Impostazione di un bridge Microsoft Active Directory

Il bridge Microsoft Active Directory (AD) fornisce un collegamento tra le strutture di directory enterprise di Microsoft Active Directory e IAM.

Nota

Il bridge AD è necessario solo se si dispone di un controller di dominio Windows in locale e non si dispone di un ID Entra (precedentemente noto come Azure AD). Se si utilizza Entra ID, è possibile impostare la sincronizzazione direttamente da Azure a OCI IAM senza installare alcun software. Consulta la guida nelle Esercitazioni per l'ID di OCI IAM con Microsoft Entra.

Comprendere il bridge AD

IAM può eseguire la sincronizzazione con questa struttura di directory in modo che tutti i record utente o gruppo nuovi, aggiornati o eliminati vengano trasferiti in IAM. Ogni minuto, il bridge AD esegue il polling di Microsoft Active Directory per rilevare eventuali modifiche a questi record e li porta in IAM. Pertanto, se un utente viene eliminato in Microsoft Active Directory, questa modifica viene propagata in IAM. A causa di questa sincronizzazione, lo stato di ogni record viene sincronizzato tra Microsoft Active Directory e IAM.

Dopo la sincronizzazione degli utenti da Microsoft Active Directory a IAM, se si attiva o disattiva un utente, si modificano i valori degli attributi dell'utente o si modificano le appartenenze ai gruppi per l'utente in IAM, queste modifiche vengono propagate a Microsoft Active Directory tramite il bridge.

Nota

Le unità organizzative di Microsoft Active Directory contengono gli utenti e i gruppi importati in IAM.

È possibile configurare IAM per la sincronizzazione con uno o più domini Microsoft Active Directory installando un bridge per ogni dominio.

Nota

È necessario installare il bridge sul computer collegato al dominio Microsoft Active Directory per la ricerca automatica. Non è necessario installare il bridge sul controller di dominio.

L'immagine seguente mostra la sincronizzazione delle directory in entrata:

Sincronizzazione della directory in entrata da Microsoft Active Directory a IAM mediante l'installazione e la configurazione di un bridge per ogni dominio Microsoft Active Directory.

L'immagine seguente mostra la sincronizzazione delle directory in uscita:

Sincronizzazione della directory in uscita da IAM a Microsoft Active Directory per gli aggiornamenti allo stato di attivazione, ai valori degli attributi o alle appartenenze ai gruppi di un utente.

Nel diagramma precedente, Clarence Saladna (CSALADNA) è un utente che è stato sincronizzato da Microsoft Active Directory a IAM attraverso il bridge. In IAM, un amministratore disattiva l'account di Clarence perché è in vacanza. Inoltre, poiché Clarence ha ricevuto una promozione, ha una nuova qualifica di direttore e appartiene a diversi gruppi associati al loro nuovo ruolo, inclusi i gruppi Executive e Management. Il bridge può essere utilizzato per propagare queste modifiche a Microsoft Active Directory.

Sia i bridge che la struttura di directory enterprise di Microsoft Active Directory si trovano nell'ambiente Microsoft Windows (ad esempio, Microsoft Windows 2003). Poiché IAM è un servizio Oracle Cloud Infrastructure, si trova in un ambiente Oracle.

L'immagine riportata di seguito mostra la sicurezza del bridge.

La connessione Internet che collega ogni bridge a IAM contiene un firewall.

Nota

Se un attributo utente di Microsoft Active Directory è a più valori, il bridge trasferisce solo il primo valore dell'attributo in IAM.

Perché utilizzare il bridge AD

La maggior parte dei clienti ha Microsoft Active Directory come servizio di directory centrale. Questi clienti utilizzano anche Microsoft Active Directory come directory di rete. Questa directory è dove tutte le workstation sono connesse e da dove gestiscono i propri utenti.

Oltre a Microsoft Active Directory, i clienti utilizzano un protocollo LDAP aziendale per centralizzare tutte le identità degli utenti. Pertanto, un cliente utilizza Microsoft Active Directory per gestire i propri dipendenti, ma nel protocollo LDAP centralizzato il cliente gestisce i propri partner, consumatori e qualsiasi altro utente con cui il cliente ha relazioni.

Per questi motivi, è fondamentale che IAM possa integrarsi sia con Microsoft Active Directory che con un protocollo LDAP aziendale (ad esempio, Oracle Internet Directory).

Utilizzando IAM, i clienti possono controllare quando migrano le loro applicazioni basate su directory nel cloud. Nel frattempo, possono utilizzare una delle seguenti opzioni:

Bridge AD: questo bridge fornisce un collegamento tra la struttura di directory enterprise Microsoft Active Directory e IAM. IAM può eseguire la sincronizzazione con questa struttura di directory in modo che tutti i record utente o gruppo nuovi, aggiornati o eliminati vengano trasferiti in IAM. Ogni minuto, il bridge esegue il polling di Microsoft Active Directory per rilevare eventuali modifiche a questi record e li porta in IAM. Pertanto, se un utente viene eliminato in Microsoft Active Directory, questa modifica verrà propagata in IAM. Di conseguenza, lo stato di ogni record viene sincronizzato tra Microsoft Active Directory e IAM. Dopo la sincronizzazione dell'utente da Microsoft Active Directory a IAM, se si attiva o disattiva un utente, si modificano i valori degli attributi dell'utente o si modificano le appartenenze ai gruppi per l'utente in IAM, queste modifiche vengono propagate a Microsoft Active Directory tramite il bridge AD.
Bridge di provisioning: questo bridge fornisce un collegamento tra LDAP enterprise (ad esempio Oracle Internet Directory) e IAM. Attraverso la sincronizzazione, i dati dell'account creati e aggiornati direttamente sul protocollo LDAP vengono estratti in IAM e memorizzati per gli utenti e i gruppi IAM corrispondenti. Di conseguenza, qualsiasi modifica apportata a questi record viene trasferita in IAM. Per questo motivo, lo stato di ogni record viene sincronizzato tra LDAP e IAM. Vedere Gestione dei bridge di provisioning.

Componenti certificati

La tabella riportata di seguito elenca le versioni certificate per IAM, Microsoft Active Directory, il sistema operativo e il framework software Microsoft .NET (necessario per l'esecuzione del bridge AD).


IAM	AD	64 bit	Sistema operativo	Framework .NET
20,1	Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019	Sì	Windows 10 v1607 o versione successiva Windows Server 2016 o versione successiva	Versione 4.6+

Stati

Il dominio Microsoft Active Directory con cui il bridge AD sta comunicando ha due stati:

Parzialmente configurato: il bridge AD è installato, ma non è configurato per comunicare con il dominio Microsoft Active Directory o con IAM.
Configurato: il bridge AD è installato e configurato e disponibile per la sincronizzazione con il dominio Microsoft Active Directory.

Il bridge AD ha tre stati:

Attivo: il bridge AD è installato e configurato e disponibile per la sincronizzazione con Microsoft Active Directory per recuperare account utente e gruppi.
Inattivo: il bridge AD è installato e configurato, ma non è disponibile per la sincronizzazione con Microsoft Active Directory. Ciò avviene per motivi di performance.
Non raggiungibile: il bridge AD è installato e configurato. Tuttavia, si è verificata una delle seguenti condizioni:
- Il servizio backend utilizzato per stabilire la comunicazione tra IAM e Microsoft Active Directory viene arrestato.
- L'amministratore IAM ha disinstallato il client associato al bridge AD, ma non è stato possibile rimuovere il bridge dalla pagina Integrazioni delle directory della console IAM perché il client non è in grado di connettersi al server. IAM non può utilizzare il bridge per comunicare con Microsoft Active Directory. Vedere Rimuovere un bridge Microsoft Active Directory (AD).
- L'amministratore ha rigenerato il segreto client per il bridge AD, quindi ha disinstallato il client per il bridge.

Requisiti hardware

Di seguito sono elencati i requisiti hardware minimi.

1 GB di RAM
1 GB di spazio su disco
CPU quad-core