Ponte do AD da Microsoft

O domínio ao qual o cliente da Ponte do AD está conectado é determinado pelo domínio do usuário conectado que está instalando o cliente da Ponte do AD no Windows Server.

O Active Directory deve ser configurado para uma Conexão SSL. Tente conectar o ldp.exe ao Active Directory no SSL. Para verificar a conexão SSL:

o servidor da Ponte do AD pode ser desconectado do serviço IAM por causa de problemas de conectividade de rede. Depois que a conectividade for restaurada, uma notificação por e-mail será enviada.

O erro "Servidor LDAP indisponível" ocorre quando o servidor no qual o cliente da Ponte do AD instalado não consegue estabelecer conexão com o Controlador de Domínio do Active Directory por meio de LDAP. Verifique se os serviços do Active Directory estão em execução (Na lista Serviços do Windows, verifique o status do serviço AD DS Domain Controller.) e tente a conexão usando o utilitário cliente ldp.exe.

A Ponte do AD tem comunicação unidirecional com o serviço IAM. Isso significa que o serviço IAM não pode se comunicar diretamente com o servidor no qual a Ponte do AD está instalada. Em vez disso, a Ponte do AD frequentemente sonda o serviço IAM para verificar se alguma operação (como sincronização) está pendente. Uma mensagem "Ponte do AD Inacessível" significa que a sondagem não está sendo executada. Veja a seguir alguns motivos pelos quais a Ponte do AD pode estar inacessível.

• A Ponte do AD não está instalada.
• A Ponte do AD está instalada, mas não pode acessar o serviço IAM pela internet.
  • Verifique suas definições de conexão/proxy.
  • Teste a conectividade usando a interface do usuário da Ponte do AD.
• O serviço em segundo plano foi interrompido.
  • Inicie o Identity Cloud Service Microsoft Active Directory Bridge Service nos Serviços do Windows.
  • Certifique-se de que o Tipo de inicialização seja Automático.

Quando você vir a mensagem "Nenhuma sincronização ativa" na Console, poderá ignorá-la com segurança.

Essa mensagem não indica que há um problema. Isso significa que atualmente uma sincronização não está em andamento. A próxima sincronização será executada de acordo com o intervalo definido para o domínio por meio da página de configuração. Ou pode ser acionada manualmente.

Como a sincronização incremental lê apenas dados alterados, uma sincronização pode acontecer muito rapidamente e pode parecer que a mensagem "Nenhuma sincronização ativa". nunca desapareça. Você sempre pode verificar o último status de sincronização na página Importar desse domínio específico.

A movimentação do Controlador de Domínio não deve causar problemas. Verifique a conectividade do Controlador de Domínio usando a opção Testar Conectividade na interface de usuário da Ponte do AD. Se houver um problema na comunicação entre a Ponte do AD e o Controlador de Domínio (LDAP), clique em Detectar Controlador de Domínio para detectar melhor se o Controlador de Domínio está acessível.

As capturas de tela a seguir são exemplos de testes de conexão bem-sucedidos.

A causa depende de quais dos três métodos de autenticação (listados abaixo) estão sendo usados para acessar usuários do AD (Active Directory). Esses métodos podem ser alterados usando a página de configuração de domínio. A funcionalidade de acesso funciona de forma diferente em cada caso.

• Autenticação Local (padrão): Após a sincronização, os usuários receberão uma notificação de boas-vindas para alterar a senha da conta. Eles precisam usar o nome de usuário fornecido (no AD) e a senha definidos para acessar a conta.

  Ação a ser tomada: Verifique se o usuário está presente no serviço IAM. (A sincronização do usuário pode ter falhado por causa de dados inválidos.) Se o usuário existir, tente redefinir a senha no serviço IAM.

• Autenticação Delegada: Com a autenticação local, você pode ativar a delegação no AD. Com a autenticação delegada, os usuários não criarão uma senha, mas usarão suas senhas do AD existentes para o acesso. O serviço IAM delega a autenticação do usuário ao AD por meio da Ponte do AD.

  Ação a ser tomada: Verifique se o usuário está presente no serviço IAM. Além disso, verifique se o usuário está ativo no AD e se a senha não expirou.

• Autenticação Federada: Esse método usa um serviço de terceiros, como o Microsoft AD FS, para autenticar o usuário.

  Ação a ser tomada: Verifique a configuração do serviço de terceiros.

Use as seguintes capturas de tela como guia.

Quando não for possível ativar a federação, verifique se a Autenticação Delegada está ativada. Se a Autenticação Delegada estiver ativada, a Autenticação Federada não poderá ser ativada. Para ativá-lo, use as seguintes etapas:

Quando não for possível ativar a autenticação delegada, use as seguintes etapas:

Quando quiser alterar seu nome de usuário de conexão para um endereço de e-mail, use a seguinte etapa:

A Ponte do AD registra atualizações no Active Directory usando tokens de sincronização e um número de sequência de atualização (USN). O valor do USN mais alto anterior é armazenado e a qualquer momento em que uma sincronização incremental é executada; o serviço IAM lê os dados do USN armazenado para o USN mais recente.

Às vezes, por causa de fatores como uma alteração no Controlador de Domínio, os números de USN são corrompidos (se um novo DC tiver um valor de USN maior que o DC anterior), fazendo com que os usuários não sejam sincronizados. Uma sincronização Completa não usa tokens, motivo pelo qual os usuários aparecem em uma sincronização Completa.

Os mapeamentos de atributo podem ser alterados a qualquer momento. Certifique-se de executar uma sincronização Completa depois de salvar a nova configuração. Os dados do usuário serão atualizados pela sincronização Completa. Se você não fizer uma sincronização Completa, os dados existentes do usuário permanecerão iguais e os novos usuários terão dados atualizados.

Você pode suprimir alguns e-mails e notificações gerados automaticamente.

O serviço IAM mantém um mapeamento de todos os usuários do AD (identificador do serviço IAM mapeado para o identificador do AD). Quando o usuário é removido da sincronização ativa por exemplo, por causa de uma nova condição de filtro, o registro no serviço IAM é mantido e apenas o mapeamento é removido. A remoção do mapeamento é chamada desvinculação.

Esse caso é diferente da exclusão, uma vez que o usuário não é excluído do AD; se os filtros forem redefinidos, o usuário será vinculado novamente.

Para descobrir quantas pontes do AD você pode instalar para seu tipo de domínio de identidades, consulte Limites de Objetos do Domínio de Identidades do Serviço IAM.

Somente uma Ponte pode ser instalada no mesmo Windows Server. Uma única Ponte pode ser instalada. Para usar Alta Disponibilidade (HA), você precisa de várias máquinas conectadas ao mesmo Domínio do AD.

Quando uma nova versão do cliente da Ponte do AD estiver disponível:

• Você sempre deve fazer upgrade.
• Verifique se você não usa a versão atual novamente. A reinstalação da versão atual remove a Ponte existente e pode levar a falhas de autenticação e sincronização.

Não é necessário desinstalar a Ponte do AD existente para fazer upgrade para uma versão mais recente.

Você pode verificar o número da versão na interface do usuário da Ponte do AD.

Os dados existentes não são afetados por causa de um upgrade e você pode executar uma sincronização incremental. Além disso, a programação de sincronização não será afetada e a próxima sincronização será executada conforme configurado.

Não recomendamos que você faça downgrade do seu cliente da Ponte do AD.

Se você decidir fazer downgrade do cliente, desinstale o cliente atual da Ponte do AD, o que pode levar a um período de indisponibilidade de serviços (sincronização, autenticação delegada etc.).

Em seguida, você poderá instalar a versão desejada.

• Verifique a configuração da OU na página Integrações de Diretório. Você precisa selecionar as OUs para grupos e usuários separadamente. Mesmo que você tenha a mesma OU para grupos e usuários, selecione-os separadamente. Certifique-se de salvar a página de configuração depois de fazer as alterações.
• Confirme o filtro usado em usuários/grupos na página de configuração. Use o PowerShell para executar o filtro e verificar se seus usuários estão visíveis lá.
• Verifique a conectividade de rede do cliente da Ponte do AD para o serviço IAM. (Somente se houver falha em todos os registros.)
• Verifique o arquivo de log IDBridge ("Exibir logs" na interface do usuário da Ponte do AD). Procure um erro como este:
  

Quando você precisar tomar um dump de thread do serviço Ponte do AD em uma máquina da Ponte do AD, siga estas etapas.

Os filtros podem impedir que novos usuários e grupos sejam sincronizados no serviço IAM.

Em todos esses casos, a solicitação de autenticação falha, a menos que o cache de senha esteja ativado e que a senha esteja disponível no cache.

Nos três primeiros cenários, o serviço será recuperado quando o problema de conectividade/sistema downstream for resolvido.

No último cenário, o serviço será recuperado após a redução da carga de solicitação simultânea.

Se o cache de senha estiver ativado e não houver uma senha armazenada no cache ou se a senha do cache estiver expirada, a próxima vez que o usuário efetuar log-in com sucesso no sistema, a senha será armazenada.

A expiração padrão de uma senha é de cinco dias, mas você pode alterar isso nas definições de autenticação delegada.

Quando a instalação da ponte do AD falha, isso ocorre devido a:

• Excedendo o número de domínios de identidades para seu tipo de domínio de identidades.
• Excedendo o número de clientes da Ponte do AD para seu tipo de domínio de identidades.

Para descobrir quantos domínios de identidade ou pontes do AD você pode instalar para seu tipo de domínio de identidades, consulte Limites de Objetos do Domínio de Identidades do Serviço IAM.

Observe que a entrada Atributo de Usuário de Diretório não é uma seleção drop-down, mas uma caixa de texto sugestiva. Você pode escrever qualquer coisa na caixa de texto, mesmo que esse atributo não esteja presente no AD.

Certifique-se de digitar o atributo correto com exatidão (incluindo os caracteres maiúsculos e minúsculos) da forma como o nome do atributo aparece no Active Directory.

Se você não fizer isso, não verá um erro no tempo de salvamento do mapeamento, mas sua sincronização do AD será impactada e não poderá extrair esse atributo do Active Directory.

Um domínio parcialmente configurado indica que nenhuma OU está selecionada na página de configuração. Qualquer seleção de OU para usuários e/ou grupos é necessária para configurar o domínio para sincronização. Até então, não haverá nada a ser importado e a importação permanecerá desativada.