驅動程式和密碼過濾器的功能已提升,改進了密碼同步化失敗之後的重試方式。
如果未能成功從 Active Directory 將密碼變更傳送到 Identity Vault,驅動程式會快取密碼。 只有擁有密碼的使用者發生「新增」或「修改」事件時,才會再次重試 (在之前版本中,每發生一次輪詢就會重試一次這些已儲存密碼)。
當驅動程式輪詢 Active Directory 中的變更時,驅動程式會收到使用者的「新增」或「修改」事件。 對於每個使用者的「新增」或「修改」事件,驅動程式都會檢查這個新的使用者是否有已儲存的密碼。 如果有已儲存的密碼,驅動程式會將此密碼視為修改使用者事件,傳送至 Identity Vault。
如果「密碼同步化」已設定為在同步化失敗時向使用者傳送電子郵件訊息,則增強後的方式會將使用者可能收到的電子郵件量減至最少。
已新增名為「密碼過期時間」的參數。 此參數可讓您決定第一次同步化失敗時,保留此特定使用者密碼的時間。 在 Identity Vault 中的密碼成功變更或超過「密碼過期時間」之前,驅動程式都會保留此密碼。
如果「密碼同步化」已設定為在同步化失敗時向使用者傳送電子郵件訊息,則增強後的方式會將使用者可能收到的電子郵件量減至最少。
已新增名為「密碼過期時間」的參數。 此參數可讓您決定第一次同步化失敗時,保留此特定使用者密碼的時間。 在 Identity Vault 中的密碼成功變更或超過「密碼過期時間」之前,驅動程式都會保留此密碼。
輸入範例驅動程式組態時,系統會提示您指定過期時間。如果不指定,或者時間 (間隔欄位) 包含無效字元,則預設的過期時間為 60 秒。 如果指定的時間小於三倍的指定輪詢間隔時間,則驅動程式會將此時間變更為三倍的輪詢間隔時間。
請將此值設定得夠大,這樣才能處理任何已存在的密碼暫時積存。 如果要進行大量變更,請將逾時設定得足夠大以便處理所有變更。 一般規則是允許一秒鐘處理一個密碼。 例如,同步化 18,000 個密碼允許花費的時間為 300 分鐘 (18,000 個密碼除以 60 秒)。
如果設定值為 -1,表示時間無限。 此設定可以處理大量變更,但是會導致問題。 例如,由於未關聯帳戶,可能永遠無法同步化密碼。 此密碼就會永遠保留在系統中。 許多類似情況都可能導致系統中儲存大量的未同步化密碼。
在「發行者」通道上,密碼同步化可能發生在「新增」事件之前。 驅動程式會在「新增」事件之後立即重試。
在 Active Directory 中建立具有密碼的新使用者。 過濾器會立即將新密碼傳送到驅動程式。 但是,由於事件發生在輪詢之間,驅動程式尚未收到使用者「新增」事件。 因為驅動程式尚未在 Identity Vault 中建立此使用者,所以在第一次嘗試密碼同步化時會失敗。 驅動程式快取此密碼。
在下一個輪詢期間,驅動程式會收到新使用者的「新增」使用者事件。 驅動程式還會檢查是否已快取此新使用者的密碼。 驅動程式會將「新增」使用者事件傳送到 Identity Vault,同時也會傳送「修改」使用者事件,以同步化密碼。
在此情況下,密碼同步化只會延遲一個輪詢間隔。
「密碼過期時間」參數在此時是無效的。
在 Active Directory 中建立具有密碼的新使用者。 但是,使用者資訊不符合 Active Directory 驅動程式的「建立」規則要求。
例如,「建立」規則可能需要全名,但卻缺少此必要資訊。 如同「無效」範例中那樣,過濾器會立即將密碼變更傳送到驅動程式。 但是,因為使用者並不存在,所以 Identity Vault 中的第一次嘗試密碼變更會失敗。 驅動程式快取此密碼。
但在此時,因為使用者資訊不符合「建立」規則的要求,即使驅動程式會輪詢 Active Directory 中的變更且找到了新使用者,它也無法建立新使用者。
建立新使用者和同步化密碼會被延遲,直到所有使用者資訊都新增到 Active Directory 從而符合「建立」規則為止。 然後,驅動程式會將新使用者新增到 Identity Vault,檢查是否已快取此新使用者的密碼,最後傳送「修改」使用者事件以同步化密碼。
只有當時間間隔在 Active Directory 中的使用者資訊符合「建立」規則前即先到期,「密碼過期時間」參數才會影響此案例。 如果「新增」事件發生在密碼到期之後,且驅動程式未曾快取使用者的密碼,則不會發生同步化。 因為驅動程式未曾快取密碼,所以會使用密碼規則中的預設密碼。
只有在使用者變更了 Active Directory 或 Identity Vault 中的密碼之後,才會同步化此密碼。
如果「密碼同步化」設定為雙向密碼流程,則在 Identity Vault 中發生密碼變更時,也可以將密碼從 Identity Vault 同步化到 Active Directory。
如果對「建立」規則有限制,在 Active Directory 中需要花一天多的時間才能完成新使用者資訊,則您可能要相應地增加「密碼過期時間」參數間隔。 驅動程式這時可以快取密碼,直到終於在 Identity Vault 中建立使用者為止。
在 Active Directory 中建立具有密碼的使用者。 不過,此使用者從未符合 Active Directory 驅動程式之「建立」規則的準則。
例如,假設 Active Directory 中的新使用者有「描述」指出此使用者為約聘,且「建立」規則會阻止建立約聘「使用者」物件,因為按照業務規則,不希望約聘人員在 Identity Vault 中擁有對應的使用者帳戶。 如同上述範例,過濾器會立即傳送密碼變更,但是第一次嘗試密碼同步化時會失敗。 驅動程式快取此密碼。
在此情況下,不會在 Identity Vault 中建立對應的使用者帳戶。 因此,驅動程式不會同步化已快取的密碼。 超過「密碼過期時間」之後,驅動程式會從其快取中移除使用者密碼。
Markus 具有 Active Directory 帳戶和對應的 Identity Vault 帳戶。 他變更了他的 Active Directory 密碼,其中包含六個字元。 但是,此密碼不符合管理員在 eDirectory 中建立的「密碼規則」要求,亦即至少要有八個字元。 「密碼同步化」設定為拒絕不符合規則的密碼,並向 Markus 傳送通知電子郵件,告知密碼同步化失敗。 驅動程式只在 Active Directory 中的「使用者」物件發生變更時,才會快取密碼並重試。
在此案例中,變更密碼之後,Markus 會收到說明密碼同步化失敗的電子郵件。 每當驅動程式重試密碼時,Markus 都會收到相同的電子郵件訊息。
如果 Markus 在 Active Directory 中將密碼變更為符合「密碼規則」的密碼,則驅動程式會成功地將新密碼同步化到 Identity Vault。
如果 Markus 變更的密碼不符合規則,則密碼同步化一定會失敗。 當超過「密碼過期時間」時,驅動程式會刪除已快取的密碼且以後都不會再重試。