编辑协调策略

编辑协调策略

1. 在管理员界面中，单击菜单中的“资源”。

2. 在“资源列表”中选择一种资源。

3. 在“资源操作”列表中，选择“编辑协调策略”。

   Identity Manager 将显示“编辑协调策略”页面，可在其中进行下列策略选择：

   • 协调服务器。在群集环境中，每个服务器都可以运行协调。请在策略中指定哪个 Identity Manager 服务器将运行针对资源的协调。

   • 协调模式。可以在不同模式下执行协调，这样能够将不同质量的结果最优化：

     • 完全协调。协调最彻底（以速度为代价）。

     • 增量式协调。协调速度最快（以彻底性为代价）。

       在策略中选择 Identity Manager 对资源运行协调应该采用的模式。选择“不协调”禁用针对目标资源的协调。

   • 完全协调进度表。如果启用完全模式协调，则按固定的进度表自动执行协调。在策略中指定针对资源运行完全式协调的频率。

     • 选择“继承默认策略”选项可从更高级策略中继承指定的进度表。

     • 清除“继承默认策略”选项可指定一个进度表。使用提供的字段建立一个循环进度表，或使用“任务进度表重复”规则对协调进度表进行自定义调整。有关创建任务进度表重复规则的信息，请参见使用任务进度表重复规则。

   • 增量式协调进度表。如果启用增量模式协调，则按固定的进度表自动执行协调。

     • 选择“继承默认策略”选项可从更高级策略继承进度表。

     • 清除“继承默认策略”选项可指定一个进度表。使用提供的字段建立一个循环进度表，或使用“任务进度表重复”规则对协调进度表进行自定义调整。有关创建任务进度表重复规则的信息，请参见使用任务进度表重复规则。

     ---

     注 –

     并非所有资源都支持增量式协调。

     ---

   • 属性级协调。可以将协调配置为检测对帐户属性进行的本机更改（即，不是通过 Identity Manager 进行的更改）。指定协调是否应检测对协调的帐户属性中指定的属性进行的本机更改。

   • 帐户关联规则。帐户关联规则选择可能拥有每个无拥有者资源帐户的 Identity Manager 用户。如果给定无拥有者资源帐户的属性，关联规则会返回一个名称列表或属性条件列表，用于选择潜在拥有者。选择一个规则，以查找可能拥有每个无拥有者资源帐户的 Identity Manager 用户。

   • 帐户确认规则。帐户确认规则可将任何非拥有者从关联规则选择的潜在拥有者列表中清除。在给定某个 Identity Manager 用户和某个无拥有者的资源帐户的属性这些详细资料后，若用户拥有该帐户，则确认规则返回 true，否则返回 false。选择一个规则以测试资源帐户的每个潜在拥有者。如果选择“无确认规则”，Identity Manager 将接受所有潜在拥有者，而不进行确认。

     ---

     注 –

     如果在您的环境中，关联规则为每个帐户选择最多一个拥有者，则您不需要确认规则。

     ---

   • 代理管理员。指定执行协调响应时使用的管理员。协调只能执行允许指定代理管理员执行的那些操作。响应将使用与该管理员关联的用户表单（如果需要）。

     还可以选择“无代理管理员”选项。选择后，可以查看协调结果，但不会运行响应操作或工作流。

   • 情况选项（和“响应”）。协调会识别多种类型的情况。下面介绍了这些情况。请在“响应”列中指定协调应执行的任何操作。

     • 已确认。所需帐户存在。

       要标记为“已确认”，必须满足以下条件：

       • Identity Manager 要求帐户必须存在。

       • 帐户在资源上存在。

     • 冲突。为两个或多个 Identity Manager 用户分配了资源上的同一帐户。

     • 已删除。所需帐户不存在。

       要标记为“已删除”，必须满足以下条件：

       • Identity Manager 要求帐户必须存在。

       • 帐户在资源上不存在。

     • 找到。协调进程在分配的资源上找到匹配帐户。

       要标记为“找到”，必须满足以下条件：

       • Identity Manager 不要求帐户必须存在。（如果已将资源分配给用户，但尚未进行置备，则帐户可以在资源上存在，也可以不存在。）

       • 帐户在资源上存在。

     • 缺少。分配给用户的资源上不存在匹配的帐户。

       要标记为“缺少”，必须满足以下条件：

       • Identity Manager 不要求帐户必须存在。（如果已将资源分配给用户，但尚未进行置备，则帐户可以在资源上存在，也可以不存在。）

       • 帐户在资源上不存在。

     • 已取消分配。协调进程在未分配给用户的资源上找到匹配帐户。

       要标记为“取消分配”，必须满足以下条件：

       • Identity Manager 不要求帐户必须存在。（如果没有将资源分配给用户，则 Identity Manager 不要求帐户必须存在。）

       • 帐户在资源上存在。

     • 不匹配。资源帐户不匹配任何用户。

     • 有争议。资源帐户匹配多个用户。

       从这些响应选项（可用选项因情况而异）中选择一个：

       • 基于资源帐户创建新的 Identity Manager 用户。运行资源帐户属性的用户表单以创建新用户。该资源帐户不会因任何更改而被更新。

       • 为 Identity Manager 用户创建资源帐户。使用用户表单重新生成资源帐户属性，以重新创建缺少的资源帐户。

       • “删除资源帐户”和“禁用资源帐户”。删除/禁用资源上的帐户。

       • “将资源帐户与 Identity Manager 用户链接”和“解除资源帐户与 Identity Manager 用户的链接”。向用户添加资源帐户分配或从用户中删除资源帐户分配。未执行任何表单处理。

       • 不执行任何操作。如果不希望协调执行修复，请选择此选项。

         您可以手动修复协调发现的任何帐户情况。在菜单中单击“资源”->“检查帐户索引”。可以从中浏览为所有已协调的帐户记录的情况。右键单击某个帐户，将会看到一个有效修复选项的列表。有关详细信息，请参见检查帐户索引。

   • 协调前工作流。可以将协调配置为在对资源进行协调之前运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流，请选择 "Do not run workflow"。

   • 每一帐户工作流。可以将协调配置为在对资源帐户情况作出响应后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流，请选择 "Do not run workflow"。

   • 协调后工作流。可以将协调配置为在完成资源协调后运行用户指定的工作流。指定协调应运行的工作流。如果没有要运行的工作流，请选择 Do not run workflow。

   • 说明情况。如果启用，协调将会记录其他信息，以说明如何对帐户情况进行分类。默认情况下禁用此选项。记录解释会使协调进程运行时间增加。

   • 错误限制。如果启用，在处理过程中发生指定数量的错误后，将自动终止协调。值 0 表示对错误数没有限制。取消选择“继承默认策略”选项，将显示“允许的最多错误数”字段，在其中输入值。

   • 最大本机删除帐户数。此选项是一项安全保护功能，用于计算资源上缺少的帐户数；如果超过某一阈值，则禁止协调程序解除这些帐户的链接。

     要启用此功能，请清除“继承默认策略”复选框，然后在“允许的最大本机删除帐户数”字段中指定一个百分比。必须将阈值设置为从 0 到 100 的整数百分比。（0 表示禁用此功能。）

     如果删除的帐户百分比超过该阈值，协调将继续执行与缺少的帐户无关的所有处理并完成此过程，但会出现一个错误。

   单击“保存”以保存策略更改。