Documentation Oracle Cloud Infrastructure

Gestion de l'échec du réseau dans l'authentification déléguée

Gérer une défaillance réseau dans une authentification déléguée.

La plupart des organisations s'appuient toujours sur Microsoft Active Directory (AD) pour gérer leurs comptes utilisateur, et les utilisateurs s'appuient sur Active Directory pour l'authentification et l'accès à divers systèmes. Si, pour certaines raisons, les utilisateurs ne peuvent pas s'authentifier avec leurs informations d'identification Active Directory, l'impact est considérable sur les opérations quotidiennes et les activités des organisations.

Pour éviter ces situations, IAM fournit une fonctionnalité de gestion des échecs du réseau. Cette fonctionnalité aide les utilisateurs à se connecter à l'aide des informations d'identification Active Directory même si IAM ne parvient pas à atteindre le pont Active Directory (AD).

Configurez l'authentification déléguée pour un domaine AD dans IAM afin qu'un utilisateur puisse employer son mot de passe Active Directory pour s'authentifier dans IAM.

Si le pont AD n'est pas accessible, les utilisateurs ne parviennent pas à valider leurs informations d'identification avec Active Directory et ne peuvent donc pas se connecter à IAM. Votre annuaire Active Directory n'est pas accessible pour plusieurs raisons. Cela peut être dû à une interruption de connectivité réseau entre le pont AD et IAM.

Pour éviter cette situation, IAM fournit la fonctionnalité locale de mise en cache des mots de passe pour effectuer l'authentification locale au cas où le pont AD n'est pas accessible. Cette fonctionnalité aide les utilisateurs délégués à se connecter à IAM même si le pont AD n'est pas accessible. Pour des motifs de sécurité, ce mot de passe est stocké sous forme hachée dans IAM.

Assurez-vous que la durée de vie de ce mot de passe en cache dans IAM est limitée. Vous pouvez configurer la durée maximale (5 jours) que vous définissez pour mettre en cache le mot de passe sur IAM. Par exemple, si votre connectivité réseau est interrompue et que vous avez défini la durée de la mise en cache des mot de passe sur 2 jours, les utilisateurs sont autorisés à se connecter à IAM pendant seulement 2 jours. Toutefois, si Active Directory reste inaccessible pendant la durée supérieure à celle indiquée, vous ne pourrez plus vous connecter à IAM.

Afin d'éviter les attaques par force brute visant à accéder à votre compte, vous pouvez limiter le nombre d'échecs de tentatives de mots de passe lors de sa mise en cache dans IAM. Après plusieurs tentatives infructueuses, IAM verrouille votre compte utilisateur. Une limite de 5 est configurable.

Vous ne pouvez pas effectuer les opérations suivantes lorsque la connectivité réseau est interrompue :

  • Un utilisateur ne peut pas modifier son propre mot de passe.

  • Un utilisateur ne peut pas réinitialiser son propre mot de passe en validant le jeton.

  • Un utilisateur ne peut pas modifier sa propre adresse électronique.

  • Un administrateur ne peut pas remplacer le mot de passe d'un utilisateur par une valeur connue.

  • Un administrateur ne peut pas réinitialiser le mot de passe d'un utilisateur dont le mot de passe est authentifié par Active Directory.

Toutefois, si vous avez récemment modifié un mot de passe dans Active Directory, vous pouvez vous connecter à IAM avec ce mot de passe alors que la connectivité est interrompue, à condition que vous ayez déjà été connecté à IAM pendant que Active Directory était disponible.

Remarque

Il arrive parfois qu'une erreur système survienne même si vous fournissez un mot de passe correct. Cela est dû au fait que le cache des mots de passe est vide ou que le mot de passe a expiré.

Activation de la mise En cache de mots de passe locaux

Vous devez activer la fonctionnalité de mise en cache de mots de passe locaux pour permettre aux utilisateurs de l'authentification déléguée à se connecter à IAM si Microsoft Active Directory n'est pas accessible.
  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Sélectionnez le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Sur la page de détails du domaine, cliquez sur Sécurité.
  3. Sélectionnez Authentification déléguée.
  4. Développez le noeud à droite du pont AD pour lequel activer la mise en cache des mots de passe.
  5. Activez le commutateur Activate password cache.
  6. Définissez la durée de la mise en cache des mots de passe dans Durée de la mise en cache du mot de passe (jours).
  7. Dans Nombre de tentatives de mots de passe infructueuses lors de cette mise en cache, sélectionnez le nombre de mots de passe souhaités lors de l'opération.
  8. Sélectionnez Enregistrer.