Descripción de sincronización completa e incremental
Puede sincronizar usuarios y grupos de unidades organizativas (UO) seleccionadas de Microsoft Active Directory en IAM. Puede realizar una sincronización incremental o una sincronización completa. Obtenga información sobre la sincronización de nuevas UO y lea algunos casos de uso de ejemplo.
Sincronización de nuevas unidades organizativas
Antes de la versión 20.1.3, el puente disparaba la sincronización de OU cada minuto para que las nuevas OU agregadas en Microsoft Active Directory estuvieran disponibles automáticamente en IAM. A partir de la versión 20.1.3, cuando agrega una nueva unidad organizativa (UU) en Microsoft Active Directory, debe realizar una sincronización incremental o completa para ver la OU recién creada en IAM. Recomendamos ejecutar una sincronización incremental al agregar nuevas OU.
Caso de uso: Desenlace de usuarios de Microsoft Active Directory
Al realizar una sincronización completa de usuarios de las unidades organizativas (OU), todos los usuarios de las OU seleccionadas se sincronizan en IAM. La siguiente vez que aplique un filtro para sincronizar una OU específica, realice una sincronización incremental y los usuarios de esa UO se volverán a sincronizar en IAM.
Los usuarios sincronizados que no formaban parte del filtro se desvincularán de Microsoft Active Directory. Los usuarios no enlazados ya no podrán autenticarse mediante autenticación delegada porque su enlace a Microsoft Active Directory se ha eliminado y su autenticación vuelve a IAM. Las nuevas actualizaciones realizadas en estos usuarios no se sincronizarán en IAM. Puede utilizar IAM para restablecer las contraseñas de estos usuarios. Cuando solicita un cambio de contraseña para los usuarios, IAM les envía una notificación de Restablecimiento de contraseña para que puedan proporcionar sus nuevas contraseñas.
Si elimina el filtro y vuelve a sincronizar estos usuarios mediante la sincronización completa, todos los usuarios que no estaban enlazados anteriormente se enlazan y su autenticación falla a Microsoft Active Directory.
Supongamos que las UO Recursos humanos y Marketing tienen cinco usuarios cada una. Está utilizando la sincronización completa para sincronizarlas de Microsoft Active Directory a IAM. Todos los usuarios están sincronizados en IAM.
Si desea que los usuarios de Marketing estén solos en IAM, puede realizar una sincronización incremental junto con un filtro para volver a sincronizar los usuarios de Marketing en IAM. Todos los usuarios que forman parte de la OU Recursos humanos no están enlazados porque no forman parte del filtro que se ha utilizado para volver a sincronizar los usuarios. El número de usuarios no enlazados aparecerá en la interfaz de usuario.
| Elemento | Descripción |
|---|---|
 |
Una sincronización total desde Microsoft Active Directory desenlazará los usuarios que no estén sincronizados en el dominio de identidad debido a un cambio en la selección de la UO o a un aumento/disminución en el ámbito del filtro. |
Caso de uso: Supresión de usuarios y grupos de Microsoft Active Directory
Microsoft Active Directory es un origen autorizado. Los usuarios que se suprimen de Microsoft Active Directory se desenlazan y se desactivan en IAM. A continuación, puede eliminar esos usuarios de IAM.
Cuando se suprimen grupos de Microsoft Active Directory, tras una sincronización completa o incremental, estos grupos también se eliminan de IAM.
Caso de uso: Volver a asociar un usuario no enlazado en IAM
Suponga que desea crear usuarios previamente desenlazados en Microsoft Active Directory con los mismos nombres de usuario. Cuando realiza la siguiente sincronización completa o incremental, estos usuarios de Microsoft Active Directory se vuelven a asociar a los usuarios asociados de IAM.
La autenticación del usuario que se ha vuelto a asociar se delegará en Microsoft Active Directory si la autenticación delegada está activada en IAM. Por ejemplo, un usuario se sincroniza desde varios dominios de Microsoft Active Directory en IAM. Todos estos dominios son autorizados porque Microsoft Active Directory es un origen autorizado. Si suprime un usuario de uno de los dominios, el usuario se desenlazará en IAM. Si vuelve a sincronizar el usuario en otro dominio de Microsoft Active Directory, este dominio pasa a ser autorizado para el usuario.