无法删除 ITIM 帐户

Question

我正在尝试删除为用户创建的 ITIM A/C，但它不允许我删除它，显示错误“以下帐户无法删除，因为它们受自动配置策略管理”。

请让我知道它的原因是什么以及如何纠正它。

Answer 1

原因是您的环境中定义了具有以下参数的配置策略：

• 供应策略的权利之一是 ITIM 帐户（可能带有一些权利参数）
• 此权利的供应选项设置为自动
• 供应策略的角色成员资格是您的用户拥有或适用于组织中所有用户的特定角色。

上面的意思是有一个供应策略，它说“具有此角色的所有用户都必须拥有一个 ITIM 帐户”。 这就是您无法手动删除该人的 ITIM 帐户的原因。

这不是要纠正，而是要弄清楚你想在那里实现什么。 您有多种选择，但首先您需要退后一步并了解原因，而不仅仅是尝试解决症状。 为什么这个用户不应该有 ITIM 帐户？

如果有一个角色为他提供了此帐户，则您需要确定该角色是哪个角色并从该人中删除该角色。 然后，供应策略实施将删除 ITIM 帐户（假设没有其他适用于该人的 PP 并且拥有 ITIM 帐户作为权利，这里过于简单化）

另一方面，如果供应策略适用于所有人，而您现在发现他们中的一些人不应该拥有帐户，或者您应该能够从中删除帐户，则您要么需要手动设置供应选项（这意味着每个人都可以拥有一个帐户，但他们需要请求它或由某人/某个进程提供它）或将策略的成员资格更改为仅包含应拥有 ITIM 帐户的人的更专有的角色。

编辑

您需要回过头来尝试理解一般 ITIM 和 RBAC 上下文中的供应策略的概念。 这不是分析这个话题的地方:)但是，很快就手头的问题

• ITIM 帐户不一定一对一地映射到每个 ITIM 人员。 ITIM 人员是由您的身份管理系统 (ITIM) 管理的实体，他们可能拥有 ITIM 帐户，即 ITIM 中预定义的 ITIM 服务上的帐户。
• ITIM 帐户是可以访问 ITIM 管理控制台和自助服务 UI 的帐户，并非所有人都需要/应该拥有此帐户。
• 正如您所说，用户在您创建用户时获得了 ITIM 帐户的原因是，有一个供应策略将 ITIM 服务作为权利并设置为自动。 这表示所有 ITIM 用户都必须拥有一个 ITIM 帐户。 这就是您不能单独删除 ITIM 帐户的原因，因为它与现有的供应策略相矛盾。

Answer 2

不删除帐户的原因是自动配置策略不允许删除 itim 帐户。 将供应策略从自动设置为手动，然后才允许删除帐户。