Pont Microsoft AD

Le domaine auquel le client de pont AD est connecté est déterminé par le domaine de l'utilisateur connecté qui installe le client de pont AD sur Windows Server.

Active Directory doit être configuré pour une connexion SSL. Essayez de connecter ldp.exe à Active Directory sur SSL. Pour vérifier la connexion SSL, procédez comme suit :

en raison de problèmes de connectivité réseau, le serveur du pont AD peut se déconnecter d'IAM. Une fois la connectivité restaurée, une notification par courriel est envoyée.

L'erreur de serveur LDAP indisponible survient lorsque le serveur sur lequel le client de pont AD est installé est incapable de se connecter au contrôleur de domaine Active Directory via LDAP. Vérifiez que les services Active Directory sont en cours d'exécution (dans la liste Services Windows, vérifiez le statut du service de contrôleur de domaine AD DS), puis essayez de vous connecter à l'aide de l'utilitaire client ldp.exe.

Le pont AD communique unidirectionnellement avec IAM. Cela signifie qu'IAM ne peut pas communiquer directement avec le serveur sur lequel est installé le pont AD. Au lieu de cela, le pont AD interroge fréquemment IAM pour vérifier si des opérations (comme une synchronisation) sont en attente. Le message indiquant que le pont AD est inaccessible signifie que l'interrogation n'est pas effectuée. Voici quelques raisons qui peuvent expliquer l'inaccessibilité du pont AD.

• Le pont AD n'est pas installé.
• Le pont AD est installé mais ne peut pas accéder à IAM via Internet.
  • Vérifiez vos paramètres de connexion/proxy.
  • Testez la connectivité à l'aide de l'interface utilisateur du pont AD.
• Le service en arrière-plan est arrêté.
  • Démarrez le service de pont Microsoft Active Directory Identity Cloud Service à partir des services Windows.
  • Assurez-vous que le type de démarrage est automatique.

Lorsque le message "Aucune synchronisation active" s'affiche dans la console, vous pouvez l'ignorer en toute sécurité.

Ce message ne révèle pas de problème. Cela signifie qu'aucune synchronisation n'est en cours actuellement. La synchronisation suivante sera exécutée en fonction de l'intervalle défini pour le domaine via la page de configuration. Elle peut également être déclenchée manuellement.

Etant donné qu'une synchronisation incrémentielle ne lit que les données modifiées, la synchronisation peut être très rapide et il peut sembler que le message Aucune synchronisation active ne disparaisse jamais. Vous pouvez toujours vérifier le dernier statut de synchronisation à partir de la page Importer pour ce domaine particulier.

Le déplacement du contrôleur de domaine ne doit entraîner aucun problème. Vérifiez les connexions du contrôleur de domaine à l'aide de l'option Tester les connexions dans l'interface utilisateur de pont AD. Si la communication (LDAP) entre le pont AD et les contrôleurs de domaine présente un problème, sélectionnez Détecter les contrôleurs de domaine pour détecter plus efficacement si le contrôleur de domaine est accessible.

Les captures d'écran suivantes sont des exemples de tests de connexion réussis.

La cause dépend de la méthode d'authentification employée pour les connexions des utilisateurs Active Directory (AD) parmi les trois méthodes répertoriées ci-dessous. Ces méthodes peuvent être modifiées à l'aide de la page d'installation de domaine. La fonctionnalité de connexion fonctionne différemment dans chaque cas.

• Authentification locale (par défaut) : après la synchronisation, les utilisateurs reçoivent une notification de bienvenue leur indiquant de modifier le mot de passe de leur compte. Ils doivent se servir du nom utilisateur fourni (à partir d'AD) et du mot de passe qu'ils ont défini pour se connecter à leur compte.

  Action à effectuer : vérifiez si l'utilisateur est présent dans IAM. (La synchronisation de l'utilisateur peut avoir échoué en raison de données non valides.) Si l'utilisateur existe, essayez de réinitialiser le mot de passe à partir d'IAM.

• Authentification déléguée : avec l'authentification locale, vous pouvez activer la délégation à partir d'AD. Avec l'authentification déléguée, les utilisateurs ne créent pas de mot de passe mais emploient leur mot de passe AD existant pour se connecter. IAM délègue l'authentification utilisateur à AD via le pont AD.

  Action à effectuer : vérifiez si l'utilisateur est présent dans IAM. Vérifiez également si l'utilisateur est actif dans AD et que le mot de passe n'est pas arrivé à expiration.

• Authentification fédérée : cette méthode passe par un service tiers comme Microsoft AD FS pour authentifier l'utilisateur.

  Action à effectuer : vérifiez la configuration du service tiers.

Aidez-vous des captures d'écran suivantes.

Lorsque vous ne parvenez pas à activer la fédération, vérifiez si l'authentification déléguée est activée. Si l'authentification déléguée est activée, l'authentification fédérée ne peut pas l'être. Pour l'activer, procédez comme suit :

Lorsque vous ne pouvez pas activer l'authentification déléguée, procédez comme suit :

Pour remplacer votre nom d'utilisateur de connexion par une adresse électronique, procédez comme suit :

Le pont AD enregistre les mises à jour dans Active Directory à l'aide de jetons de synchronisation et d'un numéro de séquence de mise à jour. La valeur de numéro de séquence de service la plus élevée précédente est stockée, et chaque fois qu'une synchronisation incrémentielle est exécutée, IAM lit le numéro de séquence de service stocké au dernier numéro.

Parfois, en raison de facteurs tels qu'une modification de contrôleur de domaine, les numéros de séquence de mise à jour sont endommagés (si le numéro de séquence de mise à jour d'un nouveau contrôleur de domaine est supérieur à celui du contrôleur précédent), ce qui empêche la synchronisation des utilisateurs. Une synchronisation complète n'implique pas de jetons, c'est pourquoi les utilisateurs apparaissent en cas de synchronisation complète.

Les correspondances d'attributs peuvent être modifiées à tout moment. Veillez à effectuer une synchronisation complète après avoir enregistré la nouvelle configuration. Les données utilisateur sont mises à jour par la synchronisation complète. Si vous n'effectuez pas de synchronisation complète, les données utilisateur existantes restent identiques et les nouveaux utilisateurs disposent de données mises à jour.

Vous pouvez supprimer certains courriels et notifications générés automatiquement.

IAM conserve une correspondance de tous les utilisateurs AD (identificateur IAM mis en correspondance avec l'identificateur AD). Lorsqu'un utilisateur est enlevé de la synchronisation active à cause d'une nouvelle condition du filtre, par exemple l'enregistrement dans IAM est conservé et seule la correspondance est enlevée. La suppression de la correspondance est appelée annulation du lien.

Elle est différente de la suppression car l'utilisateur n'est pas supprimé d'AD. Si les filtres sont réinitialisés, l'utilisateur est à nouveau lié.

Afin de connaître le nombre De ponts AD Que Vous pouvez Installer pour Votre Type De Domaine D'identité, reportez-vous à Limites d'objet de Domaine D'identité IAM.

Un seul pont peut être installé sur le même ordinateur Windows Server. Un seul pont peut être installé. Pour utiliser une haute disponibilité, vous avez besoin de plusieurs ordinateurs connectés au même domaine AD.

Lorsqu'une nouvelle version du client de pont AD est disponible :

• Vous devez toujours mettre à niveau.
• Assurez-vous de ne plus utiliser la version actuelle. La réinstallation de la version en cours enlève le pont existant, et peut entraîner des échecs d'authentification et de synchronisation.

Vous n'avez pas besoin de désinstaller le pont AD existant pour effectuer la mise à niveau vers une version plus récente.

Vous pouvez vérifier le numéro de version dans l'interface utilisateur du pont AD.

Les données existantes ne sont pas affectées en raison d'une mise à niveau et vous pouvez effectuer une synchronisation incrémentielle. La programmation de la synchronisation n'est pas non plus affectée et la prochaine synchronisation est effectuée selon la configuration.

Nous vous déconseillons de rétrograder votre client de pont AD.

Si vous décidez de rétrograder le client, vous devez désinstaller le client de pont AD en cours, ce qui peut entraîner un temps d'arrêt des services (synchronisation, authentification déléguée, etc.).

Vous pouvez ensuite installer la version souhaitée.

• Vérifiez la configuration d'unité organisationnelle sur la page Intégrations Directory. Vous devez sélectionner les unités organisationnelles pour les groupes et les utilisateurs séparément. Même si la même unité organisationnelle concerne les groupes et les utilisateurs, sélectionnez-la pour chaque cas. Veillez à enregistrer la page de configuration après avoir apporté les modifications.
• Confirmez le filtre employé dans les utilisateurs/groupes sur la page de configuration. Utilisez PowerShell pour exécuter le filtre et vérifier si vos utilisateurs sont visibles.
• Vérifiez la connectivité réseau du client du pont AD à IAM. (Uniquement en cas d'échec de tous les enregistrements)
• Consultez le fichier journal IDBridge (option Afficher les journaux de l'interface utilisateur du pont AD). Recherchez une erreur semblable à la suivante :
  

Si vous devez effectuer un vidage de thread du service du pont AD sur l'ordinateur du pont AD, suivez ces étapes.

Les filtres permettent d'empêcher la synchronisation de nouveaux utilisateurs et groupes vers IAM.

Dans tous les cas, la demande d'authentification échoue sauf si la mise en cache des mot de passe est activée et que le mot de passe est disponible dans le cache.

Pour ces trois premiers scénarios, le service est récupéré lorsque le problème de système en aval/connectivité est résolu.

Pour le dernier scénario, le service sera récupéré une fois la charge de demandes simultanées réduite.

Si la mise en cache des mots de passe est activée et qu'il n'y a pas de mot de passe mis en cache, ou si le mot de passe mis en cache a expiré, l'utilisateur se connecte ensuite au système et le mot de passe est stocké.

L'expiration par défaut d'un mot de passe est de cinq jours, mais vous pouvez la modifier dans les paramètres d'authentification déléguée.

En cas d'échec de l'installation du pont AD :

• Le nombre de domaines d'identité pour votre type de domaine d'identité est dépassé.
• Le nombre de clients de pont AD pour votre type de domaine d'identité est dépassé.

Afin de connaître le nombre de domaines d'identité ou de ponts AD que vous pouvez installer pour votre type, reportez-vous à Limites d'objet de domaine d'identité IAM.

L'entrée d'attribut utilisateur Directory n'est pas une sélection déroulante, mais une zone de texte de suggestion. Vous pouvez écrire ce que vous voulez dans la zone de texte, même si cet attribut n'est pas présent dans votre instance AD.

Veillez à saisir l'attribut de manière correcte et exacte (y compris les caractères majuscules et minuscules) tel qu'il apparaît dans Active Directory.

Si vous ne le faites pas, vous ne verrez pas d'erreur lors de l'enregistrement de la mise en correspondance, mais la synchronisation AD sera impactée et ne pourra pas extraire cet attribut d'Active Directory.

Un domaine partiellement configuré indique qu'aucune unité organisationnelle n'est sélectionnée sur la page de configuration. La sélection d'unités organisationnelles pour les utilisateurs et/ou les groupes est requise afin de configurer le domaine pour la synchronisation. Sans cela, il n'y a rien à importer et l'import reste désactivé.