Oracle Cloud Infrastructure - Dokumentation

Delegierte Authentifizierung verwalten

Verwenden Sie die delegierte Authentifizierung, damit Identitätsdomainadministratoren und Sicherheitsadministratoren keine Benutzerkennwörter zwischen einer On-Premise-Microsoft Active Directory-(AD-)Unternehmensverzeichnisstruktur und IAM synchronisieren müssen.

Benutzer können sich mit ihren AD-Kennwörtern bei der Identitätsdomain anmelden, um auf Ressourcen und Anwendungen zuzugreifen, die durch IAM geschützt sind.

Beispiel: Sie nutzen eine AD-Domain, die Benutzeraccounts enthält, die Sie in Identitätsdomains importieren möchten. Um diese Accounts zu übertragen, installieren und konfigurieren Sie eine AD-Bridge für die AD-Domain. Die AD-Bridge stellt einen Link zwischen der AD-Domain und IAM bereit. IAM kann mit der AD-Domain synchronisiert werden, sodass alle neuen, aktualisierten oder gelöschten Benutzer- oder Gruppendatensätze an IAM übertragen werden. Aus diesem Grund wird der Status jedes Datensatzes zwischen AD und IAM synchronisiert.

Nachdem Sie Benutzeraccounts mit einer AD-Bridge von der AD-Domain in eine Identitätsdomain übertragen haben, sollten Sie IAM so konfigurieren, dass Benutzer aus der AD-Domain ihre AD-Kennwörter für die Anmeldung bei OCI verwenden müssen. Aktivieren Sie dazu die delegierte Authentifizierung für die AD-Bridge. Zunächst sollten Sie jedoch prüfen, ob die AD-Zugangsdaten eines Benutzers in der AD-Domain zur Anmeldung bei IAM verwendet werden können. Auf diese Weise können Sie eventuelle Probleme beheben, bevor Sie die delegierte Authentifizierung aktivieren.

Wenn Sie die delegierte Authentifizierung in IAM aktiviert haben und ein Kennwort in IAM ändern oder zurücksetzen, wird das Kennwort direkt in AD gespeichert. Die AD-Kennwort-Policys gelten für das neue Kennwort. In IAM konfigurierte Kennwort-Policys gelten nicht für dieses Kennwort. IAM verwaltet das Kennwort nicht.

Statuswerte

Der Status der Verbindung zwischen IAM und AD-Domains. Für eine AD-Domain können mehrere Bridges vorhanden sein.

IAM verwendet drei Statuswerte für eine AD-Bridge zur Kommunikation mit einer AD-Domain, um Zuständigkeiten zur Authentifizierung von Benutzern dieser Domain bei IAM zu delegieren:
  • Verbunden: Die AD-Bridge ist installiert und konfiguriert und kann mit der Domain kommunizieren.
  • Keine Clients gefunden (No Clients Found): Sie haben eine AD-Bridge installiert oder konfiguriert, ohne den Client für die AD-Domain zu installieren. Wählen Sie Hier auswählen, um den Client herunterzuladen aus, um den Client für die AD-Domain herunterzuladen. Alternativ wurde die Brücke deinstalliert.
  • Inkompatibler Client gefunden (Incompatible Client Found): Sie haben eine veraltete Version des Clients verwendet, um eine AD-Bridge zu installieren oder zu konfigurieren. Wählen Sie Hier auswählen, um den Client herunterzuladen aus, um den aktualisierten Client für die AD-Domain herunterzuladen.