Documentazione dell'infrastruttura Oracle Cloud

Creazione di un bridge per Microsoft Active Directory

Creare un bridge tra IAM e Microsoft Active Directory.

Per creare un bridge AD che fornisca un collegamento tra una struttura di directory enterprise Microsoft Active Directory e IAM, è necessario essere assegnati al ruolo di amministratore del dominio di Identity o al ruolo di amministratore della sicurezza. È inoltre necessario disporre dei diritti amministrativi per accedere al dominio Microsoft Active Directory che si desidera monitorare utilizzando il bridge.

Parte della creazione del bridge fornisce credenziali amministrative sia per Microsoft Active Directory che per IAM. Il bridge richiede queste credenziali per comunicare con Microsoft Active Directory e IAM come amministratore.

Importante

L'account Microsoft Active Directory utilizzato per installare il bridge deve disporre delle seguenti autorizzazioni:

  • Lettura generica per gli utenti e i gruppi del dominio Microsoft Active Directory da importare in IAM

  • Lettura generica per tutte le unità organizzative (OU) nel dominio

  • Lettura generica per il contenitore cn=Configuration nel dominio

  • Proprietà Figli elenco e Lettura per il contenitore cn=Oggetti eliminati con ereditarietà

Se questo account viene utilizzato anche per configurare l'autenticazione delegata per il bridge, l'account dovrebbe disporre delle seguenti autorizzazioni:

  • Modifica password

  • Reimposta password

  • Leggi pwdLastSet

  • Scrivi pwdLastSet

  • Leggi lockoutTime

  • Scrivi lockoutTime

È possibile accedere all'infografica Gestione delle impostazioni di sicurezza per vedere come creare un bridge AD.

  1. Nella pagina elenco Integrazioni directory selezionare Aggiungi. Se è necessaria assistenza per la ricerca della pagina Integrazioni directory, vedere Elenco dei bridge di Active Directory.
  2. Nella pagina Installa un bridge per Microsoft Active Directory prendere nota dell'URL del dominio di Identity, dell'ID client e del segreto client.
    L'URL del dominio di Identity contiene il nome e il numero di porta per il dominio di Identity IAM. L'ID client e il segreto client vengono utilizzati dal bridge per accedere a IAM come amministratore.
    Nota

    Il segreto client viene cifrato per motivi di sicurezza. Per visualizzare il segreto in testo in chiaro, selezionare Mostra segreto. Per rigenerare un segreto per il bridge, selezionare Rigenera.
  3. Selezionare Scarica.
    IAM scarica il client per il bridge.
    Nota

    Non chiudere la pagina Installa un bridge per Microsoft Active Directory. Quando si crea il bridge, sarà necessario fare riferimento all'URL del dominio di Identity, all'ID client e al segreto client.
  4. Per installare il client per il bridge AD, fare doppio clic sul file ad-id-bridge....exe.
    Viene visualizzata la finestra Welcome to AD Bridge Installer.
  5. Nell'area Selezione lingua selezionare la lingua che si desidera utilizzare per installare il client per il bridge AD, quindi selezionare OK.
    Viene visualizzato l'Installer del bridge IAM AD.
    Suggerimento

    Durante l'installazione del client per il bridge AD, IAM genera automaticamente i file di log per il bridge e li memorizza nella directory %Temp%.
    Nota

    È possibile installare solo il bridge AD in un computer connesso a un dominio Microsoft Active Directory, altrimenti l'installazione non continuerà.
  6. Se viene visualizzata la finestra di dialogo Apri file - Avviso di sicurezza, selezionare Esegui. In caso contrario, andare al Passo 8.
  7. Nella finestra di dialogo Benvenuti, selezionare Avanti.
  8. Nella finestra di dialogo Cartella di destinazione, scegliere una delle seguenti opzioni di installazione:
    • Per installare il client nella directory predefinita, selezionare Next.
    • Per selezionare un'altra directory da installare sul client:

      1. Selezionare Sfogliare.

      2. Nella finestra di dialogo Sfoglia per cartella selezionare la directory in cui IAM installa il client.

      3. Selezionare OK.

      4. Selezionare Next.

  9. Nella finestra di dialogo Specifica server proxy:
    1. Se l'organizzazione per cui si sta lavorando ha attivato un firewall e richiede che la comunicazione venga gestita tramite un server proxy HTTP, selezionare Usa server proxy. Se si seleziona questa casella di controllo, fornire il percorso completo (o l'indirizzo) del server proxy e le credenziali dell'amministratore per la connessione al server proxy.
    2. Se l'organizzazione non richiede che la comunicazione venga gestita utilizzando un server proxy HTTP, non selezionare Usa server proxy.
    3. Selezionare Next.
  10. Nella finestra di dialogo Specifica credenziali effettuare le operazioni riportate di seguito.
    1. Fornire l'URL del dominio di Identity, l'ID client e il segreto client.
      Suggerimento

      Queste credenziali vengono visualizzate nella pagina Installa bridge della console IAM.
    2. Selezionare Test.

      Il bridge tenta di connettersi al server IAM.

      Se è possibile stabilire una connessione, viene visualizzato un messaggio di conferma Connection Successful!.

      In caso contrario, si riceverà un messaggio di errore che indica che è stato immesso un URL del dominio di Identity errato, un ID client o un segreto client. Modificare i valori errati e selezionare di nuovo Test.

    3. Selezionare Next.
  11. Nella finestra di dialogo Specifica credenziali Microsoft Active Directory fornire i dettagli di connessione riportati di seguito al server Microsoft Active Directory.
    1. Nome utente: l'account Microsoft Active Directory utilizzato dal bridge per accedere al server Microsoft Active Directory.
    2. Password: la password per l'account Microsoft Active Directory.
    3. Usa SSL: se si sta eseguendo la connessione al server tramite una connessione SSL, lasciare selezionata questa casella di controllo. In caso contrario, cancellarla.
      Nota

      Si consiglia di mantenere selezionata la casella di controllo Usa SSL perché si ottiene una connessione più rapida e sicura. Dopo aver selezionato o deselezionato questa casella di controllo e installato il client per il bridge, non sarà possibile modificare questa impostazione.
    4. Selezionare Test.

      Il bridge tenta di connettersi al server Microsoft Active Directory.

      Se è possibile stabilire una connessione, viene visualizzato un messaggio di conferma Connection Successful!.

      In caso contrario, verrà visualizzato un messaggio di errore indicante che:

      • Sono stati immessi un nome utente o una password errati. Modificare i valori errati e selezionare di nuovo Test.

      • Si sta tentando di connettersi al server Microsoft Active Directory tramite una connessione SSL, ma il certificato per il server non è attendibile. Accertarsi che il certificato sia valido e sia presente nel truststore del computer. Quindi selezionare di nuovo Test.

      Nota

      Si consiglia di abilitare l'opzione Password Never Expires per l'account Microsoft Active Directory utilizzato dal bridge. In caso contrario, se la password dell'account scade, la successiva comunicazione tra il bridge e Microsoft Active Directory non riuscirà finché la password non verrà aggiornata nel bridge. Vedere Modifica credenziali account amministratore per bridge AD.

    5. Selezionare Next.
  12. Nella finestra di dialogo Riepilogo, selezionare Chiudi.
  13. Nella console IAM, accedere alla pagina Integrazioni directory.
    Il bridge creato per il dominio Microsoft Active Directory viene visualizzato con lo stato Configurazione parziale. Il bridge è stato creato, ma non configurato. Per ulteriori informazioni sulla configurazione di questo bridge, vedere Configurare un bridge Microsoft Active Directory (AD).
    Nota

    Se il bridge non è visibile nella pagina Integrazioni directory, aggiornare il browser Web. Inoltre, è possibile creare un solo bridge per dominio Microsoft Active Directory.