Oracle Cloud Infrastructure - Dokumentation

AD-Bridge konfigurieren

Konfigurieren Sie eine Bridge zwischen Microsoft Active Directory und einer IAM-Identitätsdomain.

Nachdem Sie eine AD-Bridge erstellt haben, konfigurieren Sie sie wie folgt:

  • Wählen Sie die Microsoft Active Directory-Organisationseinheiten (OEs) und -Gruppen aus, mit denen IAM mithilfe der AD-Brücke synchronisiert werden soll. Die OEs enthalten die Benutzer, die Sie in IAM importieren möchten. Durch das Synchronisieren mit Microsoft Active Directory kann die Bridge neue, aktualisierte oder gelöschte Benutzer- oder Gruppendatensätze an IAM übertragen.
  • Angeben, ob, nachdem ein Benutzer oder eine Gruppe von Microsoft Active Directory mit IAM synchronisiert wurde, bei der Aktivierung oder Deaktivierung eines Benutzers die Attributwerte des Benutzers oder seine Gruppenmitgliedschaften in IAM geändert werden, werden diese Änderungen an Microsoft Active Directory propagiert.
  • Planen, wie oft IAM über die AD-Brücke Benutzer und Gruppen aus Microsoft Active Directory importieren soll.
  • Benutzerdefinierte Attributzuordnungen zwischen Microsoft Active Directory und IAM definieren
  • Angeben, ob Benutzer ihre IAM- oder Microsoft Active Directory-Kennwörter oder ihre föderierten Accounts zur Authentifizierung bei IAM verwenden können, um auf Ressourcen zuzugreifen, die durch IAM geschützt sind, wie die Mein Profilkonsole, die IAM-Konsole oder Apps, die den Benutzern zugewiesen ist.

Sie können in der Infografik Sicherheitseinstellungen verwalten sehen, wie Sie eine AD-Bridges konfigurieren.

  1. Wählen Sie auf der Listenseite Verzeichnisintegrationen die AD-Bridge aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Seite "Verzeichnisintegrationen" benötigen, finden Sie weitere Informationen unter Active Directory-Bridges auflisten.
    Hinweis

    Die Bridge hat den Status Teilweise konfiguriert.
  2. konfigurieren Sie auf der Seite Microsoft Active Directory-Domain konfigurieren die Microsoft Active Directory-Domain so, dass Sie AD nach Änderungen an Benutzern oder Gruppen in AD abfragen und diese Änderungen in IAM importieren.
    1. Gehen Sie in den Bereichen Organisationseinheiten (OEs) für Benutzer auswählen und Organisationseinheiten (OEs) für Gruppen wählen so:

      1. Aktivieren Sie das Kontrollkästchen Hierarchie einbeziehen. Wenn Sie eine übergeordnete OE wählen, werden alle untergeordneten OEs ausgewählt. Die OEs enthalten die Benutzer und Gruppen, die Sie in IAM importieren möchten.

        ODER

        Deaktivieren Sie das Kontrollkästchen. Wenn Sie eine übergeordnete OE auswählen, werden die untergeordneten OEs nicht ausgewählt.

      2. Aktivieren Sie das Kontrollfeld für jede OE, die Benutzer oder Gruppen enthält, mit denen IAM über die AD-Bridge synchronisiert werden soll.

        Hinweis

        Wenn im Bereich Organisationseinheiten (OEs) für Benutzer auswählen und Organisationseinheiten (OEs) für Gruppen auswählen keine Organisationseinheiten für Benutzer oder Gruppen angezeigt werden, aktualisieren Sie Ihren Webbrowser.

        Um eine vollständige Synchronisierung zwischen Microsoft Active Directory und IAM zu erzwingen, deaktivieren Sie alle Kontrollkästchen für ausgewählte Benutzer- oder Gruppen-OEs, wählen Sie Speichern und dann im Dialogfeld Konfigurationsänderungen speichern? die Option OK aus. Wählen Sie dann Importieren aus, um die Benutzer und Gruppen aus AD zu importieren.

      3. Optional. Geben Sie im Textfeld Filter einen benutzerdefinierten Filter ein, um nach Benutzer- oder Gruppen-OEs zu suchen. Beispiel: Wenn Sie (sn=Smith) eingeben, werden alle Benutzer mit dem Nachnamen "Smith" zurückgegeben. Oder geben Sie (department=IT) ein, damit die IT-Gruppe zurückgegeben wird.

      Tipp

      • Um alle Benutzer oder Gruppen auszuwählen, aktivieren Sie das Kontrollkästchen Hierarchie einbeziehen, und aktivieren Sie dann das oberste Kontrollkästchen in jedem Bereich.

      • Im Textfeld Filter können Sie nicht mehr als 4.000 Zeichen eingeben.

      • Das Platzhalterzeichen * ist zulässig, es sei denn, AD Attribute ist ein DN-Attribut. Weitere Informationen zu AD-Filtern finden Sie hier.

      • Mit dem Textfeld Filter können Sie Benutzer zwischen Microsoft Active Directory und IAM basierend auf ihren Gruppenmitgliedschaften statt basierend auf ihren OEs synchronisieren. Deaktivieren Sie dazu nicht die Kontrollkästchen für die OEs. Geben Sie stattdessen im Textfeld Filter die Filter für die benutzerdefinierte Gruppenmitgliedschaft an.

      • Wenn die Anzahl der Benutzer oder Gruppen, die an IAM übertragen werden sollen, nicht übereinstimmen und wie viele Benutzer oder Gruppen tatsächlich importiert werden sollen, testen Sie mit "Active Directory Users and Computers" den benutzerdefinierten Filter in Microsoft Active Directory, um sicherzustellen, dass die an IAM übertragenen Benutzer und Gruppen korrekt sind.

      • Die Namen der Benutzer, die Sie in IAM importieren möchten, müssen mindestens drei Zeichen enthalten. Die Namen der Gruppen, die Sie in IAM importieren möchten, müssen mindestens fünf Zeichen enthalten.

      • Die Telefonnummern der zu importierenden Benutzer müssen den Anforderungen der RFC 3966-Spezifikation entsprechen.

    2. Wählen Sie im Bereich Unterstützte Vorgänge aus, welche Vorgänge für IAM-Benutzer oder -Gruppen an ADpropagiert werden sollen:
      • Wenn Sie IAM-Benutzer aktivieren oder deaktivieren und diese Änderungen des Benutzeraktivierungsstatus in Microsoft Active Directory wiedergeben möchten, aktivieren Sie das Kontrollkästchen "Benutzer aktivieren/deaktivieren". Andernfalls lassen Sie dieses Kontrollkästchen deaktiviert.
      • Wenn Sie Attributwerte für IAM-Benutzer bearbeiten und diese Änderungen an Microsoft Active Directory übergeben möchten, aktivieren Sie das Kontrollkästchen "Benutzerattribute aktualisieren". Andernfalls lassen Sie dieses Kontrollkästchen deaktiviert.
      • Wenn Sie die Gruppen ändern, zu denen IAM-Benutzer gehören, und diese Gruppenmitgliedschaftsänderungen an Microsoft Active Directory propagiert werden sollen, aktivieren Sie das Kontrollkästchen "Gruppen aktualisieren". Andernfalls lassen Sie dieses Kontrollkästchen deaktiviert.
    3. Planen Sie im Bereich Importhäufigkeit festlegen, wie oft in Stunden und Minuten IAM mit der AD-Bridge Benutzer und Gruppen aus Microsoft Active Directory importieren soll.
      Wichtig

      Wenn in einem inkrementellen Synchronisierungszyklus mehr als 100.000 Gruppenmitgliedschaftsänderungen in Microsoft Active Directory vorgenommen werden, kann der Synchronisierungszyklus länger als eine Stunde dauern. Microsoft Active Directory benötigt diese Zeit, um die Änderungslogs zu verarbeiten.
    4. Wählen Sie im Bereich Attributzuordnungen konfigurieren die Option Attributzuordnungen bearbeiten aus, um benutzerdefinierte Attributzuordnungen zwischen Microsoft Active Directory und IAM zu definieren. Siehe Attributzuordnungen für eine Microsoft Active Directory-(AD-)Bridge definieren. Andernfalls fahren Sie mit dem nächsten Schritt fort.
    5. Wählen Sie im Bereich Authentifizierungseinstellungen die Option Lokale Authentifizierung aktivieren aus, wenn Benutzer ihre IAM- oder Microsoft Active Directory-Kennwörter zur Authentifizierung bei IAM verwenden sollen, um auf IAM-geschützte Ressourcen zuzugreifen.

      Wenn Sie diese Option auswählen, konfigurieren sie die delegierte Authentifizierung für diese AD-Bridge Durch Aktivieren der delegierten Authentifizierung verwenden Benutzer, die über die Bridge an IAM übertragen werden, ihre Microsoft Active Directory-Kennwörter für die Anmeldung bei IAM. Durch Deaktivieren der delegierten Authentifizierung müssen Benutzer ihre IAM-Kennwörter zur Authentifizierung bei IAM verwenden.

      Wenn Sie außerdem Lokale Authentifizierung aktivieren auswählen, lassen sie die Option "Keine Willkommensbenachrichtigungen senden deaktiviert, damit IAM Benutzer per E-Mail benachrichtigt, dass sie die für sie erstellten IAM-Accounts aktivieren müssen.

      Wenn Benutzer nicht benachrichtigt werden sollen, dass IAM Accounts für sie erstellt hat, aktivieren Sie das Kontrollkästchen "Keine Willkommensbenachrichtigungen senden".

      Wenn Benutzer ihre föderierten Accounts zur Authentifizierung bei IAM verwenden sollen, wählen Sie Föderierte Authentifizierung aktivieren aus.

      Hinweis

      Wenn Sie diese Option auswählen, konfigurieren sie SSO über die Seite Identitätsprovider.
      Wichtig

      Wenn Sie Föderierte Authentifizierung aktivieren auswählen, werden alle Benutzeraccounts, die über die AD-Bridge in IAM übertragen werden, als föderierte Accounts klassifiziert. Aus Gründen der referenziellen Integrität können Sie den Status dieser Benutzeraccounts nicht deaktivieren, entfernen oder in "Nicht föderiert" ändern.
    6. Wählen Sie Speichern aus.
  3. Wählen Sie im Fenster Bestätigung die Option OK.
    Der Status der AD-Bridges wird von Teilweise konfiguriert in Konfiguriert geändert. Die Bridge ist nun erstellt und konfiguriert.
    Hinweis

    Wenn Sie eine Gruppe mit der AD-Bridge in IAM importieren und dann die Gruppe in IAM löschen, können Sie eine Verbindung zwischen der Gruppe in Microsoft Active Directory und der Gruppe in IAM wiederherstellen. So führen Sie folgende Schritte aus:

    1. Deaktivieren Sie im Bereich Organisationseinheiten (OEs) für Gruppen auswählen das Kontrollkästchen für die ausgewählte Gruppe, und wählen Sie Speichern aus.

    2. Aktivieren Sie das Kontrollkästchen der Gruppe, und wählen Sie erneut Speichern aus.

    3. Führen Sie die AD-Bridge aus, um die Gruppe zwischen IAM und Microsoft Active Directory sofort zu synchronisieren.