6.3. Trusts unidirecionais e trusts bidirecionais

De certa forma, a Gestão de Identidade (IdM) confia no Active Directory (AD), mas a AD não confia na IdM. Os usuários do AD podem acessar recursos no domínio do IdM, mas os usuários do IdM não podem acessar recursos dentro do domínio do AD. O servidor IdM se conecta ao AD usando uma conta especial, e lê informações de identidade que são então entregues aos clientes da IdM através do LDAP.

De duas maneiras, os usuários do IdM podem se autenticar no AD, e os usuários do AD podem se autenticar no IdM. Os usuários AD podem se autenticar e acessar recursos no domínio IdM, como no caso de um caso de confiança. Usuários do IdM podem autenticar mas não podem acessar a maioria dos recursos no AD. Eles só podem acessar os serviços Kerberized nas florestas do AD que não exigem nenhuma verificação de controle de acesso.

Para poder conceder acesso aos recursos AD, a IdM precisa implementar o serviço de Catálogo Global. Este serviço ainda não existe na versão atual do servidor da IdM. Por isso, uma confiança bidirecional entre IdM e AD é quase funcionalmente equivalente a uma confiança unidirecional entre IdM e AD.