委任認証の管理
委任認証を使用すると、アイデンティティ・ドメイン管理者およびセキュリティ管理者は、オンプレミスのMicrosoft Active Directory (AD)エンタープライズ・ディレクトリ構造とIAM間でユーザー・パスワードを同期する必要がなくなります。
ユーザーは、ADパスワードを使用してアイデンティティ・ドメインにサインインし、IAMによって保護されているリソースおよびアプリケーションにアクセスできます。
アイデンティティ・ドメインにインポートするユーザー・アカウントを含むADドメインがあるとします。これらのアカウントを転送するには、ADドメイン用のADブリッジをインストールおよび構成します。ADブリッジは、ADドメインとIAM間のリンクを提供します。IAMはADドメインと同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。これにより、各レコードの状態は、ADとIAM間で同期されます。
ADブリッジを使用してユーザー・アカウントをADドメインからアイデンティティ・ドメインに転送した後、ADドメインのユーザーがADパスワードを使用してOCIにサインインできるようにIAMを構成します。これを行うには、ADブリッジの委任認証をアクティブ化します。ただし、最初にADドメイン内のユーザーのAD資格証明を使用してIAMにサインインできるかどうかを確認することをお薦めします。この方法により、問題がある場合は、委任認証をアクティブ化する前にそれらを解決できます。
IAMで委任認証をアクティブ化した後、IAMでパスワードを変更またはリセットすると、そのパスワードはADに直接格納されます。ADパスワード・ポリシーは、新しいパスワードに適用されます。IAMで構成されたパスワード・ポリシーは、このパスワードに適用されません。IAMでは、パスワードは保持されません。
ステータス
IAMとADドメイン間の接続のステータス。1つのADドメインに複数のブリッジが存在する場合があります。
- 接続済: ADブリッジがインストールおよび構成されており、ドメインと通信できます。
- クライアントが見つかりません: ADドメインのクライアントをインストールせずにADブリッジをインストールまたは構成しました。「ここをクリックしてクライアントをダウンロード」をクリックして、ADドメインのクライアントをダウンロードします。あるいは、ブリッジがアンインストールされました。
- 互換性のないクライアントが見つかりました: 古いバージョンのクライアントを使用して、ADブリッジをインストールまたは構成しました。「ここをクリックしてクライアントをダウンロード」をクリックして、ADドメインの更新されたクライアントをダウンロードします。