Oracle Cloud Infrastructureドキュメント

Microsoft Active Directoryブリッジの設定

Microsoft Active Directory (AD)ブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。

ノート

ADブリッジは、オンプレミスにWindowsドメイン・コントローラがあり、Entra ID (旧称Azure AD)がない場合にのみ必要です。Entra IDを使用している場合は、ソフトウェアをインストールせずに、AzureからOCI IAMへの同期を直接設定できます。Microsoft Entra IDチュートリアルを使用したOCI IAMのガイダンスを参照してください。

ADブリッジの理解

IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分おきに、ADブリッジがMicrosoft Active Directoryにこれらのレコードに対する変更をポーリングし、これらの変更をIAMに持ち込みます。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます、この同期により、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期します。

After users are synchronized from Microsoft Active Directory to IAM, if you activate or deactivate a user, modify the user's attribute values, or change the group memberships for the user in IAM, then these changes are propagated to Microsoft Active Directory through the bridge.

ノート

Microsoft Active Directoryの組織単位(OU)には、IAMにインポートされるユーザーおよびグループが含まれます。

各ドメインに対してブリッジをインストールすることで、1つまたは複数のMicrosoft Active Directoryドメインと同期するようにIAMを構成できます。

ノート

自動検出のために、Microsoft Active Directoryドメインにアタッチされたマシンでブリッジをインストールする必要があります。ドメイン・コントローラにブリッジをインストールする必要はありません。

次の図は、インバウンド・ディレクトリの同期を示しています。

Microsoft Active Directoryドメインごとにブリッジをインストールおよび構成することで、Microsoft Active DirectoryからIAMへのインバウンド・ディレクトリ同期。

次の図は、アウトバウンド・ディレクトリの同期を示しています。

ユーザーのアクティブ化ステータス、属性値またはグループ・メンバーシップを更新するためのIAMからMicrosoft Active Directoryまでのアウトバウンド・ディレクトリ同期。

上の図では、Clarence Saladna (CSALADNA)は、ブリッジを介してMicrosoft Active DirectoryからIAMに同期されたユーザーです。IAMで、管理者は、Clarenceが休暇中のためそのアカウントを非アクティブ化します。また、Clarenceは昇進したため、Directorの新しい肩書を持ち、エグゼクティブ・グループやManagmentグループなど、新しいロールに関連付けられている別のグループに属しています。ブリッジを使用して、これらの変更をMicrosoft Active Directoryに伝播できます。

ブリッジとMicrosoft Active Directoryエンタープライズ・ディレクトリ構造は両方ともMicrosoft Windows環境(Microsoft Windows 2003など)に存在します。IAMはOracle Cloud Infrastructureサービスであるため、Oracle環境内にあります。

次の図は、ブリッジ・セキュリティを示しています。

各ブリッジをIAMにリンクするインターネット接続には、ファイアウォールが含まれます。

ノート

Microsoft Active Directoryユーザー属性が複数値の場合は、ブリッジは属性の最初の値のみをIAMに転送します

ADブリッジを使用する理由

ほとんどの顧客は、Microsoft Active Directoryが中央ディレクトリ・サービスとなっています。これらの顧客は、ネットワーク・ディレクトリとしてMicrosoft Active Directoryも使用します。このディレクトリは、すべてのワークステーションが接続されている場所で、そこからユーザーを管理します。

Microsoft Active Directoryに加えて、顧客はエンタープライズLDAPを使用してすべてのユーザー・IDを集中管理します。そのため、顧客はMicrosoft Active Directoryを使用して従業員を管理しますが、集中管理のLDAPでは、顧客はパートナ、コンシューマ、および顧客が関係を持つその他のユーザーを管理します。

これらの理由から、IAMがMicrosoft Active DirectoryおよびエンタープライズLDAP (Oracle Internet Directoryなど)の両方と統合できることが必須です。

IAMを使用することで、顧客はディレクトリベースのアプリケーションをクラウドに移行するタイミングを制御できます。その間、次のいずれかを使用できます:
  • ADブリッジ: このブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分おきに、ブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに取り込みます。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます、その結果、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップ変更を行うと、その変更はADブリッジを介してMicrosoft Active Directoryに伝播されます。
  • プロビジョニング・ブリッジ: このブリッジは、エンタープライズLDAP (Oracle Internet Directoryなど)とIAM間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データは、IAMにプルされ、対応するIAMユーザーおよびグループのために格納されます。その結果、これらのレコードに対する変更は、IAMに転送されます、これにより、各レコードの状態は、LDAPとIAM間で同期されます。プロビジョニング・ブリッジの管理を参照してください。

動作保証されたコンポーネント

次の表に、IAM、Microsoft Active Directory、使用しているオペレーティング・システム、およびMicrosoft .NETソフトウェア・フレームワーク(ADブリッジの実行に必要)の動作保証済バージョンをリストします。

IAM AD 64ビット オペレーティング・システム .NET Framework
20.1.3

Microsoft Windows Server 2008

Microsoft Windows Server 2008 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

Microsoft Windows Server 2019

 はい

Windows 10 v1607以降

Windows Server 2016以降

 バージョン4.6+

ステータス

ADブリッジが通信しているMicrosoft Active Directoryドメインには、次の2つのステータスがあります。

  • 一部構成済み: ADブリッジはインストールされていますが、Microsoft Active DirectoryドメインまたはIAMと通信するように構成されていません。

  • 構成済み: ADブリッジはインストールおよび構成され、Microsoft Active Directoryドメインとの同期に使用できます。

ADブリッジには3つのステータスがあります。

  • アクティブ: ADブリッジがインストールおよび構成され、Microsoft Active Directoryと同期してユーザー・アカウントおよびグループを取得できるようになります。

  • 非アクティブ: ADブリッジはインストールおよび構成されていますが、Microsoft Active Directoryとの同期には使用できません。これは、パフォーマンス上の理由により行われます。

  • 接続不可: ADブリッジはインストールおよび構成されています。ただし、次のいずれかの状況が発生しています:

    • IAMとMicrosoft Active Directory間の通信の確立に使用されるバックエンド・サービスが停止されます。

    • IAM管理者はADブリッジに関連付けられたクライアントをアンインストールしたが、クライアントがサーバーに接続できないため、IAMコンソールの「ディレクトリ統合」ページから橋を削除できませんでした。IAMは、ブリッジを使用してMicrosoft Active Directoryと通信できません。Microsoft Active Directory (AD)ブリッジの削除を参照してください。

    • 管理者はADブリッジのクライアント・シークレットを再生成してから、ブリッジのクライアントをアンインストールしました

ハードウェア要件

最小限のハードウェア要件:

  • 1GBのRAM
  • 1GBのディスク領域
  • クアッドコアCPU