Oracle Cloud Infrastructure - Dokumentation

AD-Bridge konfigurieren

Konfigurieren Sie eine Bridge zwischen Microsoft Active Directory und einer IAM-Identitätsdomain.

Nachdem Sie eine AD-Bridge erstellt haben, konfigurieren Sie sie wie folgt:

  • Microsoft Active Directory-Organisationseinheiten (OEs) und -Gruppen auswählen, mit denen IAM mithilfe der AD-Bridge synchronisiert werden soll. Die OEs enthalten die Benutzer, die Sie in IAM importieren möchten. Durch die Synchronisierung mit Microsoft Active Directory kann die Bridge neue, aktualisierte oder gelöschte Benutzer- oder Gruppendatensätze an IAM übertragen.
  • Angeben, ob nach der Synchronisierung eines Benutzers oder einer Gruppe von Microsoft Active Directory mit IAM die Änderungen an Microsoft Active Directory propagiert werden, wenn Sie einen Benutzer aktivieren oder deaktivieren, seine Attributwerte ändern oder seine Gruppenmitgliedschaften in IAM ändern.
  • Planen, wie oft IAM über die AD-Bridge Benutzer und Gruppen aus Microsoft Active Directory importieren soll.
  • Benutzerdefinierte Attributzuordnungen zwischen Microsoft Active Directory und IAM definieren.
  • Angeben, ob Benutzer ihre IAM- oder Microsoft Active Directory-Kennwörter oder ihre föderierten Accounts zur Authentifizierung bei IAM verwenden können, um auf durch IAM geschützte Ressourcen zuzugreifen. Dazu gehören die Konsole "Mein Profil", die IAM-Konsole oder Anwendungen, die den Benutzern zugewiesen sind.

Sie können in der Infografik Sicherheitseinstellungen verwalten sehen, wie Sie eine AD-Bridge konfigurieren.

  1. Wählen Sie auf der Listenseite Verzeichnisintegrationen die AD-Bridge aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Seite "Verzeichnisintegrationen" benötigen, finden Sie weitere Informationen unter Active Directory-Bridges auflisten.
    Hinweis

    Die Bridge hat den Status Teilweise konfiguriert.
  2. Konfigurieren Sie auf der Seite Microsoft Active Directory-Domain konfigurieren die Microsoft Active Directory-Domain so, dass sie AD nach Änderungen an Benutzern oder Gruppen abfragt und diese Änderungen in IAM importiert.
    1. Gehen Sie in den Bereichen Organisationseinheiten (OEs) für Benutzer auswählen und Organisationseinheiten (OEs) für Gruppen auswählen so vor:

      1. Aktivieren Sie das Kontrollkästchen Hierarchie einbeziehen. Wenn Sie eine übergeordnete OE auswählen, werden alle untergeordneten OEs ausgewählt. Die OEs enthalten die Benutzer und Gruppen, die Sie in IAM importieren möchten.

        Oder

        Deaktivieren Sie das Kontrollkästchen. Wenn Sie eine übergeordnete OE auswählen, werden die untergeordneten OEs nicht ausgewählt.

      2. Aktivieren Sie das Kontrollkästchen für jede OE, die Benutzer oder Gruppen enthält, mit denen IAM über die AD-Bridge synchronisiert werden soll.

        Hinweis

        Wenn in den Bereichen Organisationseinheiten (OEs) für Benutzer auswählen und Organisationseinheiten (OEs) für Gruppen auswählen keine Organisationseinheiten für Benutzer oder Gruppen angezeigt werden, aktualisieren Sie den Webbrowser.

        Um eine vollständige Synchronisierung zwischen Microsoft Active Directory und IAM zu erzwingen, deaktivieren Sie alle Kontrollkästchen für ausgewählte Benutzer- oder Gruppen-OEs, wählen Sie Speichern aus, und wählen Sie im Dialogfeld Konfigurationsänderungen speichern? die Option OK aus. Wählen Sie dann Importieren aus, um die Benutzer und Gruppen aus AD zu importieren.

      3. Optional. Geben Sie im Textfeld Filter einen benutzerdefinierten Filter ein, um nach Benutzer- oder Gruppen-OEs zu suchen. Beispiel: Wenn Sie (sn=Smith) eingeben, werden alle Benutzer mit dem Nachnamen " Smith" zurückgegeben. Oder geben Sie (department=IT) ein, damit die IT-Gruppe zurückgegeben wird.

      Tipp

      • Um alle Benutzer oder Gruppen auszuwählen, aktivieren Sie das Kontrollkästchen Hierarchie einschließen, und aktivieren Sie dann das Kontrollkästchen ganz oben in jedem Bereich.

      • Im Textfeld Filter können Sie nicht mehr als 4.000 Zeichen eingeben.

      • Das Platzhalterzeichen * ist zulässig, es sei denn, AD Attribute ist ein DN-Attribut. Weitere Informationen zu AD-Filter finden Sie hier.

      • Mit dem Textfeld Filter können Sie Benutzer von Microsoft Active Directory mit IAM basierend auf ihren Gruppenmitgliedschaften und nicht basierend auf ihren OEs synchronisieren. Deaktivieren Sie dazu die Kontrollkästchen für die OUs nicht. Geben Sie stattdessen im Textfeld Filter die benutzerdefinierten Gruppenmitgliedschaftsfilter an.

      • Wenn die Anzahl der Benutzer oder Gruppen, die an IAM übertragen werden sollen, und die Anzahl der tatsächlich importierten Benutzer oder Gruppen nicht übereinstimmen, testen Sie mit "Active Directory Users and Computers" den benutzerdefinierten Filter in Microsoft Active Directory, um sicherzustellen, dass die an IAM übertragenen Benutzer und Gruppen korrekt sind.

      • Die Namen der Benutzer, die in IAM importiert werden sollen, müssen mindestens drei Zeichen enthalten. Die Namen der Gruppen, die Sie in IAM importieren möchten, müssen mindestens fünf Zeichen enthalten.

      • Die Telefonnummern der zu importierenden Benutzer müssen den Anforderungen der RFC 3966-Spezifikation entsprechen.

    2. Wählen Sie im Bereich Supported Operations aus, welche Vorgänge für IAM-Benutzer oder -Gruppen an AD propagiert werden sollen:
      • Wenn Sie IAM-Benutzer aktivieren oder deaktivieren und diese Änderungen am Benutzeraktivierungsstatus in Microsoft Active Directory wiedergeben möchten, aktivieren Sie das Kontrollkästchen Benutzer aktivieren/ deaktivieren. Andernfalls lassen Sie dieses Kontrollkästchen deaktiviert.
      • Wenn Sie Attributwerte für IAM-Benutzer bearbeiten und diese Änderungen an Microsoft Active Directory übergeben möchten, aktivieren Sie das Kontrollkästchen Benutzerattribute aktualisieren. Andernfalls lassen Sie dieses Kontrollkästchen deaktiviert.
      • Wenn Sie die Gruppen ändern, zu denen IAM-Benutzer gehören, und diese Gruppenmitgliedschaftsänderungen an Microsoft Active Directory propagiert werden sollen, aktivieren Sie das Kontrollkästchen Gruppen aktualisieren. Andernfalls lassen Sie dieses Kontrollkästchen deaktiviert.
    3. Planen Sie im Bereich Importhäufigkeit festlegen, wie oft (in Stunden und Minuten) IAM mit der AD-Bridge Benutzer und Gruppen aus Microsoft Active Directory importieren soll.
      Wichtig

      Wenn in einem inkrementellen Synchronisierungszyklus mehr als 100.000 Gruppenmitgliedschaftsänderungen in Microsoft Active Directory vorgenommen werden, kann der Synchronisierungszyklus länger als eine Stunde dauern. Microsoft Active Directory benötigt diese Zeit, um die Änderungslogs zu verarbeiten.
    4. Wählen Sie im Bereich Attributzuordnungen konfigurieren die Option Attributzuordnungen bearbeiten aus, um benutzerdefinierte Attributzuordnungen zwischen Microsoft Active Directory und IAM zu definieren. Siehe Attributzuordnungen für eine Microsoft Active Directory-(AD-)Bridge definieren. Andernfalls fahren Sie mit dem nächsten Schritt fort.
    5. Wählen Sie im Bereich Authentifizierungseinstellungen die Option Lokale Authentifizierung aktivieren aus, wenn Benutzer ihre IAM- oder Microsoft Active Directory-Kennwörter zur Authentifizierung bei IAM verwenden sollen, um auf IAM-geschützte Ressourcen zuzugreifen.

      Wenn Sie diese Option auswählen, konfigurieren Sie für diese AD-Bridge die delegierte Authentifizierung. Durch Aktivieren der delegierten Authentifizierung verwenden Benutzer, die über die Bridge an IAM übertragen werden, ihre Microsoft Active Directory-Kennwörter für die Anmeldung bei IAM. Durch Deaktivieren der delegierten Authentifizierung müssen Benutzer ihre IAM-Kennwörter zur Authentifizierung bei IAM verwenden.

      Wenn Sie außerdem Lokale Authentifizierung aktivieren auswählen, lassen Sie Keine Willkommensbenachrichtigungen senden deaktiviert, damit IAM Benutzer per E-Mail benachrichtigt, dass sie die für sie erstellten IAM-Accounts aktivieren müssen.

      Wenn Benutzer nicht benachrichtigt werden sollen, dass IAM Accounts für sie erstellt hat, aktivieren Sie das Kontrollkästchen Keine Willkommensbenachrichtigungen senden.

      Wenn Benutzer ihre föderierten Accounts zur Authentifizierung bei IAM verwenden sollen, wählen Sie Föderierte Authentifizierung aktivieren aus.

      Hinweis

      Wenn Sie diese Option auswählen, konfigurieren Sie SSO über die Seite Identitätsprovider.
      Wichtig

      Wenn Sie Föderierte Authentifizierung aktivieren auswählen, werden alle Benutzeraccounts, die über die AD-Bridge an IAM übertragen werden, als föderierte Accounts klassifiziert. Aus Gründen der referenziellen Integrität können Sie den Status dieser Benutzeraccounts nicht deaktivieren, entfernen oder in "Nicht föderiert" ändern.
    6. Wählen Sie Speichern aus.
  3. Wählen Sie im Fenster Bestätigung die Option OK.
    Der Status der AD-Bridge ändert sich von Teilweise konfiguriert in Konfiguriert. Die Bridge ist nun erstellt und konfiguriert.
    Hinweis

    Wenn Sie eine Gruppe mit der AD-Bridge in IAM importieren und dann die Gruppe in IAM löschen, können Sie eine Verbindung zwischen der Gruppe in Microsoft Active Directory und der Gruppe in IAM wiederherstellen. Gehen Sie dazu folgendermaßen vor:

    1. Deaktivieren Sie im Bereich Organisationseinheiten (OUs) für Gruppen auswählen das Kontrollkästchen für die ausgewählte Gruppe, und wählen Sie Speichern aus.

    2. Aktivieren Sie das Kontrollkästchen für die Gruppe, und wählen Sie erneut Speichern aus.

    3. Führen Sie die AD-Bridge aus, um die Gruppe zwischen IAM und Microsoft Active Directory sofort zu synchronisieren.