设置应用程序的帐户同步

在线编辑

帐户同步操作是目标帐户属性和许可权与 Verify 用户和许可权同步的过程。 如果供应已启用并受目标支持,那么可以配置帐户同步设置。 使用此任务来配置目标帐户如何与 Verify 用户匹配并进行修复。

准备工作

注: 如果要为联合用户设置帐户同步,那么必须启用 unqualifiedUserName 属性以进行供应。
  1. 到目录 > 属性
  2. 搜索 unqualifiedUserName 并选择编辑图标。 滚动到 可用性 ,然后选择 供应
  3. 选择 保存
参见属性管理。 将 unqualifiedUserName(而非 perferred_username)用于属性映射。

您可以使用此过程来启用任何定制或预定义属性以进行供应,并将它们添加到属性映射菜单。

关于此任务

采用策略
从目标访存帐户时,需要将这些帐户作为帐户所有者分配给 Verify 中的相应用户。 采用策略将 Verify 用户关联为目标帐户的所有者。 通过采用策略,根据在 Verify 中分配所有者的目标账户编写规则。
由于帐户已同步,因此根据策略评估采用帐户。
  • Verify 中找到所有者的任何帐户都将根据修复策略和属性映射进行进一步评估。
  • 找不到所有者的任何帐户都标记为不匹配。
修复策略
Verify 与目标之间同步帐户属性和许可权时,发现的任何差异都将标识为不合规。 任何没有所有者的帐户都被标识为不匹配。 使用补救策略来配置要对不合规的 或不匹配的 帐户执行的操作。 管理员可以使用策略来确定帐户同步检测到的更新的同步位置。 帐户修正可以手动执行,也可以由帐户同步操作运行时触发的策略所驱动。
逆向属性映射

如果修复策略设置为更新 Verify 属性和许可权,那么将使用逆向属性映射,这些属性和许可权的值在目标不合规的情况下可用。 可以配置在 Verify 用户目录中更新的目标属性。

缺省情况下,选项卡上不显示映射。

您可以编写定制变换规则以变换目标属性的值并将其保存在 Verify中。

如果您的应用程序支持,您可以为应用程序配置策略以进行帐户同步。

过程

  1. 选择 “应用程序” > “应用程序”
    • 选择支持帐户同步的现有应用程序。 点击图标 设置 并选择设置。
  2. 选择 帐户同步 选项卡。
  3. 设置采用策略。
    注: 采用策略不支持高级规则属性。
    1. 选择 + 属性对
      必须在 Verify 与目标之间映射至少一个属性,才能成功采用这些帐户。 如果未使用采用策略指定映射属性,那么从目标访存的所有帐户将显示为不匹配。
    2. 选择一个或多个目标属性,并为每个属性分配相应的 Verify 属性。
    3. 选择 添加属性对
      您可以通过选择 + 属性对来更改或映射更多属性。
    注: 如果稍后更改采用策略,那么单击 保存时会自动启动帐户同步。

    此帐户同步执行以下操作:

    • 重新评估所有帐户以将匹配的 Verify 用户指定为帐户所有者。
    • 根据配置的修复策略修复匹配的帐户。
    • 将对从 Verify 供应到目标或手动采用到 Verify 用户的任何帐户进行修复,但不会将其分配给新所有者。
    协调根据新的采用策略重新评估不匹配和不合规的所有帐户。 无法在帐户同步正在运行时对帐户生命周期或帐户同步配置进行更改。 如果要更改这些配置,那么必须先停止帐户同步过程。 参见开始和停止帐户同步
  4. 设置修复策略。
    1. 选择下列其中一个选项以修正不合规的帐户。
      请勿自动修正不合规的帐户。
      此选项指示在帐户同步操作后不会对不合规帐户执行操作。 管理员可以评估应用程序帐户视图中不合规的帐户,并手动选择修正操作对帐户进行修正。 您还可以使用此补救策略手动将所有权分配给个别不匹配的帐户。
      使用目标应用程序的值更新 IBM Verify
      此选项指示在帐户同步后,如果目标和 Verify 之间存在冲突的帐户属性值,那么目标帐户属性值将覆盖逆向属性映射中指定的 Verify 值。
      使用 IBM Verify 值更新目标应用程序。
      如果您希望通过手动为帐户添加所有者来修复个别不匹配的帐户,请选择此选项。此选项指示在帐户同步后,如果目标与 Verify 之间存在冲突的帐户属性值,那么 Verify 中的帐户属性值将覆盖目标值。
    2. 如果从 不自动补救不合规帐户 更新策略,以选择其中一个策略驱动的选项在 Verify 或目标应用程序上自动补救,那么将显示 " 应用新策略 " 弹出窗口。
    3. 选择 立即,如果要将新补救策略应用于当前不合规的帐户,或者如果选择 稍后 ,那么下次运行帐户同步时将应用该策略。
      注: 如果同时更新采用策略和补救策略,那么不会显示应用新策略的选项,因为会在帐户同步中自动处理该策略。
  5. 设置反向属性映射。
    在反向属性映射中,为每个 Verify 属性分配相应的目标应用程序用户属性。 根据应用程序需求映射属性。 反向属性映射控制 Verify 如何使用应用程序中的用户属性。 使用映射的目标应用程序用户属性所拥有的任何值来填充这些属性。
    反向属性映射在执行帐户同步操作时发生。
    注: 如果补救设置为 使用目标应用程序的值更新 IBM Security Verify,那么至少需要存在一个反向映射才能使 Verify上的帐户同步。
    1. 从属性菜单中选择目标属性。
    2. 可选: 为该值选择一种转换方式。
      您可以选择使用转换菜单中提供的任何内置转换来转换此值。 缺省设置为 None,这意味着传递的值保持不变。 通过脚本编制支持,您可以创建定制变换以变换目标应用程序属性值并将其设置为 Verify 属性。 请参阅创建自定义规则进行反向属性映射
    3. 从菜单中指定 Verify 属性。
    注意:
    • 为属性映射指定定制规则后,无法对其应用内置转换。
    • 在反向属性映射中,您无法映射重复的目标属性。
    • 这些属性-反向映射用于 Verify上的帐户补救。
  6. 选择 保存

后续操作

要运行账户同步,请参阅《 启动和停止账户同步》。