Configuración de un puente de Microsoft Active Directory
El puente de Microsoft Active Directory (AD) proporciona un enlace entre una estructura de directorios de empresa de Microsoft Active Directory e IAM.
El puente de AD solo es necesario si tiene un controlador de dominio de Windows local y no tiene un ID de Entra (anteriormente conocido como Azure AD). Si utiliza Entra ID, puede configurar la sincronización directamente desde Azure a OCI IAM sin instalar ningún software. Consulte la guía en los tutoriales de OCI IAM con Microsoft Entra ID.
Descripción del puente de AD
IAM se puede sincronizar con esta estructura de directorios para que los registros de usuarios o grupos nuevos, actualizados o suprimidos se transfieran a IAM. Cada minuto, el puente de AD sondea Microsoft Active Directory para detectar cualquier cambio realizado en estos registros y lleva estos cambios a IAM. Por lo tanto, si se suprime un usuario en Microsoft Active Directory, este cambio se propaga a IAM. Debido a esta sincronización, el estado de cada registro se sincroniza entre Microsoft Active Directory e IAM.
Después de sincronizar los usuarios de Microsoft Active Directory con IAM, si activa o desactiva un usuario, modifique los valores de atributo del usuario o cambie las afiliaciones a grupos para el usuario en IAM. A continuación, estos cambios se propagarán a Microsoft Active Directory a través del puente.
Las unidades organizativas (OU) de Microsoft Active Directory contienen los usuarios y los grupos que se importan en IAM.
Puede configurar IAM para que se sincronice con uno o varios dominios de Microsoft Active Directory instalando un puente para cada dominio.
Debe instalar el puente en la máquina que está conectada al dominio de Microsoft Active Directory para la detección automática. No es necesario instalar el puente en el controlador de dominios.
En la siguiente imagen se muestra la sincronización de directorios de entrada:
En la siguiente imagen se muestra la sincronización del directorio de salida:
En el diagrama anterior, Clarence Saladna (CSALADNA) es un usuario que se ha sincronizado de Microsoft Active Directory a IAM a través del puente. En IAM, un administrador desactiva la cuenta de Clarence porque está de vacaciones. Además, como Clarence recibió un ascenso, tienen un nuevo cargo de Director y pertenece a diferentes grupos que están asociados a su nuevo rol, incluidos los grupos Executive y Management. El puente se puede utilizar para propagar estos cambios a Microsoft Active Directory.
Tanto los puentes como la estructura de directorios de empresa de Microsoft Active Directory se encuentran en el entorno de Microsoft Windows (por ejemplo, Microsoft Windows 2003). Puesto que IAM es un servicio de Oracle Cloud Infrastructure, se encuentra en un entorno de Oracle.
En la siguiente imagen se muestra la seguridad del puente:
Si un atributo de usuario de Microsoft Active Directory tiene varios valores, el puente transfiere solo el primer valor del atributo a IAM.
Por qué utilizar el puente de AD
La mayoría de los clientes tienen Microsoft Active Directory como servicio de directorios central. Estos clientes también utilizan Microsoft Active Directory como directorio de red. Este directorio es donde todas sus estaciones de trabajo están conectadas y desde donde gestionan sus usuarios.
Además de Microsoft Active Directory, los clientes utilizan un LDAP de empresa para centralizar todas sus identidades de usuario. Por lo tanto, un cliente utiliza Microsoft Active Directory para gestionar a sus empleados, pero en el LDAP centralizado, el cliente gestiona sus partners, consumidores y cualquier otro usuario con el que el cliente tenga relaciones.
Por estos motivos, es imprescindible que IAM se pueda integrar tanto con Microsoft Active Directory como con un Enterprise LDAP (por ejemplo, Oracle Internet Directory).
- Puente de AD: este puente proporciona un enlace entre la estructura de directorios de empresa de Microsoft Active Directory e IAM. IAM se puede sincronizar con esta estructura de directorios para que los registros de usuarios o grupos nuevos, actualizados o suprimidos se transfieran a IAM. Cada minuto, el puente sondea Microsoft Active Directory para detectar cualquier cambio realizado en estos registros y lleva estos cambios a IAM. Por lo tanto, si se suprime un usuario en Microsoft Active Directory, este cambio se propagará a IAM. Como resultado, el estado de cada registro se sincroniza entre Microsoft Active Directory e IAM. Después de sincronizar el usuario de Microsoft Active Directory con IAM, si activa o desactiva un usuario, modifique los valores de atributo del usuario o cambie las afiliaciones a grupos para el usuario en IAM. A continuación, estos cambios se propagarán a Microsoft Active Directory a través del puente de AD.
- Puente de aprovisionamiento: este puente proporciona un enlace entre el LDAP de empresa (como Oracle Internet Directory) e IAM. Mediante la sincronización, los datos de cuenta que se crean y actualizan directamente en LDAP se extraen a IAM y se almacenan para los usuarios y los grupos de IAM correspondientes. Como resultado, cualquier cambio realizado en estos registros se transfiere a IAM. Debido a esto, el estado de cada registro se sincroniza entre LDAP e IAM. Consulte Gestión de puentes de aprovisionamiento.
Componentes certificados
En la siguiente tabla se muestra una lista de las versiones certificadas de IAM, Microsoft Active Directory, su sistema operativo y la estructura de software Microsoft .NET (que es necesaria para que se ejecute el puente de AD).
| IAM | AD | 64 bits | Sistema operativo | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Sí |
Windows 10 v1607 o posterior Windows Server 2016 o posterior |
Versión 4.6+ |
Estados
-
Parcialmente configurado: el puente de AD está instalado, pero no está configurado para comunicarse con el dominio de Microsoft Active Directory o con IAM.
-
Configuración: el puente de AD está instalado y configurado, y disponible para la sincronización con el dominio de Microsoft Active Directory.
-
Activo: el puente de AD está instalado y configurado, y disponible para sincronizarse con Microsoft Active Directory para recuperar cuentas y grupos de usuarios.
-
Inactivo: el puente de AD está instalado y configurado, pero no está disponible para sincronizarse con Microsoft Active Directory. Esto se realiza por motivos de rendimiento.
-
Inaccesible: el puente de AD está instalado y configurado. Sin embargo, se ha producido una de las siguientes condiciones:
-
Se para el servicio de backend utilizado para establecer la comunicación entre IAM y Microsoft Active Directory.
-
El administrador de IAM ha desinstalado el cliente asociado al puente de AD, pero el puente no se ha podido eliminar de la página Integraciones de directorios de la consola de IAM porque el cliente no se puede conectar al servidor. IAM no puede utilizar el puente para comunicarse con Microsoft Active Directory. Consulte Eliminación de un puente de Microsoft Active Directory (AD).
-
El administrador regeneró el secreto de cliente para el puente de AD y, a continuación, desinstaló el cliente para el puente.
-
Requisitos de hardware
Los requisitos mínimos de hardware son:
- 1 GB de RAM
- 1 GB de espacio de disco
- Una CPU de cuatro núcleos