Documentation Oracle Cloud Infrastructure

Gestion de l'authentification déléguée

Utilisez l'authentification déléguée afin que les administrateurs de domaine d'identité et les administrateurs de sécurité n'aient pas à synchroniser les mots de passe utilisateur entre une structure d'annuaire d'entreprise Microsoft Active Directory (AD) sur site et IAM.

Les utilisateurs peuvent se servir de leur mot de passe AD pour se connecter à leur domaine d'identité afin d'accéder aux ressources et aux applications protégées par IAM.

Supposons que vous disposez d'un domaine AD contenant des comptes utilisateur à importer dans des domaines d'identité. Pour transférer ces comptes, installez et configurez un pont AD pour le domaine AD. Le pont AD fournit un lien entre le domaine AD et IAM. IAM peut se synchroniser avec le domaine AD de sorte que tous les enregistrements d'utilisateur ou de groupe mis à jour, nouveaux ou supprimés soient transférés vers IAM. De ce fait, l'état de chaque enregistrement est synchronisé entre AD et IAM.

Après avoir utilisé un pont AD pour transférer des comptes utilisateur du domaine AD vers un domaine d'identité, vous voudrez configurer IAM de sorte que les utilisateurs du domaine AD doivent se servir de leurs mots de passe AD pour se connecter à OCI. A cette fin, activez l'authentification déléguée pour le pont AD. Toutefois, vous pouvez d'abord vérifier que les informations d'identification AD d'un utilisateur du domaine AD peuvent servir à se connecter à IAM. Ainsi, en cas de problème, vous pouvez le résoudre avant d'activer l'authentification déléguée.

Une fois que vous avez activé l'authentification déléguée dans IAM, si vous modifiez ou réinitialisez un mot de passe dans IAM, le mot de passe est stocké directement dans AD. Les stratégies de mot de passe AD sont applicables au nouveau mot de passe. Les stratégies de mot de passe configurées dans IAM ne sont pas applicables pour ce mot de passe. IAM ne tient pas à jour le mot de passe.

Statuts

Statut de connexion entre IAM et les domaines AD. Plusieurs ponts peuvent être présents pour un domaine AD.

Il existe trois statuts pour un pont AD qu'IAM utilise afin de communiquer avec un domaine AD pour déléguer les responsabilités d'authentification des utilisateurs de ce domaine à IAM :
  • Connecté : le pont AD est installé et configuré, et peut communiquer avec le domaine.
  • Aucun client trouvé : vous avez installé ou configuré un pont AD sans installer le client pour le domaine AD. Sélectionnez Sélectionner ici pour télécharger le client afin de télécharger le client pour le domaine AD. Sinon, le pont a été désinstallé.
  • Client incompatible trouvé : vous avez utilisé une version obsolète du client pour installer ou configurer un pont AD. Sélectionnez Sélectionner ici pour télécharger le client afin de télécharger le client mis à jour pour le domaine AD.