在学习协调时,我对“支持数据协调”有一个疑问。
-> 我想知道什么是支持数据对账,它与执行正常对账有何不同?
-> 为什么建议单独进行辅助数据对账??
此外,在手册中它说“它包括组配置信息,其中包含有关资源访问权限的关键信息。提前带回组数据允许在协调帐户之前迅速配置策略,以便可以强制执行策略。”
-> 上面几行到底是什么意思?
问问题
1483 次
1 回答
0
支持数据协调不会从托管资源中恢复/评估帐户。它只带回组信息。由于大多数情况下您的访问权限基本上是组成员身份,因此拥有此信息将允许您在 ITIM 中定义访问权限。正常的对账会从目标系统中带回组信息和帐户,并可能对每个帐户强制执行策略评估。
建议单独进行组协调的原因是,由于它可能会影响您拥有的访问定义,因此您希望在实际协调帐户并评估适用于它们的策略之前将其准备好。
给你一个可靠的例子,你可能有一个 ldap 服务,其中一个 ldap 服务器是你的托管系统。在这个 ldap 服务器中,您配置了 2 个组 GrpA 和 GrpB,并且您想控制这些组的成员资格。首先,您将为您的 ldap 服务进行支持数据协调,并且 ISIM 将知道这些组。您现在可以转到 ITIM 控制台中的管理组并启用这些组作为 ITIM 中的访问权限。(如果您之前没有完成支持数据的协调,那么 ISIM 将不会知道目标系统中的组)。
另一个示例是,当您希望将这些组成员身份作为供应策略中的授权时。协调支持数据后,您可以创建一个以组成员身份作为权利的新供应策略。然后根据权利是自动的还是手动的,用户将获得此访问权限。
于 2014-11-06T15:46:50.477 回答