Impostazione di un bridge Microsoft Active Directory

Il bridge Microsoft Active Directory (AD) fornisce un collegamento tra una struttura di directory enterprise Microsoft Active Directory e IAM.

Nota

Il bridge AD è necessario solo se si dispone di un controller di dominio Windows in locale e non dispone di Entra ID (precedentemente noto come Azure AD). Se si utilizza Entra ID, è possibile impostare la sincronizzazione direttamente da Azure a OCI IAM senza installare alcun software. Consulta le istruzioni riportate in OCI IAM con le esercitazioni su Microsoft Entra ID.

Comprendere il bridge AD

IAM può eseguire la sincronizzazione con questa struttura di directory in modo che tutti i record utente o gruppo nuovi, aggiornati o eliminati vengano trasferiti in IAM. Ogni minuto, il bridge AD esegue il polling di Microsoft Active Directory per verificare la presenza di eventuali modifiche a questi record e li apporta in IAM. Pertanto, se un utente viene eliminato in Microsoft Active Directory, questa modifica viene propagata in IAM. A causa di questa sincronizzazione, lo stato di ogni record viene sincronizzato tra Microsoft Active Directory e IAM.

Dopo la sincronizzazione degli utenti da Microsoft Active Directory a IAM, se si attiva o si disattiva un utente, si modificano i valori degli attributi dell'utente o si modificano le appartenenze dei gruppi per l'utente in IAM, tali modifiche vengono propagate a Microsoft Active Directory tramite il bridge.

Nota

Le unità organizzative (OU) Microsoft Active Directory contengono gli utenti e i gruppi importati in IAM.

È possibile configurare IAM per la sincronizzazione con uno o più domini Microsoft Active Directory installando un bridge per ciascun dominio.

Nota

Per la ricerca automatica, è necessario installare il bridge nel computer collegato al dominio Microsoft Active Directory. Non è necessario installare il bridge sul controller di dominio.

L'immagine seguente mostra la sincronizzazione delle directory in entrata:

Sincronizzazione delle directory in entrata da Microsoft Active Directory a IAM mediante l'installazione e la configurazione di un bridge per ciascun dominio Microsoft Active Directory.

L'immagine seguente mostra la sincronizzazione delle directory in uscita:

Sincronizzazione delle directory in uscita da IAM a Microsoft Active Directory per gli aggiornamenti dello stato di attivazione, dei valori degli attributi o delle appartenenze di gruppo di un utente.

Nel diagramma sopra riportato, Clarence Saladna (CSALADNA) è un utente che è stato sincronizzato da Microsoft Active Directory a IAM attraverso il bridge. In IAM, un amministratore disattiva l'account di Clarence perché è in vacanza. Inoltre, poiché Clarence ha ricevuto una promozione, ha un nuovo titolo di lavoro di Director e appartiene a diversi gruppi associati al nuovo ruolo, inclusi i gruppi Executive e Management. Il bridge può essere utilizzato per propagare queste modifiche a Microsoft Active Directory.

Sia i bridge che la struttura di directory enterprise di Microsoft Active Directory si trovano nell'ambiente Microsoft Windows (ad esempio, Microsoft Windows 2003). Poiché IAM è un servizio Oracle Cloud Infrastructure, si trova in un ambiente Oracle.

L'immagine seguente mostra la sicurezza del bridge.

La connessione Internet che collega ogni bridge a IAM contiene un firewall.

Nota

Se un attributo utente di Microsoft Active Directory è a più valori, il bridge trasferisce solo il primo valore dell'attributo in IAM.

Perché utilizzare il bridge AD

La maggior parte dei clienti ha Microsoft Active Directory come servizio di directory centrale. Questi clienti utilizzano anche Microsoft Active Directory come directory di rete. Questa directory è dove tutte le loro workstation sono collegate e da dove gestiscono i loro utenti.

Oltre a Microsoft Active Directory, i clienti utilizzano un protocollo LDAP aziendale per centralizzare tutte le identità degli utenti. Pertanto, un cliente utilizza Microsoft Active Directory per gestire i propri dipendenti, ma nel protocollo LDAP centralizzato il cliente gestisce i propri partner, consumatori e qualsiasi altro utente con cui il cliente intrattiene relazioni.

Per questi motivi, è fondamentale che IAM possa integrarsi sia con Microsoft Active Directory che con un protocollo LDAP aziendale (ad esempio, Oracle Internet Directory).

Utilizzando IAM, i clienti possono controllare quando migrano le loro applicazioni basate su directory nel cloud. Nel frattempo possono utilizzare uno dei seguenti metodi:

Bridge AD: questo bridge fornisce un collegamento tra la struttura di directory enterprise Microsoft Active Directory e IAM. IAM può eseguire la sincronizzazione con questa struttura di directory in modo che tutti i record utente o gruppo nuovi, aggiornati o eliminati vengano trasferiti in IAM. Ogni minuto, il bridge esegue il polling di Microsoft Active Directory per verificare la presenza di eventuali modifiche apportate a questi record e li porta in IAM. Pertanto, se un utente viene eliminato in Microsoft Active Directory, questa modifica verrà propagata in IAM. Lo stato di ogni record viene quindi sincronizzato tra Microsoft Active Directory e IAM. Dopo la sincronizzazione dell'utente da Microsoft Active Directory a IAM, se si attiva o si disattiva un utente, si modificano i valori degli attributi dell'utente o si modificano le appartenenze dei gruppi per l'utente in IAM, queste modifiche vengono propagate a Microsoft Active Directory tramite il bridge AD.
Bridge di provisioning: questo bridge fornisce un collegamento tra LDAP enterprise (ad esempio Oracle Internet Directory) e IAM. Attraverso la sincronizzazione, i dati dell'account creati e aggiornati direttamente su LDAP vengono estratti in IAM e memorizzati per gli utenti e i gruppi IAM corrispondenti. Di conseguenza, qualsiasi modifica a questi record viene trasferita in IAM. Per questo motivo, lo stato di ogni record viene sincronizzato tra LDAP e IAM. Vedere Gestione dei bridge di assegnazione ruoli.

Componenti certificati

Nella tabella seguente sono elencate le versioni certificate per IAM, Microsoft Active Directory, il sistema operativo in uso e il framework software Microsoft .NET (necessario per l'esecuzione del bridge AD).


IAM	DC	64 bit	Sistema operativo	Framework .NET
20,1	Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019	Sì	Windows 10 v1607 o versioni successive Windows Server 2016 o versione successiva	Versione 4.6+

Stati

Il dominio Microsoft Active Directory con cui viene comunicato il bridge AD ha due stati:

Parzialmente configurato: il bridge AD è installato, ma non è configurato per comunicare con il dominio Microsoft Active Directory o IAM.
Configurato: il bridge AD è installato e configurato e disponibile per la sincronizzazione con il dominio Microsoft Active Directory.

Il bridge AD ha tre stati:

Attivo: il bridge AD è installato e configurato e disponibile per la sincronizzazione con Microsoft Active Directory per recuperare account utente e gruppi.
Inattivo: il bridge AD è installato e configurato, ma non è disponibile per la sincronizzazione con Microsoft Active Directory. Questa operazione viene eseguita per motivi di prestazioni.
Non raggiungibile: il bridge AD è installato e configurato. Tuttavia, si è verificata una delle seguenti condizioni:
- Il servizio backend utilizzato per stabilire la comunicazione tra IAM e Microsoft Active Directory viene arrestato.
- L'amministratore IAM ha disinstallato il client associato al bridge AD, ma non è stato possibile rimuovere il bridge dalla pagina Integrazioni directory della console IAM perché il client non è in grado di connettersi al server. IAM non può utilizzare il bridge per comunicare con Microsoft Active Directory. Vedere Rimuovi un bridge Microsoft Active Directory (AD).
- L'amministratore ha rigenerato il segreto client per il bridge AD, quindi ha disinstallato il client per il bridge.

Requisiti hardware

I requisiti hardware minimi sono:

1 GB di RAM
1 GB di spazio su disco
CPU quad-core