機械翻訳について

Microsoft Active Directory (AD)アカウントの権限の設定

ADブリッジを作成するには、Microsoft Active Directory (AD)ドメイン管理者アカウントを使用します。 このブリッジを作成する前に、アカウントの権限を設定する必要があります。 ブリッジをインストールして委任認証を構成できるように、これらの権限を設定する必要があります。

委任認証では、Oracle Identity Cloud Serviceアイデンティティ・ドメイン管理者およびセキュリティ管理者がADとOracle Identity Cloud Service間でユーザー・パスワードを同期する必要はありません。 ユーザーは、ADパスワードを使用してOracle Identity Cloud Serviceにサインインし、Oracle Identity Cloud Serviceによって保護されているリソースおよびアプリケーションにアクセスできます。

委任認証の詳細は、「委任認証の理解」を参照してください。

トピック:

• ユーザー、グループおよびグループ・メンバーシップを同期する権限の設定

• Microsoft Active Directoryに変更を伝播する権限の設定

• 委任認証の権限の設定

ユーザー、グループおよびグループ・メンバーシップを同期する権限の設定

Microsoft Active Directory (AD)とOracle Identity Cloud Service間でユーザー、グループまたはOUを同期できるように、Active Directoryブリッジ・サービス・アカウントの権限を設定します

1. ドメイン管理者資格証明を使用して、ADサーバーを含むマシンにサインインします。
2. コマンド・ウィンドウを開きます。
3. Oracle Identity Cloud ServiceにインポートするADドメインのユーザー、グループおよび組織単位(OU)に対して汎用の読取り権限を設定します。

   dsacls <AD_Domain_Name> /I:T /g "<AD_Domain_Name>\<User/Group_Name>:GR"

   ノート:

   <AD_Domain_Name>はOracle Identity Cloud Serviceに関連付けるドメインの名前で、<User/Group_Name>はドメイン管理者アカウントのユーザー名です。

   /I:T: このパラメータは、権限を適用するオブジェクトを指定します。 Tがデフォルトです。これは、継承可能な権限をこのオブジェクトおよび子オブジェクトに1つのレベルまでのみ伝播できることを意味します。

   /g: このパラメータは、指定した権限をユーザーまたはグループに付与します。 たとえば、/g {<user> | <group>}:<permissions>です。

   <permissions>: このパラメータは、適用する権限のタイプを指定します。

   • GR: 汎用の読取り
   • GW: 汎用の書込み
   • LC: オブジェクトの子オブジェクトをリストします
   • RP: 読取りプロパティ
4. cn=Deleted Objectsコンテナの子のリストおよび読取りプロパティを設定します(継承あり)。 このコンテナは、Oracle Identity Cloud Serviceに関連付けるADドメインにもあります。
   dsacls "cn=deleted objects,<AD_Domain_Name>" /takeOwnership
   dsacls "cn=deleted objects,<AD_Domain_Name>" /I:T /g "<AD_Domain_Name>\<User/Group_Name>:LCRP"

   ノート:

   前述の権限がない場合、ADブリッジは削除されたユーザー、グループまたはOUをADとOracle Identity Cloud Service間で同期できません。 これにより、ADとOracle Identity Cloud Serviceの間で不整合が発生します。

Microsoft Active Directoryに変更を伝播する権限の設定

Oracle Identity Cloud Serviceで行った変更をADブリッジを介してMicrosoft Active Directory (AD)に伝播できるように、Active Directoryブリッジ・サービス・アカウントの権限を設定します。

1. ドメイン管理者資格証明を使用して、ADサーバーを含むマシンにサインインします。
2. コマンド・ウィンドウを開きます。
3. Oracle Identity Cloud Serviceで行った変更をActive Directoryに伝播する場合は、ADドメインのユーザー、グループおよび組織単位(OU)に対して汎用の書込み権限を設定します。

   dsacls <AD_Domain_Name> /I:T /g "<AD_Domain_Name>\<User/Group_Name>:GW"

委任認証の権限の設定

ADブリッジの委任認証を構成できるように、Microsoft Active Directory (AD)ドメイン管理者アカウントの権限を設定します。

1. Active Directoryユーザーとコンピュータを開きます。
2. 委任するユーザー、グループまたは組織単位(OU)を右クリックし、「Delegate Control」をクリックします。
3. 「Delegation of Control」ウィザードで、「Next」、「Add」の順にクリックします。
4. 「Select Users, Computers, or Groups」ダイアログ・ボックスのテキスト領域に、委任認証を構成する権限を付与する必要があるユーザー名またはグループ名を入力します。
5. 「Check Names」をクリックして、ユーザーまたはグループがADで作成されていることを確認します。 作成されていない場合は、作成します。
6. 「OK」、続いて「次」をクリックします。
7. 「Delegate the following common tasks」オプションを選択し、「Reset user passwords and force password change at next logon」を選択します。
8. 「次へ」をクリックして、「完了」をクリックします。
   次のステップでは、特定の権限を設定してユーザー・アカウントをロックおよびロック解除する方法について説明します。
9. 新しく変更したユーザーまたはグループを右クリックし、「Properties」を選択します。
10. 「Security」タブを選択し、「Advanced」をクリックします。
11. 拡張セキュリティ設定で、「Add」をクリックします。
12. 「Permission Entry」ウィザードで、「Select a principal」をクリックし、リセット権限が付与されているのと同じユーザー名またはグループ名を入力します。
13. 「OK」をクリックします。
14. 「Applies to」フィールドで、「Descendant User objects」を選択します。
    ユーザー・アカウント(プリンシパル)に許可されている権限のリストが表示されます。
15. スクロール・ダウンして、「Read lockoutTime」および「Write lockoutTime」を有効にします。
16. 「OK」をクリックし、設定が終了するまで「OK」をクリックし続けます。
    これで、ユーザー・アカウントに、高レベルのコンテキストに存在するすべてのユーザー・オブジェクトのパスワードを変更する権限が付与されました。