Pont Microsoft AD

Le domaine auquel le client de pont AD est connecté est déterminé par le domaine de l'utilisateur connecté qui installe le client de pont AD sur Windows Server.

Active Directory doit être configuré pour une connexion SSL. Essayez de connecter ldp.exe à Active Directory sur SSL. Pour vérifier la connexion SSL, procédez comme suit :

le serveur de ponts AD peut se déconnecter d'IAM en raison de problèmes de connectivité réseau. Une fois la connectivité restaurée, une notification par courriel est envoyée.

L'erreur de serveur LDAP indisponible survient lorsque le serveur sur lequel le client de pont AD est installé est incapable de se connecter au contrôleur de domaine Active Directory via LDAP. Vérifiez que les services Active Directory sont en cours d'exécution (dans la liste Services Windows, vérifiez le statut du service de contrôleur de domaine AD DS), puis essayez de vous connecter à l'aide de l'utilitaire client ldp.exe.

Le pont AD communique de manière unidirectionnelle avec IAM. Cela signifie qu'IAM ne peut pas communiquer directement avec le serveur sur lequel le pont AD est installé. A la place, le pont AD interroge fréquemment IAM pour vérifier si une opération (comme la synchronisation) est en attente. Le message indiquant que le pont AD est inaccessible signifie que l'interrogation n'est pas effectuée. Voici quelques raisons qui peuvent expliquer l'inaccessibilité du pont AD.

• Le pont AD n'est pas installé.
• Le pont AD est installé mais ne peut pas accéder à IAM via Internet.
  • Vérifiez vos paramètres de connexion/proxy.
  • Testez la connectivité à l'aide de l'interface utilisateur du pont AD.
• Le service en arrière-plan est arrêté.
  • Démarrez le service de pont Microsoft Active Directory Identity Cloud Service à partir des services Windows.
  • Assurez-vous que le type de démarrage est Automatique.

Lorsque le message "Aucune synchronisation active" apparaît dans la console, vous pouvez l'ignorer en toute sécurité.

Ce message ne signifie pas qu'il y a un problème. Cela signifie qu'aucune synchronisation n'est actuellement en cours. La synchronisation suivante sera exécutée en fonction de l'intervalle défini pour le domaine via la page de configuration. Elle peut également être déclenchée manuellement.

Etant donné que la synchronisation incrémentielle lit uniquement les données modifiées, celle-ci peut être très rapide et il peut sembler que le message Aucune synchronisation active ne disparaisse jamais. Vous pouvez toujours vérifier le dernier statut de synchronisation à partir de la page Importer pour ce domaine particulier.

Le déplacement du contrôleur de domaine ne doit entraîner aucun problème. Vérifiez la connectivité du contrôleur de domaine à l'aide de l'option Tester la connectivité dans l'interface utilisateur du pont AD. Si la communication (LDAP) entre le pont AD et le contrôleur de domaine présente un problème, cliquez sur Détecter le contrôleur de domaine pour déterminer plus précisément si le contrôleur de domaine est accessible.

Les captures d'écran suivantes sont des exemples de tests de connexion réussis.

La cause dépend de la méthode d'authentification utilisée pour la connexion des utilisateurs Active Directory (AD) sur les trois répertoriées ci-dessous. Ces méthodes peuvent être modifiées à l'aide de la page de configuration de domaine. La fonctionnalité de connexion fonctionne différemment dans chaque cas.

• Authentification locale (par défaut) : après la synchronisation, les utilisateurs reçoivent une notification de bienvenue leur indiquant de modifier le mot de passe de leur compte. Ils doivent se servir du nom utilisateur fourni (à partir d'AD) et du mot de passe qu'ils ont défini pour se connecter à leur compte.

  Action à effectuer : vérifiez si l'utilisateur existe dans IAM. (La synchronisation de l'utilisateur peut avoir échoué en raison de données non valides.) Si l'utilisateur existe, essayez de réinitialiser le mot de passe à partir d'IAM.

• Authentification déléguée : avec l'authentification locale, vous pouvez activer la délégation à partir d'AD. Avec l'authentification déléguée, les utilisateurs ne créent pas de mot de passe mais emploient leur mot de passe AD existant pour se connecter. IAM délègue l'authentification utilisateur à AD via le pont AD.

  Action à effectuer : vérifiez si l'utilisateur existe dans IAM. Vérifiez également si l'utilisateur est actif dans AD et que le mot de passe n'est pas arrivé à expiration.

• Authentification fédérée : cette méthode passe par un service tiers comme Microsoft AD FS pour authentifier l'utilisateur.

  Action à effectuer : vérifiez la configuration du service tiers.

Aidez-vous des captures d'écran suivantes.

Lorsque vous ne parvenez pas à activer la fédération, vérifiez si l'authentification déléguée est activée. Si l'authentification déléguée est activée, l'authentification fédérée ne peut pas l'être. Pour l'activer, procédez comme suit :

Lorsque vous ne pouvez pas activer l'authentification déléguée, procédez comme suit :

Pour remplacer votre nom d'utilisateur de connexion par une adresse électronique, procédez comme suit :

Le pont AD enregistre les mises à jour dans Active Directory à l'aide de jetons de synchronisation et d'un numéro de séquence de mise à jour. La valeur de numéro de séquence de mise à jour la plus élevée précédente est stockée, et chaque fois qu'une synchronisation incrémentielle est exécutée, IAM lit les données du numéro stocké et les transmet au dernier numéro.

Parfois, en raison de facteurs tels qu'une modification de contrôleur de domaine, les numéros de séquence de mise à jour sont endommagés (si le numéro de séquence de mise à jour d'un nouveau contrôleur de domaine est supérieur à celui du contrôleur précédent), ce qui empêche la synchronisation des utilisateurs. Une synchronisation complète n'implique pas de jetons, c'est pourquoi les utilisateurs apparaissent en cas de synchronisation complète.

Les correspondances d'attributs peuvent être modifiées à tout moment. Veillez à effectuer une synchronisation complète après avoir enregistré la nouvelle configuration. Les données utilisateur sont mises à jour par la synchronisation complète. Si vous n'effectuez pas de synchronisation complète, les données utilisateur existantes restent identiques et les nouveaux utilisateurs disposent de données mises à jour.

Vous pouvez supprimer certains courriels et notifications générés automatiquement.

IAM conserve une correspondance de tous les utilisateurs AD (identificateur IAM mis en correspondance avec l'identificateur AD). Lorsqu'un utilisateur est enlevé de la synchronisation active en raison, par exemple, d'une nouvelle condition de filtre, l'enregistrement dans IAM est conservé et seule la correspondance est enlevée. La suppression de la correspondance est appelée dissociation.

Elle est différente de la suppression car l'utilisateur n'est pas supprimé d'AD. Si les filtres sont réinitialisés, l'utilisateur est à nouveau lié.

Afin de connaître le nombre de ponts AD que vous pouvez installer pour votre type de domaine d'identité, reportez-vous à Limites d'objet de domaine d'identité IAM.

Un seul pont peut être installé sur le même ordinateur Windows Server. Un seul pont peut être installé. Pour utiliser la haute disponibilité, vous avez besoin de plusieurs ordinateurs connectés au même domaine AD.

Lorsqu'une nouvelle version du client de pont AD est disponible :

• Vous devez toujours effectuer la mise à niveau.
• Assurez-vous que vous ne réutilisez pas la version en cours. La réinstallation de la version en cours enlève le pont existant, et peut entraîner des échecs d'authentification et de synchronisation.

Vous n'avez pas besoin de désinstaller le pont AD existant pour effectuer une mise à niveau vers une version plus récente.

Vous pouvez vérifier le numéro de version dans l'interface utilisateur du pont AD.

Les données existantes ne sont pas affectées en raison d'une mise à niveau et vous pouvez effectuer une synchronisation incrémentielle. La programmation de la synchronisation n'est pas non plus affectée et la prochaine synchronisation est effectuée selon la configuration.

Nous vous déconseillons de rétrograder votre client de pont AD.

Si vous décidez de rétrograder le client, vous devez désinstaller le client de pont AD en cours, ce qui peut entraîner un temps d'inactivité des services (synchronisation, authentification déléguée, etc.).

Vous pouvez ensuite installer la version souhaitée.

• Vérifiez la configuration d'unité organisationnelle sur la page Intégrations Directory. Vous devez sélectionner les unités organisationnelles pour les groupes et les utilisateurs séparément. Même si la même unité organisationnelle concerne les groupes et les utilisateurs, sélectionnez-la pour chaque cas. Veillez à enregistrer la page de configuration après avoir apporté les modifications.
• Confirmez le filtre employé dans les utilisateurs/groupes sur la page de configuration. Utilisez PowerShell pour exécuter le filtre et vérifier si vos utilisateurs sont visibles.
• Vérifiez la connectivité réseau du client de pont AD à IAM. (Uniquement en cas d'échec de tous les enregistrements)
• Consultez le fichier journal IDBridge (option Afficher les journaux de l'interface utilisateur de pont AD). Recherchez une erreur semblable à la suivante :
  

Lorsque vous devez effectuer un vidage de thread du service de pont AD sur une machine de pont AD, procédez comme suit.

Les filtres peuvent empêcher la synchronisation de nouveaux utilisateurs et groupes vers IAM.

Dans tous ces cas, la demande d'authentification échoue, sauf si la mise en cache des mots de passe est activée et que le mot de passe est disponible dans le cache.

Pour les trois premiers scénarios, le service est récupéré lorsque le problème de connectivité/système en aval est résolu.

Pour le dernier scénario, le service est récupéré une fois la charge de demandes simultanées réduite.

Si la mise en cache des mots de passe est activée et qu'il n'y a pas de mot de passe mis en cache ou si le mot de passe du cache est arrivé à expiration, le mot de passe est stocké lors de la prochaine connexion de l'utilisateur au système.

L'expiration par défaut d'un mot de passe est de cinq jours, mais vous pouvez la modifier dans les paramètres d'authentification déléguée.

Lorsque l'installation du pont AD échoue, cela est dû à :

• Dépassement du nombre de domaines d'identité pour votre type de domaine d'identité.
• Dépassement du nombre de clients de pont AD pour votre type de domaine d'identité.

Afin de connaître le nombre de domaines d'identité ou de ponts AD que vous pouvez installer pour votre type de domaine d'identité, reportez-vous à Limites d'objet de domaine d'identité IAM.

L'entrée d'attribut utilisateur Directory n'est pas une sélection déroulante, mais une zone de texte de suggestion. Vous pouvez écrire ce que vous voulez dans la zone de texte, même si cet attribut n'est pas présent dans votre instance AD.

Veillez à saisir l'attribut de manière correcte et exacte (y compris les caractères majuscules et minuscules) tel qu'il apparaît dans Active Directory.

Si vous ne le faites pas, vous ne verrez pas d'erreur lors de l'enregistrement du mappage, mais votre synchronisation AD sera impactée et ne pourra pas extraire cet attribut d'Active Directory.

Un domaine partiellement configuré indique qu'aucune unité organisationnelle n'est sélectionnée sur la page de configuration. La sélection d'unités organisationnelles pour les utilisateurs et/ou les groupes est requise afin de configurer le domaine pour la synchronisation. Sans cela, il n'y a rien à importer et l'import reste désactivé.