Configurare un bridge tra Microsoft Active Directory e un dominio di Identity IAM.
Dopo aver creato un bridge AD, è possibile configurarlo effettuando le operazioni riportate di seguito.
- Selezione delle unità organizzative Microsoft Active Directory e dei gruppi con cui si desidera che IAM venga sincronizzato mediante il bridge AD. Le unità organizzative contengono gli utenti che si desidera importare in IAM. La sincronizzazione con Microsoft Active Directory consente al bridge di trasferire in IAM record di utenti o gruppi nuovi, aggiornati o eliminati.
- Se si specifica se, dopo la sincronizzazione di un utente o di un gruppo da Microsoft Active Directory a IAM, si attiva o disattiva un utente, si modificano i valori degli attributi dell'utente o si modificano le appartenenze ai gruppi per l'utente in IAM, tali modifiche vengono propagate a Microsoft Active Directory.
- Pianificazione della frequenza con cui si desidera che IAM utilizzi il bridge AD per importare utenti e gruppi da Microsoft Active Directory.
- Definizione di mapping di attributi personalizzati tra Microsoft Active Directory e IAM.
- Specifica se gli utenti possono utilizzare le password IAM o Microsoft Active Directory o gli account federati per eseguire l'autenticazione in IAM e accedere alle risorse protette da IAM, ad esempio My Profile Console, IAM Console o qualsiasi applicazione assegnata agli utenti.
È possibile accedere all'infografica Gestione delle impostazioni di sicurezza per vedere come configurare un bridge AD.
-
Nella pagina elenco Integrazioni directory selezionare il bridge AD da utilizzare. Se è necessaria assistenza per la ricerca della pagina Integrazioni directory, vedere Elenco dei bridge di Active Directory.
Nota
Lo stato del bridge è Parzialmente configurato.
-
Nella pagina Configura dominio Microsoft Active Directory, configurare il dominio Microsoft Active Directory per eseguire il polling delle modifiche agli utenti o ai gruppi in AD e importarle in IAM.
-
Nei riquadri Seleziona unità organizzative per gli utenti e Seleziona unità organizzative per i gruppi:
-
Selezionare la casella di controllo Includi gerarchia. Se si seleziona un'OU padre, tutte le OU figlio vengono selezionate. Le unità organizzative contengono gli utenti e i gruppi che si desidera importare in IAM.
oppure
Cancellare la casella di controllo. Se si seleziona un'OU padre, le OU figlio non verranno selezionate.
-
Selezionare la casella di controllo per ogni unità operativa che contiene utenti o gruppi con cui si desidera che IAM venga sincronizzato mediante il bridge AD.
Nota
Se non vengono visualizzate unità organizzative per utenti o gruppi nei riquadri Seleziona unità organizzative per utenti e Seleziona unità organizzative per gruppi, aggiornare il browser Web.
Per forzare la sincronizzazione completa tra Microsoft Active Directory e IAM, deselezionare tutte le caselle di controllo per le unità organizzative dell'utente o del gruppo selezionate, selezionare Salva, quindi nella finestra di dialogo Salva modifiche alla configurazione? selezionare OK. Selezionare quindi Importa per importare gli utenti e i gruppi da AD.
-
facoltativo. Nella casella di testo Filtro immettere un filtro personalizzato per cercare le unità organizzative dell'utente o del gruppo. Ad esempio, se si immette (sn=Smith) verranno restituiti tutti gli utenti con il cognome Rossi. In alternativa, immettere (department=IT) per restituire il gruppo IT.
Suggerimento
-
Per selezionare tutti gli utenti o i gruppi, selezionare la casella di controllo Includi gerarchia, quindi selezionare la casella di controllo più in alto in ogni riquadro.
-
Nella casella di testo Filtro non è possibile immettere più di 4.000 caratteri.
-
È consentito il carattere jolly *, tranne quando AD Attribute è un attributo DN. Per ulteriori informazioni sui filtri AD, selezionare qui.
- È possibile utilizzare la casella di testo Filtro per sincronizzare gli utenti da Microsoft Active Directory a IAM in base alle rispettive appartenenze ai gruppi anziché alle unità operative. A tale scopo, non deselezionare le caselle di controllo per le unità organizzative. Nella casella di testo Filtro, fornire i filtri di appartenenza al gruppo personalizzati.
-
Se si verifica una mancata corrispondenza tra il numero di utenti o gruppi che si prevede di trasferire in IAM e il numero di utenti o gruppi effettivamente importati, utilizzare Utenti e computer di Active Directory per eseguire il test del filtro personalizzato in Microsoft Active Directory per verificare che gli utenti e i gruppi inclusi in IAM siano corretti.
-
I nomi degli utenti che si desidera importare in IAM devono contenere almeno tre caratteri. I nomi dei gruppi che si desidera importare in IAM devono contenere almeno cinque caratteri.
-
I numeri di telefono degli utenti che si desidera importare devono soddisfare i requisiti della specifica RFC 3966.
-
Nell'area Operazioni supportate, scegliere quali operazioni per gli utenti o i gruppi IAM vengono propagate in AD:
-
Nell'area Imposta frequenza di importazione, pianificare la frequenza con cui, in ore e minuti, si desidera che IAM utilizzi il bridge AD per importare utenti e gruppi da Microsoft Active Directory.
Importante
Durante un ciclo di sincronizzazione incrementale, se in Microsoft Active Directory sono state apportate più di 100.000 modifiche all'appartenenza al gruppo, il ciclo di sincronizzazione potrebbe richiedere più di un'ora. Questa volta Microsoft Active Directory deve elaborare i log delle modifiche.
-
Nell'area Configura mapping attributi, selezionare Modifica mapping attributi per definire mapping di attributi personalizzati tra Microsoft Active Directory e IAM. Vedere Definire i mapping degli attributi per un bridge Microsoft Active Directory (AD). In caso contrario, andare al passo successivo.
-
Nell'area Impostazioni di autenticazione, selezionare Abilita autenticazione locale se si desidera che gli utenti utilizzino le password IAM o Microsoft Active Directory per l'autenticazione in IAM per accedere alle risorse protette da IAM.
Se si seleziona questa opzione, configurare l'autenticazione delegata per questo bridge AD. Attivando l'autenticazione delegata, gli utenti trasferiti in IAM tramite il bridge utilizzeranno le password Microsoft Active Directory per collegarsi a IAM. Disattivando l'autenticazione delegata, gli utenti devono utilizzare le password IAM per eseguire l'autenticazione in IAM.
Inoltre, se si seleziona Abilita autenticazione locale, mantenere deselezionata l'opzione Non inviare notifiche di benvenuto in modo che IAM notifichi agli utenti tramite posta elettronica che devono attivare gli account IAM creati per loro.
In caso contrario, se non si desidera che gli utenti ricevano una notifica relativa alla creazione degli account da parte di IAM, selezionare la casella di controllo Non inviare notifiche di benvenuto.
Se si desidera che gli utenti utilizzino gli account federati per l'autenticazione in IAM, selezionare Abilita autenticazione federata.
Nota
Se si seleziona questa opzione, configurare SSO tramite la pagina Provider di identità.
Importante
Se si seleziona Abilita autenticazione federata, tutti gli account utente trasferiti in IAM tramite il bridge AD vengono classificati come account federati. A fini di integrità referenziale, non è possibile disattivare, rimuovere o modificare lo stato di questi account utente in non federato.
-
Selezionare Salva.
-
Nella finestra Conferma, selezionare OK.
Lo stato del bridge AD viene modificato da
Parzialmente configurato in
Configurato. Il bridge viene creato e configurato.
Nota Se si utilizza il bridge AD per importare un gruppo in IAM e quindi eliminare il gruppo in IAM, è possibile ristabilire un collegamento tra il gruppo in Microsoft Active Directory e il gruppo in IAM. A questo scopo:
-
Nel riquadro Seleziona unità organizzative per gruppi deselezionare la casella di controllo per il gruppo scelto e selezionare Salva.
-
Selezionare la casella di controllo per il gruppo e selezionare di nuovo Salva.
-
Eseguire immediatamente il bridge AD per sincronizzare il gruppo tra IAM e Microsoft Active Directory.