Microsoft Active Directory-Bridge einrichten
Die Microsoft Active Directory-(AD-)Bridge stellt einen Link zwischen einer Microsoft Active Directory-Unternehmensverzeichnisstruktur und IAM bereit.
Die AD-Bridge ist nur erforderlich, wenn Sie einen Windows-Domaincontroller On Premise haben und keine Entra-ID (früher als Azure AD bezeichnet) haben. Wenn Sie Entra ID verwenden, können Sie die Synchronisierung direkt von Azure zu OCI IAM einrichten, ohne Software zu installieren. Weitere Informationen finden Sie in den Tutorials zu OCI IAM mit Microsoft Entra ID.
AD-Bridge verstehen
IAM kann mit dieser Verzeichnisstruktur synchronisiert werden, sodass alle neuen, aktualisierten oder gelöschten Benutzer- oder Gruppendatensätze in IAM übertragen werden. Einmal pro Minute prüft die AD-Bridge Microsoft Active Directory nach Änderungen an diesen Datensätzen und bringt diese Änderungen in IAM. Wenn ein Benutzer also in Microsoft Active Directory gelöscht wird, wird diese Änderung an IAM propagiert. Aufgrund dieser Synchronisierung wird der Status jedes Datensatzes zwischen Microsoft Active Directory und IAM synchronisiert.
Nachdem Benutzer von Microsoft Active Directory mit IAM synchronisiert wurden, werden Änderungen darüber propagiert, wenn Sie einen Benutzer aktivieren oder deaktivieren, seine Attributwerte ändern oder seine Gruppenmitgliedschaften in IAM ändern. Diese Änderungen werden dann über die Bridge an Microsoft Active Directory propagiert.
Die Microsoft Active Directory-Organisationseinheiten (OEs) enthalten die Benutzer und Gruppen, die in IAM importiert werden.
Sie können IAM für die Synchronisierung mit einer oder mehreren Microsoft Active Directory-Domains konfigurieren, indem Sie eine Bridge für jede Domain installiert.
Sie müssen die Bridge auf dem Rechner installieren, der zur automatischen Discovery an die Microsoft Active Directory-Domain angehängt ist. Sie müssen die Bridge nicht auf dem Domaincontroller installieren.
Die folgende Abbildung zeigt die Synchronisierung eingehender Verzeichnisse:
Die folgende Abbildung zeigt die Synchronisierung ausgehender Verzeichnisse:
Im Diagramm oben ist Clarence Saladna (CSALADNA) ein Benutzer, der über die Bridge von Microsoft Active Directory zu IAM synchronisiert wurde. In IAM deaktiviert ein Administrator den Account von Clarence, weil er Urlaub hat. Da Clarence befördern wurde, hat sie die neue Stellenbezeichnung "Director" und gehört zu verschiedenen Gruppen, die mit ihrer neuen Rolle verknüpft sind, einschließlich der Gruppen "Executive" und "Management". Mit der Bridge können diese Änderungen an Microsoft Active Directory propagiert werden.
Sowohl die Bridges als auch die Microsoft Active Directory-Unternehmensverzeichnisstruktur sind in Ihrer Microsoft Windows-Umgebung enthalten (z.B. Microsoft Windows 2003). Da IAM ein Oracle Cloud Infrastructure-Service ist, befindet es sich in einer Oracle-Umgebung.
Die folgende Abbildung zeigt Bridgesicherheit:
Wenn ein Microsoft Active Directory-Benutzerattribut mehrwertiger ist, überträgt die Bridge nur den ersten Wert des Attributs an IAM.
Vorteile der AD-Bridge
Microsoft Active Directory ist für die meisten Kunden zentraler Directory Service. Diese Kunden verwenden auch Microsoft Active Directory als Netzwerkverzeichnis. In diesem Verzeichnis sind alle ihre Workstations verbunden, und von dort aus werden ihre Benutzer verwaltet.
Neben Microsoft Active Directory verwenden Kunden ein Unternehmens-LDAP, um alle Benutzeridentitäten zu zentralisieren. Ein Kunde verwendet also Microsoft Active Directory für die Mitarbeiterverwaltung. Im zentralen LDAP verwaltet der Kunde jedoch Partner, Verbraucher und alle anderen Benutzer, mit denen der Kunde Beziehungen hat.
Aus diesen Gründen ist es zwingend erforderlich, dass IAM sowohl mit Microsoft Active Directory als auch mit einem Enterprise-LDAP (z.B. Oracle Internet Directory) integriert werden kann.
- AD-Bridge: Diese Bridge stellt einen Link zwischen Ihrer Microsoft Active Directory-Unternehmensverzeichnisstruktur und IAM bereit. IAM kann mit dieser Verzeichnisstruktur synchronisiert werden, sodass alle neuen, aktualisierten oder gelöschten Benutzer- oder Gruppendatensätze in IAM übertragen werden. Einmal pro Minute fragt die Bridge Microsoft Active Directory nach Änderungen an diesen Datensätzen und bringt diese Änderungen in IAM. Wenn ein Benutzer also in Microsoft Active Directory gelöscht wird, wird diese Änderung an IAM propagiert. Daher wird der Status jedes Datensatzes zwischen Microsoft Active Directory und IAM synchronisiert. Nachdem der Benutzer von Microsoft Active Directory mit IAM synchronisiert worden ist, werden Änderungen über die AD-Brücke an Microsoft Active Directory propagiert, wenn Sie einen Benutzer aktivieren oder deaktivieren, seine Attributwerte ändern oder seine Gruppenmitgliedschaften für den Benutzer in IAM ändern.
- Provisioning-Bridge: Diese Bridge stellt einen Link zwischen Ihrem Unternehmens-LDAP (wie Oracle Internet Directory) und IAM bereit. Durch Synchronisation werden Accountdaten, die direkt im LDAP erstellt und aktualisiert werden und in IAM erfasst und für die entsprechenden IAM-Benutzer und -Gruppen gespeichert. Daher wird jede Änderung an diesen Datensätzen an IAM übertragen. Aus diesem Grund wird der Status jedes Datensatzes zwischen LDAP und IAM synchronisiert. Siehe Provisioning-Bridges verwalten.
Zertifizierte Komponenten
Die folgende Tabelle enthält die zertifizierten Versionen für IAM, Microsoft Active Directory, Ihr Betriebssystem und das Microsoft .NET-Software-Framework (das für die Ausführung der AD-Bridges erforderlich ist).
| IAM | AD | 64 Bit | Betriebssystem | .NET-Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Ja |
Windows 10 v1607 oder höher Windows Server 2016 oder höher |
Version 4.6+ |
Statuswerte
-
Teilweise konfiguriert: Die AD-Brücke ist installiert, ist jedoch nicht für die Kommunikation mit der Microsoft Active Directory-Domain oder mit IAM konfiguriert.
-
Konfiguriert: Die AD-Brücke ist installiert und konfiguriert und für die Synchronisierung mit der Microsoft Active Directory-Domain verfügbar.
-
Aktiv: Die AD-Brücke ist installiert und konfiguriert und verfügbar für die Synchronisierung mit Microsoft Active Directory, sodass Benutzeraccounts und Gruppen abgerufen werden können.
-
Inaktiv: Die AD-Brücke ist installiert und konfiguriert, aber nicht für die Synchronisierung mit Microsoft Active Directory verfügbar. Dies geschieht aus Leistungsgründen.
-
Nicht erreichbar: Die AD-Brücke ist installiert und konfiguriert. Es ist jedoch eine der folgenden Bedingungen eingetreten:
-
Der Backend-Service, mit dem die Kommunikation zwischen IAM und Microsoft Active Directory hergestellt wird, wird gestoppt.
-
Der IAM-Administrator hatte den mit dem AD-Bridges verknüpften Client deinstalliert, aber die Bridge konnte nicht aus der Seite Verzeichnisintegrationen der IAM-Konsole entfernt werden, weil der Client keine Verbindung zum Server herstellen kann. IAM kann die Bridge nicht zur Kommunikation mit Microsoft Active Directory verwenden. Siehe Microsoft Active Directory-(AD-)Bridge entfernen.
-
Der Administrator hat das Client-Secret für die AD-Bridge neu generiert und den Client für diese Bridge dann deinstalliert.
-
Hardwareanforderungen
Die Mindestanforderungen an die Hardware sind:
- 1 GB RAM
- 1 GB Datenträgerspeicherplatz
- Eine Quad-Core-CPU