Microsoft Active Directoryブリッジの設定
Microsoft Active Directory (AD)ブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。
ADブリッジは、オンプレミスにWindowsドメイン・コントローラがあり、Entra ID (旧称Azure AD)がない場合にのみ必要です。Entra IDを使用している場合は、ソフトウェアをインストールせずに、AzureからOCI IAMへの同期を直接設定できます。Azure ADを使用するOCI IAMのチュートリアルのガイダンスを参照してください。
ADブリッジの理解
IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分ごとに、ADブリッジはMicrosoft Active Directoryにこれらのレコードの変更をポーリングし、その変更をIAMに伝達します。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます。この同期により、Microsoft Active DirectoryとIAM間で各レコードの状態が同期されます。
ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップの変更を行うと、これらの変更はブリッジを介してMicrosoft Active Directoryに伝播されます。
Microsoft Active Directory組織ユニット(OU)には、IAMにインポートされるユーザーおよびグループが含まれます。
各ドメインにブリッジをインストールすることで、1つまたは複数のMicrosoft Active Directoryドメインと同期するようにIAMを構成できます。
自動検出には、Microsoft Active Directoryドメインにアタッチされたマシンにブリッジをインストールする必要があります。ドメイン・コントローラにブリッジをインストールする必要はありません。
次の図は、インバウンド・ディレクトリの同期を示しています。
次の図は、アウトバウンド・ディレクトリの同期を示しています。
上の図で、クラレンス・サラダ(CSALADNA)は、ブリッジを介してMicrosoft Active DirectoryからIAMに同期されたユーザーです。IAMで、管理者は、Clarenceが休暇中のためそのアカウントを非アクティブ化します。また、Clarenceはプロモーションを受信したため、新しいジョブ・タイトルがDirectorになり、新しいロールに関連付けられている別のグループ(ExecutiveグループやManagementグループなど)に属します。ブリッジを使用して、これらの変更をMicrosoft Active Directoryに伝播できます。
ブリッジとMicrosoft Active Directoryエンタープライズ・ディレクトリ構造はどちらもMicrosoft Windows環境(たとえば、Microsoft Windows 2003)に存在します。IAMはOracle Cloud Infrastructureサービスであるため、Oracle環境内に存在します。
次の図は、ブリッジ・セキュリティを示しています:
Microsoft Active Directoryユーザー属性が複数値の場合、ブリッジは属性の最初の値のみIAMに転送します。
ADブリッジを使用する理由
ほとんどの顧客は、Microsoft Active Directoryが中央ディレクトリ・サービスです。これらの顧客は、Microsoft Active Directoryをネットワーク・ディレクトリとしても使用します。このディレクトリは、すべてのワークステーションが接続されている場所で、そこからユーザーを管理します。
Microsoft Active Directoryに加えて、顧客はエンタープライズLDAPを使用してすべてのユーザー・アイデンティティを集中管理します。そのため、顧客はMicrosoft Active Directoryを使用して従業員を管理しますが、集中管理されたLDAPでは、顧客はパートナ、コンシューマ、および顧客が関係を持つその他のユーザーを管理します。
これらの理由から、IAMはMicrosoft Active DirectoryおよびエンタープライズLDAP (Oracle Internet Directoryなど)の両方と統合できる必要があります。
- ADブリッジ: このブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分ごとに、ブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達します。そのため、Microsoft Active Directoryでユーザーを削除すると、その変更はIAMに伝播されます。その結果、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップの変更を行うと、その変更はADブリッジを介してMicrosoft Active Directoryに伝播されます。
- プロビジョニング・ブリッジ: このブリッジは、エンタープライズLDAP (Oracle Internet Directoryなど)とIAM間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データは、IAMにプルされ、対応するIAMユーザーおよびグループのために格納されます。その結果、これらのレコードに対する変更は、IAMに転送されます。これにより、各レコードの状態は、LDAPとIAM間で同期されます。プロビジョニング・ブリッジの管理を参照してください。
動作保証されたコンポーネント
次の表に、IAM、Microsoft Active Directory、使用するオペレーティング・システムおよびMicrosoft .NETソフトウェア・フレームワーク(ADブリッジの実行に必要)の動作保証済バージョンを示します。
| IAM | AD | 64ビット | オペレーティング・システム | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
はい |
Windows Server 2016以降 |
バージョン4.6+ |
ステータス
-
一部構成済: ADブリッジはインストールされていますが、Microsoft Active DirectoryドメインまたはIAMと通信するように構成されていません。
-
構成済: ADブリッジがインストールおよび構成され、Microsoft Active Directoryドメインとの同期に使用できるようになります。
-
アクティブ: ADブリッジがインストールおよび構成され、Microsoft Active Directoryと同期してユーザー・アカウントおよびグループを取得できるようになります。
-
Inactive: ADブリッジはインストールおよび構成されていますが、Microsoft Active Directoryと同期できません。これは、パフォーマンスのために実行されます。
-
接続不可: ADブリッジはインストールおよび構成されています。ただし、次のいずれかの状況が発生しています:
-
IAMとMicrosoft Active Directoryの間の通信を確立するために使用されるバックエンド・サービスが停止されます。
-
IAM管理者はADブリッジに関連付けられたクライアントをアンインストールしましたが、クライアントがサーバーに接続できないため、IAMコンソールの「ディレクトリ統合」ページからブリッジを削除できませんでした。IAMは、ブリッジを使用してMicrosoft Active Directoryと通信できません。Microsoft Active Directory (AD)ブリッジの削除を参照してください。
-
管理者がADブリッジのクライアント・シークレットを再生成し、ブリッジのクライアントをアンインストールしました。
-
ハードウェア要件
最小限のハードウェア要件:
- 1GBのRAM
- 1GBのディスク領域
- クアッドコアCPU