無法刪除 ITIM 帳戶

Question

我正在嘗試刪除為用戶創建的 ITIM A/C，但它不允許我刪除它，顯示錯誤“以下帳戶無法刪除，因為它們受自動配置策略管理”。

請讓我知道它的原因是什么以及如何糾正它。

Answer 1

原因是您的環境中定義了具有以下參數的配置策略：

• 供應策略的權利之一是 ITIM 帳戶（可能帶有一些權利參數）
• 此權利的供應選項設置為自動
• 供應策略的角色成員資格是您的用戶擁有或適用於組織中所有用戶的特定角色。

上面的意思是有一個供應策略，它說“具有此角色的所有用戶都必須擁有一個 ITIM 帳戶”。 這就是您無法手動刪除該人的 ITIM 帳戶的原因。

這不是要糾正，而是要弄清楚你想在那里實現什么。 您有多種選擇，但首先您需要退后一步並了解原因，而不僅僅是嘗試解決症狀。 為什么這個用戶不應該有 ITIM 帳戶？

如果有一個角色為他提供了此帳戶，則您需要確定該角色是哪個角色並從該人中刪除該角色。 然后，供應策略實施將刪除 ITIM 帳戶（假設沒有其他適用於該人的 PP 並且擁有 ITIM 帳戶作為權利，這里過於簡單化）

另一方面，如果供應策略適用於所有人，而您現在發現他們中的一些人不應該擁有帳戶，或者您應該能夠從中刪除帳戶，則您要么需要手動設置供應選項（這意味着每個人都可以擁有一個帳戶，但他們需要請求它或由某人/某個進程提供它）或將策略的成員資格更改為僅包含應擁有 ITIM 帳戶的人的更專有的角色。

編輯

您需要回過頭來嘗試理解一般 ITIM 和 RBAC 上下文中的供應策略的概念。 這不是分析這個話題的地方:)但是，很快就手頭的問題

• ITIM 帳戶不一定一對一地映射到每個 ITIM 人員。 ITIM 人員是由您的身份管理系統 (ITIM) 管理的實體，他們可能擁有 ITIM 帳戶，即 ITIM 中預定義的 ITIM 服務上的帳戶。
• ITIM 帳戶是可以訪問 ITIM 管理控制台和自助服務 UI 的帳戶，並非所有人都需要/應該擁有此帳戶。
• 正如您所說，用戶在您創建用戶時獲得了 ITIM 帳戶的原因是，有一個供應策略將 ITIM 服務作為權利並設置為自動。 這表示所有 ITIM 用戶都必須擁有一個 ITIM 帳戶。 這就是您不能單獨刪除 ITIM 帳戶的原因，因為它與現有的供應策略相矛盾。

Answer 2

不刪除帳戶的原因是自動配置策略不允許刪除 itim 帳戶。 將供應策略從自動設置為手動，然后才允許刪除帳戶。