Présentation de la synchronisation complète et incrémentielle
Vous pouvez synchroniser les utilisateurs et les groupes des unités organisationnelles sélectionnées dans Microsoft Active Directory dans IAM. Vous pouvez effectuer une synchronisation incrémentielle ou complète. Découvrez la synchronisation des nouvelles unités organisationnelles et lisez des exemples de cas d'utilisation.
Synchronisation des nouvelles unités organisationnelles
Avant la version 20.1.3, la synchronisation des unités organisationnelles était déclenchée par le pont toutes les minutes, de sorte que les nouvelles unités organisationnelles ajoutées dans Microsoft Active Directory étaient automatiquement disponibles dans IAM. À partir de la version 20.1.3, lorsque vous ajoutez une nouvelle unité organisationnelle dans Microsoft Active Directory, vous devez effectuer une synchronisation incrémentielle OU complète pour voir l'unité organisationnelle nouvellement créée dans IAM. Nous vous recommandons d'exécuter une synchronisation incrémentielle lors de l'ajout de nouvelles unités organisationnelles.
Cas d'utilisation : Dissocier les utilisateurs de Microsoft Active Directory
Lorsque vous effectuez une synchronisation complète sur des utilisateurs à partir d'unités organisationnelles, tous les utilisateurs des unités organisationnelles sélectionnées sont synchronisés dans IAM. La prochaine fois que vous appliquerez un filtre pour synchroniser une unité organisationnelle spécifique, vous effectuerez une synchronisation incrémentielle et les utilisateurs de cette unité seront resynchronisés dans le service IAM.
Les utilisateurs synchronisés qui n'étaient pas inclus dans le filtre seront dissociés de Microsoft Active Directory. Les utilisateurs dissociés ne peuvent plus s'authentifier à l'aide de l'authentification déléguée, car leur lien vers Microsoft Active Directory est supprimé et leur authentification revient à IAM. Toutes les nouvelles mises à jour de ces utilisateurs ne seront pas synchronisées avec le service IAM. Vous pouvez utiliser le service IAM pour réinitialiser les mots de passe de ces utilisateurs. Lorsque vous demandez une modification de mot de passe pour les utilisateurs, le service IAM leur envoie un avis de réinitialisation de mot de passe pour qu'ils puissent fournir leurs nouveaux mots de passe.
Si vous supprimez le filtre et synchronisez de nouveau ces utilisateurs à l'aide d'une synchronisation complète, tous les utilisateurs qui étaient dissociés précédemment sont maintenant associés et leur authentification revient à Microsoft Active Directory.
Considérez les unités opérationnelles Ressources humaines et Marketing contenant chacune cinq utilisateurs. Vous utilisez la synchronisation complète pour les synchroniser de Microsoft Active Directory vers IAM. Tous les utilisateurs sont synchronisés dans le service IAM.
Si vous voulez que les utilisateurs Marketing soient seuls dans IAM, vous pouvez effectuer une synchronisation incrémentielle ainsi qu'un filtre pour resynchroniser les utilisateurs Marketing dans IAM. Tous les utilisateurs qui font partie de l'unité organisationnelle Ressources humaines sont dissociés, car ils ne font pas partie du filtre utilisé pour resynchroniser les utilisateurs. Le nombre d'utilisateurs dissociés s'affiche dans l'interface utilisateur.
| Élément | Description |
|---|---|
|
Une synchronisation complète à partir de Microsoft Active Directory supprimera le lien entre les utilisateurs qui ne sont pas synchronisés dans le domaine d'identité en raison d'une modification dans la sélection d'unité organisationnelle OU d'une augmentation/réduction de la portée du filtre. |
Cas d'utilisation : Supprimer des utilisateurs et des groupes de Microsoft Active Directory
Microsoft Active Directory est une source faisant autorité. Les utilisateurs qui sont supprimés de Microsoft Active Directory sont dissociés et désactivés dans IAM. Vous pouvez ensuite supprimer ces utilisateurs du service IAM.
Lorsque des groupes sont supprimés de Microsoft Active Directory, lors d'une synchronisation complète ou incrémentielle, ces groupes sont également supprimés d'IAM.
Cas d'utilisation : Rattacher un utilisateur non lié dans IAM
Considérez que vous voulez créer des utilisateurs précédemment dissociés dans Microsoft Active Directory avec les mêmes noms d'utilisateur. Lorsque vous effectuez ensuite une synchronisation complète ou incrémentielle, ces utilisateurs dans Microsoft Active Directory sont rattachés de nouveau aux utilisateurs associés dans IAM.
L'authentification de l'utilisateur rattaché sera déléguée à Microsoft Active Directory si l'authentification déléguée est activée dans IAM. Par exemple, un utilisateur est synchronisé entre plusieurs domaines Microsoft Active Directory et IAM. Tous ces domaines font autorité, car Microsoft Active Directory est une source faisant autorité. Si vous supprimez un utilisateur de l'un des domaines, il est dissocié dans le service IAM. Si vous resynchronisez l'utilisateur avec un autre domaine Microsoft Active Directory, celui-ci fait maintenant autorité pour l'utilisateur.