Bridge Microsoft AD

Il dominio a cui è connesso il client del bridge AD viene determinato dal dominio dell'utente che ha eseguito l'accesso e che sta installando il client del bridge AD in Windows Server.

Active Directory deve essere configurato per una connessione SSL. Provare a connettere ldp.exe con Active Directory su SSL. Per verificare la connessione SSL:

il server bridge AD potrebbe essere disconnesso a IAM a causa di problemi di connettività di rete. Una volta ripristinata la connettività, viene inviata una notifica di posta elettronica.

L'errore "Server LDAP non disponibile" si verifica quando il server su cui è installato il client bridge AD non è in grado di connettersi al controller del dominio Active Directory tramite LDAP. Verificare che i servizi Active Directory siano in esecuzione (nella lista Servizi Windows, controllare lo stato del servizio Controller dominio AD DS) e quindi provare a connettersi utilizzando l'utility client ldp.exe.

Il bridge AD dispone di una comunicazione unidirezionale con IAM. Ciò significa che IAM non può comunicare direttamente con il server su cui è installato il bridge AD. Al contrario, il bridge AD esegue frequentemente il polling di IAM per verificare se un'operazione (come la sincronizzazione) è in sospeso. Un messaggio "Bridge AD non raggiungibile" indica che il polling non viene eseguito. Di seguito sono riportati alcuni motivi per cui il ponte AD potrebbe essere irraggiungibile.

• Il bridge AD non è installato.
• Il bridge AD è installato ma non è in grado di raggiungere IAM tramite Internet.
  • Controllare le impostazioni di connessione/proxy.
  • Eseguire il test della connettività utilizzando l'interfaccia utente del bridge AD.
• Il servizio in background è stato arrestato.
  • Avviare Microsoft Active Directory Bridge Service di Identity Cloud Service da Windows Services.
  • Verificare che il tipo di avvio sia automatico.

Quando viene visualizzato il messaggio "Nessuna sincronizzazione attiva" nella console, è possibile ignorarlo in tutta sicurezza.

Questo messaggio non indica che si è verificato un problema. Ciò significa che attualmente non è in corso una sincronizzazione. La sincronizzazione successiva verrà eseguita in base all'intervallo impostato per il dominio tramite la pagina di configurazione. Oppure può essere attivato manualmente.

Poiché la sincronizzazione incrementale legge solo i dati modificati, una sincronizzazione può verificarsi molto rapidamente e potrebbe sembrare che il messaggio "Nessuna sincronizzazione attiva" non scompaia mai. È sempre possibile verificare lo stato dell'ultima sincronizzazione dalla pagina Importa per il dominio specifico.

Lo spostamento del controller di dominio non dovrebbe causare problemi. Verificare la connettività del controller del dominio utilizzando l'opzione Test della connettività nell'interfaccia utente del bridge AD. Se si verifica un problema nella comunicazione AD Bridge to Domain Controller (LDAP), selezionare Rileva controller dominio per rilevare ulteriormente se il controller dominio è accessibile.

Le schermate seguenti sono esempi di test di connessione riusciti.

La causa dipende da quale dei tre metodi di autenticazione (elencati di seguito) viene utilizzato per accedere agli utenti di Active Directory (AD). Questi metodi possono essere modificati utilizzando la pagina di configurazione del dominio. La funzionalità di accesso funziona in modo diverso in ogni caso.

• Autenticazione locale (impostazione predefinita): dopo la sincronizzazione, gli utenti riceveranno una notifica di benvenuto per modificare la password del proprio account. Devono utilizzare il nome utente (da AD) e la password forniti impostati per accedere al proprio account.

  Azione da eseguire: controllare se l'utente è presente in IAM. La sincronizzazione utente potrebbe non essere riuscita a causa di dati non validi. Se l'utente esiste, provare a reimpostare la password da IAM.

• Autenticazione delegata: con l'autenticazione locale, è possibile abilitare la delega da AD. Con l'autenticazione delegata, gli utenti non creeranno una password, ma utilizzeranno invece le password AD esistenti per collegarsi. IAM delega l'autenticazione utente AD AD tramite il bridge AD.

  Azione da eseguire: controllare se l'utente è presente in IAM. Inoltre, verificare se l'utente è attivo in AD e che la password non sia scaduta.

• Autenticazione federata: questo metodo utilizza un servizio di terze parti come Microsoft AD FS per autenticare l'utente.

  Azione da eseguire: controllare la configurazione del servizio di terze parti.

Utilizzare i seguenti screenshot come guida.

Quando non è possibile abilitare la federazione, verificare se l'autenticazione delegata è abilitata. Se l'autenticazione delegata è abilitata, l'autenticazione federata non può essere abilitata. Per abilitarlo, effettuare le operazioni riportate di seguito.

Quando non è possibile abilitare l'autenticazione delegata, effettuare le operazioni riportate di seguito.

Quando si desidera modificare il nome utente di accesso in un indirizzo e-mail, utilizzare il seguente passo:

Il bridge AD registra gli aggiornamenti in Active Directory utilizzando i token di sincronizzazione e un numero di sequenza di aggiornamento (USN). Il valore USN più alto precedente viene memorizzato e ogni volta che viene eseguita una sincronizzazione incrementale. IAM legge i dati dall'USN memorizzato all'USN più recente.

A volte, a causa di fattori come una modifica del controller di dominio, i numeri USN vengono danneggiati (se un nuovo DC ha un grande valore USN rispetto al DC precedente) causando la non sincronizzazione degli utenti. Una sincronizzazione completa non utilizza i token, motivo per cui gli utenti vengono visualizzati in una sincronizzazione completa.

I mapping degli attributi possono essere modificati in qualsiasi momento. Assicurarsi di eseguire una sincronizzazione completa dopo aver salvato la nuova configurazione. I dati utente verranno aggiornati dalla sincronizzazione completa. Se non si esegue una sincronizzazione completa, i dati utente esistenti rimangono gli stessi e i nuovi utenti avranno dati aggiornati.

È possibile eliminare alcune e-mail e notifiche generate automaticamente.

IAM mantiene un mapping di tutti gli utenti AD (identificativo IAM mappato all'identificativo AD). Quando l'utente viene rimosso dalla sincronizzazione attiva a causa, ad esempio, di una nuova condizione di filtro, il record in IAM viene conservato e solo il mapping viene rimosso. La rimozione del mapping si chiama delinking.

Questo caso è diverso dall'eliminazione poiché l'utente non viene eliminato da AD. Se i filtri vengono reimpostati, l'utente verrà di nuovo collegato.

Per conoscere il numero di bridge AD che è possibile installare per il tipo di dominio di Identity in uso, vedere Limiti degli oggetti del dominio di Identity IAM.

È possibile installare un solo bridge sullo stesso computer Windows Server. Per utilizzare High Availability (HA), sono necessari più computer connessi allo stesso dominio AD.

Quando è disponibile una nuova versione del client del bridge AD:

• Si dovrebbe sempre aggiornare.
• Assicurarsi di non utilizzare di nuovo la versione corrente. La reinstallazione della versione corrente rimuove il bridge esistente e potrebbe causare errori di autenticazione e sincronizzazione.

Non è necessario disinstallare il bridge AD esistente per eseguire l'upgrade a una versione più recente.

È possibile verificare il numero di versione dall'interfaccia utente del bridge AD.

I dati esistenti non vengono interessati a causa di un upgrade ed è possibile eseguire una sincronizzazione incrementale. Inoltre, la pianificazione della sincronizzazione non verrà interessata e la sincronizzazione successiva verrà eseguita come configurata.

Si sconsiglia di eseguire il downgrade del client del bridge AD.

Se si decide di eseguire il downgrade del client, è necessario disinstallare il client bridge AD corrente che può comportare un tempo di inattività dei servizi (sincronizzazione, autenticazione delegata e così via).

È quindi possibile installare la versione desiderata.

• Controllare la configurazione OU nella pagina Integrazioni directory. È necessario selezionare le unità organizzative per gruppi e utenti separatamente. Anche se si dispone della stessa unità operativa per gruppi e utenti, selezionarli separatamente. Assicurarsi di salvare la pagina di configurazione dopo aver apportato le modifiche.
• Confermare il filtro utilizzato in utenti/gruppi nella pagina di configurazione. Utilizzare PowerShell per eseguire il filtro e verificare se gli utenti sono visibili lì.
• Controllare la connettività di rete dal client del bridge AD a IAM. (Solo se alcuni record non riescono).
• Controllare il file di log IDBridge ("Visualizza log" dall'interfaccia utente del bridge AD). Cercare un errore nel modo seguente:
  

Quando è necessario eseguire un dump dei thread del servizio AD Bridge su un computer AD Bridge, attenersi alla procedura riportata di seguito.

I filtri possono impedire la sincronizzazione di nuovi utenti e gruppi in IAM.

In tutti questi casi, la richiesta di autenticazione non riesce a meno che l'inserimento della password nella cache non sia abilitato e la password sia disponibile nella cache.

Per i primi tre scenari, il servizio verrà recuperato quando il problema di sistema/connettività a valle viene risolto.

Per l'ultimo scenario, il servizio verrà recuperato dopo la riduzione del caricamento della richiesta concorrente.

Se l'inserimento della password nella cache è abilitato e non è presente una password memorizzata nella cache o se la password della cache è scaduta, la volta successiva in cui l'utente esegue correttamente il login al sistema la password viene memorizzata.

La scadenza predefinita per una password è di cinque giorni, ma è possibile modificarla nelle impostazioni di autenticazione delegata.

Quando l'installazione del bridge AD non riesce, ciò è dovuto a:

• Superamento del numero di domini di Identity per il tipo di dominio di Identity.
• È stato superato il numero di client del bridge AD per il tipo di dominio di Identity.

Per conoscere il numero di domini di Identity o bridge AD che è possibile installare per il tipo di dominio di Identity in uso, vedere Limiti degli oggetti del dominio di Identity IAM.

Si noti che l'input Attributo utente directory non è una selezione a discesa, ma una casella di testo suggestiva. È possibile scrivere qualsiasi cosa nella casella di testo, anche se tale attributo non è presente nel proprio AD.

Assicurarsi di digitare esattamente l'attributo corretto (compresi i caratteri maiuscoli e minuscoli) nella modalità di visualizzazione del nome dell'attributo in Active Directory.

Se non si esegue questa operazione, non verrà visualizzato un errore durante il salvataggio del mapping, ma la sincronizzazione AD verrà interessata e non sarà in grado di estrarre questo attributo da Active Directory.

Un dominio parzialmente configurato indica che non è stata selezionata alcuna unità operativa nella pagina di configurazione. Qualsiasi selezione OU per utenti, gruppi o entrambi è necessaria per la configurazione del dominio per la sincronizzazione. Fino ad allora non c'è nulla da importare e l'importazione rimarrà disabilitata.