Bridge Microsoft AD

Il dominio al quale è connesso il client bridge AD viene determinato dal dominio dell'utente connesso che sta installando il client bridge AD in Windows Server.

È necessario configurare Active Directory per una connessione SSL. Provare a connettere ldp.exe con Active Directory su SSL. Per verificare la connessione SSL:

il server bridge AD potrebbe disconnettersi da IAM a causa di problemi di connettività di rete. Dopo il ripristino della connettività, viene inviata una notifica di posta elettronica.

L'errore "Server LDAP non disponibile" si verifica quando il server su cui è installato il client bridge AD non è in grado di connettersi al controller di dominio Active Directory tramite LDAP. Verificare che i servizi Active Directory siano in esecuzione (nell'elenco Servizi Windows, controllare lo stato del servizio Controller dominio AD DS), quindi provare a connettersi utilizzando la utility client ldp.exe.

Il bridge AD dispone di una comunicazione unidirezionale con IAM. Ciò significa che IAM non può comunicare direttamente con il server su cui è installato il bridge AD. Il bridge AD esegue invece spesso il polling di IAM per verificare se un'operazione qualsiasi (AD esempio la sincronizzazione) è in sospeso. Un messaggio "AD Bridge Unreachable" indica che il polling non viene eseguito. Di seguito sono riportati alcuni motivi per cui il bridge AD potrebbe non essere raggiungibile.

• Il bridge AD non è installato.
• Il bridge AD è installato ma non è in grado di raggiungere IAM tramite Internet.
  • Controllare le impostazioni di connessione/proxy.
  • Eseguire il test della connettività utilizzando l'interfaccia utente del bridge AD.
• Il servizio in background è stato arrestato.
  • Avviare il servizio bridge Microsoft Active Directory di Identity Cloud Service dai servizi Windows.
  • Assicurarsi che il tipo di avvio sia Automatico.

Quando viene visualizzato il messaggio "Nessuna sincronizzazione attiva" nella console, è possibile ignorarlo in tutta sicurezza.

Questo messaggio non indica che si è verificato un problema. Significa che attualmente una sincronizzazione non è in corso. La sincronizzazione successiva verrà eseguita in base all'intervallo impostato per il dominio tramite la pagina di configurazione. Oppure può essere attivato manualmente.

Poiché la sincronizzazione incrementale legge solo i dati modificati, una sincronizzazione può avvenire molto rapidamente e potrebbe sembrare che il messaggio "Nessuna sincronizzazione attiva". È sempre possibile verificare lo stato dell'ultima sincronizzazione dalla pagina Importa per quel particolare dominio.

Lo spostamento del controller di dominio non dovrebbe causare problemi. Verificare la connettività del controller di dominio utilizzando l'opzione Test della connettività nell'interfaccia utente del bridge AD. Se si verifica un problema nella comunicazione LDAP (Bridge to Domain Controller) AD, selezionare Rileva controller di dominio per rilevare ulteriormente se il controller di dominio è accessibile.

Le schermate seguenti sono esempi di test di connessione riusciti.

La causa dipende da quale dei tre metodi di autenticazione (elencati di seguito) vengono utilizzati per accedere agli utenti di Active Directory (AD). Questi metodi possono essere modificati utilizzando la pagina di configurazione del dominio. La funzionalità di accesso funziona in modo diverso in ogni caso.

• Autenticazione locale (impostazione predefinita): dopo la sincronizzazione, gli utenti riceveranno una notifica di benvenuto per modificare la password per il loro account. Devono utilizzare il nome utente fornito (da AD) e la password impostati per accedere al proprio account.

  Azione da eseguire: controllare se l'utente è presente in IAM. La sincronizzazione utente potrebbe non essere riuscita a causa di dati non validi. Se l'utente esiste, provare a reimpostare la password da IAM.

• Autenticazione delegata: con l'autenticazione locale, è possibile abilitare la delega da AD. Con l'autenticazione delegata, gli utenti non creeranno una password, ma utilizzeranno invece le password AD esistenti per collegarsi. IAM delega l'autenticazione utente AD AD tramite il bridge AD.

  Azione da eseguire: controllare se l'utente è presente in IAM. Controllare inoltre se l'utente è attivo in AD e se la password non è scaduta.

• Autenticazione federata: questo metodo utilizza un servizio di terze parti come Microsoft AD FS per autenticare l'utente.

  Azione da eseguire: controllare la configurazione del servizio di terze parti.

Utilizzare le schermate seguenti come guida.

Quando non è possibile abilitare la federazione, verificare se l'autenticazione delegata è abilitata. Se l'autenticazione delegata è abilitata, non è possibile abilitare l'autenticazione federata. Per abilitarla, effettuare le operazioni riportate di seguito.

Quando non è possibile abilitare l'autenticazione delegata, effettuare le operazioni riportate di seguito.

Per modificare il nome utente di accesso in un indirizzo e-mail, effettuare le operazioni riportate di seguito.

Il bridge AD registra gli aggiornamenti in Active Directory utilizzando i token di sincronizzazione e un numero di sequenza di aggiornamento (USN). Il valore USN più alto precedente viene memorizzato e ogni volta che viene eseguita una sincronizzazione incrementale; IAM legge i dati dall'USN memorizzato all'USN più recente.

A volte, a causa di fattori come una modifica del controller di dominio, i numeri USN vengono danneggiati (se un nuovo DC ha un valore USN elevato rispetto al precedente DC) causando la mancata sincronizzazione degli utenti. Una sincronizzazione completa non utilizza token per cui gli utenti vengono visualizzati in una sincronizzazione completa.

I mapping degli attributi possono essere modificati in qualsiasi momento. Assicurarsi di eseguire una sincronizzazione completa dopo aver salvato la nuova configurazione. I dati utente verranno aggiornati dalla sincronizzazione completa. Se non si esegue una sincronizzazione completa, i dati utente esistenti rimangono invariati e i nuovi utenti avranno dati aggiornati.

È possibile eliminare alcune e-mail e notifiche generate automaticamente.

IAM mantiene un mapping di tutti gli utenti AD (identificativo IAM mappato all'identificativo AD). Quando l'utente viene rimosso dalla sincronizzazione attiva a causa, ad esempio, di una nuova condizione di filtro, il record in IAM viene mantenuto e solo il mapping viene rimosso. La rimozione del mapping è denominata scollegamento.

Questo caso è diverso dall'eliminazione poiché l'utente non viene eliminato da AD. Se i filtri vengono reimpostati, l'utente verrà collegato di nuovo.

Per informazioni sul numero di bridge AD che è possibile installare per il tipo di dominio di Identity, vedere Limiti degli oggetti del dominio di Identity IAM.

È possibile installare un solo bridge sullo stesso computer di Windows Server. È possibile installare un singolo bridge. Per utilizzare High Availability (HA), sono necessari più computer connessi allo stesso dominio AD.

Quando è disponibile una nuova versione del client bridge AD:

• Si dovrebbe sempre aggiornare.
• Assicurarsi di non utilizzare più la versione corrente. La reinstallazione della versione corrente rimuove il bridge esistente e potrebbe generare errori di autenticazione e sincronizzazione.

Non è necessario disinstallare il bridge AD esistente per eseguire l'aggiornamento a una versione più recente.

È possibile verificare il numero di versione dall'interfaccia utente del bridge AD.

I dati esistenti non saranno interessati da un aggiornamento e sarà possibile eseguire una sincronizzazione incrementale. Inoltre, la pianificazione della sincronizzazione non sarà interessata e la sincronizzazione successiva verrà eseguita come configurata.

Non è consigliabile eseguire il downgrade del client bridge AD.

Se si decide di eseguire il downgrade del client, è necessario disinstallare il client bridge AD corrente che può causare un tempo di inattività dei servizi (sincronizzazione, autenticazione delegata, ecc.).

È quindi possibile installare la versione desiderata.

• Controllare la configurazione dell'unità operativa nella pagina Integrazioni directory. È necessario selezionare le unità organizzative per i gruppi e gli utenti separatamente. Anche se si dispone della stessa unità organizzativa per gruppi e utenti, selezionarle separatamente. Assicurarsi di salvare la pagina di configurazione dopo aver apportato le modifiche.
• Confermare il filtro utilizzato in utenti/gruppi nella pagina di configurazione. Utilizzare PowerShell per eseguire il filtro e verificare se gli utenti sono visibili.
• Controllare la connettività di rete dal client bridge AD a IAM. (Solo se alcuni record non riescono.)
• Controllare il file di log IDBridge ("Visualizza log" dall'interfaccia utente del bridge AD). Cercare un errore simile al seguente:
  

Quando è necessario eseguire un dump dei thread del servizio bridge AD in un computer bridge AD, effettuare le operazioni riportate di seguito.

I filtri possono impedire la sincronizzazione di nuovi utenti e gruppi in IAM.

In tutti questi casi, la richiesta di autenticazione non riesce a meno che l'inserimento della password nella cache non sia abilitato e la password sia disponibile nella cache.

Per i primi tre scenari, il servizio recupererà quando il problema di sistema/connettività a valle verrà risolto.

Per l'ultimo scenario, il servizio verrà ripristinato dopo la riduzione del carico della richiesta concorrente.

Se l'inserimento della password nella cache è abilitato e non esiste una password inserita nella cache o se la password della cache è scaduta, la successiva volta in cui l'utente esegue il login al sistema viene memorizzata la password.

La scadenza predefinita per una password è di cinque giorni, ma è possibile modificarla nelle impostazioni di autenticazione delegata.

Quando l'installazione del bridge AD non riesce, si verifica quanto riportato di seguito.

• Superamento del numero di domini di Identity per il tipo di dominio di Identity.
• È stato superato il numero di client bridge AD per il tipo di dominio di Identity.

Per informazioni sul numero di domini di Identity o bridge AD che è possibile installare per il tipo di dominio di Identity in uso, vedere Limiti degli oggetti del dominio di Identity IAM.

Si noti che l'input Attributo utente directory non è una selezione a discesa, ma una casella di testo suggestiva. Puoi scrivere qualsiasi cosa nella casella di testo, anche se quell'attributo non è presente nel tuo AD.

Assicurarsi di digitare esattamente l'attributo corretto (compresi i caratteri maiuscoli e minuscoli) in modo che il nome dell'attributo venga visualizzato in Active Directory.

Se non si esegue questa operazione, non verrà visualizzato un errore durante il mapping del tempo di salvataggio, ma la sincronizzazione AD sarà interessata e non sarà possibile estrarre questo attributo da Active Directory.

Un dominio configurato parzialmente indica che nella pagina di configurazione non è selezionata alcuna unità organizzativa. Qualsiasi selezione di unità organizzative per utenti, gruppi o entrambi è necessaria per configurare il dominio per la sincronizzazione. Fino a quel momento non c'è nulla da importare e l'importazione rimarrà disabilitata.