私の会社が管理する OpenDJ ストアとクライアント会社が管理する予定の Active Directory ストアとの間でデータを同期する OpenIDM サーバーをセットアップしています。
目標は、クライアントの AD インスタンスに何もインストールする必要がないことです。これはほとんどの場合うまく機能しますが、2 つの間でパスワードを同期させることができません。
パスワード同期のガイドを見つけましたが、これには Active Directory プラグイン (および OpenDJ プラグインですが、それほど問題ではありません) が必要です。
そのようなプラグインを必要とせずに、OpenIDM を介してユーザー アカウントのパスワードを OpenDJ ストアに保存できるシステムをセットアップすることは可能ですか?
パスワードを変更できず、読み取るだけであれば問題ありませんが、OpenAM 経由でログインをセットアップするにはパスワードが必要です。
AD で直接変更されたパスワードはハッシュされるため、クリアテキストとして復元できません。AD からクリアテキスト パスワードを取得できる唯一の方法は (別の場所にプロビジョニングするために)、ハッシュ化する前に他のシステムを使用することです。たとえば、AD サーバーに AD パスワード プラグインをインストールすると、変更イベントがインターセプトされ、平文のパスワードが (REST 経由で) OpenIDM に送信されます。同様に、AD に対して直接ではなく、OpenIDM UI を介してパスワードを変更するようにユーザーに依頼することもできます。
これらのオプションのいずれかが不足している場合は、パスワードを別のシステムにコピーすることに依存しない代替アーキテクチャを考え出す必要があります。基本的に、必要に応じて AD に認証を委任し、パスワードをその 1 つの場所に残すことができます。OpenAM は、このようなスキームをサポートできるはずです。