Pont Microsoft AD

Le domaine auquel le client du pont AD se connecte varie en fonction du domaine de l'utilisateur connecté qui installe le client du pont AD sur le serveur Windows.

Active Directory doit être configuré pour une connexion SSL. Essayez de connecter ldp.exe avec Active Directory sur SSL. Pour vérifier la connexion SSL :

le serveur du pont AD peut être déconnecté du service IAM en raison de problèmes de connectivité réseau. Une fois la connectivité restaurée, un avis par courriel est envoyé.

L'erreur "Serveur LDAP non disponible" se produit lorsque le serveur sur lequel le client du pont AD est installé ne peut pas se connecter au contrôleur de domaine Active Directory au moyen de LDAP. Vérifiez que les services Active Directory sont en cours d'exécution (Dans la liste des services Windows, vérifiez le statut du service Contrôleur de domaine AD DS.), puis essayez de vous connecter à l'aide de l'utilitaire client ldp.exe.

Le pont AD établit une communication unidirectionnelle avec GIA. Cela signifie que GIA ne peut pas communiquer directement avec le serveur sur lequel le pont AD est installé. À la place, le pont AD scrute fréquemment GIA pour vérifier si une opération (par exemple la synchronisation) est en attente. Lorsqu'un message "Pont AD inaccessible" s'affiche, cela signifie que l'interrogation n'est pas effectuée. Voici quelques raisons pour lesquelles le pont AD peut être inaccessible.

• Le pont AD n'est pas installé.
• Le pont AD est installé mais ne peut pas accéder à GIA par Internet.
  • Vérifiez les paramètres de la connexion/du mandataire.
  • Testez la connectivité à l'aide de l'interface utilisateur du pont AD.
• Le service en arrière-plan est arrêté.
  • Démarrez Service de pont Microsoft Active Directory pour Oracle Identity Cloud Service à partir des services Windows.
  • Assurez-vous que le type de démarrage est réglé à Automatique.

Lorsque vous voyez le message "Aucune synchronisation active" dans la console, vous pouvez l'ignorer en toute sécurité.

Ce message n'indique pas qu'il y a un problème. Cela signifie qu'une synchronisation n'est actuellement pas en cours. La synchronisation suivante sera exécutée selon l'intervalle défini pour le domaine dans la page de configuration. Ou, elle peut également être déclenchée manuellement.

Étant donné que la synchronisation incrémentielle ne lit que les données modifiées, une synchronisation peut se produire très rapidement et il peut arriver que le message "Aucune synchronisation active" ne disparaît jamais. Vous pouvez toujours vérifier le statut de la dernière synchronisation dans la page Importer de ce domaine particulier.

Le déplacement du contrôleur de domaine ne devrait pas entraîner de problème. Vérifiez la connectivité du contrôleur de domaine à l'aide de l'option Tester la connectivité de l'interface utilisateur du pont AD. S'il y a un problème dans la communication entre le pont AD et le contrôleur de domaine (LDAP), sélectionnez Détecter le contrôleur de domaine pour déterminer si le contrôleur de domaine est accessible.

Les captures d'écran suivantes illustrent des exemples de tests de connexion réussis.

La cause dépend de laquelle des trois méthodes d'authentification (énumérées ci-dessous) sont utilisées pour la connexion des utilisateurs Active Directory. Ces méthodes peuvent être modifiées à l'aide de la page de configuration du domaine. La fonctionnalité de connexion fonctionne différemment dans chaque cas.

• Authentification locale (par défaut) : Après la synchronisation, les utilisateurs reçoivent un message d'accueil les invitant à modifier le mot de passe de leur compte. Ils doivent utiliser le nom d'utilisateur (AD) et le mot de passe fournis qu'ils ont définis pour se connecter à leur compte.

  Action à exécuter : Vérifiez si l'utilisateur est présent dans GIA. (La synchronisation de l'utilisateur a peut-être échoué en raison de données non valides.) Si l'utilisateur existe, essayez de réinitialiser le mot de passe à partir de GIA.

• Authentification déléguée : Avec l'authentification locale, vous pouvez activer la délégation depuis AD. Avec l'authentification déléguée, les utilisateurs ne créeront pas de mot de passe, mais utiliseront leurs mots de passe AD existants pour se connecter. GIA délègue l'authentification de l'utilisateur à AD au moyen du pont AD.

  Action à exécuter : Vérifiez si l'utilisateur est présent dans GIA. En outre, vérifiez si l'utilisateur est actif dans AD et assurez-vous que le mot de passe n'a pas expiré.

• Authentification fédérée : Cette méthode utilise un service tiers tel que Microsoft AD FS pour authentifier l'utilisateur.

  Action à exécuter : Vérifiez la configuration du service tiers.

Pour vous guider, reportez-vous aux captures d'écran suivantes.

Lorsque vous ne pouvez pas activer la fédération, vérifiez si l'authentification déléguée est activée. Si l'authentification déléguée est activée, l'authentification fédérée ne peut pas être activée. Pour l'activer, procédez comme suit :

Lorsque vous ne pouvez pas activer l'authentification déléguée, procédez comme suit :

Pour remplacer votre nom d'utilisateur de connexion par une adresse de courriel, utilisez l'étape suivante :

Le pont AD enregistre les mises à jour dans Active Directory à l'aide de jetons de synchronisation et d'un numéro de séquence de mise à jour (USN). La précédente valeur USN la plus élevée est stockée et une synchronisation incrémentielle est exécutée à tout moment ; GIA lit les données de la valeur USN stockée vers la valeur USN la plus récente.

Parfois, en raison de facteurs tels que la modification d'un contrôleur de domaine, les numéros USN sont corrompus (si un nouveau contrôleur de domaine a une valeur USN supérieure à celle du contrôleur de domaine précédent), ce qui empêche la synchronisation des utilisateurs. Une synchronisation complète n'utilise pas de jetons, c'est pourquoi les utilisateurs apparaissent lorsqu'une synchronisation de ce type est exécutée.

Les mappages d'attribut peuvent être modifiés à tout moment. Assurez-vous d'effectuer une synchronisation complète après avoir enregistré la nouvelle configuration. Les données d'utilisateur seront mises à jour par la synchronisation complète. Si vous ne procédez pas à une synchronisation complète, les données d'utilisateur existantes restent les mêmes et les nouveaux utilisateurs auront des données mises à jour.

Vous pouvez supprimer certains courriels et avis générés automatiquement.

GIA conserve un mappage de tous les utilisateurs AD (identificateur GIA mappé à l'identificateur AD). Lorsque l'utilisateur est supprimé de la synchronisation active en raison, par exemple, d'une nouvelle condition de filtre, l'enregistrement dans IAM est conservé et seul le mappage est supprimé. La suppression du mappage est appelée détachement.

Il ne s'agit pas de suppression, car l'utilisateur n'est pas supprimé d'Active Directory. Si les filtres sont réinitialisés, l'utilisateur est lié de nouveau.

Pour connaître le nombre de ponts AD que vous pouvez installer pour votre type de domaine d'identité, voir Limites d'objet de domaine d'identité IAM.

Un seul pont peut être installé sur le même ordinateur Windows Server. Un seul pont peut être installé. Pour utiliser la haute disponibilité, vous devez avoir plusieurs machines connectées au même domaine AD.

Lorsqu'une nouvelle version du client du pont AD est disponible :

• Vous devez toujours effectuer la mise à niveau.
• Assurez-vous de ne pas revenir à la version courante. La réinstallation de la version courante supprime le pont existant et peut entraîner des échecs d'authentification et de synchronisation.

Il n'est pas nécessaire de désinstaller le pont AD existant pour effectuer la mise à niveau vers une version plus récente.

Vous pouvez vérifier le numéro de version dans l'interface utilisateur du pont AD.

Les données existantes ne sont pas touchées en raison d'une mise à niveau et vous pouvez effectuer une synchronisation incrémentielle. Le programme de synchronisation ne sera pas affecté non plus, et la synchronisation suivante sera effectuée conformément à votre configuration.

Nous ne recommandons pas de déclasser le client du pont AD.

Si vous décidez de déclasser le client, vous devez désinstaller le client de pont AD courant, ce qui peut entraîner un temps d'arrêt des services (synchronisation, authentification déléguée, etc.).

Vous pouvez ensuite installer la version souhaitée.

• Vérifiez la configuration des unités organisationnelles dans la page Intégrations de répertoires. Vous devez sélectionner les unités organisationnelles pour les groupes et les utilisateurs séparément. Même si vous avez la même unité organisationnelle pour les groupes et les utilisateurs, vous devez les sélectionner séparément. Veillez à enregistrer la page de configuration après avoir effectué les modifications.
• Vérifiez le filtre utilisé pour les utilisateurs/groupes dans la page de configuration. Utilisez PowerShell pour exécuter le filtre et vérifier si vos utilisateurs sont visibles.
• Vérifiez la connectivité réseau entre le client du pont AD et GIA. (Uniquement si certains enregistrements échouent.)
• Vérifiez le fichier journal IDBridge (option "Voir les journaux" dans l'interface utilisateur du pont AD). Recherchez une erreur semblable à la suivante :
  

Lorsque vous devez effectuer un vidage d'unité d'exécution du service de pont AD sur un ordinateur sur lequel le pont AD est installé, procédez comme suit.

Les filtres peuvent empêcher la synchronisation des nouveaux utilisateurs et groupes dans le service IAM.

Dans tous ces cas, la demande d'authentification échoue, sauf si la mise en mémoire cache de mot de passe est activée et que le mot de passe est disponible dans la mémoire cache.

Pour les trois premiers scénarios, le service reprendra lorsque le problème de système/connectivité en aval sera résolu.

Pour le dernier scénario, le service reprend lorsque la charge de demandes concurrentes diminue.

Si la mise en mémoire cache de mot de passe est activée et qu'il n'y a pas de mot de passe en mémoire cache, ou si le mot de passe en mémoire cache a expiré, l'utilisateur se connecte au système la prochaine fois qu'il est stocké.

L'expiration par défaut d'un mot de passe est de cinq jours, mais vous pouvez la modifier dans les paramètres d'authentification déléguée.

En cas d'échec de l'installation du pont AD, ceci est dû à :

• Dépassement du nombre de domaines d'identité pour votre type de domaine d'identité.
• Dépassement du nombre de clients du pont AD pour votre type de domaine d'identité.

Pour connaître le nombre de domaines d'identité ou de ponts AD que vous pouvez installer pour votre type de domaine d'identité, voir Limites des objets du domaine d'identité IAM.

Notez que l'entrée de l'attribut d'utilisateur de Directory ne se fait pas au moyen d'une sélection dans une liste déroulante mais à l'aide d'une zone de texte suggestive. Vous pouvez écrire n'importe quel attribut dans la zone de texte, même si cet attribut n'est pas présent dans AD.

Assurez-vous de saisir correctement l'attribut (y compris les caractères majuscules et minuscules) tel qu'il apparaît exactement dans Active Directory.

Si vous ne le faites pas, vous ne verrez pas d'erreur lors de l'enregistrement du mappage, mais la synchronisation AD sera touchée et il ne sera pas possible d'extraire cet attribut d'Active Directory.

Un domaine configuré partiellement signifie qu'aucune unité opérationnelle n'est sélectionnée dans la page de configuration. La sélection d'une unité organisationnelle pour les utilisateurs et/ou pour les groupes est requise pour configurer le domaine à des fins de synchronisation. En attendant, il n'y a rien à importer et l'importation reste désactivée.