Oracle Cloud Infrastructure - Dokumentation

Bridge für Microsoft Active Directory erstellen

Erstellen Sie eine Bridge zwischen IAM und Microsoft Active Directory.

Um eine AD-Bridge zu erstellen, die einen Link zwischen einer Microsoft Active Directory-Unternehmensverzeichnisstruktur und IAM bereitstellt, muss Ihnen entweder die Administratorrolle der Identitätsdomain oder die Sicherheitsadministratorrolle zugewiesen werden. Außerdem müssen Sie über Administratorrechte für den Zugriff auf die Microsoft Active Directory-Domain verfügen, die Sie mit der Bridge überwachen möchten.

Beim Erstellen der Bridge werden administrative Zugangsdaten für Microsoft Active Directory und IAM bereitgestellt. Für die Bridge sind diese Zugangsdaten erforderlich, damit die Kommunikation mit Microsoft Active Directory und IAM als Administrator möglich ist.

Wichtig

Das zur Installation der Bridge verwendete Microsoft Active Directory-Konto muss über die folgenden Berechtigungen verfügen:

  • Generische Leseberechtigung für die Benutzer und Gruppen in der Microsoft Active Directory-Domain, die Sie in IAM importieren möchten

  • GR-Berechtigung (allgemeine Leseberechtigung) für alle Organisationseinheiten (OEs) in der Domain

  • GR-Berechtigung (allgemeine Leseberechtigung) für den Container cn=Configuration in der Domain

  • Die Eigenschaften Untergeordnete Elemente auflisten und Lesen für den Container cn=Deleted Objects mit Vererbung

Wenn dieser Account auch zur Konfiguration der delegierten Authentifizierung für die Bridge verwendet wird, muss der Account über die folgenden Berechtigungen verfügen:

  • Kennwort ändern

  • Kennwort zurücksetzen

  • Lesen Sie pwdLastSet

  • Schreiben Sie pwdLastSet

  • Lesen Sie lockoutTime

  • Schreiben Sie lockoutTime

Sie können in der Infografik Sicherheitseinstellungen verwalten sehen, wie Sie eine AD-Bridge erstellen.

  1. Wählen Sie auf der Listenseite Verzeichnisintegrationen die Option Hinzufügen aus. Wenn Sie Hilfe beim Suchen der Seite "Verzeichnisintegrationen" benötigen, finden Sie weitere Informationen unter Active Directory-Bridges auflisten.
  2. Notieren Sie sich auf der Seite Bridge für Microsoft Active Directory installieren die Identitätsdomain-URL, die Client-ID und das Client Secret.
    Die Identitätsdomain-URL enthält den Namen und die Portnummer für Ihre IAM-Identitätsdomain. Die Client-ID und das Client Secret werden von der Bridge für den Zugriff auf IAM als Administrator verwendet.
    Hinweis

    Das Client Secret wird aus Sicherheitsgründen verschlüsselt. Um das Secret in Klartext anzuzeigen, wählen Sie Secret anzeigen aus. Um ein Secret für die Bridge neu zu generieren, wählen Sie Neu generieren aus.
  3. Wählen Sie Herunterladen.
    IAM lädt den Client für die Bridge herunter.
    Hinweis

    Schließen Sie die Seite Bridge für Microsoft Active Directory installieren nicht. Beim Erstellen der Bridge müssen Sie die Identitätsdomain-URL, die Client-ID und das Client Secret referenzieren.
  4. Um den Client für die AD-Bridge zu installieren, doppelklicken Sie auf die Datei ad-id-bridge....exe.
    Das Fenster Willkommen beim Installationsprogramm für AD-Bridge wird angezeigt.
  5. Wählen Sie im Bereich Sprachauswahl die Sprache für die Installation des Clients für die AD-Bridge aus, und wählen Sie OK aus.
    Das Installationsprogramm für die IAM AD-Bridge wird angezeigt.
    Tipp

    Während Sie den Client für die AD-Bridge installieren, generiert IAM automatisch Logdateien für die Bridge und speichert sie im Verzeichnis %Temp%.
    Hinweis

    Sie können die AD-Bridge nur auf einem Rechner installieren, der mit einer Microsoft Active Directory-Domain verbunden ist. Andernfalls wird die Installation nicht fortgesetzt.
  6. Wenn das Dialogfeld Datei öffnen - Sicherheitswarnung angezeigt wird, wählen Sie Ausführen aus. Gehen Sie andernfalls zu Schritt 8.
  7. Wählen Sie im Dialogfeld Willkommen die Option Weiter.
  8. Wählen Sie im Dialogfeld Zielordner eine der folgenden Installationsoptionen aus:
    • Um den Client im Standardverzeichnis zu installieren, wählen Sie Weiter.
    • So wählen Sie ein anderes Verzeichnis für die Installation des Clients aus:

      1. Wählen Sie Durchsuchen.

      2. Wählen Sie im Dialogfeld Ordner suchen das Verzeichnis aus, in dem IAM den Client installiert.

      3. Klicken Sie auf OK.

      4. Wählen Sie Weiter aus.

  9. Gehen Sie im Dialogfeld Proxyserver angeben wie folgt vor:
    1. Wenn Ihre Organisation über eine Firewall verfügt und die Kommunikation über einen HTTP-Proxyserver verarbeitet werden muss, wählen Sie Proxyserver verwenden aus. Wenn Sie dieses Kontrollkästchen aktivieren, geben Sie den vollständigen Pfad (oder die Adresse) des Proxy-Servers und die Administratorzugangsdaten für die Verbindung mit dem Proxy-Server an.
    2. Wenn Ihre Organisation die Kommunikation nicht über einen HTTP-Proxy-Server verarbeiten muss, wählen Sie Proxy-Server verwenden nicht aus.
    3. Wählen Sie Weiter aus.
  10. Gehen Sie im Dialogfeld Zugangsdaten angeben wie folgt vor:
    1. Geben Sie die Identitätsdomain-URL, die Client-ID und das Client Secret an.
      Tipp

      Diese Zugangsdaten werden auf der Seite Bridge installieren der IAM-Konsole angezeigt.
    2. Wählen Sie Test.

      Die Bridge versucht, eine Verbindung zum IAM-Server herzustellen.

      Wenn eine Verbindung hergestellt werden kann, wird eine Bestätigungsmeldung Connection Successful! angezeigt.

      Andernfalls erhalten Sie eine Fehlermeldung, die angibt, dass Sie eine falsche Identitätsdomain-URL, Client-ID oder ein falsches Client Secret eingegeben haben. Ändern Sie die falschen Werte, und wählen Sie Testen erneut aus.

    3. Wählen Sie Weiter aus.
  11. Geben Sie im Dialogfeld Zugangsdaten für Microsoft Active Directory angeben die folgenden Details für die Verbindung mit dem Microsoft Active Directory-Server an:
    1. Benutzername: Das Microsoft Active Directory-Konto, mit dem die Bridge auf den Microsoft Active Directory-Server zugreift.
    2. Kennwort: Das Kennwort für das Microsoft Active Directory-Konto.
    3. SSL verwenden: Wenn Sie eine Verbindung zum Server über eine SSL-Verbindung herstellen, lassen Sie dieses Kontrollkästchen aktiviert. Sonst löschen Sie den Vorgang.
      Hinweis

      Wir empfehlen, das Kontrollkästchen SSL verwenden aktiviert zu lassen, da dies zu einer schnelleren und sichereren Verbindung führt. Nachdem Sie dieses Kontrollkästchen aktiviert oder deaktiviert und den Client für die Bridge installiert haben, können Sie diese Einstellung nicht mehr ändern.
    4. Wählen Sie Test.

      Die Bridge versucht, eine Verbindung zum Microsoft Active Directory-Server herzustellen.

      Wenn eine Verbindung hergestellt werden kann, wird eine Bestätigungsmeldung Connection Successful! angezeigt.

      Andernfalls erhalten Sie eine Fehlermeldung, die Folgendes besagt:

      • Sie haben einen falschen Benutzernamen oder ein falsches Kennwort eingegeben. Ändern Sie die falschen Werte, und wählen Sie erneut Testen aus.

      • Sie versuchen, über eine SSL-Verbindung eine Verbindung zum Microsoft Active Directory-Server herzustellen, aber dem Zertifikat für den Server wird nicht vertraut. Stellen Sie sicher, dass dieses Zertifikat gültig und im Truststore Ihres Rechners vorhanden ist. Wählen Sie dann erneut Test aus.

      Hinweis

      Es wird empfohlen, die Option Kennwort läuft nie ab für den Microsoft Active Directory-Account zu aktivieren, den die Bridge verwendet. Wenn das Kennwort für das Konto abläuft, schlägt die nachfolgende Kommunikation zwischen der Bridge und Microsoft Active Directory fehl, bis das Kennwort in der Bridge aktualisiert wird. Siehe Zugangsdaten für Administratoraccount für AD-Bridge ändern.

    5. Wählen Sie Weiter aus.
  12. Wählen Sie im Dialogfeld Übersicht die Option Schließen aus.
  13. Greifen Sie in der IAM-Konsole auf die Seite Verzeichnisintegrationen zu.
    Die Bridge, die Sie für die Microsoft Active Directory-Domain erstellt haben, wird mit dem Status Teilweise konfiguriert angezeigt. Die Bridge wurde erstellt, aber nicht konfiguriert. Weitere Informationen zum Konfigurieren dieser Bridge finden Sie unter Microsoft Active Directory-(AD-)Bridge konfigurieren.
    Hinweis

    Wenn die Bridge auf der Seite Verzeichnisintegrationen nicht angezeigt wird, aktualisieren Sie den Webbrowser. Außerdem können Sie nur eine Bridge pro Microsoft Active Directory-Domain erstellen.