Configurando uma Ponte do Microsoft Active Directory

A ponte do AD (Microsoft Active Directory) fornece um link entre uma estrutura do diretório empresarial do Microsoft Active Directory e o serviço IAM.

Observação

A Ponte do AD só será necessária se você tiver um controlador de Domínio do Windows on-premises e não tiver o Entra ID (anteriormente conhecido como Azure AD). Se você estiver usando o Entra ID, poderá configurar a sincronização diretamente do Azure para o OCI IAM sem instalar nenhum software. Consulte a orientação em Tutoriais do OCI IAM com ID do Microsoft Entra.

Compreender a Ponte do AD

O IAM pode ser sincronizado com essa estrutura do diretório para que qualquer registro de usuário ou grupo novo, atualizado ou excluído seja transferido para o IAM. A cada minuto, a ponte do AD sonda o Microsoft Active Directory para obter quaisquer alterações nesses registros e traz essas alterações para o serviço IAM. Portanto, se um usuário for excluído do Microsoft Active Directory, essa alteração é propagada para o IAM. Devido a essa sincronização, o estado de cada registro é sincronizado entre o Microsoft Active Directory e o IAM.

Depois que os usuários forem sincronizados do Microsoft Active Directory para o serviço IAM, se você ativar ou desativar um usuário, modificar os valores do atributo do usuário ou alterar os membros do grupo do usuário no serviço IAM, essas alterações são propagadas para o sistema Microsoft Active Directory por meio da ponte.

Observação

As unidades organizacionais (OUs) do Microsoft Active Directory contêm os usuários e grupos importados para o serviço IAM.

Você pode configurar o IAM para sincronizar com um ou vários domínios do Microsoft Active Directory instalando uma ponte para cada domínio.

Observação

Você deve instalar a ponte na máquina que está anexada ao domínio do Microsoft Active Directory para descoberta automática. Você não precisa instalar a ponte no controlador de domínio.

A imagem a seguir mostra a sincronização do diretório de entrada:

Sincronização do diretório de entrada do Microsoft Active Directory para o IAM, instalando e configurando uma ponte para cada domínio do Microsoft Active Directory.

A imagem a seguir mostra a sincronização do diretório de saída:

Sincronização do diretório de saída do IAM para o Microsoft Active Directory para atualizações do status de ativação, dos valores do atributo ou das associações do grupo de um usuário.

No diagrama acima, Clarence Saladna (CSALADNA) é um usuário que foi sincronizado do Microsoft Active Directory para o IAM por meio da ponte. No IAM, um administrador desativa a conta do Clarence porque está de férias. Além disso, como Clarence recebeu uma promoção, eles têm um novo título de cargo de Diretor e pertencem a diferentes grupos associados à sua nova função, incluindo os grupos Executivo e de Gerenciamento. A ponte pode ser usada para propagar essas alterações para o Microsoft Active Directory.

As pontes e a estrutura do diretório empresarial do Microsoft Active Directory estão no seu ambiente do Microsoft Windows (por exemplo, o Microsoft Windows 2003). Como o IAM é um serviço do Oracle Cloud Infrastructure, ele se encontra em um ambiente Oracle.

A seguinte imagem mostra a segurança da ponte:

A conexão com a Internet que vincula cada ponte ao IAM contém um firewall.

Observação

Se um atributo do usuário do Microsoft Active Directory tiver vários valores, a ponte transferirá somente o primeiro valor do atributo para o serviço IAM.

Por que Usar a Ponte do AD

A maioria dos clientes tem o Microsoft Active Directory como seu serviço de diretório central. Esses clientes também usam o Microsoft Active Directory como seu diretório de rede. Este diretório é onde todas as suas estações estão conectadas e de onde gerenciam seus usuários.

Além do Microsoft Active Directory, os clientes usam um LDAP empresarial para centralizar todas as identidades dos usuários. Assim, um cliente usa o Microsoft Active Directory para gerenciar seus funcionários, mas no LDAP centralizado, o cliente gerencia seus parceiros, consumidores e quaisquer outros usuários com os quais o cliente tenha relacionamentos.

Por esses motivos, é imperativo que o IAM possa se integrar ao Microsoft Active Directory e a um LDAP empresarial (por exemplo, Oracle Internet Directory).

Usando o IAM, os clientes podem controlar quando migram suas aplicações baseadas em diretório para a nuvem. Nesse meio tempo, eles podem usar um dos seguintes:

Ponte do DA: Esta ponte fornece um link entre a estrutura do diretório empresarial do Microsoft Active Directory e o serviço IAM. O IAM pode ser sincronizado com essa estrutura do diretório para que qualquer registro de usuário ou grupo novo, atualizado ou excluído seja transferido para o IAM. A cada minuto, a ponte sonda o Microsoft Active Directory para obter quaisquer alterações nesses registros e traz essas alterações para o serviço IAM. Portanto, se um usuário for excluído do Microsoft Active Directory, essa alteração será propagada para o IAM. Como resultado, o estado de cada registro é sincronizado entre o Microsoft Active Directory e o IAM. Depois que o usuário for sincronizado do Microsoft Active Directory para o serviço IAM, se você ativar ou desativar um usuário, modificar os valores do atributo do usuário ou alterar os membros do grupo do usuário no serviço IAM, essas alterações são propagadas para o sistema Microsoft Active Directory por meio da ponte do AD.
Ponte de Provisionamento: Essa ponte fornece um link entre o LDAP empresarial (como oOracle Internet Directory) e o IAM. Por meio da sincronização, os dados da conta criados e atualizados diretamente no LDAP serão extraídos do IAM e armazenados para os usuários e grupos correspondentes do IAM. Como resultado, qualquer alteração nesses registros será transferida para o serviço IAM. Por isso, o estado de cada registro é sincronizado entre o LDAP e o IAM. Consulte Gerenciando Pontes de Provisionamento.

Componentes Certificados

A tabela abaixo lista a versão certificada do IAM, do Microsoft Active Directory, do sistema operacional e da estrutura de software Microsoft .NET (que é necessária para a execução da ponte do AD).


IAM	AD	64 Bits	Sistema Operacional	.NET Framework
20.1.3	Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019	Sim	Windows 10 v1607 ou mais recente Windows Server 2016 ou mais recente	Versão 4.6+

Status

O domínio do Microsoft Active Directory com o qual a ponte do AD está se comunicando tem dois status:

Parcialmente Configurado: A ponte do DA está instalada, mas não foi configurada para se comunicar com os domínios do Microsoft Active Directory ou do IAM.
Configurado: A ponte AD está instalada e configurada, e disponível para sincronização com o domínio do Microsoft Active Directory.

A ponte do AD tem três status:

Ativo: A ponte do AD é instalada e configurada e está disponível para sincronização com o Microsoft Active Directory para recuperar contas e grupos de usuários.
Inativo: A ponte do AD está instalada e configurada, mas não está disponível para sincronização com o Microsoft Active Directory. Isso é feito por motivos de desempenho.
Inacessível: A ponte do AD está instalada e configurada. No entanto, ocorreu uma das seguintes condições:
- O serviço de backend usado para estabelecer a comunicação entre o IAM e o Microsoft Active Directory foi interrompido.
- O administrador do IAM desinstalou o cliente associado à ponte do AD, mas não foi possível remover a ponte da página Integrações do Diretório da Console do IAM porque o cliente não pode se conectar ao servidor. O serviço IAM não pode usar a ponte para se comunicar com o Microsoft Active Directory. Consulte Remover uma Ponte do Microsoft Active Directory (AD).
- O administrador gerou novamente o segredo do cliente da ponte do AD e desinstalou o cliente da ponte.

Requisitos de Hardware

Os requisitos mínimos de hardware são:

1 GB de RAM
1 GB de espaço em disco
Uma CPU quad-core