Configuración de un puente de la aplicación Microsoft Active Directory
El enlace entre una estructura de directorios de empresa de Microsoft Active Directory e IAM proporciona un puente de Microsoft Active Directory (AD).
El puente de AD solo es necesario si tiene un controlador de dominio de Windows local y no tiene un ID Entra (anteriormente conocido como Azure AD). Si utiliza Entra ID, puede configurar la sincronización directamente desde Azure a OCI IAM sin instalar ningún software. Consulte la guía en los tutoriales de OCI IAM con Microsoft Entra ID.
Descripción del puente de AD
IAM se puede sincronizar con esta estructura del directorio para que los registros de grupos o usuarios nuevos, actualizados y suprimidos se transfieran a IAM. Cada minuto, el bridge de AD sondea Microsoft Active Directory para realizar cualquier cambio en estos registros y lleva estos cambios a IAM. Por lo tanto, si se suprime un usuario en Microsoft Active Directory, este cambio se propagará a IAM. Debido a esta sincronización, el estado de cada registro se sincroniza entre Microsoft Active Directory e IAM.
Una vez sincronizados los usuarios de Microsoft Active Directory con IAM, si se activa o desactiva un usuario, se modifican los valores del atributo del usuario o se cambian las afiliaciones de grupo del usuario en IAM, estos cambios se propagan a Microsoft Active Directory a través del Puente.
Las unidades organizativas (UO) de Microsoft Active Directory contienen los usuarios y grupos que se importan en IAM.
Puede configurar IAM para que se sincronice con uno o varios dominios de Microsoft Active Directory instalando un Puente para cada dominio.
Debe instalar el Puente en la máquina que está conectada al dominio de Microsoft Active Directory para detección automática. No es necesario instalar el puente en el controlador de dominios.
En la siguiente imagen se muestra la sincronización de directorios de entrada:
En la siguiente imagen se muestra la sincronización de directorios de salida:
En el diagrama anterior, Clarence Saladna (CSALADNA) es un usuario que ha sido sincronizado de Microsoft Active Directory a IAM a través del puente. En IAM, un administrador desactiva las cuentas de Clarence porque están de vacaciones. Además, como Clarence recibió un ascenso, tiene un nuevo cargo de Director y pertenece a diferentes grupos que están asociados a un nuevo rol, incluidos los grupos Executive y de Management. El Bridge se puede utilizar para propagar estos cambios a Microsoft Active Directory.
Tanto los Puentes como la estructura de directorios de empresa de Microsoft Active Directory se encuentran en el entorno de Microsoft Windows (por ejemplo, de Microsoft Windows 2003). Puesto que IAM es un servicio de Oracle Cloud Infrastructure, se encuentra en un entorno de Oracle.
En la siguiente imagen se muestra la seguridad del puente:
Si un atributo del usuario de Microsoft Active Directory tiene varios valores, el puente solo transfiere el primer valor del atributo a IAM.
Por qué utilizar el puente de AD
La mayoría de los clientes tienen Microsoft Active Directory como servicio de directorios central. Estos clientes también utilizan Microsoft Active Directory como directorio de red. Este directorio es donde todas sus estaciones están conectadas y desde donde gestionan sus usuarios.
Además de Microsoft Active Directory, los clientes utilizan un protocolo de Acceso a Directorios Ligeros (LDAP) de empresa para centralizar todas sus identidades. Por lo tanto, un cliente utiliza Microsoft Active Directory para gestionar a sus empleados, pero en el LDAP centralizado, el cliente gestiona sus partners, consumidores y cualquier otro cliente con el que el cliente tenga relaciones.
Por estos motivos, es imprescindible que IAM se pueda integrar tanto con Microsoft Active Directory como con un LDAP empresarial (por ejemplo, Oracle Internet Directory).
- Puente de AD: este puente proporciona un enlace entre Microsoft Active Directory y la estructura de directorios de empresa de IAM. IAM se puede sincronizar con esta estructura del directorio para que los registros de grupos o usuarios nuevos, actualizados y suprimidos se transfieran a IAM. Cada minuto, el bridge sondea Microsoft Active Directory para realizar cualquier cambio en estos registros y lleva estos cambios a IAM. Por lo tanto, si se suprime un usuario en Microsoft Active Directory, este cambio se propagará a IAM. Como resultado, el estado de cada registro se sincroniza entre Microsoft Active Directory e IAM. Después de sincronizar el usuario de Microsoft Active Directory con IAM, si activo o desactiva un usuario, modifique el valor de atributo del usuario o cambie las afiliaciones al grupo para el usuario en IAM. A continuación, estos cambios se propagarán a Microsoft Active Directory a través del bridge de AD.
- Puente de aprovisionamiento: este puente proporciona un enlace entre el LDAP de empresa (como Oracle Internet Directory) e IAM. Gracias a la sincronización, los datos de cuenta que Se crean y actualizan directamente en LDAP se extraen a IAM y se almacenan para los usuarios y grupos correspondientes de IAM. Como resultado, cualquier cambio que se realice en estos registros se transferirá a IAM. Debido a esto, el estado de cada registro se sincroniza entre LDAP e IAM. Consulte Gestión de puentes de aprovisionamiento.
Componentes certificados
En la siguiente tabla se muestran las versiones certificadas de IAM, Microsoft Active Directory, su sistema operativo y la estructura de software Microsoft .NET (necesaria para que se ejecute el bridge de AD).
| IAM | AD | 64 bits | Sistema operativo | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Sí |
Windows 10 v1607 o posterior Windows Server 2016 o posterior |
Versión 4.6+ |
Estados
-
Parcialmente Configurado: el Puente deAD está instalado, pero no se ha configurado para comunicarse con el dominio de Microsoft Active Directory o con IAM.
-
Configurado: el Puente deAD está instalado y configurado, y disponible para sincronizarse con el dominio de Microsoft Active Directory.
-
Activo: el bridge de AD está instalado y configurado, y disponible para sincronizarse con Microsoft Active Directory para recuperar cuentas y grupos de usuarios.
-
Inactivo: el bridge de AD está instalado y configurado, pero no está disponible para sincronizarse con Microsoft Active Directory. Esto se realiza por motivos de rendimiento.
-
Inaccesible: el bridge de AD está instalado y configurado. Sin embargo, se ha producido una de las siguientes condiciones:
-
El servicio de backend utilizado para establecer la comunicación entre IAM y Microsoft Active Directory está parado.
-
El administrador de IAM ha desinstalado el cliente asociado al bridge de AD, pero no el puente se ha podido eliminar de la página Integraciones del directorio de la consola de IAM porque el cliente no puede conectarse al servidor. IAM no puede utilizar el puente para comunicarse con Microsoft Active Directory. Consulte Eliminación de un puente de Microsoft Active Directory (AD).
-
El administrador ha vuelto a generar el secreto de cliente del puente de AD y, a continuación, ha desinstalado el cliente del puente.
-
Requisitos de hardware
Los requisitos mínimos de hardware son:
- 1 GB de RAM
- 1 GB de espacio de disco
- Una CPU de cuatro núcleos