Синхронизировать через openIDM без использования плагина Active Directory?
Я настраиваю сервер OpenIDM, который синхронизирует данные между хранилищем OpenDJ, которым управляет моя компания, и хранилищем Active Directory, которое будет управляться компанией-клиентом.
Цель состоит в том, чтобы не требовать установки чего-либо на экземпляр AD Клиента. По большей части это работает нормально, но я не могу получить пароли для синхронизации между ними.
Я нашел руководство по синхронизации паролей, но для этого требуется плагин Active Directory (и OpenDJ, но это не такая проблема).
Можно ли настроить систему, в которой мы можем хранить пароль учетной записи пользователя в хранилище OpenDJ через OpenIDM без использования такого плагина?
Было бы приемлемо, если мы не можем изменить пароль, только читать его, но нам нужен пароль для настройки входа в систему через OpenAM.
1 ответ
Пароли, которые изменяются непосредственно в AD, хэшируются и поэтому не восстанавливаются как открытый текст. Единственный способ получить пароль открытого текста из AD (для его предоставления в другом месте) - это подключить какую-либо другую систему до ее хеширования. Например, установка AD Password Plugin на сервере AD перехватит событие изменения и отправит пароль открытого текста в OpenIDM (через REST). Точно так же вы можете попросить пользователей изменить свой пароль через интерфейс OpenIDM, а не напрямую против AD.
Если бы не один из этих вариантов, вам, вероятно, пришлось бы придумать альтернативную архитектуру, не основанную на копировании пароля в разные системы; по сути, вы можете делегировать аутентификацию AD, когда это необходимо, оставив пароль в одном месте. OpenAM должен поддерживать такую схему.