Configure uma ponte entre o Microsoft Active Directory e um domínio de identidades do serviço IAM.
Depois de criar uma ponte do AD, configure-a:
- Selecionando as unidades organizacionais (OUs) do Microsoft Active Directory e os grupos com os quais você deseja que o IAM seja sincronizado usando a ponte do AD. Os OUs contêm os usuários que você deseja importar para o serviço IAM. Sincronizando com o Microsoft Active Directory, a ponte poderá transferir registros novos, atualizados ou excluídos de usuários ou grupos para o IAM.
- Especificando se, depois que um usuário ou grupo for sincronizado do Microsoft Active Directory para o IAM, você ativará ou desativará um usuário, alterará os valores de atributo ou alterará as associações de grupo do usuário no IAM, essas alterações serão propagadas para o Microsoft Active Directory.
- Programando a frequência com que você deseja que o IAM use a ponte do AD para importar usuários e grupos do Microsoft Active Directory.
- Definindo mapeamentos de atributos personalizados entre o Microsoft Active Directory e o IAM.
- Especificando se os usuários podem usar suas senhas do IAM ou do Microsoft Active Directory, ou suas contas federadas, para autenticação no IAM a fim de acessar recursos protegidos pelo IAM, como a Console Meu Perfil, a Console do IAM ou quaisquer aplicativos designados aos usuários.
Você pode acessar o infográfico Gerenciando Definições de Segurança para ver como configurar uma ponte do AD.
-
Na página da lista Integrações de diretório, selecione a ponte do AD com a qual você deseja trabalhar. Se precisar de ajuda para localizar a página de integrações de diretório, consulte Listando Pontes do Active Directory.
Observação
A ponte tem o status Parcialmente Configurado.
-
Em Configurar o Domínio do Microsoft Active Directory, configure o domínio do Microsoft Active Directory para sondar alterações em usuários ou grupos no AD e importe essas alterações no serviço IAM.
-
Nos painéis Selecionar unidades organizacionais (OUs) de usuários e Selecionar unidades organizacionais (OUs) de grupos:
-
Marque a caixa de seleção Incluir Hierarquia. Se você selecionar uma OU mãe, todas as OUs filhas serão selecionadas. As OUs contêm os usuários e grupos que você deseja importar para o serviço IAM.
ou
Desmarque a caixa de seleção. Se você selecionar uma OU mãe, as OUs filhas não serão selecionadas.
-
Marque a caixa de seleção de cada OU que contenha usuários OU grupos com os quais você deseja que o serviço IAM seja sincronizado usando a Ponte do AD.
Nota
Caso você não veja OUs para usuários ou grupos nos painéis Selecionar unidades organizacionais (OUs) de usuários e Selecionar unidades organizacionais (OUs) de grupos, atualize o browser.
Para forçar uma sincronização completa entre o Microsoft Active Directory e o IAM, desmarque todas as caixas de seleção para OUs de usuário ou grupo selecionadas, selecione Salvar e, em seguida, na caixa de diálogo Salvar Alterações de Configuração?, selecione OK. Em seguida, selecione Importar para importar os usuários e grupos do AD.
-
Opcional. Na caixa de texto Filtrar, digite um filtro personalizado para procurar OUs de usuário ou grupo. Por exemplo, digitar (sn=Smith) retorna todos os usuários com o sobrenome Smith. Ou digite (department=IT) para retornar o grupo de TI.
Dica
-
Para selecionar todos os usuários ou grupos, marque a caixa de seleção Incluir Hierarquia e, em seguida, selecione a caixa de seleção mais alta em cada painel.
-
Na caixa de texto Filtrar, não é possível digitar mais de 4.000 caracteres.
-
O caractere curinga * é permitido, exceto quando AD Attribute é um atributo de DN. Para obter mais informações sobre filtros do AD, selecione aqui
- Você pode usar a caixa de texto Filtrar para sincronizar usuários do Microsoft Active Directory com o IAM com base nas associações de grupo e não nas OUs deles. Para fazer isso, não desmarque as caixas de seleção das OUs. Em vez disso, na caixa de texto Filtrar, forneça os filtros de associação de grupo personalizados.
-
Se houver uma incompatibilidade entre o número de usuários ou grupos que você espera transferir para o serviço IAM e o número de usuários ou grupos realmente importados, use Usuários e Computadores do Active Directory para testar o filtro personalizado no Microsoft Active Directory para verificar se os usuários e grupos trazidos para o serviço IAM estão corretos.
-
Os nomes dos usuários que você deseja importar para o serviço IAM devem conter pelo menos três caracteres. Os nomes dos grupos que você deseja importar para o serviço IAM devem conter pelo menos cinco caracteres.
-
Os números de telefone dos usuários que você deseja importar devem atender aos requisitos da especificação RFC 3966.
-
Na área Operações Suportadas, escolha quais operações de usuários ou grupos do serviço IAM são propagadas para o AD:
-
Na área Definir frequência de importação, programe a frequência, em horas e minutos, com que você deseja que o IAM use a Ponte do AD para importar usuários e grupos do Microsoft Active Directory.
Importante
Durante um ciclo de sincronização incremental, se houver mais de 100.000 alterações de associação de grupo no Microsoft Active Directory, o ciclo de sincronização poderá levar mais de uma hora. O Microsoft Active Directory precisa desse tempo para processar os logs de alteração.
-
Na área Configurar Mapeamentos de Atributo, selecione Editar Mapeamentos de Atributo para definir mapeamentos de atributo personalizados entre o Microsoft Active Directory e o serviço IAM. Consulte Definir Mapeamentos de Atributos para uma Ponte do Microsoft Active Directory (AD). Caso contrário, prossiga para a próxima etapa.
-
Na área Definições de Autenticação, selecione Ativar autenticação local se quiser que os usuários utilizem suas senhas do IAM ou do Microsoft Active Directory para autenticação no serviço IAM a fim de acessar recursos protegidos pelo serviço IAM.
Se você selecionar essa opção, configure a autenticação delegada para essa ponte do AD. Ao ativar a autenticação delegada, os usuários transferidos para o IAM por meio da ponte usarão suas senhas do Microsoft Active Directory para acessar o IAM. Desativando a autenticação delegada, os usuários deverão utilizar suas senhas do serviço IAM para autenticação no serviço IAM.
Além disso, se você selecionar Ativar autenticação local, mantenha a opção Não enviar Notificações de Bem-vindo limpa para que o serviço IAM notifique os usuários por e-mail de que eles devem ativar as contas do serviço IAM criadas para eles.
Caso contrário, se você não quiser que os usuários sejam notificados de que o IAM criou contas para eles, marque a caixa de seleção Não enviar Notificações de Boas-vindas.
Se você quiser que os usuários utilizem suas contas federadas para autenticação no serviço IAM, selecione Ativar autenticação federada.
Observação
Se você selecionar essa opção, configure o SSO pela página Provedores de Identidade.
Importante
Selecionando Ativar autenticação federada, todas as contas de usuário transferidas para o serviço IAM por meio da ponte do AD são classificadas como contas federadas. Para fins de integridade referencial, não é possível desativar, remover ou alterar o status dessas contas de usuário para não federado.
-
Selecione Salvar.
-
Na janela Confirmação, selecione OK.
O status da ponte do AD é alterado de
Parcialmente Configurado para
Configurado. A ponte é criada e configurada.
Observação Se você usar a ponte do AD para importar um grupo para o IAM e depois excluir o grupo no IAM, poderá restabelecer um link entre o grupo no Microsoft Active Directory e o grupo no IAM. Para fazê-lo:
-
No painel Selecionar unidades organizacionais (OUs) para grupos, desmarque a caixa de seleção do grupo escolhido e selecione Salvar.
-
Marque a caixa de seleção do grupo e selecione Salvar novamente.
-
Execute a ponte do AD para sincronizar o grupo entre o IAM e o Microsoft Active Directory imediatamente.