在研究对帐时,我有一个疑问与支持数据对帐有关。
- >我想知道什么是支持数据核对,它与执行正常核对有什么不同?
- >为什么建议单独执行支持数据协调?
另外,在手册中它说"它包括包含密钥的组配置信息 有关资源访问权限的信息。提前恢复组数据允许在协调帐户之前立即配置策略,以便可以强制执行策略。"
- >上面的行究竟是什么意思?
答案 0 :(得分:0)
支持数据协调不会从受管资源中恢复/评估帐户。它只会带回群组信息。由于大多数时候您的访问基本上是组成员身份,因此拥有此信息将允许您在ITIM中定义访问。正常的对帐会从目标系统中返回组信息和帐户,并可能对每个帐户执行策略评估。
建议单独进行组协调的原因是,由于它可能会影响您拥有的访问定义,因此您需要在实际协调帐户并评估适用于它们的策略之前实现此目的。
为了给您一个可靠的示例,您可能有一个ldap服务,其中ldap服务器是您的托管系统。在这个ldap服务器中,您已经配置了2组GrpA和GrpB,并且您可以控制这些组的成员资格。首先,您将为您的ldap服务执行支持数据协调,这些组将为ISIM所知。您现在可以转到ITIM控制台中的管理组,并在ITIM中启用这些组作为访问。 (如果您之前没有完成支持数据的协调,那么ISIM将不会知道目标系统中的组)。
另一个示例是,您希望将这些组成员身份作为配置策略中的权利。协调支持数据后,您可以创建一个新的配置策略,其中组成员身份为权利。然后,根据权利是自动还是手动,用户将获得此访问权限。