Configurando uma Ponte do Microsoft Active Directory
A ponte do AD (Microsoft Active Directory) fornece um link entre uma estrutura de diretório empresarial do Microsoft Active Directory e o serviço IAM.
A Ponte do AD só será necessária se você tiver um controlador de Domínio do Windows local e não tiver ID de Entrada (anteriormente conhecido como Azure AD). Se você estiver usando o Entra ID, poderá configurar a sincronização diretamente do Azure para o OCI IAM sem instalar nenhum software. Consulte a orientação nos Tutoriais do OCI IAM com Microsoft Entra ID.
Entender a Ponte do AD
O serviço IAM pode sincronizar com essa estrutura de diretório para que quaisquer registros novos, atualizados ou excluídos de usuário ou grupo sejam transferidos para o IAM. A cada minuto, a ponte do AD sonda o Microsoft Active Directory em busca de quaisquer alterações nesses registros e traz essas alterações para o serviço IAM. Portanto, se um usuário for excluído do Microsoft Active Directory, essa alteração será propagada para o serviço IAM. Devido a essa sincronização, o estado de cada registro é sincronizado entre o Microsoft Active Directory e o IAM.
Depois que os usuários forem sincronizados do Microsoft Active Directory para o IAM, se você ativar ou desativar um usuário, modificar os valores de atributo ou alterar as associações de grupo do usuário no IAM, essas alterações serão propagadas para o Microsoft Active Directory por meio da ponte.
As unidades organizacionais (OUs) do Microsoft Active Directory contêm os usuários e os grupos que são importados para o serviço IAM.
Você pode configurar o serviço IAM para sincronização com um ou vários domínios do Microsoft Active Directory instalando uma ponte para cada domínio.
Para a descoberta automática, você deve instalar a ponte na máquina que está conectada ao domínio do Microsoft Active Directory. Você não precisa instalar a ponte no controlador de domínio.
A imagem a seguir mostra a sincronização do diretório de entrada:
A imagem a seguir mostra a sincronização do diretório de saída:
No diagrama acima, Clarence Saladna (CSALADNA) é um usuário que foi sincronizado do Microsoft Active Directory para o serviço IAM por meio da ponte. No serviço IAM, um administrador desativa a conta de Clarence porque ela está de férias. Além disso, como Clarence recebeu uma promoção, eles têm um novo cargo de Diretor e pertence a diferentes grupos que estão associados a sua nova atribuição, incluindo os grupos Executivo e Gerência. A ponte pode ser usada para propagar essas alterações para o Microsoft Active Directory.
As pontes e a estrutura de diretório empresarial do Microsoft Active Directory estão no seu ambiente Microsoft Windows (por exemplo, Microsoft Windows 2003). Como o IAM é um serviço do Oracle Cloud Infrastructure, ele está em um ambiente Oracle.
A seguinte imagem mostra a segurança da ponte:
Se um atributo de usuário do Microsoft Active Directory tiver vários valores, a ponte só transferirá o primeiro valor do atributo para o serviço IAM.
Por que Usar a Ponte do AD
A maioria dos clientes tem o Microsoft Active Directory como serviço de diretório central. Esses clientes também usam o Microsoft Active Directory como diretório de rede. Esse diretório é ao qual todas as estações de trabalho estão conectadas e de onde gerenciam seus usuários.
Além do Microsoft Active Directory, os clientes usam um LDAP empresarial para centralizar todas as identidades de usuário. Portanto, um cliente usa o Microsoft Active Directory para gerenciar seus funcionários, mas no LDAP centralizado, o cliente gerencia seus parceiros, consumidores e quaisquer outros usuários com os quais o cliente tem relacionamentos.
Por esses motivos, é imperativo que o serviço IAM possa ser integrado ao Microsoft Active Directory e a um LDAP empresarial (por exemplo, o Oracle Internet Directory).
- Ponte do AD: Essa ponte fornece um link entre sua estrutura de diretório empresarial do Microsoft Active Directory e o serviço IAM. O serviço IAM pode sincronizar com essa estrutura de diretório para que quaisquer registros novos, atualizados ou excluídos de usuário ou grupo sejam transferidos para o IAM. A cada minuto, a ponte sonda o Microsoft Active Directory em busca de quaisquer alterações nesses registros e traz essas alterações para o serviço IAM. Portanto, se um usuário for excluído do Microsoft Active Directory, essa alteração será propagada para o serviço IAM. Como resultado, o estado de cada registro é sincronizado entre o Microsoft Active Directory e o IAM. Depois que o usuário for sincronizado do Microsoft Active Directory para o IAM, se você ativar ou desativar um usuário, modificar os valores de atributo ou alterar as associações de grupo do usuário no IAM, essas alterações serão propagadas para o Microsoft Active Directory por meio da ponte do AD.
- Ponte de Provisionamento: Essa ponte fornece um link entre o LDAP empresarial (como o Oracle Internet Directory) e o serviço IAM. Por meio da sincronização, os dados da conta criados e atualizados diretamente no LDAP são extraídos para o serviço IAM e armazenados para os usuários e grupos correspondentes do serviço IAM. Como resultado, todas as alterações nesses registros são transferidas para o serviço IAM. Por isso, o estado de cada registro é sincronizado entre o LDAP e o serviço IAM. Consulte Gerenciando Pontes de Provisionamento.
Componentes Certificados
A tabela a seguir lista as versões certificadas do serviço IAM, do Microsoft Active Directory, do sistema operacional e do framework de software Microsoft .NET (que é necessário para que a ponte do AD seja executada).
Serviço IAM | AD | 64 Bits | Sistema Operacional | .NET Framework |
---|---|---|---|---|
20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
Sim |
Windows 10 v1607 ou mais recente Windows Server 2016 ou mais recente |
Versão 4.6+ |
Status
-
Parcialmente Configurado: A ponte do AD está instalada, mas não está configurada para se comunicar com o domínio do Microsoft Active Directory ou com o serviço IAM.
-
Configurado: A ponte do AD está instalada e configurada e disponível para sincronização com o domínio do Microsoft Active Directory.
-
Ativo: A ponte do AD está instalada, configurada e disponível para sincronização com o Microsoft Active Directory para recuperar contas e grupos de usuário.
-
Inativo: A ponte do AD está instalada e configurada, mas não está disponível para sincronização com o Microsoft Active Directory. Isso é feito por motivos de desempenho.
-
Não Acessível: A ponte do AD está instalada e configurada. No entanto, ocorreu uma das seguintes condições:
-
O serviço de backend usado para estabelecer comunicação entre o serviço IAM e o Microsoft Active Directory é interrompido.
-
O administrador do serviço IAM desinstalou o cliente associado à ponte do AD, mas a ponte não pôde ser removida da página Integrações de Diretório da Console do serviço IAM porque o cliente não pode estabelecer conexão com o servidor. O serviço IAM não pode usar a ponte para se comunicar com o Microsoft Active Directory. Consulte Remover uma Ponte do Microsoft Active Directory (AD).
-
O administrador gerou novamente o segredo do cliente para a ponte do AD e, em seguida, desinstalou o cliente para a ponte.
-
Requisitos de Hardware
Os requisitos mínimos de hardware são:
- 1 GB de RAM
- 1 GB de espaço em disco
- Uma CPU quad-core