我正在尝试删除为用户创建的 ITIM A/C,但它不允许我删除它,显示错误“无法删除以下帐户,因为它们受自动配置策略的约束”。
请让我知道这是什么原因以及如何纠正它。
问问题
696 次
2 回答
1
原因是在您的环境中定义了具有以下参数的供应策略:
- 供应策略的权利之一是 ITIM 帐户(可能带有一些权利参数)
- 此权利的供应选项设置为自动
- 供应策略的角色成员身份或者是您的用户拥有的特定角色,或者适用于组织中的所有用户。
上面的意思是有一个配置策略说“所有具有此角色的用户都必须有一个 ITIM 帐户”。这就是您无法手动删除该人的 ITIM 帐户的原因。
这不是要纠正,而是要弄清楚你想在那里实现什么。您有多种选择,但首先您需要退后一步并了解原因,而不是仅仅尝试解决症状。为什么该用户没有 ITIM 帐户?
如果有一个角色为他提供了此帐户,您需要确定是哪个角色并从该人中删除该角色。然后,供应策略实施将删除 ITIM 帐户(此处过于简单,假设没有其他 PP 适用于该人并且拥有 ITIM 帐户作为权利)
另一方面,如果配置策略适用于所有人,并且您现在发现其中一些人不应该有帐户,或者您应该能够从中删除帐户,则您需要制作配置选项手册(此意味着每个人都可以拥有一个帐户,但他们需要请求它或由某人/某个过程提供它)或将策略的成员身份更改为仅包含应该拥有 ITIM 帐户的人的更独占角色。
编辑
您需要回过头来尝试在 ITIM 和 RBAC 的背景下理解供应策略的概念。这不是分析主题的地方:) 但是,很快,对于手头的问题
- ITIM 帐户不一定会 1:1 映射到每个 ITIM 人员。ITIM 人员是由您的身份管理系统 (ITIM) 管理的实体,他们可能拥有 ITIM 帐户,即 ITIM 服务上预定义的 ITIM 帐户。
- ITIM 帐户是可以访问 ITIM 管理控制台和自助服务 UI 的帐户,并非所有人都需要/应该拥有它。
- 正如您所说,用户在创建用户时获得了 ITIM 帐户的原因是,有一个供应策略将 ITIM 服务作为权利并设置为自动。这表示所有 ITIM 用户都必须有一个 ITIM 帐户。这就是您不能单独删除 ITIM 帐户的原因,因为它与现有的供应策略相矛盾。
于 2014-10-25T13:50:25.257 回答
0
不删除帐户的原因是不允许删除 itim 帐户的自动配置策略。使配置策略从自动变为手动,然后才允许删除帐户。
于 2020-01-08T08:31:07.827 回答