Configure uma ponte entre o Microsoft Active Directory e um domínio de identidades do IAM.
Depois de criar uma ponte do AD, você a configura:
- Selecionando as unidades organizacionais (OUs) e grupos do Microsoft Active Directory com os quais você deseja que o IAM sincronize usando a ponte de AD. As OUs contêm os usuários que você deseja importar para o IAM. Ao sincronizar com o Microsoft Active Directory, a ponte pode transferir registros novos, atualizados ou excluídos de usuário ou grupo para o IAM.
- Especificando se, após um usuário ou grupo estar sincronizado do Microsoft Active Directory com o IAM, se você ativar ou desativar um usuário, alterar os valores de atributo do usuário ou alterar as associações do grupo para o usuário no IAM, essas alterações serão propagadas para o Microsoft Active Directory.
- Programando com que frequência você deseja que o IAM use a ponte do AD para importar usuários e grupos do Microsoft Active Directory.
- Definindo mapeamentos de atributos personalizados entre o Microsoft Active Directory e o IAM.
- Especificando se usuários podem usar suas senhas do IAM ou do Microsoft Active Directory, ou suas contas federadas, para autenticar no IAM e acessar recursos protegidos pelo IAM, como a Console Meu Perfil, a Console do IAM ou quaisquer aplicativos designados aos usuários.
Você pode acessar o infográfico Gerenciando Definições de Segurança para ver como configurar uma ponte do AD.
-
Na página da lista Integrações de diretório, selecione a ponte do AD com a qual você deseja trabalhar. Se precisar de ajuda para localizar a página de integrações de diretório, consulte Listando Pontes do Active Directory.
Observação
A ponte tem o status Parcialmente Configurado.
-
Na página Configurar o Domínio do Microsoft Active Directory, configure o domínio do Microsoft Active Directory para pesquisar alterações feitas em usuários ou grupos no AD e importe essas alterações para o serviço IAM.
-
Nos painéis Selecionar unidades organizacionais (OUs) para usuários e Selecionar unidades organizacionais (OUs) para grupos:
-
Marque a caixa de seleção Incluir Hierarquia. Se você selecionar uma OU-pai, todas as OUs-filho serão selecionadas. As OUs contêm os usuários e grupos que você deseja importar para o IAM.
OU
Desmarque a caixa. Se você selecionar uma OU mãe, as OUs filhas não serão selecionadas.
-
Marque a opção para cada OU que contenha usuários OU grupos com os quais você deseja que o IAM sincronize usando a Ponte do AD.
Nota
Se você não vir nenhuma OUs para usuários ou grupos nos painéis Selecionar unidades organizacionais (OUs) para usuários e Selecionar unidades organizacionais (OUs) para grupos, em seguida, atualize seu Web browser.
Para forçar uma sincronização completa entre o Microsoft Active Directory e o IAM, desmarque todas as caixas de seleção para usuários ou grupos selecionados OUs, selecione Salvar e, em seguida, na caixa de diálogo Salvar Alterações de Configuração?, selecione OK. Em seguida, selecione Importar para importar os usuários e grupos do AD.
-
Opcional. Na caixa Filtro de texto, informe um filtro personalizado para procurar OUs de usuário ou grupo. Por exemplo, inserir (sn=Smith) retorna todos os usuários com o sobrenome Smith. Ou digite (department=IT) para retornar o grupo de TI.
Dica
-
Para selecionar todos os usuários ou grupos, marque a caixa de seleção Incluir Hierarquia e, em seguida, marque a caixa de seleção mais alta em cada painel.
-
Na caixa Filtrar, não é possível inserir mais de 4.000 caracteres.
-
O caractere curinga * é permitido, exceto quando AD Attribute é um atributo de DN. Para obter mais informações sobre filtros do AD, selecione aqui.
- Você pode usar a caixa Filtrar para sincronizar usuários do Microsoft Active Directory com o IAM com base em suas associações de grupos em vez de em suas OUs. Para fazer isso, não desmarque as caixas de seleção das OUs. Em vez disso, na caixa Filtrar, forneça os filtros personalizados de associação do grupo.
-
Se houver uma incompatibilidade entre o número de usuários ou grupos que você espera que sejam transferidos para o IAM e quantos usuários ou grupos são realmente importados, use os Usuários e Computadores do Active Directory para testar o filtro personalizado no Microsoft Active Directory para verificar se usuários e grupos trazidos ao IAM estão corretos.
-
Os nomes dos usuários que você deseja importar para o IAM devem conter pelo menos três caracteres. Os nomes dos grupos que você deseja importar para o IAM devem conter pelo menos cinco caracteres.
-
Os números de telefone dos usuários que você deseja importar devem atender aos requisitos da especificação RFC 3966.
-
Na área Operações Suportadas, escolha quais operações para usuários ou grupos do serviço IAM serão propagadas para o AD:
-
Na área Definir frequência de importação, programe com que frequência, em horas e minutos, você deseja que o serviço IAM use a Ponte do AD para importar usuários e grupos do Microsoft Active Directory.
Importante
Durante um ciclo de sincronização incremental, se houver mais de 100.000 alterações de associação de grupo no Microsoft Active Directory, o ciclo de sincronização poderá levar mais de uma hora. O Microsoft Active Directory precisa desse tempo para processar os logs de alteração.
-
Na área Configurar Mapeamentos de Atributos, selecione Editar Mapeamentos de Atributos para definir mapeamento de atributos personalizados entre o Microsoft Active Directory e o IAM. Consulte Definir Mapeamentos de Atributos para uma Ponte do Microsoft Active Directory (AD). Caso contrário, prossiga para a próxima etapa.
-
Na área Definições de Autenticação, selecione Ativar autenticação local se quiser que usuários usem suas senhas do IAM ou do Microsoft Active Directory para se autenticarem no IAM para acessar recursos protegidos pelo IAM.
Se você selecionar essa opção, configure a autenticação delegada para essa ponte do AD. Ao ativar a autenticação delegada, os usuários transferidos para o IAM por meio da ponte usarão suas senhas do Microsoft Active Directory para acessar o IAM. Desativando a autenticação delegada, os usuários devem usar suas senhas do IAM para se autenticar no IAM.
Além disso, se você selecionar Ativar autenticação local, mantenha Não enviar notificações de boas-vindas desmarcada para que o serviço IAM notifique usuários por e-mail que eles devem ativar as contas do serviço IAM criadas para eles.
Caso contrário, caso você não queira que os usuários sejam notificados que o IAM criou contas para eles, marque a caixa de seleçãoNão enviar Notificações Bem-Vindos.
Se você quiser que o usuário use suas contas federadas para se autenticar no IAM, selecione Ativar autenticação federada.
Observação
Se você selecionar essa opção, configure o SSO na página Provedores de Identidade.
Importante
Ao selecionar Ativar autenticação federada, todas as contas do usuário transferidas para o IAM por meio da ponte do AD são classificadas como contas federadas. Para fins de integridade referencial, não é possível desativar, remover ou alterar o status dessas contas de usuário para não federado.
-
Selecione Salvar.
-
Na janela Confirmação, selecione OK.
O status da ponte do AD muda de
Parcialmente Configurado para
Configurado. A ponte é criada e configurada.
Observação Se você usar a ponte do AD para importar um grupo para o serviço IAM e depois excluir o grupo no serviço IAM, poderá restabelecer um link entre o grupo no Microsoft Active Directory e o grupo no serviço IAM. Para fazer isso:
-
No painel Selecionar unidades organizacionais (OUs) para grupos, desmarque a caixa de seleção do grupo escolhido e selecione Salvar.
-
Marque a caixa de seleção do grupo e selecione Salvar novamente.
-
Execute a ponte do AD para sincronizar o grupo entre o IAM e o Microsoft Active Directory imediatamente.