Chapitre 48. Permettre aux utilisateurs AD d'administrer l'IdM
48.1. Remplacement des ID pour les utilisateurs AD
Vous pouvez gérer de manière centralisée l'accès des utilisateurs et des groupes Active Directory (AD) aux ressources Identity Management (IdM) dans un environnement POSIX en ajoutant une dérogation d'utilisateur ID pour un utilisateur AD en tant que membre d'un groupe IdM.
Un remplacement d'ID est un enregistrement décrivant les propriétés d'un utilisateur ou d'un groupe Active Directory spécifique dans une vue d'ID spécifique, en l'occurrence Default Trust View. Grâce à cette fonctionnalité, le serveur LDAP IdM est en mesure d'appliquer les règles de contrôle d'accès du groupe IdM à l'utilisateur AD.
Les utilisateurs AD peuvent utiliser les fonctions en libre-service de l'interface IdM, par exemple pour télécharger leurs clés SSH ou modifier leurs données personnelles. Un administrateur AD est en mesure d'administrer entièrement IdM sans avoir deux comptes et mots de passe différents.
Actuellement, certaines fonctionnalités d'IdM peuvent encore être indisponibles pour les utilisateurs AD. Par exemple, la définition de mots de passe pour les utilisateurs IdM en tant qu'utilisateur AD du groupe IdM admins peut échouer.
N'utilisez pas not les ID overrides des utilisateurs AD pour les règles sudo dans IdM. Les substitutions d'ID des utilisateurs AD ne représentent que les attributs POSIX des utilisateurs AD, et non les utilisateurs AD eux-mêmes.
Ressources supplémentaires
