Oracle Cloud Infrastructure - Dokumentation

Bridge für Microsoft Active Directory erstellen

Bridge zwischen IAM und Microsoft Active Directory erstellen

Um eine AD-Bridge zu erstellen, die einen Link zwischen einer Microsoft Active Directory-Unternehmensverzeichnisstruktur und IAM bereitstellt, müssen Sie entweder der Administratorrolle der Identitätsdomain oder der Sicherheitsadministratorrolle zugewiesen werden. Außerdem benötigen Sie Administratorrechte für den Zugriff auf die Microsoft Active Directory-Domain, die Sie mit der Bridge überwachen möchten.

Beim Erstellen der Bridge werden administrative Zugangsdaten für Microsoft Active Directory und IAM bereitgestellt. Die Bridge erfordert diese Zugangsdaten, damit die Kommunikation mit Microsoft Active Directory und IAM als Administrator möglich ist.

Wichtig

Das für die Installation der Bridge verwendete Microsoft Active Directory-Konto muss über die folgenden Berechtigungen verfügen:

  • Generische Leseberechtigung für die Benutzer und Gruppen in der Microsoft Active Directory-Domain, die Sie in IAM importieren möchten

  • Allgemeine Leseberechtigung für alle Organisationseinheiten (OEs) in der Domain

  • Generische Leseberechtigung für den Container cn=Configuration in der Domain

  • Die Eigenschaften Untergeordnete Elemente aufliste und Lesen für den Container cn=Deleted Objects mit Vererbung

Wenn dieser Account auch zur Konfiguration von delegierter Authentifizierung für die Bridge verwendet wird, muss der Account über die folgenden Berechtigungen verfügen:

  • Kennwort ändern

  • Kennwort zurücksetzen

  • Lesen Sie pwdLastSet

  • Schreiben Sie pwdLastSet

  • Read lockoutTime

  • Schreiben Sie lockoutTime

Sie können in der Infografik Sicherheitseinstellungen verwalten sehen, wie eine AD-Bridges erstellt wird.

  1. Wählen Sie auf der Listenseite Verzeichnisintegrationen die Option Hinzufügen aus. Wenn Sie Hilfe beim Suchen der Seite "Verzeichnisintegrationen" benötigen, finden Sie weitere Informationen unter Active Directory-Bridges auflisten.
  2. Notiere dich auf der Seite Bridge für Microsoft Active Directory installieren die URL der Identitätsdomain, die Kunden-ID und das Client Secret
    Die Identitätsdomain-URL enthält den Namen und die Portnummer für Ihre IAM-Identitätsdomain. Client-ID und Client Secret werden von der Bridge verwendet, um als Administrator auf IAM zuzugreifen.
    Hinweis

    Das Client Secret ist aus Sicherheitsgründen verschlüsselt. Um das Secret in Klartext anzuzeigen, wählen Sie Secret anzeigen aus. Um ein Secret für die Bridge neu zu generieren, wählen Sie Neu generieren aus.
  3. Wählen Sie Herunterladen.
    IAM lädt den Client für die Bridge herunter.
    Hinweis

    Schließen Sie die Seite Bridge für Microsoft Active Directory installieren nicht. Beim Erstellen der Bridge müssen Sie die Identitätsdomain-URL, die Kunden-ID und das Client-Secret referenzieren.
  4. Um den Client für die AD-Bridge zu installieren, doppelklicken Sie auf die Datei ad-id-bridge....exe.
    Das Fenster Willkommen beim Installationsprogramm für AD-Bridge wird angezeigt.
  5. Wählen Sie im Bereich Sprachauswahl die Sprache aus, in der Sie den Client für die AD-Bridge installieren möchten, und wählen Sie OK aus.
    Das Installationsprogramm für die IAM AD-Bridge wird angezeigt.
    Tipp

    Während Sie den Client für die AD-Brücke installieren, generiert IAM automatisch Logdateien für diese Bridge und speichert sie im Verzeichnis %Temp%.
    Hinweis

    Sie können die AD-Bridge nur auf einem Computer installieren, der mit einer Microsoft Active Directory-Domain verbunden ist. Andernfalls wird die Installation nicht fortgesetzt.
  6. Wenn das Dialogfeld Datei öffnen - Sicherheitswarnung angezeigt wird, wählen Sie Ausführen aus. Gehen Sie andernfalls zu Schritt 8.
  7. Wählen Sie im Dialogfeld Willkommen die Option Weiter.
  8. Im Dialogfeld Zielordner wählen Sie eine der folgenden Installationsoptionen aus:
    • Um den Client im Standardverzeichnis zu installieren, wählen Sie Weiter.
    • So wählen Sie ein anderes Verzeichnis für die Installation des Clients aus:

      1. Wählen Sie Durchsuchen.

      2. Wählen Sie im Dialogfeld Ordner durchsuchen das Verzeichnis aus, in dem IAM den Client installiert.

      3. Wählen Sie OK aus.

      4. Wählen Sie Weiter.

  9. Gehen Sie im Dialogfeld Proxyserver angeben wie folgt:
    1. Wenn Ihre Organisation eine Firewall verfügt und die Kommunikation über einen HTTP-Proxyserver verarbeitet werden muss, wählen Sie Proxyserver verwenden aus. Wenn Sie dieses Kontrollkästchen aktiviert haben, geben sie den vollständigen Pfad (oder Die Adresse) des Proxyservers und die Administratorzugangsdaten für das Herstellen einer Verbindung mit dem Proxyserver an.
    2. Wenn Ihre Organisation die Kommunikation nicht über einen HTTP-Proxyserver verarbeiten muss, wählen Sie Proxyserver verwenden nicht aus.
    3. Wählen Sie Weiter.
  10. Gehen Sie im Dialogfeld Zugangsdaten angeben wie folgt:
    1. Geben Sie die Identitätsdomain-URL, die Client-ID und das Client Secret an.
      Tipp

      Diese Zugangsdaten werden auf der Seite Bridge installieren der IAM-Konsole angezeigt.
    2. Wählen Sie Test aus.

      Die Bridge versucht, eine Verbindung zum IAM-Server aufzubauen.

      Wenn eine Verbindung hergestellt werden kann, wird eine Bestätigungsmeldung Connection Successful! angezeigt.

      Andernfalls wird eine Fehlermeldung angezeigt, die angibt, dass Sie eine falsche Identitätsdomain-URL, Client-ID oder ein falsches Client-Secret eingegeben haben. Ändern Sie die falschen Werte, und wählen Sie Testen erneut aus.

    3. Wählen Sie Weiter.
  11. Geben Sie in dem Dialogfeld Zugangsdaten für Microsoft Active Directory angeben die folgenden Details zur Verbindung mit dem Microsoft Active Directory-Server an:
    1. Benutzername: Der Microsoft Active Directory-Account, mit dem die Bridge auf den Microsoft Active Directory-Server zugreift.
    2. Kennwort: Das Kennwort für den Microsoft Active Directory-Account.
    3. SSL verwenden: Wenn Sie über eine SSL-Verbindung eine Verbindung zum Server herstellen, lassen Sie dieses Kontrollkästchen aktiviert. Sonst heben Sie die Auswahl auf.
      Hinweis

      Es wird empfohlen, das Kontrollkästchen SSL verwenden aktiviert zu lassen, da dies zur schnelleren und sichereren Verbindung führt. Nachdem Sie dieses Kontrollkästchen aktiviert oder deaktiviert und den Client für die Bridge installiert haben, können Sie diese Einstellung nicht mehr ändern.
    4. Wählen Sie Test aus.

      Die Bridge versucht, eine Verbindung zum Microsoft Active Directory-Server herzustellen.

      Wenn eine Verbindung hergestellt werden kann, wird eine Bestätigungsmeldung Connection Successful! angezeigt.

      Andernfalls erhalten Sie eine Fehlermeldung, die Folgendes besagt:

      • Sie haben einen falschen Benutzernamen oder ein falsches Kennwort eingegeben. Ändern Sie die falschen Werte, und wählen Sie Testen erneut aus.

      • Sie versuchen, über eine SSL-Verbindung eine Verbindung zum Microsoft Active Directory-Server herzustellen, aber das Zertifikat für den Server ist nicht vertrauenswürdig. Vergewissern Sie sich, dass dieses Zertifikat gültig und im Truststore Ihres Rechners vorhanden ist. Wählen Sie dann erneut Test aus.

      Hinweis

      Es wird empfohlen, die Option Kennwort läuft nie ab für den Microsoft Active Directory-Account zu aktivieren, den die Bridge verwendet. Wenn das Kennwort für den Account abläuft, verläuft die nachfolgende Kommunikation zwischen der Bridge und Microsoft Active Directory nicht erfolgreich, bis das Kennwort in der Bridge aktualisiert wird. Siehe Zugangsdaten für Administratoraccount für AD-Bridge ändern.

    5. Wählen Sie Weiter.
  12. Wählen Sie im Dialogfeld Übersicht die Option Schließen aus.
  13. Rufen Sie in der IAM-Konsole die Seite Verzeichnisintegrationen auf.
    Die Bridge, die Sie für die Microsoft Active Directory-Domain erstellt haben, wird mit dem Status Teilweise konfiguriert angezeigt. Die Bridge wurde erstellt, aber nicht konfiguriert. Weitere Informationen zum Konfigurieren dieser Bridge finden Sie unter Microsoft Active Directory-(AD-)Bridge konfigurieren.
    Hinweis

    Wenn die Bridge auf der Seite Verzeichnisintegrationen nicht angezeigt werden, aktualisieren Sie den Webbrowser. Außerdem können Sie nur eine Bridge pro Microsoft Active Directory-Domain erstellen.