Documentazione di Oracle Cloud Infrastructure

Gestione dell'autenticazione delegata

Utilizzare l'autenticazione delegata in modo che gli amministratori del dominio di Identity e gli amministratori della sicurezza non debbano sincronizzare le password utente tra una struttura di directory enterprise Microsoft Active Directory (AD) e IAM in locale.

Gli utenti possono utilizzare le password AD per collegarsi al proprio dominio di Identity per accedere alle risorse e alle applicazioni protette da IAM.

Si supponga di disporre di un dominio AD contenente gli account utente che si desidera importare nei domini di Identity. Per trasferire questi account, installare e configurare un bridge AD per il dominio AD. Il bridge AD fornisce un collegamento tra il dominio AD e IAM. IAM può eseguire la sincronizzazione con il dominio AD in modo che tutti i record utente o gruppo nuovi, aggiornati o eliminati vengano trasferiti in IAM. Per questo motivo, lo stato di ogni record viene sincronizzato tra AD e IAM.

Dopo aver utilizzato un bridge AD per trasferire gli account utente dal dominio AD a un dominio di Identity, si desidera configurare IAM in modo che gli utenti del dominio AD debbano utilizzare le password AD per collegarsi a OCI. A tale scopo, attivare l'autenticazione delegata per il bridge AD. Tuttavia, in primo luogo, potrebbe essere necessario verificare che le credenziali AD di un utente nel dominio AD possano essere utilizzate per collegarsi a IAM. In questo modo, in caso di problemi, è possibile risolverli prima di attivare l'autenticazione delegata.

Dopo aver attivato l'autenticazione delegata in IAM, se si modifica o reimposta una password in IAM, la password viene memorizzata direttamente in AD. I criteri delle password AD sono applicabili per la nuova password. I criteri password configurati in IAM non sono applicabili per questa password. IAM non gestisce la password.

Stati

Stato della connessione tra i domini IAM e AD. Possono esistere più bridge per un dominio AD.

Per un bridge AD utilizzato da IAM per comunicare con un dominio AD, sono disponibili tre stati per delegare le responsabilità di autenticazione degli utenti di tale dominio in IAM:
  • Connesso: il bridge AD è installato e configurato e può comunicare con il dominio.
  • Nessun client trovato: è stato installato o configurato un bridge AD senza installare il client per il dominio AD. Selezionare Selezionare qui per scaricare il client per scaricare il client per il dominio AD. In alternativa, il ponte è stato disinstallato.
  • Trovato client non compatibile: è stata utilizzata una versione obsoleta del client per installare o configurare un bridge AD. Selezionare Selezionare qui per scaricare il client per scaricare il client aggiornato per il dominio AD.