Présentation de la synchronisation complète et incrémentielle
Vous pouvez synchroniser les utilisateurs et les groupes des unités organisationnelles sélectionnées dans Microsoft Active Directory dans IAM. Vous pouvez effectuer une synchronisation incrémentielle ou complète. Découvrez la synchronisation des nouvelles unités organisationnelles et lisez des exemples de cas d'utilisation.
Synchronisation des nouvelles unités organisationnelles
Avant la version 20.1.3, la synchronisation d'unité organisationnelle a été déclenchée par le pont toutes les minutes afin que les unités organisationnelles nouvellement ajoutées dans Microsoft Active Directory soient automatiquement disponibles dans IAM. À partir de la version 20.1.3, lorsque vous ajoutez une unité organisationnelle dans Microsoft Active Directory, vous devez effectuer une synchronisation incrémentielle OU complète pour voir l'unité organisationnelle nouvellement créée dans IAM. Il est recommandé d'exécuter une synchronisation incrémentielle lors de l'ajout de nouvelles unités organisationnelles.
Cas d'utilisation : Dissocier les utilisateurs de Microsoft Active Directory
Lorsque vous effectuez une synchronisation complète des utilisateurs d'unités organisationnelles, tous les utilisateurs des unités organisationnelles sélectionnées sont synchronisés dans GIA. La prochaine fois que vous appliquerez un filtre pour synchroniser une unité organisationnelle spécifique, vous effectuerez une synchronisation incrémentielle et les utilisateurs de cette unité organisationnelle seront resynchronisés dans GIA.
Les utilisateurs synchronisés qui n'étaient pas inclus dans le filtre seront dissociés de Microsoft Active Directory. Les utilisateurs non liés ne peuvent plus s'authentifier à l'aide de l'authentification déléguée, car leur lien vers Microsoft Active Directory est supprimé et leur authentification revient à IAM. Les nouvelles mises à jour de ces utilisateurs ne seront pas synchronisées avec GIA. Vous pouvez utiliser GIA pour réinitialiser les mots de passe de ces utilisateurs. Lorsque vous demandez une modification de mot de passe pour les utilisateurs, GIA leur envoie un avis Mot de passe réinitialisé pour qu'ils puissent indiquer leurs nouveaux mots de passe.
Si vous supprimez le filtre et synchronisez de nouveau ces utilisateurs à nouveau à l'aide d'une synchronisation complète, tous les utilisateurs qui étaient dissociés précédemment sont maintenant liés et leur authentification revient à Microsoft Active Directory.
Considérez les unités opérationnelles Ressources humaines et Marketing contenant chacune cinq utilisateurs. Vous utilisez la synchronisation complète pour les synchroniser de Microsoft Active Directory vers IAM. Tous les utilisateurs sont synchronisés dans le service IAM.
Si vous voulez que seuls les utilisateurs Marketing soient synchronisés dans GIA, vous pouvez effectuer une synchronisation incrémentielle avec un filtre afin de resynchroniser les utilisateurs Marketing dans GIA. Tous les utilisateurs qui font partie de l'unité organisationnelle Ressources humaines sont dissociés, car ils ne font pas partie du filtre utilisé pour resynchroniser les utilisateurs. Le nombre d'utilisateurs dissociés s'affiche dans l'interface utilisateur.
| Élément | Description |
|---|---|
 |
Une synchronisation complète à partir de Microsoft Active Directory dissociera les utilisateurs qui ne sont pas synchronisés dans le domaine d'identité en raison d'une modification dans la sélection d'unité organisationnelle, OU d'une augmentation/une diminution de la portée du filtre. |
Cas d'utilisation : Supprimer des utilisateurs et des groupes de Microsoft Active Directory
Microsoft Active Directory est une source faisant autorité. Les utilisateurs supprimés de Microsoft Active Directory sont dissociés et désactivés dans IAM. Vous pouvez ensuite supprimer ces utilisateurs de GIA.
Lorsque des groupes sont supprimés de Microsoft Active Directory, lors d'une synchronisation complète ou incrémentielle, ces groupes sont également supprimés du service IAM.
Cas d'utilisation : Rattacher un utilisateur dissocié dans GIA
Considérez que vous souhaitez créer des utilisateurs précédemment dissociés dans Microsoft Active Directory avec les mêmes noms d'utilisateur. Lorsque vous effectuez ensuite une synchronisation complète ou incrémentielle, ces utilisateurs de Microsoft Active Directory sont rattachés aux utilisateurs associés dans IAM.
L'authentification de l'utilisateur rattaché sera déléguée à Microsoft Active Directory si l'authentification déléguée est activée dans IAM. Par exemple, un utilisateur est synchronisé de plusieurs domaines Microsoft Active Directory dans IAM. Tous ces domaines sont autorisés, car Microsoft Active Directory est une source autorisée. Si vous supprimez un utilisateur d'un des domaines, il est dissocié dans GIA. Si vous synchronisez l'utilisateur avec un autre domaine Microsoft Active Directory, celui-ci fait maintenant autorité pour l'utilisateur.