8.7 密碼同步化秘訣

我們建議您在同步化密碼時使用安全連接。 以下兩者間的連接比較容易遭受攻擊:

您可以執行下列其中一或多項來建立安全連接:

如果不在領域控制器上執行驅動程式 Shim,則必須先設定保全插槽層 (SSL) 組態才能使密碼同步。

8.7.1 提供啟始密碼

如果在最初建立使用者時,系統顯示密碼不符合規則的錯誤,則需要檢查您的密碼規則。

例如,您希望 Active Directory 驅動程式在 Identity Vault 中建立「使用者」物件時,能為使用者提供啟始密碼。 建立使用者後,驅動程式 Shim 會建立此使用者並設定密碼。

因為新增使用者與設定密碼是分別進行的,所以在此情況下,新使用者會收到預設密碼,即使只是暫時性的。 因為 Active Directory 驅動程式會在新增使用者之後立即傳送密碼,所以密碼會很快更新。

如果預設密碼與使用者的 eDirectory 密碼規則不一致,則會顯示錯誤。 例如,如果根據使用者的姓所建立的預設密碼太短,不符合密碼規則,您可能就會看到表示密碼太短的 -216 錯誤。 然而,如果 Active Directory 驅動程式隨後傳送一致的啟始密碼,則會很快更正此情況。

無論您使用的驅動程式為何,如果想讓建立「使用者」物件的已連接系統提供啟始密碼,請考量進行下列其中一項操作:

  • 變更「發行者」通道上建立預設密碼的規則,以使預設密碼符合 Identity Vault 中為您組織定義的「密碼規則」(使用「密碼管理」中的「管理密碼規則」選項建立)。 如果啟始密碼來自授權應用程式,便會取代預設密碼。

    此選項較為可取。 為了維護系統內的高層次安全性,我們建議使用預設密碼規則。

  • 移除「發行者」通道上建立預設密碼的規則。 範例組態中,此規則在「指令轉換」規則集內提供。 eDirectory 中允許新增沒有密碼的使用者。 此選項假設,新建「使用者」物件的密碼最終會經過「發行者」通道,所以「使用者」物件沒有密碼的時間很短。

如果啟始密碼不是源自新增事件,而是源自後續事件,這些方法尤為重要。