无法删除ITIM帐户

时间:2014-10-20 08:25:01

标签: tivoli-identity-manager

我正在尝试删除为用户创建的ITIM A / C,但它不允许我将其删除,显示错误“以下帐户无法删除,因为它们受自动配置策略管理”。

请让我知道它是什么原因以及如何纠正它。

2 个答案:

答案 0 :(得分:1)

原因是您的环境中定义了一个配置策略,其中包含以下参数:

  • 供应政策的一项权利是ITIM帐户(可能包含一些权利参数)
  • 此权利的配置选项设置为自动
  • 配置策略的角色成员身份是您的用户拥有或适用于组织中所有用户的特定角色。

上述含义是有一个配置策略说"所有具有此角色的用户必须拥有ITIM帐户"。这就是您无法手动删除该人的ITIM帐户的原因。

它不是关于 纠正 ,而是要弄清楚你想要在那里实现什么。您有几个选择,但首先您需要退后一步并了解原因,而不是仅仅尝试修复症状。为什么该用户没有ITIM账户?

如果有一个角色给了他这个帐户,你需要弄清楚该角色是什么,并从该人中删除角色。然后,供应策略执行将删除ITIM帐户(假设没有适用于该人的其他PP并且具有ITIM帐户作为权利,这里过于简化)

另一方面,如果配置策略适用于所有人,并且您现在发现其中一些应该没有帐户,或者您应该能够从中删除帐户,那么您需要提供配置选项手动(这意味着每个人都可以拥有一个帐户,但他们需要请求或由某人/某个流程提供服务)或将策略的成员身份更改为仅包含应拥有ITIM帐户的人员的更独特的角色。

修改

您需要稍微回过头来尝试在ITIM和RBAC的背景下理解配置策略的概念。这不是分析主题的地方:)但是,很快就会出现问题

  • ITIM帐户未必按1:1映射到每个ITIM人员。 ITIM人员是由您的身份管理系统(ITIM)管理的实体,他们 可能 拥有ITIM帐户,即ITIM中预定义的ITIM服务帐户。
  • ITIM帐户是可以访问ITIM管理控制台和自助服务UI的帐户,并非所有人都需要此/应该拥有此帐户。
  • 正如您所说,用户在创建用户时获得了ITIM帐户的原因是,有一个配置策略将ITIM服务作为权利并设置为自动。这表示所有ITIM用户必须拥有ITIM帐户。这就是您无法自行删除ITIM帐户的原因,因为它与现有的配置策略相矛盾。

答案 1 :(得分:0)

不删除帐户的原因是自动设置策略,该策略不允许删除itim帐户。将设置策略从自动设置为手动,然后才允许删除帐户。

相关问题
最新问题