Documentation sur Oracle Cloud Infrastructure

Gestion de l'authentification déléguée

Utilisez l'authentification déléguée pour que les administrateurs de domaine d'identité et les administrateurs de sécurité n'aient pas à synchroniser les mots de passe des utilisateurs entre une structure de répertoire d'entreprise Microsoft Active Directory (AD) sur place et GIA.

Les utilisateurs peuvent utiliser leurs mots de passe AD pour se connecter à leur domaine d'identité et accéder aux ressources et aux applications protégées par GIA.

Supposons que vous ayez un domaine AD qui contient des comptes d'utilisateur que vous voulez importer dans des domaines d'identité. Pour transférer ces comptes, installez et configurez un pont AD pour le domaine AD. Le pont AD fournit un lien entre le domaine AD et GIA. IAM peut se synchroniser avec le domaine AD afin que tous les enregistrements d'utilisateur ou de groupe nouveaux, mis à jour ou supprimés soient transférés dans IAM. De ce fait, l'état de chaque enregistrement est synchronisé entre AD et GIA.

Après avoir utilisé un pont AD pour transférer des comptes utilisateur du domaine AD vers un domaine d'identité, vous voulez configurer le service GIA de sorte que les utilisateurs du domaine AD doivent utiliser leurs mots de passe AD pour se connecter à OCI. Pour ce faire, activez l'authentification déléguée pour le pont AD. Toutefois, vous pouvez d'abord vérifier que les données d'identification AD d'un utilisateur du domaine AD peuvent être utilisées pour vous connecter à GIA. Ainsi, si des problèmes surviennent, vous pouvez les résoudre avant d'activer l'authentification déléguée.

Après avoir activé l'authentification déléguée dans GIA, si vous modifiez ou réinitialisez un mot de passe dans GIA, le mot de passe est stocké directement dans AD. Les politiques de mot de passe AD s'appliquent au nouveau mot de passe. Les politiques de mot de passe configurées dans GIA ne s'appliquent pas à ce mot de passe. GIA ne gère pas le mot de passe.

Statuts

Statut de la connexion entre les domaines GIA et AD. Il peut y avoir plusieurs ponts pour un domaine AD.

Il existe trois statuts pour un pont AD que GIA utilise pour communiquer avec un domaine AD afin de déléguer des responsabilités d'authentification des utilisateurs de ce domaine dans GIA :
  • Connecté : Le pont AD est installé et configuré et peut communiquer avec le domaine.
  • Aucun client trouvé : Vous avez installé ou configuré un pont AD sans installer le client pour le domaine AD. Sélectionnez Sélectionner ici pour télécharger le client pour télécharger le client pour le domaine AD. Sinon, le pont a été désinstallé.
  • Client incompatible trouvé : Vous avez utilisé une version obsolète du client pour installer ou configurer un pont AD. Sélectionnez Sélectionner ici pour télécharger le client afin de télécharger le client mis à jour pour le domaine AD.