Hoppa till huvudinnehåll
Hoppa över innehållsförteckningen

Hur man styr AD-kontotilldelning med en eAdm

Många organisationer behöver kontrollera vilka användare som automatiskt får ett Active Directory (AD)-konto. I den här guiden beskrivs hur du använder en specifik behörighet i eAdm för att hantera skapandet av AD-konton och se till att endast utvalda användare får ett konto automatiskt.

Denna metod är användbar i flera vanliga scenarier:

  • Skillnad mellan olika typer av anställda: Skapa automatiskt AD-konton för fast anställda, men kräv att chefer manuellt beviljar åtkomst till tillfälligt anställda eller timanställda.

  • Hantering av befintliga användare: När du migrerar till eAdm kan du förhindra att systemet automatiskt skapar AD-konton för befintliga anställda som inte har behövt något tidigare.

Följande procedur använder en behörighet som heter "Active User Account" för att styra denna process.


Förfarande

Följ dessa steg för att konfigurera eAdm för att hantera AD-kontotilldelning via en behörighet.

Steg 1: Skapa behörigheten "Aktivt användarkonto"

Först skapar du en ny behörighet som ska användas för att ge AD-åtkomst.

  1. Navigera till området för behörighetshantering i eAdm.

  2. Skapa en ny behörighet. I listan över behörigheter kommer du att konfigurera dess detaljer. I den här guiden använder vi följande exempel:

    • Namn: Aktivt användarkonto (Aktivt användarkonto)

    • ID: 8394 (Obs: Systemet tilldelar ett ID automatiskt; 8394 används som exempel i denna guide).

  3. Tilldela denna behörighet till en gruppering som är tillgänglig för chefer eller annan behörig personal som ansvarar för att manuellt bevilja denna åtkomst.

Steg 2: Konfigurera regler för automatisk tilldelning

Därefter definierar du reglerna för vilka användare som automatiskt ska få behörigheten "Active User Account". Du kan t.ex. konfigurera regeln så att endast anställda som anställts efter eAdm startdatum får behörigheten.

  1. Öppna regeluppsättningen för behörigheten "Aktivt användarkonto".

  2. Skapa regler för att definiera kriterierna för automatisk tilldelning.

Steg 3: Uppdatera synkroniseringsmallen för Active Users för AD

Ändra synkroniseringsmallen för aktiva AD-användare så att den kräver behörigheten "Active User Account". På så sätt säkerställs att endast användare med denna behörighet skapas eller underhålls som aktiva i AD.

  1. Leta reda på den regeluppsättning som är kopplad till synkroniseringsmallen för aktiva AD-användare.

  2. Lägg till en ny regel som kräver att användaren har behörigheten "Aktivt användarkonto". Du kommer att använda behörighetens unika ID från steg 1. Den här regeln kontrollerar att användaren har behörigheten med ID 8394.

Steg 4: Uppdatera synkroniseringsmallen för avaktiverade användare för AD

Uppdatera slutligen synkroniseringsmallen för avaktiverade användare. Denna regel kommer att säkerställa att när behörigheten "Active User Account" tas bort från en användare, avaktiveras deras AD-konto automatiskt.

  1. Leta reda på regeluppsättningen för synkroniseringsmallen för avaktiverade användare.

  2. Lägg till en kombination av regler som identifierar användare som har förlorat behörigheten "Aktivt användarkonto".

Logiken för denna regeluppsättning är att hitta användare som:

  • Är inte markerade som raderade i källsystemet.

  • Har för närvarande inte behörigheten "Aktivt användarkonto".

  • Hade tidigare behörigheten "Active User Account" (som registrerats i deras objekthistorik).

Denna logik kan konstrueras i regeluppsättningen på följande sätt:

KOD
// Condition 1: The user is NOT marked for deletion.
   Slettet | Har ikke verdi

// OR

// Condition 2: A multi-part condition to identify a lost permission.
(
   // The user does NOT currently have the permission (ID 8394).
   [OBJECTPERMISSION.SYSTEMROLE;Name;Id;8394] | Har ikke verdi
   AND
   // The user's history shows they PREVIOUSLY had the permission (ID 8394).
   [OBJECTHISTORIES;OldValue;OldValue;8394] | Er lik | 8394
)

Observera: Kom ihåg att manuellt tilldela behörigheten "Active User Account" till alla befintliga användare som behöver ett AD-konto men som inte uppfyller de kriterier för automatisk tilldelning som du konfigurerade i steg 2.

JavaScript-fel har upptäckts

Observera att dessa fel kan bero på din webbläsares inställningar.

Om problemet kvarstår, vänligen kontakta vår support.