Documentazione dell'infrastruttura Oracle Cloud

Configurazione di un bridge AD

Configurare un bridge tra Microsoft Active Directory e un dominio di Identity IAM.

Dopo aver creato un bridge AD, è possibile configurarlo effettuando le operazioni riportate di seguito.

  • Selezione delle unità organizzative (OU) e dei gruppi di Microsoft Active Directory con cui si desidera sincronizzare IAM mediante il bridge AD. Le OU contengono gli utenti che si desidera importare in IAM. La sincronizzazione con Microsoft Active Directory consente al bridge di trasferire in IAM record di utenti o gruppi nuovi, aggiornati o eliminati.
  • Specificando se, dopo la sincronizzazione di un utente o di un gruppo da Microsoft Active Directory a IAM, se si attiva o si disattiva un utente, si modificano i valori degli attributi dell'utente o si modificano le appartenenze al gruppo per l'utente in IAM, queste modifiche vengono propagate a Microsoft Active Directory.
  • Pianificazione della frequenza di utilizzo del bridge AD da parte di IAM per importare utenti e gruppi da Microsoft Active Directory.
  • Definizione dei mapping di attributi personalizzati tra Microsoft Active Directory e IAM.
  • Specifica se gli utenti possono utilizzare le password IAM o Microsoft Active Directory o gli account federati per eseguire l'autenticazione in IAM e accedere alle risorse protette da IAM, ad esempio la console Profilo personale, la console IAM o qualsiasi applicazione assegnata agli utenti.

È possibile accedere all'infografica Gestione delle impostazioni di sicurezza per vedere come configurare un bridge AD.

  1. Nella pagina elenco Integrazioni directory selezionare il bridge AD da utilizzare. Se è necessaria assistenza per la ricerca della pagina Integrazioni directory, vedere Elenco dei bridge di Active Directory.
    Nota

    Lo stato del bridge è Parzialmente configurato.
  2. Nella pagina Configurare il dominio di Microsoft Active Directory, configurare il dominio di Microsoft Active Directory per rilevare le modifiche apportate agli utenti o ai gruppi in AD e importarle in IAM.
    1. Selezionare le unità organizzative per gli utenti nei riquadri Seleziona unità organizzative per gli utenti e Seleziona unità organizzative per i gruppi.

      1. Selezionare la casella di controllo Includi gerarchia. Se si sceglie un'unità organizzativa padre, verranno selezionate tutte le unità organizzative figlio. Le OU contengono gli utenti e i gruppi che si desidera importare in IAM.

        O

        Deselezionare la casella del controllo. Se si seleziona un'unità organizzativa padre, le unità organizzative figlio non verranno selezionate.

      2. Selezionare la casella di controllo per ogni unità operativa che contiene utenti o gruppi con cui si desidera che IAM venga sincronizzato utilizzando il bridge AD.

        Nota

        Se le unità organizzative per gli utenti o i gruppi non sono visibili nei riquadri Seleziona unità organizzative (OU) per gli utenti e Seleziona unità organizzative (OU) per i gruppi, quindi aggiornare il browser Web.

        Per forzare una sincronizzazione completa tra Microsoft Active Directory e IAM, deselezionare tutte le caselle di controllo per le unità organizzative utente o gruppo selezionate, selezionare Salva, quindi nella finestra di dialogo Salva modifiche configurazione? selezionare OK. Selezionare quindi Importa per importare gli utenti e i gruppi da AD.

      3. Facoltativa. Nella casella di testo Filtro immettere un filtro personalizzato per cercare le unità organizzative utente o di gruppo. Ad esempio, l'immissione di (sn=Smith) restituisce tutti gli utenti con il cognome Smith. In alternativa, immettere (department=IT) per restituire il gruppo IT.

      Suggerimento

      • Per selezionare tutti gli utenti o i gruppi, selezionare la casella di controllo Includi gerarchia, quindi selezionare la casella di controllo più alta in ciascun riquadro.

      • Nella casella di testo Filtro non è possibile immettere più di 4.000 caratteri.

      • Il carattere jolly * è consentito, tranne quando AD Attribute è un attributo DN. Per ulteriori informazioni sui filtri AD, selezionare qui.

      • È possibile utilizzare la casella di testo Filtro per sincronizzare gli utenti da Microsoft Active Directory a IAM in base alle proprie appartenenze ai gruppi anziché alle proprie unità organizzative. A tale scopo, non deselezionare le caselle di controllo per le unità organizzative. Nella casella di testo Filtro fornire invece i filtri di appartenenza ai gruppi personalizzati.

      • Se si verifica una mancata corrispondenza tra il numero di utenti o gruppi che si prevede di trasferire in IAM e il numero di utenti o gruppi effettivamente importati, utilizzare Utenti e computer di Active Directory per eseguire il test del filtro personalizzato in Microsoft Active Directory per verificare che gli utenti e i gruppi inseriti in IAM siano corretti.

      • I nomi degli utenti che si desidera importare in IAM devono contenere almeno tre caratteri. I nomi dei gruppi che si desidera importare in IAM devono contenere almeno cinque caratteri.

      • I numeri di telefono degli utenti che si desidera importare devono soddisfare i requisiti della specifica RFC 3966.

    2. Nell'area Operazioni supportate, scegliere le operazioni per gli utenti o i gruppi IAM da propagare a AD:
      • Se si attivano o disattivano gli utenti IAM e si desidera che lo stato di attivazione degli utenti venga riflesso in Microsoft Active Directory, selezionare la casella di controllo Attiva/Disattiva utenti. In caso contrario, lasciare deselezionata questa casella di controllo.
      • Se si modificano i valori degli attributi per gli utenti IAM e si desidera che tali modifiche vengano passate a Microsoft Active Directory, selezionare la casella di controllo Aggiorna attributi utenti. In caso contrario, lasciare deselezionata questa casella di controllo.
      • Se si modificano i gruppi a cui appartengono gli utenti IAM e si desidera che le modifiche all'appartenenza ai gruppi vengano propagate a Microsoft Active Directory, selezionare la casella di controllo Aggiorna gruppi. In caso contrario, lasciare deselezionata questa casella di controllo.
    3. Nell'area Imposta frequenza importazione, pianificare con quale frequenza, in ore e minuti, si desidera che IAM utilizzi il bridge AD per importare utenti e gruppi da Microsoft Active Directory.
      Importante

      Durante un ciclo di sincronizzazione incrementale, se in Microsoft Active Directory sono presenti più di 100.000 modifiche all'appartenenza al gruppo, il ciclo di sincronizzazione potrebbe richiedere più di un'ora. Questa volta Microsoft Active Directory richiede l'elaborazione dei log delle modifiche.
    4. Nell'area Configura mapping attributi, selezionare Modifica mapping attributi per definire i mapping di attributi personalizzati tra Microsoft Active Directory e IAM. Vedere Definisci mapping di attributi per un bridge Microsoft Active Directory (AD). In caso contrario, passare al passo successivo.
    5. Nell'area Impostazioni autenticazione selezionare Abilita autenticazione locale se si desidera che gli utenti utilizzino le proprie password IAM o Microsoft Active Directory per eseguire l'autenticazione in IAM per accedere alle risorse protette da IAM.

      Se si seleziona questa opzione, configurare l'autenticazione delegata per questo bridge AD. Attivando l'autenticazione delegata, gli utenti trasferiti in IAM tramite il bridge utilizzeranno le password di Microsoft Active Directory per connettersi a IAM. Disattivando l'autenticazione delegata, gli utenti devono utilizzare le proprie password IAM per eseguire l'autenticazione in IAM.

      Inoltre, se si seleziona Abilita autenticazione locale, mantenere deselezionato Non inviare notifiche di benvenuto in modo che IAM comunichi agli utenti tramite posta elettronica che devono attivare gli account IAM creati per loro.

      In caso contrario, se non si desidera che gli utenti ricevano una notifica relativa alla creazione degli account IAM, selezionare la casella di controllo Non inviare notifiche di benvenuto.

      Se si desidera che gli utenti utilizzino i propri account federati per l'autenticazione in IAM, selezionare Abilita autenticazione federata.

      Nota

      Se si seleziona questa opzione, configurare SSO tramite la pagina Provider di identità.
      Importante

      Se si seleziona Abilita autenticazione federata, tutti gli account utente trasferiti in IAM tramite il bridge AD vengono classificati come account federati. Ai fini dell'integrità referenziale, non è possibile disattivare, rimuovere o modificare lo stato di questi account utente in non federato.
    6. Selezionare Salva.
  3. Nella finestra Conferma selezionare OK.
    Lo stato del bridge AD viene modificato da Parzialmente configurato in Configurato. Il bridge viene creato e configurato.
    Nota

    Se si utilizza il bridge AD per importare un gruppo in IAM e quindi eliminare il gruppo in IAM, è possibile ristabilire un collegamento tra il gruppo in Microsoft Active Directory e il gruppo in IAM. A tale scopo, procedere come segue.

    1. Nel riquadro Seleziona unità organizzative (OU) per i gruppi deselezionare la casella di controllo per il gruppo scelto e selezionare Salva.

    2. Selezionare la casella di controllo per il gruppo e selezionare di nuovo Salva.

    3. Eseguire immediatamente il bridge AD per sincronizzare il gruppo tra IAM e Microsoft Active Directory.