Microsoft Active Directory-Bridge einrichten
Die Microsoft Active Directory (AD) Bridge stellt einen Link zwischen einer Microsoft Active Directory-Unternehmensverzeichnisstruktur und IAM bereit.
Die AD-Bridge wird nur benötigt, wenn Sie einen Windows-Domaincontroller On Premise haben und keine Entra-ID (früher als Azure AD bezeichnet) besitzen. Wenn Sie Entra ID verwenden, können Sie die Synchronisierung direkt von Azure zu OCI IAM einrichten, ohne Software zu installieren. Weitere Informationen finden Sie in den Tutorials zu OCI IAM mit Microsoft Entra ID.
AD-Bridge verstehen
IAM kann mit dieser Verzeichnisstruktur synchronisiert werden, sodass alle neuen, aktualisierten oder gelöschten Benutzer- oder Gruppendatensätze an IAM übertragen werden. Jede Minute fragt die AD-Bridge Microsoft Active Directory nach Änderungen an diesen Datensätzen ab und bringt diese Änderungen in IAM ein. Wenn ein Benutzer also in Microsoft Active Directory gelöscht wird, wird diese Änderung an IAM propagiert. Aufgrund dieser Synchronisierung wird der Status der einzelnen Datensätze zwischen Microsoft Active Directory und IAM synchronisiert.
Nachdem Benutzer von Microsoft Active Directory mit IAM synchronisiert wurden, werden Änderungen über die Bridge an Microsoft Active Directory propagiert, wenn Sie einen Benutzer aktivieren oder deaktivieren, seine Attributwerte ändern oder seine Gruppenmitgliedschaften in IAM ändern.
Die Organisationseinheiten (OEs) von Microsoft Active Directory enthalten die Benutzer und Gruppen, die in IAM importiert werden.
Sie können IAM für die Synchronisierung mit mindestens einer Microsoft Active Directory-Domain konfigurieren, indem Sie eine Bridge für jede Domain installieren.
Zur automatischen Discovery müssen Sie die Bridge auf dem Rechner installieren, der an die Microsoft Active Directory-Domain angehängt ist. Sie müssen die Bridge nicht auf dem Domaincontroller installieren.
Die folgende Abbildung zeigt die Synchronisierung eingehender Verzeichnisse:
Die folgende Abbildung zeigt die Synchronisierung ausgehender Verzeichnisse:
Im obigen Diagramm ist Clarence Saladna (CSALADNA) ein Benutzer, der über die Bridge zwischen Microsoft Active Directory und IAM synchronisiert wurde. In IAM deaktiviert ein Administrator den Account von Clarence, weil er im Urlaub ist. Da Clarence befördert wurde, hat sie die neue Stellenbezeichnung "Director" und gehört zu verschiedenen Gruppen, die mit ihrer neuen Rolle verknüpft sind, einschließlich der Gruppen "Manager" und "Management". Mit der Bridge können Sie diese Änderungen an Microsoft Active Directory propagieren.
Sowohl die Bridges als auch die Microsoft Active Directory-Unternehmensverzeichnisstruktur befinden sich in Ihrer Microsoft Windows-Umgebung (z.B. Microsoft Windows 2003). Da IAM ein Oracle Cloud Infrastructure-Service ist, ist er in einer Oracle-Umgebung.
Die folgende Abbildung zeigt Bridgesicherheit:
Wenn ein Microsoft Active Directory-Benutzerattribut mehrere Werte aufweist, überträgt die Bridge nur den ersten Wert des Attributs an IAM.
Gründe für die Verwendung der AD-Bridge
Die meisten Kunden nutzen Microsoft Active Directory als zentralen Directory Service. Diese Kunden verwenden Microsoft Active Directory auch als Netzwerkverzeichnis. In diesem Verzeichnis werden alle ihre Workstations mit ihren Benutzern verbunden, und sie verwalten ihre Benutzer.
Neben Microsoft Active Directory verwenden Kunden ein Unternehmens-LDAP, um alle Benutzeridentitäten zu zentralisieren. Ein Kunde verwendet also Microsoft Active Directory, um seine Mitarbeiter zu verwalten. Im zentralen LDAP-Verzeichnis verwaltet der Kunde jedoch Partner, Verbraucher und alle anderen Benutzer, mit denen der Kunde Beziehungen hat.
Daher muss IAM sowohl mit Microsoft Active Directory als auch mit einem Unternehmens-LDAP (z.B. Oracle Internet Directory) integriert werden können.
- AD-Bridge: Diese Bridge bietet einen Link zwischen Ihrer Microsoft Active Directory-Unternehmensverzeichnisstruktur und IAM. IAM kann mit dieser Verzeichnisstruktur synchronisiert werden, sodass alle neuen, aktualisierten oder gelöschten Benutzer- oder Gruppendatensätze an IAM übertragen werden. Jede Minute fragt die Bridge Microsoft Active Directory nach Änderungen an diesen Datensätzen ab und bringt diese Änderungen in IAM ein. Wenn ein Benutzer also in Microsoft Active Directory gelöscht wird, wird diese Änderung an IAM propagiert. Daher wird der Status jedes Datensatzes zwischen Microsoft Active Directory und IAM synchronisiert. Nachdem der Benutzer von Microsoft Active Directory mit IAM synchronisiert wurde, werden Änderungen über die AD-Bridge an Microsoft Active Directory propagiert, wenn Sie einen Benutzer aktivieren oder deaktivieren, seine Attributwerte ändern oder seine Gruppenmitgliedschaften in IAM ändern.
- Provisioning-Bridge: Diese Bridge stellt einen Link zwischen dem Unternehmens-LDAP (wie Oracle Internet Directory) und IAM bereit. Durch Synchronisierung werden Accountdaten, die direkt im LDAP erstellt und aktualisiert werden, in IAM erfasst und für die entsprechenden IAM-Benutzer und -Gruppen gespeichert. Daher werden alle Änderungen an diesen Datensätzen an IAM übertragen. Aus diesem Grund wird der Status jedes Datensatzes zwischen dem LDAP und IAM synchronisiert. Siehe Provisioning-Bridges verwalten.
Zertifizierte Komponenten
In der folgenden Tabelle sind die zertifizierten Versionen für IAM, Microsoft Active Directory, Ihr Betriebssystem und das (für die Ausführung der AD-Bridge erforderliche) Microsoft .NET-Software-Framework aufgeführt.
| IAM | AD | 64 Bit | Betriebssystem | .NET-Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Ja |
Windows 10 v1607 oder höher Windows Server 2016 oder höher |
Version 4.6+ |
Statuswerte
-
Teilweise konfiguriert: Die AD-Bridge ist installiert, ist jedoch nicht für die Kommunikation mit der Microsoft Active Directory-Domain oder mit IAM konfiguriert.
-
Konfiguriert: Die AD-Bridge ist installiert und konfiguriert und für die Synchronisierung mit der Microsoft Active Directory-Domain verfügbar.
-
Aktiv: Die AD-Bridge ist installiert und konfiguriert und verfügbar für die Synchronisierung mit Microsoft Active Directory zum Abrufen von Benutzerkonten und Gruppen.
-
Inaktiv: Die AD-Bridge ist installiert und konfiguriert, aber nicht für die Synchronisierung mit Microsoft Active Directory verfügbar. Dies geschieht aus Performancegründen.
-
Nicht erreichbar: Die AD-Bridge ist installiert und konfiguriert. Es ist jedoch eine der folgenden Bedingungen eingetreten:
-
Der Backend-Service, mit dem die Kommunikation zwischen IAM und Microsoft Active Directory hergestellt wird, wird gestoppt.
-
Der IAM-Administrator hat den mit der AD-Bridge verknüpften Client deinstalliert. Die Bridge konnte jedoch nicht aus der Seite Verzeichnisintegrationen der IAMkonsole entfernt werden, weil der Client keine Verbindung zum Server herstellen kann. IAM kann die Bridge nicht für die Kommunikation mit Microsoft Active Directory verwenden. Siehe Microsoft Active Directory-(AD-)Bridge entfernen.
-
Der Administrator hat das Client Secret für die AD-Bridge neu generiert und dann den Client für die Bridge deinstalliert.
-
Hardwareanforderungen
Die Mindestanforderungen an die Hardware sind:
- 1 GB RAM
- 1 GB Datenträgerspeicherplatz
- Eine Quad-Core-CPU