Documentation Oracle Cloud Infrastructure

Gestion de l'échec du réseau dans l'authentification déléguée

Gestion d'une défaillance de réseau dans une authentification déléguée.

La plupart des organisations s'appuient toujours sur Microsoft Active Directory (AD) pour gérer leurs comptes utilisateur, et les utilisateurs s'appuient sur Active Directory pour l'authentification et l'accès à divers systèmes. Si, pour certaines raisons, les utilisateurs ne peuvent pas s'authentifier avec leurs informations d'identification Active Directory, l'impact est considérable sur les opérations quotidiennes et les activités des organisations.

Pour éviter de telles situations, IAM fournit une fonctionnalité de gestion de l'échec du réseau. Cette fonctionnalité aide les utilisateurs à se connecter à l'aide des informations d'identification Active Directory même si IAM ne parvient pas à atteindre le pont Active Directory (AD).

Configurez l'authentification déléguée pour un domaine AD dans IAM afin qu'un utilisateur puisse employer son mot de passe Active Directory pour s'authentifier dans IAM.

Si le pont AD n'est pas accessible, les utilisateurs ne peuvent pas valider leurs informations d'identification avec Active Directory et ne peuvent donc pas se connecter à IAM. Votre annuaire Active Directory n'est pas accessible pour plusieurs raisons. Cela peut être dû à une interruption de connectivité réseau entre le pont AD et IAM.

Pour éviter cette situation, IAM fournit la fonctionnalité de mise en cache locale des mots de passe pour effectuer l'authentification locale si le pont AD n'est pas accessible. Cette fonctionnalité aide les utilisateurs délégués à se connecter à IAM même si le pont AD n'est pas accessible. Pour des raisons de sécurité, ce mot de passe est stocké sous forme hachée dans IAM.

Assurez-vous que la durée de vie de ce mot de passe en mémoire cache dans IAM est limitée. Vous pouvez configurer la durée maximale (5 jours) que vous définissez pour mettre en cache le mot de passe sur IAM. Par exemple, si votre connectivité réseau est interrompue et que vous avez défini la durée de mise en cache des mots de passe sur 2 jours, les utilisateurs peuvent se connecter à IAM pendant seulement 2 jours. Toutefois, si Active Directory reste inaccessible pendant une durée supérieure à celle indiquée, vous ne pouvez plus vous connecter à IAM.

Afin d'éviter les attaques par force brute visant à accéder à votre compte, vous pouvez limiter le nombre d'échecs de tentatives de mot de passe lors de la mise en cache du mot de passe dans IAM. Après plusieurs tentatives infructueuses, IAM verrouille votre compte utilisateur. Une limite de 5 est configurable.

Vous ne pouvez pas effectuer les opérations suivantes lorsque la connectivité réseau est interrompue :

  • Un utilisateur ne peut pas modifier son propre mot de passe.

  • Un utilisateur ne peut pas réinitialiser son propre mot de passe en validant le jeton.

  • Un utilisateur ne peut pas modifier sa propre adresse électronique.

  • Un administrateur ne peut pas remplacer le mot de passe d'un utilisateur par une valeur connue.

  • Un administrateur ne peut pas réinitialiser le mot de passe d'un utilisateur dont le mot de passe est authentifié par Active Directory.

Toutefois, si vous avez récemment modifié un mot de passe dans Active Directory, vous pouvez vous connecter à IAM avec ce mot de passe alors que la connectivité est interrompue, à condition de vous être déjà connecté à IAM pendant qu'Active Directory était disponible.

Remarque

Il arrive parfois qu'une erreur système survienne même si vous fournissez un mot de passe correct. Cela est dû au fait que le cache des mots de passe est vide ou que le mot de passe a expiré.

Activation de la mise en cache des mots de passe locaux

Vous devez activer la fonctionnalité de mise en cache des mots de passe locaux pour permettre aux utilisateurs de l'authentification déléguée de se connecter à IAM si Microsoft Active Directory n'est pas accessible.
  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sur la page de détails du domaine, cliquez sur Sécurité.
  3. Sélectionnez Authentification déléguée.
  4. Développez le noeud à droite du pont AD pour lequel activer la mise en cache des mots de passe.
  5. Activez le commutateur Activer le cache des mots de passe.
  6. Définissez la durée de mise en cache des mots de passe dans Durée de la mise en cache des mots de passe (jours).
  7. Sélectionnez le nombre d'échecs de tentatives de mot de passe souhaité lors de la mise en cache des mots de passe dans Nombre de tentatives de mot de passe infructueuses lors de la mise en cache des mots de passe.
  8. Sélectionnez Enregistrer.