Configuration d'un pont Microsoft Active Directory
Le pont Microsoft Active Directory (AD) fournit un lien entre une structure de répertoires d'entreprise Microsoft Active Directory et IAM.
Le pont AD n'est nécessaire que si vous disposez d'un contrôleur de domaine Windows sur place et que vous n'avez pas d'ID Entra (anciennement Azure AD). Si vous utilisez Entra ID, vous pouvez configurer la synchronisation directement d'Azure vers OCI IAM sans installer de logiciel. Consultez les conseils dans le service IAM pour OCI avec les tutoriels Microsoft Entra ID.
Comprendre le pont AD
GIA peut se synchroniser avec cette structure de répertoire de sorte que tous les enregistrements d'utilisateur ou de groupe nouveaux, mis à jour ou supprimés soient transférés dans GIA. Chaque minute, le pont AD interroge Microsoft Active Directory pour toute modification apportée à ces enregistrements et apporte ces modifications dans IAM. Ainsi, si un utilisateur est supprimé dans Microsoft Active Directory, cette modification est propagée dans IAM. En raison de cette synchronisation, l'état de chaque enregistrement est synchronisé entre Microsoft Active Directory et IAM.
Une fois les utilisateurs synchronisés de Microsoft Active Directory à IAM, si vous activez ou désactivez un utilisateur, modifiez les valeurs d'attribut de l'utilisateur ou modifiez l'appartenance au groupe pour l'utilisateur dans IAM, ces modifications sont propagées à Microsoft Active Directory au moyen du pont.
Les unités organisationnelles de Microsoft Active Directory contiennent les utilisateurs et les groupes importés dans IAM.
Vous pouvez configurer le service IAM pour effectuer une synchronisation avec un ou plusieurs domaines Microsoft Active Directory en installant un pont pour chaque domaine.
Vous devez installer le pont sur l'ordinateur connecté au domaine Microsoft Active Directory pour la détection automatique. Vous n'avez pas besoin d'installer le pont sur le contrôleur de domaine.
L'illustration suivante présente la synchronisation de répertoire entrant :
L'illustration suivante présente la synchronisation de répertoire sortant :
Dans le diagramme ci-dessus, Clarence Saladna (CSALADNA) est un utilisateur qui a été synchronisé de Microsoft Active Directory à IAM au moyen du pont. Dans le service IAM, un administrateur désactive le compte de Clarence, car il est en vacances. De plus, Clarence ayant reçu une promotion, son nouveau titre d'emploi est Directeur et il appartient aux différents groupes associés à son nouveau rôle, notamment les groupes Direction et Gestion. Le pont peut être utilisé pour propager ces modifications dans Microsoft Active Directory.
Les ponts et votre structure de répertoire d'entreprise Microsoft Active Directory se trouvent dans votre environnement Microsoft Windows (par exemple, Microsoft Windows 2003). Comme le service IAM est un service Oracle Cloud Infrastructure, il se trouve dans un environnement Oracle.
L'illustration suivante présente la sécurité du pont :
Si un attribut d'utilisateur Microsoft Active Directory est multivaleur, le pont transfère uniquement la première valeur de l'attribut dans IAM.
Pourquoi utiliser le pont AD
La plupart des clients utilisent Microsoft Active Directory comme service de répertoire central. Ces clients utilisent également Microsoft Active Directory comme répertoire de réseau. Ce répertoire est l'endroit auquel tous les postes de travail des utilisateurs sont connectés et à partir duquel ils les gèrent.
En plus de Microsoft Active Directory, les clients utilisent un LDAP d'entreprise pour centraliser toutes leurs identités d'utilisateur. Ainsi, un client utilise Microsoft Active Directory pour gérer ses employés, mais dans le serveur LDAP centralisé, il gère ses partenaires, ses consommateurs et tous les autres utilisateurs avec lesquels il est lié.
Pour ces raisons, il est impératif qu'IAM puisse s'intégrer à Microsoft Active Directory et à un référentiel LDAP d'entreprise (par exemple, Oracle Internet Directory).
- Pont AD : Ce pont fournit un lien entre la structure de votre répertoire d'entreprise Microsoft Active Directory et IAM. GIA peut se synchroniser avec cette structure de répertoire de sorte que tous les enregistrements d'utilisateur ou de groupe nouveaux, mis à jour ou supprimés soient transférés dans GIA. Chaque minute, le pont interroge Microsoft Active Directory pour toute modification apportée à ces enregistrements et apporte ces modifications dans IAM. Ainsi, si un utilisateur est supprimé dans Microsoft Active Directory, cette modification sera propagée dans IAM. Par conséquent, l'état de chaque enregistrement est synchronisé entre Microsoft Active Directory et IAM. Une fois l'utilisateur synchronisé de Microsoft Active Directory à IAM, si vous activez ou désactivez un utilisateur, modifiez les valeurs d'attribut de l'utilisateur ou modifiez l'appartenance au groupe pour l'utilisateur dans IAM, ces modifications sont propagées à Microsoft Active Directory au moyen du pont AD.
- Pont de provisionnement : Ce pont fournit un lien entre votre serveur LDAP d'entreprise (tel qu'Oracle Internet Directory) et GIA. Au moyen de la synchronisation, les données de compte créées et mises à jour directement dans le serveur LDAP sont extraites dans GIA et stockées pour les utilisateurs et les groupes GIA correspondants. Par conséquent, toutes les modifications apportées à ces enregistrements sont transférées dans le service IAM. Ainsi, l'état de chaque enregistrement est synchronisé entre le serveur LDAP et GIA. Voir Gestion des ponts de provisionnement.
Composants certifiés
Le tableau suivant répertorie les versions certifiées pour IAM, Microsoft Active Directory, votre système d'exploitation et le cadre logiciel Microsoft .NET (nécessaire pour l'exécution du pont AD).
| Service IAM | AD | 64 bits | Système d'exploitation | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Oui |
Windows 10 v1607 ou version ultérieure Windows Server 2016 ou version ultérieure |
Version 4.6+ |
Statuts
-
Partiellement configuré : Le pont AD est installé, mais il n'est pas configuré pour communiquer avec le domaine Microsoft Active Directory ou IAM.
-
Configuré : Le pont AD est installé et configuré, et il est disponible pour la synchronisation avec le domaine Microsoft Active Directory.
-
Actif : Le pont AD est installé et configuré, et il est disponible pour la synchronisation avec Microsoft Active Directory afin d'extraire les comptes d'utilisateur et les groupes d'utilisateurs.
-
Inactif : Le pont AD est installé et configuré, mais il ne peut pas être synchronisé avec Microsoft Active Directory. Cette opération est effectuée pour des raisons de performances.
-
Inaccessible : Le pont AD est installé et configuré. Toutefois, une des conditions suivantes s'est produite :
-
Le service dorsal utilisé pour établir la communication entre IAM et Microsoft Active Directory est arrêté.
-
L'administrateur IAM a désinstallé le client associé au pont AD, mais le pont n'a pas pu être supprimé de la page Intégrations de répertoires de la console IAM, car le client ne peut pas se connecter au serveur. Le service IAM ne peut pas utiliser le pont pour communiquer avec Microsoft Active Directory. Voir Suppression d'un pont Microsoft Active Directory (AD).
-
L'administrateur a régénéré la clé secrète client pour le pont AD, puis a désinstallé le client pour ce dernier.
-
Exigences relatives au matériel
Les exigences minimales relatives au matériel sont les suivantes :
- 1 Go de mémoire vive
- 1 Go d'espace disque
- 1 UC à quatre coeurs