Configure un puente entre Microsoft Active Directory y un dominio de identidad de IAM.
Después de crear un puente de AD, configurarlo mediante:
- Selección de las unidades organizativas (UO) y los grupos de Microsoft Active Directory con los que desea que IAM se sincronice mediante el puente de AD. Las OU contienen los usuarios que desea importar en IAM. Al sincronizarse con Microsoft Active Directory, el puente puede transferir registros de usuarios o grupos nuevos, actualizados o suprimidos a IAM.
- La especificación de si, después de sincronizar un usuario o grupo de Microsoft Active Directory con IAM, si activa o desactiva un usuario, cambia los valores de atributo del usuario o cambia las afiliaciones a grupos del usuario en IAM, estos cambios se propagan a Microsoft Active Directory.
- La programación de la frecuencia con que desea que IAM utilice el puente de AD para importar usuarios y grupos desde Microsoft Active Directory.
- La definición de asignaciones de atributos personalizados entre Microsoft Active Directory e IAM.
- La especificación de si los usuarios pueden utilizar sus contraseñas de IAM o Microsoft Active Directory, o sus cuentas federadas, para autenticarse en IAM a fin de acceder a recursos protegidos por IAM, como la consola Mi perfil, la consola de IAM o cualquier aplicación asignada a los usuarios.
Para obtener más información sobre cómo configurar un puente de AD, consulte la infografía Gestión de la configuración de seguridad.
-
En la página de lista Integraciones de directorios, seleccione el puente de AD con el que desea trabajar. Si necesita ayuda para encontrar la página de integraciones de directorios, consulte Listing Active Directory Bridges.
Nota
El puente tiene el estado Parcialmente configurado.
-
En la página Configurar Dominio de Microsoft Active Directory, configure el dominio de Microsoft Active Directory para sondear los cambios realizados en los usuarios o los grupos de AD e importar esos cambios en IAM.
-
En los paneles Seleccionar las unidades organizativas (UO) para los usuarios y Seleccionar las unidades organizativas (UO) para los grupos:
-
Seleccione la casilla de control Incluir jerarquía. Si selecciona una OU principal, se seleccionan todas las OU secundarias. Las OU contienen los usuarios y los grupos que desea importar en IAM.
O
Desactive la casilla de control. Si selecciona una OU principal, no se seleccionarán las OU secundarias.
-
Seleccione la casilla de control de cada OU que contenga los usuarios o los grupos con los que desea que IAM se sincronice mediante el puente de AD.
Nota
Si no ve ninguna OU de usuarios o grupos en los paneles Seleccionar las unidades organizativas (UO) para los usuarios y Seleccionar las unidades organizativas (UO) para los grupos, refresque el explorador web.
Para forzar una sincronización completa entre Microsoft Active Directory e IAM, desactive todas las casillas de control de las OU de grupo o usuario seleccionadas, seleccione Guardar y, a continuación, en el cuadro de diálogo ¿Guardar cambios de configuración?, seleccione Aceptar. A continuación, seleccione Importar para importar los usuarios y los grupos desde AD.
-
opcional. En el cuadro de texto Filtro, introduzca un filtro personalizado para buscar las OU de usuarios o grupos. Por ejemplo, si introduce (sn=Smith), se devuelven todos los usuarios con el apellido Smith. O bien, introduzca (department=IT) para devolver el grupo de TI.
Consejo
-
Para seleccionar todos los usuarios o grupos, seleccione la casilla de control Incluir jerarquía y, a continuación, seleccione la casilla de control situada en la parte superior en cada panel.
-
En el cuadro de texto Filtrar, no puede introducir más de 4000 caracteres.
-
Se permite el carácter comodín *, excepto cuando AD Attribute sea un atributo de DN. Para obtener más información sobre los filtros de AD, seleccione aquí.
- Puede utilizar el cuadro de texto Filtrar para sincronizar usuarios de Microsoft Active Directory a IAM según sus afiliaciones a grupos en lugar de sus UU. Para ello, no desactive las casillas de control de las OU. En su lugar, en el cuadro de texto Filtrar, proporcione los filtros de afiliación a grupos personalizados.
-
Si hay una falta de coincidencia entre el número de usuarios o grupos que espera que se transfieran a IAM y el número de usuarios o grupos que se importan realmente, utilice Usuarios y computadoras de Active Directory para probar el filtro personalizado en Microsoft Active Directory a fin de verificar que los usuarios y los grupos introducidos en IAM son correctos.
-
Los nombres de los usuarios que desea importar a IAM deben contener al menos tres caracteres. Los nombres de los grupos que desea importar a IAM deben contener al menos cinco caracteres.
-
Los números de teléfono de los usuarios que desea importar deben cumplir los requisitos de la especificación RFC 3966.
-
En el área Operaciones soportadas, seleccione las operaciones para usuarios o grupos de IAM que se propagan a AD:
-
En el área Definir frecuencia de importación, programe con qué frecuencia, en horas y minutos, desea que IAM utilice el puente de AD para importar usuarios y grupos de Microsoft Active Directory.
Importante
Durante un ciclo de sincronización incremental, si hay más de 100 000 cambios de afiliaciones a grupos en Microsoft Active Directory, el ciclo de sincronización podría tardar más de una hora. Microsoft Active Directory necesita este tiempo para procesar los logs de cambios.
-
En el área Configure Attribute Mappings, seleccione Edit Attribute Mappings para definir las asignaciones de atributos personalizados entre Microsoft Active Directory e IAM. Consulte Definición de asignaciones de atributos para un puente de Microsoft Active Directory (AD). En caso contrario, vaya al siguiente paso.
-
En el área Configuración de autenticación, seleccione Activar autenticación local si desea que los usuarios utilicen sus contraseñas de IAM o de Microsoft Active Directory para autenticarse en IAM a fin de acceder a los recursos protegidos por IAM.
Si selecciona esta opción, configure la autenticación delegada para este puente de AD. Al activar la autenticación delegada, los usuarios transferidos a IAM a través del puente utilizarán sus contraseñas de Microsoft Active Directory para conectarse a IAM. Al desactivar la autenticación delegada, los usuarios deben utilizar sus contraseñas de IAM para autenticarse en IAM.
Además, si selecciona Activar autenticación local, mantenga desactivada la opción No enviar notificaciones de bienvenida para que IAM notifique a los usuarios por correo electrónico que deben activar las cuentas de IAM creadas para ellos.
De lo contrario, si no desea que se notifique a los usuarios que IAM ha creado cuentas para ellos, seleccione la casilla de control No enviar notificaciones de bienvenida.
Si desea que los usuarios utilicen sus cuentas federadas para autenticarse en IAM, seleccione Activar autenticación federada.
Nota
Si selecciona esta opción, configure el SSO a través de la página Proveedores de identidad.
importante
Al seleccionar Activar autenticación federada, todas las cuentas de usuario que se transfieren a IAM a través del puente de AD se clasifican como cuentas federadas. Por motivos de integridad referencial, no puede desactivar, eliminar ni cambiar el estado de estas cuentas de usuario a no federadas.
-
Seleccione Guardar.
-
En la ventana Confirmación, seleccione Aceptar.
El estado del puente de AD cambiará de
Parcialmente configurado a
Configurado. El puente se creará y se configurará.
Nota Si utiliza el puente de AD para importar un grupo a IAM y, a continuación, suprime el grupo de IAM, puede restablecer un enlace entre el grupo de Microsoft Active Directory y el grupo de IAM. Para hacerlo:
-
En el panel Seleccionar las unidades organizativas (UO) para los grupos, anule la casilla de control del grupo seleccionado y seleccione Guardar.
-
Seleccione la casilla de control del grupo y vuelva a seleccionar Guardar.
-
Ejecute el puente de AD para sincronizar el grupo entre IAM y Microsoft Active Directory inmediatamente.