Pont Microsoft AD

Le domaine auquel le client du pont AD se connecte varie en fonction du domaine de l'utilisateur connecté qui installe le client du pont AD sur le serveur Windows.

Active Directory doit être configuré pour une connexion SSL. Essayez de connecter ldp.exe avec Active Directory sur SSL. Pour vérifier la connexion SSL :

le serveur du pont AD peut être déconnecté du service IAM en raison de problèmes de connectivité réseau. Une fois la connectivité rétablie, un avis par courriel est envoyé.

L'erreur "Serveur LDAP non disponible" se produit lorsque le serveur sur lequel le client du pont AD est installé ne peut pas se connecter au contrôleur de domaine Active Directory au moyen de LDAP. Vérifiez que les services Active Directory sont en cours d'exécution (Dans la liste des services Windows, vérifiez le statut du service Contrôleur de domaine AD DS.), puis essayez de vous connecter à l'aide de l'utilitaire client ldp.exe.

Le pont AD dispose d'une communication unidirectionnelle avec IAM. Cela signifie qu'IAM ne peut pas communiquer directement avec le serveur sur lequel le pont AD est installé. Au lieu de cela, le pont AD interroge fréquemment le service IAM pour vérifier si une opération (telle que la synchronisation) est en attente. Lorsqu'un message "Pont AD inaccessible" s'affiche, cela signifie que l'interrogation n'est pas effectuée. Voici quelques raisons pour lesquelles le pont AD peut être inaccessible.

• Le pont AD n'est pas installé.
• Le pont AD est installé mais il est impossible d'accéder à IAM par Internet.
  • Vérifiez les paramètres de la connexion/du mandataire.
  • Testez la connectivité à l'aide de l'interface utilisateur du pont AD.
• Le service en arrière-plan est arrêté.
  • Démarrez le service de pont Microsoft Active Directory pour Identity Cloud Service à partir des services Windows.
  • Assurez-vous que le type de démarrage est réglé à Automatique.

Lorsque le message "Aucune synchronisation active" s'affiche dans la console, vous pouvez l'ignorer en toute sécurité.

Ce message n'indique pas qu'il y a un problème. Une synchronisation n'est donc pas en cours. La synchronisation suivante sera exécutée selon l'intervalle défini pour le domaine dans la page de configuration. Ou, elle peut également être déclenchée manuellement.

Étant donné que la synchronisation incrémentielle ne lit que les données modifiées, une synchronisation peut se produire très rapidement et il peut arriver que le message "Aucune synchronisation active" ne disparaît jamais. Vous pouvez toujours vérifier le statut de la dernière synchronisation dans la page Importer de ce domaine particulier.

Le déplacement du contrôleur de domaine ne devrait pas entraîner de problème. Vérifiez la connectivité du contrôleur de domaine à l'aide de l'option Tester la connectivité de l'interface utilisateur du pont AD. S'il y a un problème dans la communication entre le pont AD et le contrôleur de domaine (LDAP), sélectionnez Détecter le contrôleur de domaine pour déterminer si le contrôleur de domaine est accessible.

Les captures d'écran suivantes illustrent des exemples de tests de connexion réussis.

La cause dépend de la méthode d'authentification, parmi celles énumérées ci-dessous, qui est utilisée pour la connexion des utilisateurs Active Directory. Ces méthodes peuvent être modifiées à l'aide de la page de configuration du domaine. La fonctionnalité de connexion fonctionne différemment dans chaque cas.

• Authentification locale (par défaut) : Après la synchronisation, les utilisateurs reçoivent un message d'accueil les invitant à modifier le mot de passe de leur compte. Ils doivent utiliser le nom d'utilisateur (AD) et le mot de passe fournis qu'ils ont définis pour se connecter à leur compte.

  Action à effectuer : Vérifiez si l'utilisateur est présent dans IAM. (La synchronisation de l'utilisateur a peut-être échoué en raison de données non valides.) Si l'utilisateur existe, essayez de réinitialiser le mot de passe à partir du service IAM.

• Authentification déléguée : Avec l'authentification locale, vous pouvez activer la délégation depuis AD. Avec l'authentification déléguée, les utilisateurs ne créeront pas de mot de passe, mais utiliseront leurs mots de passe AD existants pour se connecter. IAM délègue l'authentification de l'utilisateur à AD au moyen du pont AD.

  Action à effectuer : Vérifiez si l'utilisateur est présent dans IAM. En outre, vérifiez si l'utilisateur est actif dans AD et assurez-vous que le mot de passe n'a pas expiré.

• Authentification fédérée : Cette méthode utilise un service tiers tel que Microsoft AD FS pour authentifier l'utilisateur.

  Action à exécuter : Vérifiez la configuration du service tiers.

Pour vous guider, reportez-vous aux captures d'écran suivantes.

Lorsque vous ne parvenez pas à activer la fédération, vérifiez si l'authentification déléguée est activée. Si l'authentification déléguée est activée, l'authentification fédérée ne peut pas être activée. Pour l'activer, procédez comme suit :

Lorsque vous ne pouvez pas activer l'authentification déléguée, procédez comme suit :

Lorsque vous souhaitez remplacer votre nom d'utilisateur de connexion par une adresse de courriel, procédez comme suit :

Le pont AD enregistre les mises à jour dans Active Directory à l'aide de jetons de synchronisation et d'un numéro de séquence de mise à jour (USN). La valeur USN la plus élevée précédente est stockée et chaque fois qu'une synchronisation incrémentielle est exécutée; IAM lit les données de l'USN stocké vers le dernier USN.

Parfois, en raison de facteurs tels que la modification d'un contrôleur de domaine, les numéros USN sont corrompus (si un nouveau contrôleur de domaine a une valeur USN supérieure à celle du contrôleur de domaine précédent), ce qui empêche la synchronisation des utilisateurs. Une synchronisation complète n'utilise pas de jetons, c'est pourquoi les utilisateurs apparaissent lorsqu'une synchronisation de ce type est exécutée.

Les mappages d'attribut peuvent être modifiés à tout moment. Assurez-vous d'effectuer une synchronisation complète après avoir enregistré la nouvelle configuration. Les données d'utilisateur seront mises à jour par la synchronisation complète. Si vous ne procédez pas à une synchronisation complète, les données d'utilisateur existantes restent les mêmes et les nouveaux utilisateurs auront des données mises à jour.

Vous pouvez supprimer certains courriels et notifications générés automatiquement.

IAM conserve un mappage de tous les utilisateurs AD (identificateur IAM mappé à l'identificateur AD). Lorsque l'utilisateur est supprimé de la synchronisation active en raison, par exemple, d'une nouvelle condition de filtre, l'enregistrement dans IAM est conservé et seul le mappage est supprimé. La suppression du mappage est appelée dissociation.

Il ne s'agit pas de suppression, car l'utilisateur n'est pas supprimé d'Active Directory. Si les filtres sont réinitialisés, l'utilisateur est lié de nouveau.

Pour savoir combien de ponts AD vous pouvez installer pour votre type de domaine d'identité, voir Limites d'objet de domaine d'identité IAM.

Un seul pont peut être installé sur le même ordinateur Windows Server. Un seul pont peut être installé. Pour utiliser la haute disponibilité, vous devez connecter plusieurs machines au même domaine AD.

Lorsqu'une nouvelle version du client du pont AD est disponible :

• Vous devez toujours effectuer une mise à niveau.
• Assurez-vous de ne plus utiliser la version courante. La réinstallation de la version courante supprime le pont existant et peut entraîner des échecs d'authentification et de synchronisation.

Il n'est pas nécessaire de désinstaller le pont AD existant pour effectuer la mise à niveau vers une version plus récente.

Vous pouvez vérifier le numéro de version dans l'interface utilisateur du pont AD.

Les données existantes ne sont pas touchées en raison d'une mise à niveau et vous pouvez effectuer une synchronisation incrémentielle. Le programme de synchronisation ne sera pas affecté non plus, et la synchronisation suivante sera effectuée conformément à votre configuration.

Il n'est pas recommandé de déclasser le client du pont AD.

Si vous décidez de déclasser le client, vous devez désinstaller le client actuel du pont AD, ce qui peut entraîner un temps d'arrêt des services (synchronisation, authentification déléguée, etc.).

Vous pouvez ensuite installer la version souhaitée.

• Vérifiez la configuration des unités organisationnelles dans la page Intégrations de répertoires. Vous devez sélectionner les unités organisationnelles pour les groupes et les utilisateurs séparément. Même si vous avez la même unité organisationnelle pour les groupes et les utilisateurs, vous devez les sélectionner séparément. Veillez à enregistrer la page de configuration après avoir effectué les modifications.
• Vérifiez le filtre utilisé pour les utilisateurs/groupes dans la page de configuration. Utilisez PowerShell pour exécuter le filtre et vérifier si vos utilisateurs sont visibles.
• Vérifiez la connectivité réseau du client du pont AD vers IAM. (Uniquement si certains enregistrements échouent.)
• Vérifiez le fichier journal IDBridge (option "Voir les journaux" dans l'interface utilisateur du pont AD). Recherchez une erreur semblable à la suivante :
  

Lorsque vous devez effectuer un dump d'unités d'exécution du service de pont AD sur un ordinateur de pont AD, procédez comme suit.

Les filtres peuvent empêcher la synchronisation des nouveaux utilisateurs et groupes dans IAM.

Dans tous ces cas, la demande d'authentification échoue à moins que la mise en mémoire cache de mot de passe ne soit activée et que le mot de passe soit disponible dans la mémoire cache.

Pour les trois premiers scénarios, le service reprend lorsque le problème de système/connectivité en aval est résolu.

Pour le dernier scénario, le service reprend lorsque la charge de demandes concurrentes diminue.

Si la mise en cache du mot de passe est activée et qu'il n'y a pas de mot de passe en mémoire cache, ou si le mot de passe en mémoire cache a expiré, l'utilisateur se connectera avec succès au système lorsque le mot de passe sera stocké.

L'expiration par défaut d'un mot de passe est de cinq jours, mais vous pouvez le modifier dans les paramètres d'authentification déléguée.

Lorsque l'installation du pont AD échoue, cela est dû aux éléments suivants :

• Dépassement du nombre de domaines d'identité pour votre type de domaine d'identité.
• Dépassement du nombre de clients du pont AD pour votre type de domaine d'identité.

Pour savoir combien de domaines d'identité ou de ponts AD vous pouvez installer pour votre type de domaine d'identité, voir Limites d'objet de domaine d'identité IAM.

Notez que l'entrée de l'attribut d'utilisateur de Directory ne se fait pas au moyen d'une sélection dans une liste déroulante mais à l'aide d'une zone de texte suggestive. Vous pouvez écrire n'importe quel attribut dans la zone de texte, même si cet attribut n'est pas présent dans AD.

Assurez-vous de saisir correctement l'attribut (y compris les caractères majuscules et minuscules) tel qu'il apparaît exactement dans Active Directory.

Si vous ne le faites pas, vous ne verrez pas d'erreur au moment de l'enregistrement du mappage, mais votre synchronisation de domaine de disponibilité sera touchée et il ne pourra pas extraire cet attribut d'Active Directory.

Un domaine configuré partiellement signifie qu'aucune unité opérationnelle n'est sélectionnée dans la page de configuration. La sélection d'une unité organisationnelle pour les utilisateurs et/ou pour les groupes est requise pour configurer le domaine à des fins de synchronisation. En attendant, il n'y a rien à importer et l'importation reste désactivée.