Configure un puente entre Microsoft Active Directory y un dominio de identidad de IAM.
Después de crear un puente de AD, puede configurarlo:
- La selección de las unidades organizativas (UO) y de los grupos de Microsoft Active Directory con los que desea que se sincronice IAM mediante el bridge de AD. Las OU contienen los usuarios que desea importar en IAM. Al sincronizarse con Microsoft Active Directory, el puente puede transferir registros de grupos o usuarios nuevos, actualizados o suprimidos a IAM.
- Si, después de sincronizar un usuario o grupo de Microsoft Active Directory a IAM, si activo o desactiva un usuario, cambia los valores de atributo del usuario, o cambia las afiliaciones a un grupo del usuario en IAM, estos cambios se propagarán a Microsoft Active Directory.
- Programar la frecuencia con que desea que IAM utilice el bridge de AD para importar usuarios y grupos desde Microsoft Active Directory.
- Definición de asignaciones de atributos personalizados entre Microsoft Active Directory e IAM.
- Especificación de si el usuario puede utilizar sus contraseñas de IAM o Microsoft Active Directory, o sus cuentas federadas, para autenticarse en IAM para acceder a los recursos protegidos por IAM, como la consola Mi perfil, la consola de IAM o cualquier otra aplicación asignada a los usuarios.
Puede acceder a la infografía sobre Gestión de la configuración de seguridad para consultar cómo configurar un puente del AD.
-
En la página de lista Integraciones de directorios, seleccione el puente de AD con el que desea trabajar. Si necesita ayuda para encontrar la página de integraciones de directorios, consulte Listing Active Directory Bridges.
Nota
El puente tiene el estado Parcialmente configurado.
-
En la página Configurar el dominio de Microsoft Active Directory, configure el dominio de Microsoft Active Directory para sondear las modificaciones realizadas en usuarios o grupos en AD e importar esas modificaciones en IAM.
-
En los paneles Seleccionar unidades organizativas (UO) para el usuario y Seleccionar unidades organizativas (UO) para el grupo:
-
Seleccione la casilla de control Incluir jerarquía. Si selecciona una OU principal, se seleccionan todas las OU secundarias. Las OU contienen los usuarios y grupos que desea importar en IAM.
O bien
Desactive las casillas de control. Si selecciona una OU principal, no se seleccionarán las OU secundarias.
-
Seleccione la Casilla de Control de cada OU que contenga usuarios o grupos con los que desea que IAM se sincronice mediante el puente de AD.
Nota
Si no ve ninguna UO de usuarios o grupos en los paneles Seleccionar unidades organizativas (UO) para las personas y Seleccionar unidades organizativas (UO) para las personas, refresque el explorador web.
Para forzar una sincronización completa entre Microsoft Active Directory e IAM, desactive todas las casillas de control de las OU de usuario o grupo seleccionadas, seleccione Guardar y, a continuación, en el cuadro de diálogo ¿Guardar cambios de configuración?, seleccione Aceptar. A continuación, seleccione Importar para importar los usuarios y grupos desde AD.
-
Opcional. En el recuadro de texto Filtro, introduzca un filtro personalizado para buscar las UO de usuarios o grupos. Por ejemplo, si introduce (sn=Smith), se devuelven todos los usuarios con el apellido Smith. O bien, introduzca (department=IT) para devolver el grupo de TI.
Consejo
-
Para seleccionar todos los usuarios o grupos, seleccione la casilla de control Incluir jerarquía y, a continuación, seleccione la casilla de control superior en cada panel.
-
En el recuadro de texto Filtro, no puede introducir más de 4.000 caracteres.
-
Se permite el carácter comodín *, excepto cuando AD Attribute sea un atributo de DN. Para obtener más información sobre los filtros de AD, seleccione aquí.
- Puede utilizar el recuadro de texto Filtrar para sincronizar usuarios de Microsoft Active Directory a IAM según sus afiliaciones a grupo en lugar de sus UO. Para ello, no desmarque las casillas de verificación de las UO. En su lugar, en el recuadro de texto Filtro, proporcione los filtros personalizados de afiliación a grupo.
-
Si hay una discrepancia entre el número de usuarios o grupos de los que espera que se transfieran a IAM y el numero de usuarios o grupos de los que se importan realmente, utilice Usuarios y ordenadores de Active Directory para probar el filtro personalizado en Microsoft Active Directory a fin del control de que los usuarios y grupos introducidos en IAM son correctos.
-
Los nombres de los usuarios que desea importar a IAM deben contener al menos tres caracteres. Los nombres de los grupos que desea importar a IAM deben contener al menos cinco caracteres.
-
Los números de teléfono de los usuarios que desea importar deben cumplir los requisitos de la especificación RFC 3966.
-
En el área Operaciones soportadas, seleccione qué operaciones para usuarios o grupos de IAM se propagarán a AD:
-
En el área Definir frecuencia de importación, programa con qué frecuencia, en horas y minutos, desea que IAM utilice el puente del AD para importar usuarios y grupos desde Microsoft Active Directory.
Importante
Durante un ciclo de sincronización incremental, si hay más de 100 000 cambios de afiliaciones a grupos en Microsoft Active Directory, el ciclo de sincronización podría tardar más de una hora. Microsoft Active Directory necesita este tiempo para procesar los logs de cambios.
-
En el área Configurar asignaciones de atributo, seleccione Editar asignaciones de atributo para definir las asignaciones de atributo personalizadas entre Microsoft Active Directory e IAM. Consulte Definición de asignaciones de atributos para un puente de Microsoft Active Directory (AD). En caso contrario, vaya al siguiente paso.
-
En el área Configuración de Autenticación, seleccione Activar autenticación local si desea que los usuarios utilicen sus contraseñas de IAM o Microsoft Active Directory para autenticarse en IAM a fin de acceder a los recursos protegidos por IAM.
Si selecciona esta opción, configure la autenticación delegada para este bridge de AD. Al activar la autenticación delegada, los usuarios transferidos a IAM a través del puente utilizarán sus contraseñas de Microsoft Active Directory para conectarse a IAM. Al desactivar la autenticación delegada, los usuarios deben utilizar sus contraseñas de la IAM para autenticarse en IAM.
Además, si selecciona Activar autenticación local, mantenga desactivada la opción No enviar notificaciones del servicio de bienvenida para que IAM notifique por correo electrónico a los usuarios que deben activar las cuentas de IAM creadas para ellos.
De lo contrario, si no quiere que se notifique a los usuarios que IAM ha creado cuentas para ellos, seleccione la casilla de control de No enviar notificaciones del servicio de bienvenida.
Si desea que los usuarios utilicen sus cuentas federadas para autenticarse en IAM, seleccione Activar autenticación federada.
Nota
Si selecciona esta opción, configure la SSO a través de la página Proveedores de identidad.
Importante
Al seleccionar Activar autenticación federada, cualquier cuenta de usuario que se transfiere a IAM a través del bridge de AD se clasifica como cuentas federadas. Por motivos de integridad referencial, no puede desactivar, eliminar ni cambiar el estado de estas cuentas de usuario a no federadas.
-
Seleccione Guardar.
-
En la ventana Confirmación, seleccione Aceptar.
El estado del puente del AD cambiará de
Parcialmente configurado a
Configurado. El puente se creará y se configurará.
Nota Si utiliza el bridge de AV para importar un grupo a IAM y, a continuación, suprime el grupo de IAM, puede restablecer un enlace entre el grupo de Microsoft Active Directory y el grupo de IAM. Para ello:
-
En el panel Seleccionar unidades organizativas (UO) para grupos, desactive la casilla de control para el grupo seleccionado y seleccione Guardar.
-
Seleccione la casilla de control del grupo y vuelva a seleccionar Guardar.
-
Ejecute el puente de AD para sincronizar el grupo entre IAM y Microsoft Active Directory inmediatamente.