Die Erstellungsregeln werden auf die Ereignisse vom Typ „Hinzufügen“ angewendet, wenn die Übereinstimmungsregeln keine Übereinstimmung finden. Die Erstellungsregeln geben die minimale Anzahl der Daten an, die ein Ereignis aufweisen muss, bevor ein Objekt im Identitätsdepot oder im verbundenen System erstellt werden kann.
Wenn die Übereinstimmungsregel kein übereinstimmendes Objekt im Identitätsdepot findet, wird auf das Dokument die Erstellungsregel angewendet, um sicherzustellen, dass das Dokument genügend Informationen enthält. Sie wird auch verwendet, um Standardwerte für Attribute anzugeben, und könnte eine Vorlage zur Erstellung eines neuen Objekts angeben. Für Objekte, die im Identitätsdepot synchronisiert werden, kann es obligatorische Attribute im Schema geben, die zur Erstellung eines Benutzers erforderlich sind, wie zum Beispiel CN und Nachname. Verschiedene Objektklassen und Anwendungsfälle können verschiedene Anforderungen haben.
Die Erstellungsregel kann auch ein Ereignis vom Typ „Hinzufügen“ verhindern, wenn dieses Ereignis nicht den von der Erstellungsregel festgelegten Bedingungen entspricht. Wenn beispielsweise die Erstellungsregel besagt, dass ein Objekt eine Telefonnummer aufweisen muss, dann schlägt das Ereignis vom Typ „Hinzufügen“ fehl, falls keine Telefonnummer angegeben ist.
Die verworfenen Ereignisse werden erneut verarbeitet, sobald die zusätzlichen Attributinformationen im verbundenen System hinzugefügt werden. Dies führt zu einem Ereignis vom Typ „Ändern“ ohne ein verknüpftes Objekt, das der Hinzufügeprozessor in einen Vorgang des künstlichen Hinzufügens konvertiert.
Die Erstellungsregel im Abonnenten funktioniert genauso wie im Herausgeberkanal, wenn festgelegt wird, ob ein Ereignis genügend Informationen zur Erstellung eines Objekts im verbundenen System aufweist. Dazu sind Kenntnisse über das verbundene System und dessen technische oder geschäftliche Anforderungen erforderlich.
Die Erstellungsregel wird oft verwendet, um die für das neue Objekt verfügbaren Attribute (aus dem ursprünglichen Ereignis) zu prüfen und verhindert die Erstellung des neuen Objekts, falls ein oder mehrere Attribute fehlen. Das häufigste Beispiel dazu im Abonnentenkanal ist die Passwortanforderung. Normalerweise wird ein Benutzer im Identitätsdepot in zwei Stufen erstellt, zunächst als Benutzerobjekt, woraufhin in einem zweiten Vorgang ein Passwort festgelegt wird. Es kommt häufig vor, dass ein Objekt erstellt wird, doch die Erstellungsregel fehlschlägt, weil das Passwort fehlt, das ein erforderliches Attribut zur Erstellung eines neuen Benutzerobjekts ist. Wenn dann das Passwortereignis kurz darauf durchgeführt wird, kann das neue Objekt erfolgreich hinzugefügt werden.