Descripción de sincronización completa e incremental
Puede sincronizar usuarios y grupos de unidades organizativas (UO) seleccionadas de Microsoft Active Directory en IAM. Puede realizar una sincronización incremental o una sincronización completa. Obtenga información sobre la sincronización de nuevas UO y lea algunos casos de uso de ejemplo.
Sincronización de nuevas unidades organizativas
Antes de la versión de 20.1.3, el bridge disparaba la sincronización del OU cada minuto para que las OU agregadas recientemente en Microsoft Active Directory estuvieran disponibles automáticamente en IAM. A partir de la versión 20.1.3, cuando agrega una nueva unidad organizativa (UO) en Microsoft Active Directory, debe realizar una sincronización incremental o completa para ver la OU recién creada en IAM. Se recomienda ejecutar una sincronización incremental cuando se agregan nuevas OU.
Caso de uso: Desenlace de usuarios de Microsoft Active Directory
Al realizar una sincronización completa de usuarios de las unidades organizativas (OU), todos los usuarios de las OU seleccionadas se sincronizan en IAM. La siguiente vez que aplique un filtro para sincronizar una OU específica, realice una sincronización incremental y los usuarios de esa OU se vuelven a sincronizar en IAM.
Los usuarios sincronizados que no formaban parte del filtro se desenlazarán de Microsoft Active Directory. Los usuarios sin enlazar ya no podrán autenticarse mediante autenticación delegada porque su enlace a Microsoft Active Directory se ha eliminado y su autenticación vuelve a IAM. Las nuevas actualizaciones realizadas en estos usuarios no se sincronizarán en IAM. Puede utilizar IAM para restablecer las contraseñas de estos usuarios. Cuando solicita un cambio de contraseña para los usuarios, IAM les envía una notificación de restablecimiento de contraseña para que puedan proporcionar sus nuevas contraseñas.
Si elimina el filtro y vuelve a sincronizar estos usuarios con la sincronización completa, todos los usuarios que no estaban enlazado quedarán enlazados anteriormente y su autenticación volverá a Microsoft Active Directory.
Supongamos que las UO Recursos humanos y Marketing tienen cinco usuarios cada una. Está utilizando la sincronización completa para sincronizarlos de Microsoft Active Directory a IAM. Todos los usuarios están sincronizados en IAM.
Si desea que los usuarios de Marketing sean solos en IAM, puede realizar una sincronización incremental junto con un filtro para volver a sincronizarse los usuarios de Marketing en IAM. Todos los usuarios que son parte de la UU de Recursos Humanos no están enlazados porque no forman parte del filtro que se se ha utilizado para volver a sincronizar los usuarios. El número de usuarios no enlazados aparecerá en la interfaz de usuario.
| Elemento | Descripción |
|---|---|
|
Una sincronización total desde Microsoft Active Directory desenlazará los usuarios que no están sincronizados en el dominio de identidad debido al cambio en el ámbito del filtro o a un aumento/disminución en el ámbito de la selección de OU. |
Caso de uso: Supresión de usuarios y grupos de Microsoft Active Directory
Microsoft Active Directory es una fuente autorizada. Los usuarios que se suprimen de Microsoft Active Directory se desenlazan y desactivan en IAM. A continuación, puede eliminar estos usuarios de IAM.
Cuando se suprimen grupos de Microsoft Active Directory, tras una sincronización completa o incremental, estos grupos también se eliminan de IAM.
Caso de Uso: Volver a asociar un Usuario no enlazado en IAM
Supongamos que desea crear usuarios previamente desenlazados en Microsoft Active Directory con los mismos nombres de usuario. Cuando realiza la siguiente sincronización completa o incremental, estos usuarios de Microsoft Active Directory se vuelven a conectar a los usuarios asociados de IAM.
La autenticación del usuario que se le ha vuelto a asociar se delegará en Microsoft Active Directory si se activa la autenticación delegada en IAM. Por ejemplo, un usuario se sincroniza desde varios dominios de Microsoft Active Directory en IAM. Todos estos dominios son autorizados porque Microsoft Active Directory es un origen autorizado. Si suprime un usuario de uno de los dominios, el usuario se desenlazará en IAM. Si vuelve a sincronizar el usuario en otro dominio de Microsoft Active Directory, este dominio pasa ahora a estar autorizado para el usuario.