Microsoft Active Directoryブリッジの設定
Microsoft Active Directory (AD)ブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。
ADブリッジは、オンプレミスにWindowsドメイン・コントローラがあり、Entra ID (旧称Azure AD)がない場合にのみ必要です。Entra IDを使用している場合は、ソフトウェアをインストールせずに、AzureからOCI IAMへの同期を直接設定できます。Microsoft Entra IDを使用したOCI IAMのチュートリアルのガイダンスを参照してください。
ADブリッジの理解
IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。毎分、ADブリッジでは、Microsoft Active Directoryにこれらのレコードに対する変更についてポーリングし、その変更をIAMに伝えます。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます、この同期により、各レコードの状態は、Microsoft Active DirectoryとIAMの間で同期されています。
ユーザーをMicrosoft Active DirectoryからIAMに同期した後、ユーザーをアクティブ化または非アクティブ化したり、ユーザーの属性値を変更したり、IAMでユーザーのグループ・メンバーシップを変更できますと、これらの変更はブリッジを介してMicrosoft Active Directoryに伝播されます。
Microsoft Active Directoryの組織単位(OU)には、IAMにインポートされるユーザーおよびグループが含まれます。
各ドメインのブリッジをインストールすることで、1つまたは複数のMicrosoft Active Directoryドメインと同期するようにIAMを構成できます。
自動検出のために、Microsoft Active Directoryドメインにアタッチされたマシン上にブリッジをインストールする必要があります。ドメイン・コントローラにブリッジをインストールする必要はありません。
次の図は、インバウンド・ディレクトリの同期を示しています。
次の図は、アウトバウンド・ディレクトリの同期を示しています。
上の図では、Clarence Saladna (CSALADNA)は、ブリッジを介してMicrosoft Active DirectoryからIAMに同期されたユーザーです。IAMで、管理者は、Clarenceが休暇中のためそのアカウントを非アクティブ化します。また、Clarenceは昇進したため、Directorの新しい肩書を持ち、新しい職務職に関連付けられた様々なグループ(ExecutiveおよびManagementグループなど)に属しています。ブリッジを使用して、これらの変更をMicrosoft Active Directoryに伝播できます。
ブリッジとMicrosoft Active Directoryエンタープライズ・ディレクトリ構造は両方ともMicrosoft Windows環境(Microsoft Windows 2003など)に存在します。IAMはOracle Cloud Infrastructureサービスであるため、Oracle環境内にあります。
次の図は、ブリッジのセキュリティを示しています。
Microsoft Active Directoryユーザー属性が複数値の場合は、ブリッジは属性の最初の値のみをIAMに転送します
ADブリッジを使用する理由
ほとんどの顧客は、Microsoft Active Directoryが中央ディレクトリ・サービスとなっています。これらの顧客は、ネットワーク・ディレクトリとしてMicrosoft Active Directoryも使用します。このディレクトリは、すべてのワークステーションが接続されている場所で、そこからユーザーを管理します。
Microsoft Active Directoryに加えて、顧客はエンタープライズLDAPを使用してすべてのユーザー・アイデンティティを集中管理します。そのため、顧客はMicrosoft Active Directoryを使用して従業員を管理しますが、集中管理のLDAPでは、顧客はパートナ、コンシューマ、および顧客が関係を持つその他のユーザーを管理します。
これらの理由から、IAMがMicrosoft Active DirectoryとエンタープライズLDAP (Oracle Internet Directoryなど)の両方と統合できることが不可欠です。
- ADブリッジ: このブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。毎分、ブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達しますそのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます、その結果、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップを変更すると、その変更はADブリッジを介してMicrosoft Active Directoryに伝播されます。
- プロビジョニング・ブリッジ: このブリッジは、エンタープライズLDAP (Oracle Internet Directoryなど)とIAM間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データは、IAMにプルされ、対応するIAMユーザーおよびグループのために格納されます。その結果、これらのレコードに対する変更はIAMに転送されます、これにより、各レコードの状態は、LDAPとIAM間で同期されます。プロビジョニング・ブリッジの管理を参照してください。
動作保証されたコンポーネント
次の表に、IAM、Microsoft Active Directory、ご使用のオペレーティング・システムおよび(ADブリッジの実行に必要)Microsoft .NETソフトウェア・フレームワークの動作保証済バージョンをリストします。
| IAM | AD | 64ビット | オペレーティング・システム | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
はい |
Windows Server 2016以降 |
バージョン4.6+ |
ステータス
-
一部構成済の: ADブリッジはインストールされていますが、Microsoft Active DirectoryドメインまたはIAMと通信するように構成されていません。
-
構成: ADブリッジはインストールおよび構成され、Microsoft Active Directoryドメインとの同期に使用できるようになります。
-
アクティブ: ADブリッジがインストールおよび構成され、Microsoft Active Directoryと同期してユーザー・アカウントおよびグループを取得できるようになります。
-
非アクティブ: ADブリッジはインストールおよび構成されていますが、Microsoft Active Directoryとの同期には使用できません。これは、パフォーマンス上の理由で行われます。
-
接続不可: ADブリッジはインストールおよび構成されています。ただし、次のいずれかの状況が発生しています:
-
IAMとMicrosoft Active Directory間の通信を確立するために使用されるバックエンド・サービスが停止されます。
-
IAM管理者はADブリッジに関連付けられたクライアントをアンインストールしました。ただし、クライアントがサーバーに接続できないため、IAMコンソールの「ディレクトリ統合」ページから橋を削除できませんでした。IAMは、ブリッジを使用してMicrosoft Active Directoryと通信できません。Microsoft Active Directory (AD)ブリッジの削除を参照してください。
-
管理者はADブリッジのクライアント・シークレットを再生成してから、ブリッジのクライアントをアンインストールしました
-
ハードウェア要件
最小限のハードウェア要件:
- 1GBのRAM
- 1GBのディスク領域
- クアッドコアCPU