Documentazione dell'infrastruttura Oracle Cloud

Gestisci errore di rete nell'autenticazione delegata

Gestire un errore di rete in un'autenticazione delegata.

La maggior parte delle organizzazioni si affida ancora a Microsoft Active Directory (AD) per gestire i propri account utente e gli utenti si affidano a Active Directory per l'autenticazione e l'accesso a vari sistemi. Se per alcuni motivi non è possibile autenticarsi con le credenziali di Active Directory. Questo ha un enorme impatto sulle operazioni quotidiane e sul business delle organizzazioni.

Per evitare situazioni come queste, IAM fornisce una funzionalità di gestione degli errori di rete. Questa funzionalità consente agli utenti di connettersi con le credenziali di Active Directory anche quando IAM non è in grado di raggiungere il bridge Active Directory (AD).

È possibile configurare l'autenticazione delegata per un dominio AD in IAM in modo che un utente possa utilizzare la propria password Active Directory per eseguire l'autenticazione in IAM.

Se il bridge AD non è raggiungibile, gli utenti non possono convalidare le proprie credenziali con Active Directory e pertanto non possono eseguire l'accesso a IAM. Active Directory non è raggiungibile per diversi motivi. Ciò potrebbe essere dovuto al fatto che la connettività di rete tra il bridge AD e IAM è inattiva.

Per evitare questa situazione, IAM fornisce la funzionalità di inserimento delle password nella cache locale per eseguire l'autenticazione locale nel caso in cui il bridge AD non sia raggiungibile. Questa funzionalità consente agli utenti delegati di eseguire l'accesso a IAM anche se il bridge AD non è raggiungibile. Per motivi di sicurezza, questa password viene memorizzata in formato hash in IAM.

Assicurarsi che la durata di questa password della cache in IAM sia limitata. È possibile configurare la durata massima (5 giorni) impostata per inserire la password nella cache in IAM. Ad esempio, se la connettività di rete è inattiva e la durata della password della cache è stata impostata su 2 giorni, gli utenti potranno accedere a IAM solo per 2 giorni. Tuttavia, se Active Directory non è ancora raggiungibile più a lungo della durata specificata, non è possibile accedere a IAM.

Per evitare che qualcuno possa utilizzare attacchi di tipo brute force per accedere all'account, è possibile limitare il numero di tentativi di password non riusciti durante l'inserimento della password nella cache in IAM. Dopo diversi tentativi non riusciti, IAM blocca l'account utente. Esiste un limite di 5 che è configurabile.

Non è possibile eseguire le operazioni seguenti mentre la connettività di rete è inattiva:

  • Un utente non può modificare la propria password

  • Un utente non può reimpostare la propria password convalidando il token

  • Un utente non può modificare il proprio indirizzo e-mail

  • Un amministratore non può modificare la password di un utente in un valore noto

  • Un amministratore non può reimpostare la password di un utente la cui password è autenticata da Active Directory

Tuttavia, se di recente è stata modificata una password in Active Directory, è possibile accedere a IAM con tale password mentre la connettività è inattiva, a condizione che sia già stato eseguito il login a IAM mentre Active Directory era disponibile.

Nota

A volte, è possibile che si verifichi un errore di sistema anche se si fornisce una password corretta. Questo perché la cache delle password è vuota o perché la password è scaduta.

Attivazione della memorizzazione nella cache delle password locali

È necessario attivare la funzionalità di inserimento della password nella cache locale per consentire agli utenti con autenticazione delegata di collegarsi a IAM nel caso in cui Microsoft Active Directory non sia raggiungibile.
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini.
  2. Selezionare il nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Nella pagina dei dettagli del dominio fare clic su Sicurezza.
  3. Selezionare Autenticazione delegata.
  4. Espandere il nodo a destra del bridge AD per il quale si desidera attivare la cache delle password.
  5. Attivare Attiva lo switch Attiva cache password.
  6. Impostare la durata della cache di questa password in Durata password cache (giorni).
  7. Selezionare il numero di tentativi di password non riusciti desiderati durante l'inserimento della password nella cache in Numero di tentativi di password non riusciti durante l'inserimento della password nella cache.
  8. Selezionare Salva.