Не удается удалить учетные записи ITIM
Я пытаюсь удалить ITIM A/C, созданный для пользователя, однако он не позволяет мне удалить его, появляется сообщение об ошибке "Следующие учетные записи не могут быть удалены, так как они регулируются политикой автоматической подготовки".
Пожалуйста, дайте мне знать, что является причиной этого и как это исправить.
1 ответ
Причина в том, что в вашей среде определена политика обеспечения со следующими параметрами:
- Одним из разрешений политики обеспечения является учетная запись ITIM (возможно, с некоторыми параметрами разрешений)
- Параметр обеспечения для этого права установлен на Автоматический
- Членство в роли в политике предоставления услуг - это либо особая роль, которую ваш пользователь имеет, либо она применяется ко всем пользователям в организации.
Вышеуказанное означает, что существует политика предоставления доступа, которая гласит: "Все пользователи, имеющие эту роль, ДОЛЖНЫ иметь учетную запись ITIM". Вот почему вы не можете вручную удалить учетную запись ITIM для этого человека.
Дело не в исправлении, а в выяснении того, чего вы хотите достичь. У вас есть несколько вариантов, но сначала вам нужно сделать шаг назад и понять причину, а не просто попытаться устранить симптом. Почему этот пользователь не должен иметь учетную запись ITIM?
ЕСЛИ есть роль, которая дает ему эту учетную запись, вам нужно выяснить, какая роль это и удалить роль от человека. Затем принудительное применение политики обеспечения доступа удалит учетную запись ITIM (здесь это упрощается, если предположить, что нет других PP, применимых к человеку и имеющих учетную запись ITIM в качестве права).
Если, с другой стороны, политика предоставления доступа применяется ко всем, и вы теперь выяснили, что некоторые из них не должны иметь учетную запись, или что вы должны иметь возможность удалять учетные записи из них, вам необходимо либо настроить параметр предоставления вручную (это означает, что у каждого МОЖЕТ быть учетная запись, но он должен будет запросить ее или получить ее от кого-то / какого-либо процесса) или изменить членство в политике на более эксклюзивную роль, которая содержит только лиц, которые должны иметь учетную запись ITIM.
РЕДАКТИРОВАТЬ
Вам нужно будет немного вернуться назад и попытаться понять понятия политик обеспечения в контексте ITIM и RBAC в целом. Это не место для анализа темы:) Впрочем, коротко и под вопросом
- Учетная запись ITIM не обязательно отображается 1:1 для каждого человека ITIM. Лица ITIM - это лица, которыми управляет ваша система управления идентификационными данными (ITIM), и они могут иметь учетные записи ITIM, то есть учетные записи в службе ITIM, которые предварительно определены в ITIM.
- Учетная запись ITIM - это учетная запись, которая предоставляет доступ к административной консоли ITIM и пользовательскому интерфейсу самообслуживания, и не всем это нужно / должно иметь это.
- Причина, по которой, как вы говорите, пользователь получил учетную запись ITIM при создании пользователя, заключается в том, что существует политика предоставления доступа, в которой для службы ITIM предоставлено право, и для нее установлено автоматическое. Это говорит о том, что все пользователи ITIM ДОЛЖНЫ иметь учетную запись ITIM. Вот почему вы не можете удалить учетную запись ITIM самостоятельно, потому что это противоречит существующей Политике обеспечения.
Причина отказа от удаления учетной записи - политика автоматической подготовки, которая не позволяет удалить учетную запись itim. Измените политику инициализации с автоматической на ручную, только тогда она позволит удалять учетные записи.