7.3. Fiducies à sens unique et fiducies à double sens

Dans un sens, la gestion des identités (IdM) fait confiance à Active Directory (AD), mais AD ne fait pas confiance à IdM. Les utilisateurs d'AD peuvent accéder aux ressources du domaine IdM, mais les utilisateurs d'IdM ne peuvent pas accéder aux ressources du domaine AD. Le serveur IdM se connecte à AD à l'aide d'un compte spécial et lit les informations d'identité qui sont ensuite transmises aux clients IdM par LDAP.

Dans le cas d'une confiance à double sens, les utilisateurs de l'IdM peuvent s'authentifier auprès d'AD et les utilisateurs d'AD peuvent s'authentifier auprès de l'IdM. Les utilisateurs d'AD peuvent s'authentifier et accéder aux ressources du domaine IdM, comme dans le cas d'une confiance à sens unique. Les utilisateurs IdM peuvent s'authentifier mais ne peuvent pas accéder à la plupart des ressources du domaine AD. Ils ne peuvent accéder qu'aux services Kerberisés des forêts AD qui ne nécessitent pas de contrôle d'accès.

Pour pouvoir accorder l'accès aux ressources AD, IdM doit mettre en œuvre le service Global Catalog. Ce service n'existe pas encore dans la version actuelle du serveur IdM. Pour cette raison, une confiance bidirectionnelle entre IdM et AD est presque équivalente, d'un point de vue fonctionnel, à une confiance unidirectionnelle entre IdM et AD.