Ponte do Microsoft AD

O domínio ao qual o cliente da Ponte do AD está conectado é determinado pelo domínio do usuário conectado que está instalando o cliente da Ponte do AD no Windows Server.

O Active Directory deve ser configurado para uma Conexão SSL. Tente conectar o ldp.exe ao Active Directory no SSL. Para verificar a conexão SSL:

o servidor Ponte do AD pode ficar desconectado do serviço IAM por causa de problemas de conectividade de rede. Após a restauração da conectividade, uma notificação por e-mail é enviada.

O erro "Servidor LDAP indisponível" ocorre quando o servidor no qual o cliente da Ponte do AD instalado não consegue estabelecer conexão com o Controlador de Domínio do Active Directory por meio de LDAP. Verifique se os serviços do Active Directory estão em execução (Na lista Serviços do Windows, verifique o status do serviço AD DS Domain Controller.) e tente a conexão usando o utilitário cliente ldp.exe.

A Ponte do AD tem comunicação unidirecional com o IAM. Isso significa que o IAM não pode se comunicar diretamente com o servidor em que a Ponte de AD está instalada. Em vez disso, a Ponte do AD frequentemente sonda o IAM para verificar se alguma operação (como sincronização) está pendente. Uma mensagem "Ponte do AD Inacessível" significa que a sondagem não está sendo executada. Veja a seguir alguns motivos pelos quais a Ponte do AD pode estar inacessível.

• A Ponte do AD não está instalada.
• A Ponte do AD está instalada, mas não é possível acessar o IAM pela internet.
  • Verifique suas definições de conexão/proxy.
  • Teste a conectividade usando a interface do usuário da Ponte do AD.
• O serviço em segundo plano foi interrompido.
  • Inicie o Serviço Identity Cloud Service Microsoft Active Directory Bridge no Windows Services.
  • Certifique-se de que o tipo de inicialização seja Automático.

Quando vir a mensagem "Nenhuma sincronização ativa" na Console, você poderá ignorá-la com segurança.

Esta mensagem não indica que há um problema. Isso significa que uma sincronização no momento não está em andamento. A próxima sincronização será executada de acordo com o intervalo definido para o domínio por meio da página de configuração. Ou pode ser acionada manualmente.

Como a sincronização incremental só lê dados alterados, uma sincronização pode ocorrer muito rapidamente e pode parecer que a mensagem "Nenhuma sincronização ativa" nunca desaparece. Você sempre pode verificar o último status de sincronização na página Importar desse domínio específico.

A movimentação do Controlador de Domínio não deve causar problemas. Verificar a conectividade do Controlador de Domínio usando a opção Testar Conectividade na interface do usuário da Ponte do AD. Se houver um problema na comunicação da Ponte do AD com o Controlador de Domínio (LDAP), selecione Detectar Controlador de Domínio para detectar se o Controlador de Domínio está acessível.

As capturas de tela a seguir são exemplos de testes de conexão bem-sucedidos.

A causa depende de quais dos três métodos da autenticação (listados abaixo) estão sendo usados para acessar usuários do Active Directory (AD). Esses métodos podem ser alterados usando a página da configuração do domínio. A funcionalidade de acesso funciona de forma diferente em cada caso.

• Autenticação Local (padrão): Após a sincronização, os usuários receberão uma notificação de boas-vindas para alterar a senha da conta. Eles precisam usar o nome de usuário fornecido (no AD) e a senha definidos para acessar a conta.

  Ação a ser tomada: Verifique se o usuário está presente no IAM. (A sincronização do usuário pode ter falhado por causa de dados inválidos.) Se o usuário existir, tente redefinir a senha do serviço IAM.

• Autenticação Delegada: Com a autenticação local, você pode ativar a delegação no AD. Com a autenticação delegada, os usuários não criarão uma senha, mas usarão suas senhas do AD existentes para o acesso. O IAM delega a autenticação do usuário ao AD por meio da Ponte de AD.

  Ação a ser tomada: Verifique se o usuário está presente no IAM. Além disso, verifique se o usuário está ativo no AD e se a senha não expirou.

• Autenticação Federada: Esse método usa um serviço de terceiros, como o Microsoft AD FS, para autenticar o usuário.

  Ação a ser tomada: Verifique a configuração do serviço de terceiros.

Use as seguintes capturas de tela como guia.

Quando não for possível ativar a federação, verifique se a Autenticação Delegada está ativada. Se a Autenticação Delegada estiver ativada, a Autenticação Federada não poderá ser ativada. Para realizá-lo, utilize as seguintes etapas:

Quando você não puder ativar a autenticação delegada, use as seguintes etapas:

Quando quiser alterar seu nome de usuário de conexão para um endereço de e-mail, use a seguinte etapa:

A Ponte do AD registra atualizações no Active Directory usando tokens de sincronização e um número de sequência de atualização (USN). O valor de USN mais alto anterior é armazenado e sempre que uma sincronização incremental é executada; o IAM lê as informações do USN armazenado para o USN mais recente.

Às vezes, por causa de fatores como uma alteração no Controlador de Domínio, os números de USN são corrompidos (se um novo DC tiver um valor de USN maior que o DC anterior), fazendo com que os usuários não sejam sincronizados. Uma sincronização Completa não usa tokens, motivo pelo qual os usuários aparecem em uma sincronização Completa.

Os mapeamentos de atributos podem ser alterados a qualquer momento. Certifique-se de executar uma sincronização Completa depois de salvar a nova configuração. Os dados do usuário serão atualizados pela sincronização Completa. Se você não fizer uma sincronização Completa, os dados existentes do usuário permanecerão iguais e os novos usuários terão dados atualizados.

Você pode suprimir alguns e-mails e notificações gerados automaticamente.

O serviço IAM mantém um mapeamento de todos os usuários do AD (identificador IAM mapeado para o identificador do AD). Quando o usuário é removido da sincronização ativa por causa do exemplo, uma nova condição do filtro, o registro no IAM é mantido e apenas o mapeamento é removido. A remoção do mapeamento é chamada de desvinculação.

Esse caso é diferente da exclusão, uma vez que o usuário não é excluído do AD; se os filtros forem redefinidos, o usuário será vinculado novamente.

Para descobrir quantas pontes de AD você pode instalar para seu tipo de domínio de identidades, consulte Limites de Objeto de Domínio de Identidades do IAM.

Apenas uma Ponte pode ser instalada na mesma máquina do Windows Server. Uma única Ponte pode ser instalada. Para usar a Alta Disponibilidade (HA), você precisa de várias máquinas conectadas ao mesmo Domínio do AD.

Quando uma nova versão do cliente da Ponte do AD está disponível:

• Você deve sempre atualizar.
• Certifique-se de não voltar a versão atual. A reinstalação da versão atual remove a Ponte existente e pode levar a falhas de autenticação e sincronização.

Não é necessário desinstalar a Ponte do AD existente para fazer upgrade para uma versão posterior.

Você pode verificar o número da versão da interface do usuário da Ponte do AD.

Os dados existentes não são afetados por causa de uma atualização, e você pode executar uma sincronização incremental. Além disso, a programação de sincronização não será afetada e a próxima sincronização será executada conforme configurado.

Não recomendamos que você faça downgrade do cliente da Ponte do AD.

Se você decidir fazer downgrade do cliente, desinstale o cliente atual da Ponte do AD que pode levar a um tempo de inatividade dos serviços (sincronização, autenticação delegada etc.).

Em seguida, você poderá instalar a versão desejada.

• Verifique a configuração da OU na página Integrações de Diretório. Você precisa selecionar as OUs para grupos e usuários separadamente. Mesmo que você tenha a mesma OU para grupos e usuários, selecione-os separadamente. Certifique-se de salvar a página de configuração depois de fazer as alterações.
• Confirme o filtro usado em usuários/grupos na página de configuração. Use o PowerShell para executar o filtro e verificar se seus usuários estão visíveis lá.
• Verifique a conectividade de rede do cliente de Ponte do AD para o IAM. (Somente se houver falha em todos os registros.)
• Verifique o arquivo IDBridge de log ("Exibir logs" da interface do usuário do AD Bridge). Procure um erro como este:
  

Quando você precisar fazer um dump de thread do serviço Ponte AD em uma máquina de Ponte AD, siga estas etapas.

Filtros podem evitar que novos usuários e grupos se sincronizem no IAM.

Em todos esses casos, a solicitação de autenticação falha, a menos que o armazenamento da senha em cache esteja ativado e a senha esteja disponível no cache.

Para os três primeiros cenários, o serviço será recuperado quando o problema do sistema/conectividade downstream ser resolvido.

No último cenário, o serviço se recuperará após a diminuição da carga da solicitação concorrente.

Se o cache de senha estiver ativado e não houver uma senha armazenada no cache, ou se a senha do cache estiver expirada, na próxima vez que o usuário efetuar log-in com sucesso no sistema, a senha será armazenada.

A expiração padrão de uma senha é de cinco dias, mas você pode alterar isso nas definições de autenticação delegada.

Quando a instalação da ponte do AD falha, isso ocorre em decorrência de:

• Excedendo o número de domínios de identidades para seu tipo de domínio de identidades.
• Excedendo o número de clientes da Ponte do AD para o seu tipo de domínio de identidades.

Para descobrir quantos domínios de identidades ou pontes do AD você pode instalar para seu tipo de domínio de identidades, consulte Limites de Objetos do Domínio de Identidades do IAM.

Observe que a entrada Atributo de Usuário de Diretório não é uma seleção drop-down, mas uma caixa de texto sugestiva. Você pode escrever qualquer coisa na caixa de texto, mesmo que esse atributo não esteja presente no AD.

Certifique-se de digitar o atributo correto com exatidão (incluindo os caracteres maiúsculos e minúsculos) da forma como o nome do atributo aparece no Active Directory.

Se você não fizer isso, não verá um erro no mapeamento do tempo de salvamento, mas a sincronização do AD será afetada e não será possível extrair esse atributo do Active Directory.

Um domínio parcialmente configurado indica que nenhuma OU está selecionada na página de configuração. Qualquer seleção de OU para usuários e/ou grupos é necessária para configurar o domínio para sincronização. Até então, não haverá nada a ser importado e a importação permanecerá desativada.