedUserName(而非 perferred_username)用于属性映射。

您可以使用此过程来启用任何定制或预定义属性以进行供应,并将它们添加到属性映射菜单。

关于此任务

采用策略
从目标系统获取账户时,需要将这些账户分配给系统中的 Verify 相应用户,作为账户所有者。 采用策略将 Verify 用户关联为目标帐户的所有者。 通过采用策略,根据在 Verify 中分配所有者的目标账户编写规则。
由于帐户已同步,因此根据策略评估采用帐户。
  • Verify 中找到所有者的任何帐户都将根据修复策略和属性映射进行进一步评估。
  • 找不到所有者的任何帐户都标记为不匹配。
修复策略
当源端与目标端之间的 Verify 账户属性和权限进行同步时,发现的任何差异都会被标记为不符合要求。 任何没有所有者的账户,都会被标记为“未匹配”。 使用整改策略来配置针对不符合规定或无法匹配的账户应采取的操作。 管理员可以使用策略来确定帐户同步检测到的更新的同步位置。 帐户修正可以手动执行,也可以由帐户同步操作运行时触发的策略所驱动。
逆向属性映射

如果修复策略设置为更新 Verify 属性和许可权,那么将使用逆向属性映射,这些属性和许可权的值在目标不合规的情况下可用。 可以配置在 Verify 用户目录中更新的目标属性。

缺省情况下,选项卡上不显示映射。

您可以编写自定义转换规则,对目标属性的值进行转换,并将其保存到 Verify.

如果您的应用程序支持,您可以为应用程序配置策略以进行帐户同步。

过程

  1. 选择 “应用程序” > “应用程序”
    • 选择支持帐户同步的现有应用程序。 点击图标 设置 ,然后选择“设置”。
  2. 选择 “账户同步 ”选项卡。
  3. 设置采用策略。
    注意: 采用策略不支持高级规则属性。
    1. 选择 + 属性对
      要成功迁移账户,必须在源系统和目标系统之间 Verify 至少映射一个属性。 如果未使用采用策略指定映射属性,那么从目标访存的所有帐户将显示为不匹配。
    2. 选择一个或多个目标属性,并将相应的 Verify 属性分配给每个属性。
    3. 选择 “添加属性对”
      您可以通过选择 + 属性对来更改或映射更多属性。
    注意: 如果您后续更改了采用策略,点击 “保存 ”后系统将自动启动账户同步。

    此帐户同步执行以下操作:

    • 重新评估所有账户,并将匹配 Verify 的用户设为账户所有者。
    • 根据配置的修复策略修复匹配的帐户。
    • 将对从 Verify 供应到目标或手动采用到 Verify 用户的任何帐户进行修复,但不会将其分配给新所有者。
    协调根据新的采用策略重新评估不匹配和不合规的所有帐户。 在账户同步运行期间,您无法修改账户生命周期或账户同步配置。 如果要更改这些配置,那么必须先停止帐户同步过程。 请参阅 “启动和停止账户同步 ”。
  4. 设置修复策略。
    1. 选择下列其中一个选项以修正不合规的帐户。
      请勿自动修正不合规的帐户。
      此选项表示,在账户同步操作完成后,系统不会对不符合要求的账户采取任何措施。 管理员可以评估应用程序帐户视图中不合规的帐户,并手动选择修正操作对帐户进行修正。 您还可以使用此整改策略,手动逐个为未匹配的账户分配所有权。
      请使用目标应用程序的值进行更新 IBM Verify
      此选项指示在帐户同步后,如果目标和 Verify 之间存在冲突的帐户属性值,那么目标帐户属性值将覆盖逆向属性映射中指定的 Verify 值。
      使用 IBM Verify 这些值更新目标应用程序。
      如果您希望通过手动为账户添加所有者来修复单个未匹配的账户,请选择此选项。 此选项表示,在账户同步后,如果目标账户与源账户 Verify 之间的账户属性值存在冲突,则源账户的 Verify 属性值将覆盖目标账户的值。
    2. 如果您将策略从 “不自动修复不符合要求的帐户 ”更新为选择某项基于策略的选项(例如“在 Verify 目标应用程序上自动修复”),系统将显示 “应用新策略 ”弹出窗口。
    3. 如果希望将新的整改策略应用于当前不符合要求的账户,请选择 “立即执行 ”;如果选择 “稍后 ”,则该策略将在下次执行账户同步时生效。
      注意: 如果您同时更新了采用策略和修复策略,则不会显示“应用新策略”选项,因为该操作会在账户同步过程中自动处理。
  5. 设置反向属性映射。
    在反向属性映射中,为每个属性 Verify 分配一个对应的目标应用程序用户属性。 根据应用程序需求映射属性。 反向属性映射控制 如何 Verify 从应用程序中读取用户属性。 使用映射的目标应用程序用户属性所拥有的任何值来填充这些属性。
    反向属性映射在执行帐户同步操作时发生。
    注意: 如果修复操作设置为 “使用目标应用程序的值更新 IBM Security Verify ”,则必须至少存在一个反向映射,以便在 Verify. 上同步该账户。
    1. 从属性菜单中选择目标属性。
    2. 可选: 为该值选择一种转换。
      您可以选择使用转换菜单中提供的任何内置转换来转换此值。 默认设置为 None,这意味着该值将原样传递。 借助脚本支持,您可以创建自定义转换,对目标应用程序的属性值进行转换,并将其设置为该 Verify 属性。 请参阅 “创建自定义规则以进行反向属性映射”
    3. 从菜单中选择该 Verify 属性。
    注意:
    • 为属性映射指定定制规则后,无法对其应用内置转换。
    • 在反向属性映射中,您无法映射重复的目标属性。
    • Verify这些属性反向映射用于在.上进行账户修复。
  6. 选择 “保存 ”。

后续操作

要运行账户同步,请参阅 “启动和停止账户同步 ”。