Microsoft ADブリッジ

ADブリッジ・クライアントが接続されるドメインは、Windows ServerにADブリッジ・クライアントをインストールしているサインイン・ユーザーのドメインによって決まります。

Active DirectoryをSSL接続用に構成する必要があります。ldp.exeによってSSLでActive Directoryに接続を試みます。SSL接続を検証するには:

ネットワーク接続の問題によりADブリッジ・サーバーはIAMとの接続を切断される可能性があります。接続が復元されると、電子メール通知が送信されます。

ADブリッジ・クライアントがインストールされているサーバーがLDAPを介してActive Directoryドメイン・コントローラに接続できない場合、「LDAPサーバーが使用できません」というエラーが発生します。Active Directoryサービスが実行されていることを確認します(Windowsの「サービス」リストで、AD DSドメイン・コントローラ・サービスのステータスを確認してください)。その後、クライアント・ユーティリティldp.exeを使用して接続を試みます。

ADブリッジには、IAMとの一方向通信が含まれます。つまり、IAMは、ADブリッジがインストールされているサーバーと直接通信できません。かわりに、ADブリッジはIAMを頻繁にポーリングして、操作(同期など)が保留中であるかどうかを確認します。「ADブリッジに接続できません」というメッセージは、ポーリングが実行されていないことを意味します。次に、ADブリッジに接続できない理由をいくつか示します。

• ADブリッジがインストールされていません。
• ADブリッジはインストールされていますが、インターネットを介してIAMに接続できません。
  • 接続/プロキシ設定を確認します。
  • ADブリッジのユーザー・インタフェースを使用して接続をテストします。
• バックグラウンド・サービスが停止しています。
  • Windowsサービスから「Identity Cloud Service Microsoft Active Directory Bridge Service」を開始します。
  • 「スタートアップの種類」が「自動」であることを確認します。

コンソールに「アクティブな同期なし」というメッセージが表示された場合、無視しても問題ありません。

このメッセージは、問題があることを示すものではありません。つまり、現在同期が進行中ではありません。次の同期は、構成ページでドメインに対して設定された間隔に従って実行されます。または、手動でトリガーできます。

増分同期では変更されたデータのみが読み取られるため、同期が非常に高速で発生し、「アクティブ同期なし」メッセージは消失しない可能性があります。特定のドメインの「インポート」ページから、最終同期ステータスをいつでも確認できます。

通常、ドメイン・コントローラを移動しても問題は発生しません。ADブリッジのユーザー・インタフェースで「接続のテスト」オプションを使用して、ドメイン・コントローラの接続が検証されます。ADブリッジからドメイン・コントローラ(LDAP)への通信に問題がある場合は、「ドメイン・コントローラの検出」を選択して、ドメイン・コントローラにアクセスできるかどうかをさらに検出します。

次のスクリーンショットは、成功した接続テストの例です。

原因は、Active Directory (AD)ユーザーのサインインに3つの認証メソッド(次のリスト)のどれが使用されているかによって異なります。これらのメソッドは、ドメイン構成ページを使用して変更できます。サインイン機能の動作は、ケースごとに異なります。

• ローカル認証(デフォルト): 同期後、ユーザーは、アカウントのパスワードを変更するためのようこそ通知を受け取ります。提供されたユーザー名(ADから)と自分で設定したパスワードを使用して、アカウントにサインインする必要があります。

  実行するアクション:ユーザーがIAMに存在するかどうかを確認します。(データが無効なため、ユーザーの同期が失敗している可能性があります。) ユーザーが存在する場合は、IAMからパスワードをリセットしてみてください。

• 委任認証: ローカル認証では、ADからの委任を有効にできます。委任認証では、ユーザーはパスワードを作成せず、かわりに既存のADパスワードを使用してサインインします。IAMは、ADブリッジを介してADにユーザー認証を委任します。

  実行するアクション:ユーザーがIAMに存在するかどうかを確認します。また、ユーザーがADでアクティブであり、パスワードが期限切れになっていないことも確認します。

• フェデレーテッド認証: このメソッドでは、Microsoft AD FSなどのサードパーティ・サービスを使用してユーザーを認証します。

  実行するアクション:サードパーティ・サービスの構成を確認します。

次のスクリーンショットをガイドとして使用してください。

フェデレーションを有効にできない場合は、委任認証が有効になっているかどうかを確認します。委任認証が有効な場合、フェデレーテッド認証は有効にできません。これを有効にするには、次のステップを使用します。

委任認証を有効にできない場合は、次のステップを使用します。

サインイン・ユーザー名をEメール・アドレスに変更する場合は、次のステップを使用します。

ADブリッジは、同期トークンおよび更新順序番号(USN)を使用してActive Directoryの更新を記録します。前の最大USN値は、増分同期が実行されるたんに格納されます。IAMは、格納されているUSNから最新のUSNまでデータを読み取ります。

ドメイン・コントローラの変更などが原因で、USN番号が破損することがあり(新しいDCのUSN値が前のDCより大きい場合)、この場合、ユーザーは同期されません。完全同期では、トークンが使用されないため、ユーザーは完全同期で表示されます。

属性マッピングをいつでも変更できます。新しい構成を保存したら必ず完全同期を実行してください。ユーザー・データは、完全同期によって更新されます。完全同期を実行しない場合、既存のユーザー・データは同じままになり、新規ユーザーは更新されたデータを持つことになります。

自動生成されたEメールおよび通知の一部を抑制できます。

IAMでは、すべてのADユーザーのマッピング(AD識別子にマップされたIAM識別子)が保持されます。たとえば、新しいフィルタ条件のためにユーザーがアクティブ同期から除外されると、IAM内のレコードは保持され、マッピングだけが削除されます。マッピングの削除は、リンクの解除と呼ばれます。

このケースは、ユーザーがADから削除されないため、削除とは異なります。フィルタがリセットされると、ユーザーは再度リンクされます。

アイデンティティ・ドメイン・タイプに対してインストールできるADブリッジの数を確認するには、IAMアイデンティティ・ドメイン・オブジェクト制限に関する項を参照してください。

同じWindows Serverマシンにインストールできるブリッジは1つのみです。単一のブリッジをインストールできます。高可用性(HA)を使用するには、同じADドメインに接続された複数のマシンが必要です。

ADブリッジ・クライアントの新しいバージョンが使用可能な場合:

• 常にアップグレードする必要があります。
• 現在のバージョンを再度使用しないようにしてください。現在のバージョンを再インストールすると、既存のブリッジが削除され、認証および同期が失敗する可能性があります。

新しいバージョンにアップグレードするために既存のADブリッジをアンインストールする必要はありません。

ADブリッジのユーザー・インタフェースからバージョン番号を確認できます。

アップグレードによって既存のデータが影響を受けないため、増分同期を実行できます。また、同期スケジュールも影響を受けず、次回の同期は構成どおりに実行されます。

ADブリッジ・クライアントをダウングレードすることはお薦めしません。

クライアントをダウングレードする場合は、現在のADブリッジ・クライアントをアンインストールする必要があります。これにより、サービスの停止時間(同期、委任認証など)が発生する可能性があります。

その後、必要なバージョンをインストールできます。

• 「ディレクトリ統合」ページでOU構成を確認します。グループとユーザーのOUを個別に選択する必要があります。グループとユーザーのOUが同じである場合でも、個別に選択します。変更後、必ず構成ページを保存してください。
• 構成ページのユーザー/グループで使用されているフィルタを確認します。PowerShellを使用してフィルタを実行し、ユーザーがそこに表示されるかどうかを確認します。
• ADブリッジ・クライアントからIAMへのネットワーク接続を確認します。(一部のレコードがすべて欠落している場合のみ。)
• IDBridgeログ・ファイルを確認します(ADブリッジのユーザー・インタフェースの「ログの表示」)。次のようなエラーを検索します:
  

ADブリッジ・マシンでADブリッジ・サービスのスレッド・ダンプを取得する必要がある場合は、次のステップに従います。

フィルタにより、新しいユーザーおよびグループがIAMに同期されない場合があります。

これらのすべてのケースにおいて、パスワード・キャッシュが有効になっており、キャッシュでパスワードを使用できる場合を除き、認証リクエストは失敗です。

最初の3つのシナリオでは、ダウンストリームのシステム/接続の問題が解決されるとサービスが回復します。

最後のシナリオでは、同時リクエストの負荷が減少した後にサービスが回復します。

パスワード・キャッシュが有効で、キャッシュされたパスワードがない場合、またはキャッシュ・パスワードの期限が切れている場合、ユーザーが次にシステムに正常にログインすると、パスワードが格納されます。

パスワードのデフォルトの有効期限は5日ですが、委任認証設定でこれを変更できます。

ADブリッジのインストールが失敗した場合、次のことが原因です。

• アイデンティティ・ドメイン・タイプのアイデンティティ・ドメインの数を超えています。
• アイデンティティ・ドメイン・タイプのADブリッジ・クライアントの数を超えています。

アイデンティティ・ドメイン・タイプに対してインストールできるアイデンティティ・ドメインまたはADブリッジの数を確認するには、IAMアイデンティティ・ドメイン・オブジェクト制限に関する項を参照してください。

「ディレクトリ・ユーザー属性」の入力は、ドロップダウン選択ではなく、推奨テキスト・ボックスであることに注意してください。テキスト・ボックスには、その属性がADに存在しない場合でも、何でも記述できます。

Active Directoryに属性名が表示されるとおりに、正しい属性を正確に入力してください(大文字と小文字を含む)。

これを行わないと、マッピング保存時にエラーが表示されませんが、AD同期は影響を受け、Active Directoryからこの属性をプルできなくなります。

一部構成済のドメインは、構成ページでOUが選択されていないことを示します。同期用にドメインを構成するには、ユーザー、グループ、またはその両方に対するOUの選択が必要です。それまでは、インポートするものがなく、インポートは無効のままです。