Reglas de correlación y confirmación (Guía del administrador de negocio de Sun Identity Manager 8.1)

Guía del administrador de negocio de Sun Identity Manager 8.1

Reglas de correlación y confirmación

Utilice las reglas de correlación y confirmación cuando no disponga del nombre de usuario de Identity Manager para escribirlo en el campo usuario de sus acciones. Si no especifica un valor para el campo Usuario, deberá especificar una regla de correlación al iniciar la acción en masa. Si especifica un valor para el campo Usuario, las reglas de correlación y confirmación no se evaluarán para esa acción.

Una regla de correlación busca los usuarios de Identity Manager que coinciden con los campos de la acción. Una regla de confirmación prueba un usuario de Identity Manager con respecto a los campos de la acción para determinar si coincide o no. Este tratamiento bifásico permite a Identity Manager mejorar la correlación, ya que encuentra rápidamente a posibles usuarios (según el nombre o los atributos) y realiza comprobaciones costosas solamente en el caso de posibles usuarios.

Cree una regla de correlación o de confirmación creando un objeto de regla con un subtipo de SUBTYPE_ACCOUNT_CORRELATION_RULE o SUBTYPE_ACCOUNT_CONFIRMATION_RULE, respectivamente.

Para obtener más información sobre las reglas de correlación y de confirmación, consulte el Capítulo 3, Data Loading and Synchronization de Sun Identity Manager Deployment Guide.

Reglas de correlación

El valor de entrada de una regla de correlación es una asignación de los campos de acción. La salida debe ser uno de los siguientes:

Cadena (con un nombre o ID de usuario)
Lista de elementos de cadena (un ID o nombre de usuario cada uno)
Lista de elementos de WSAttribute
Lista de elementos de AttributeCondition

Una regla de correlación típica genera una lista de nombres de usuario según los valores de los campos de la acción. Una regla de correlación también puede generar una lista de condiciones de atributo (relacionadas con los atributos de solicitud de Type.USER) que se utilizarán para seleccionar usuarios.

Una regla de correlación debe ser relativamente económica pero lo más selectiva posible. Si es posible, deje el procesamiento costoso para una regla de confirmación.

Las condiciones de atributo deben hacer referencia a atributos de Type.USER que puedan solicitarse. Se configuran en el objeto de configuración de Identity Manager denominado IDM Schema Configuration.

Para realizar la correlación en un atributo extendido es necesario una configuración especial:

El atributo extendido debe especificarse como consultable.

Para configurar como consultable un atributo extendido

Abra IDM Schema Configuration. Necesita la capacidad de IDM Schema Configuration para ver o editar IDM Schema Configuration.

Busque el elemento <IDMObjectClassConfiguration name=’Usuario’> .

Busque el elemento <IDMObjectClassAttributeConfiguration name=’ xyz ’>, donde xyz es el nombre del atributo que desea configurar como consultable.

Configure queryable=’true’

En Reglas de correlación, el atributo extendido email se define como consultable.

Ejemplo 3–1 Extracto de XML donde se define el atributo extendido email como consultable

<IDMSchemaConfiguration>
  <IDMAttributeConfigurations>
    <IDMAttributeConfiguration name=’email’ syntax=’STRING’/>
    </IDMAttributeConfiguration>
  </IDMAttributeConfigurations>
  <IDMObjectClassConfigurations>
    <IDMObjectClassConfiguration name=’User’ extends=’Principal’ description=’User description’>
      <IDMObjectClassAttributeConfiguration name=’email’ queryable=’true’/>
    </IDMObjectClassConfiguration>
  </IDMObjectClassConfigurations>
 </IDMSchemaConfiguration>

Para que el cambio de IDM Schema Configuration surta efecto, debe reiniciar la aplicación de Identity Manager (o el servidor de aplicaciones).

Reglas de confirmación

En cualquier regla de confirmación las entradas son así:

Use userview para una vista completa de un usuario de Identity Manager.
Use account para una asignación de campos de acción.

Una regla de confirmación devuelve un valor booleano en forma de cadena de “verdadero” si el usuario coincide con los campos de acción. Si no es así, el valor que devuelve es “falso”.

Una regla de confirmación típica compara los valores internos de la vista del usuario con los valores de los campos de acción. Como segunda fase opcional en el procesamiento de correlación, la regla de confirmación realiza una comprobación que no se puede expresar en una regla de correlación (o que es demasiado costosa para evaluarla en una regla de correlación).

En general, sólo se necesita una regla de confirmación en los siguientes casos:

La regla de correlación puede devolver más de un usuario coincidente.
Los valores de usuario que deben compararse no son consultables.

Una regla de confirmación se ejecuta una vez para cada usuario coincidente devuelto por la regla de correlación.