Configuration d'un pont Microsoft Active Directory
Le pont de Microsoft Active Directory (AD) fournit un lien entre la structure d'annuaire d'entreprise Microsoft Active Directory et IAM.
Le pont AD n'est nécessaire que si vous disposez d'un contrôleur de domaine Windows sur site et que vous n'avez pas d'ID Entra (anciennement Azure AD). Si vous utilisez Entra ID, vous pouvez configurer la synchronisation directement d'Azure vers OCI IAM sans installer de logiciel. Reportez-vous aux instructions fournies dans Tutoriels OCI IAM avec Microsoft Entra ID.
Comprendre le pont AD
IAM peut se synchroniser avec cette structure d'annuaire de sorte que tous les enregistrements d'utilisateur ou de groupe mis à jour, nouveaux ou supprimés soient transférés vers IAM. Toutes les minutes, le Pont AD interroge Microsoft Active Directory pour déceler les modifications apportées à ces enregistrements et les inclut dans IAM. Par conséquent, si un utilisateur est supprimé dans Microsoft Active Directory, cette modification a été propagée dans IAM. Du fait de cette synchronisation, l'état de chaque enregistrement est synchronisé entre Microsoft Active Directory et IAM.
Une fois les utilisateurs synchronisés vers IAM à partir de Microsoft Active Directory, si vous activez ou désactivez un utilisateur, modifiez les valeurs d'attribut de l'utilisateur ou les appartenances de groupes pour l'utilisateur dans IAM, ces modifications sont propagées vers Microsoft Active Directory via le pont.
Les unités organisationnelles Microsoft Active Directory contiennent les utilisateurs et les groupes importés dans IAM.
Vous pouvez configurer IAM pour la synchronisation avec des domaines Microsoft Active Directory en installant un pont pour chaque domaine.
Pour le repérage automatique, vous devez installer le pont sur l'ordinateur attaché au domaine Microsoft Active Directory. Vous n'avez pas besoin d'installer le pont sur le contrôleur de domaine.
L'image suivante présente la synchronisation de l'annuaire entrant :
L'image suivante présente la synchronisation de l'annuaire sortant :
Dans le diagramme ci-dessus, Clarence Saladna (CSALADNA) est un utilisateur qui a été synchronisé de Microsoft Active Directory à IAM via le pont. Dans IAM, un administrateur désactive le compte de Clarence car il y est en vacances. De plus, Clarence a reçu une promotion et appartient à un nouveau poste de directeur et appartient à différents groupes associés à ce nouveau rôle, comme les groupes Executive et Management. Le pont peut être utilisé pour propager ces modifications vers Microsoft Active Directory.
Les ponts et votre structure d'annuaire d'entreprise Microsoft Active Directory se trouvent dans l'environnement Microsoft Windows (par exemple Microsoft Windows 2003). IAM étant un service Oracle Cloud Infrastructure, il se trouve dans un environnement Oracle.
L'image suivante présente la sécurité du pont :
Si un attribut utilisateur Microsoft Active Directory possède plusieurs valeurs, le pont transfère uniquement la première valeur de l'attribut vers IAM.
Pourquoi utiliser le pont AD
La plupart des clients utilisent le service d'annuaire central Microsoft Active Directory. Ces clients utilisent également Microsoft Active Directory comme répertoire réseau. Ce répertoire est le point à partir duquel tous leurs postes sont connectés et sur lequel ils gèrent leurs utilisateurs.
Outre Microsoft Active Directory, les clients utilisent un annuaire LDAP d'entreprise pour centraliser toutes leurs identités utilisateur. Ainsi, un client utilise Microsoft Active Directory pour gérer ses employés, mais dans l'annuaire LDAP centralisé, il gère leurs partenaires, ses destinataires et tout autre utilitaire avec lequel il entretient des relations.
Pour ces raisons, il est impératif qu'IAM puisse s'intégrer à Microsoft Active Directory et à un annuaire LDAP d'entreprise (par exemple, Oracle Internet Directory).
- pont AD : ce pont fournit un lien entre votre structure d'annuaire d'entreprise Microsoft Active Directory et IAM. IAM peut se synchroniser avec cette structure d'annuaire de sorte que tous les enregistrements d'utilisateur ou de groupe mis à jour, nouveaux ou supprimés soient transférés vers IAM. Toutes les minutes, le pont interroge Microsoft Active Directory pour déceler les modifications apportées à ces enregistrements et les inclut dans IAM. Par conséquent, si un utilisateur est supprimé dans Microsoft Active Directory, cette modification sera propagée dans IAM. De ce fait, l'état de chaque enregistrement est synchronisé entre Microsoft Active Directory et IAM. Une fois l'utilisateur synchronisé à partir de Microsoft Active Directory avec IAM, si vous activez ou désactivez un utilisateur, modifiez les valeurs d'attribut de l'utilisateur ou modifiez les appartenances aux groupes pour l'utilisateur dans IAM, ces modifications sont propagées vers Microsoft Active Directory via le Pont AD.
- Pont de provisionnement : ce pont fournit un lien entre l'annuaire LDAP d'entreprise (comme Oracle Internet Directory) et IAM. Par la synchronisation, les données de compte créées et mises à jour directement sur l'annuaire LDAP est extraites vers IAM, et stockées pour les utilisateurs et groupes IAM correspondants. Par conséquent, toutes les modifications apportées à ces enregistrements sont transférées vers IAM. De ce fait, l'état de chaque enregistrement est synchronisé entre LDAP et IAM. Reportez-vous à Gestion des ponts de provisionnement.
Composants certifiés
Le tableau suivant répertorie les versions certifiées d'IAM, de Microsoft Active Directory, de votre système d'exploitation et de la structure logicielle Microsoft .NET (requise pour l'exécution du Pont AD).
| IAM | AD | 64 bits | Système d'exploitation | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Oui |
Windows 10 v1607 ou version ultérieure Windows Server 2016 ou version ultérieure |
Version 4.6+ |
Statuts
-
Partiellement configuré : le bridge AD est installé, mais il n'est pas configuré pour communiquer avec le domaine Microsoft Active Directory ou avec IAM.
-
Configuré : le Pont AD est installé et configuré, et disponible pour synchronisation avec le domaine Microsoft Active Directory.
-
Actif : le bridge AD est installé et configuré, et disponible pour synchronisation avec Microsoft Active Directory afin d'extraire les comptes utilisateur et les groupes.
-
Inactif : le Pont AD est installé et configuré, mais il n'est pas disponible pour synchronisation avec Microsoft Active Directory. Cette opération est effectuée pour des raisons de performances.
-
Inaccessible : le bridge AD est installé et configuré. Toutefois, l'une des situations suivantes est survenue :
-
Le service back-end utilisé pour établir la communication entre IAM et Microsoft Active Directory est arrêté.
-
L'administrateur IAM a désinstallé le client associé au ponts AD, mais ce dernier n'a pas pu être enlevé de la page Intégrations Directory de la console IAM car le client n'a pas pu se connecter au serveur. IAM ne peut pas utiliser le pont pour communiquer avec Microsoft Active Directory. Reportez-vous à Suppression d'un pont Microsoft Active Directory (AD).
-
L'administrateur a régénéré la clé secrète client du pont AD, puis désinstallé le client du pont.
-
Configuration matérielle
La configuration matérielle minimale requise est la suivante :
- 1 Go de RAM
- 1 Go d'espace disque
- UC à quatre coeurs