Как работает принудительное изменение иерархии ролей в ITIM 5.1?

Question

Как работает принудительное изменение иерархии ролей в ITIM 5.1?

"Люди, затронутые операцией изменения иерархии ролей, сравниваются со всеми применимыми политиками в системе, включая политики, не относящиеся ни к одной из родительских ролей. В результате вы можете обнаружить учетные записи, не связанные с изменением иерархии ролей, которые исполняется."

Может ли кто-нибудь объяснить в терминах непрофессионала, что именно эти строки пытаются передать, например:

когда происходит операция изменения иерархии ролей?

Каковы применимые политики здесь и как будут оцениваться изменения?

0

tivoli-identity-manager

Источник

user4067166 31 окт '14 в 15:59

1 ответ

Решение

Другие вопросы по тегам tivoli-identity-manager

user983244 04 ноя '14 в 21:09 2014-11-04 21:09 · Accepted Answer · 2014-11-04 21:09

У вас есть только вышеприведенная часть из более длинной главы, и она звучит немного вне контекста, но это не так сложно.

Ролевые иерархии связаны с отношениями между ролями. В ITIM/ISIM вы можете определить, что роли являются родителями / детьми других ролей и, таким образом, создать иерархию. Он также поддерживает это понятие наследования, так что, например, политики обеспечения, которые применяются к родительской роли, также применяются к дочерним ролям.

Изменение иерархии ролей происходит, когда вы добавляете родителя или ребенка в данную роль. Например, если у вас была Role1 и вы применяете политику обеспечения, которая применяется к этой роли, то при добавлении Role2 в качестве дочернего элемента роли Role1 политика предоставления теперь будет применяться и к Role2.

Что касается другого вопроса в обсуждении, давайте начнем с двух фактов:

В вашей системе может быть несколько политик инициализации. В зависимости от того, как настроено членство в политике, каждый из них может применяться к определенным ролям, группам или всем лицам в вашей системе.
В конфигурации ITIM по умолчанию каждый раз, когда вы изменяете человека, выполняется рабочий процесс modifyPerson. Он может содержать несколько узлов, но по умолчанию он содержит узел modifyPerson и узел forcecePolicy. ModifyPerson выполняет, как следует из названия, модификации объекта person в ITIM. Узел forcecePolicy, как и следует из названия, оценивает ВСЕ применимые политики обеспечения для человека и выполняет необходимые действия с учетными записями пользователей в соответствии с политиками обеспечения.

Процитированное вами предложение говорит о том, что когда вы добавляете роль (RoleA) в качестве дочернего элемента другой роли (RoleB), политика предоставления (давайте назовем ее Policy1), которая применяется к RoleA, теперь также применяется и к RoleB. И если у вас был человек, который был членом RoleB, теперь, когда вы выполняете изменение иерархии ролей, политики для этого человека будут оцениваться, потому что ITIM должен применить для него Policy1. Однако это не означает, что в настоящее время единственной политикой, которая применяется к этому человеку, является Политика1. К нему может применяться ряд различных политик, и ВСЕ из них будут оцениваться в это время. Это может привести к изменениям в других учетных записях или большему количеству изменений в той же учетной записи этого человека.

Кстати, это было немного изменено с помощью ISIM 6, FixPack 3, Intermittent FixPack 11. Теперь узел принудительной политики в рабочем процессе можно настроить так, чтобы он учитывал только те политики предоставления, которые необходимо переоценить для конкретного изменения. это случается, а не вслепую пройти и оценить все заново.