Microsoft Active Directoryブリッジの設定
Microsoft Active Directory (AD)ブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。
ADブリッジが必要なのは、Windowsドメイン・コントローラがオンプレミスにあり、Entra ID (旧称Azure AD)がない場合のみです。Entra IDを使用している場合は、ソフトウェアをインストールせずに、AzureからOCI IAMへの同期を直接設定できます。Microsoft Entra IDチュートリアルを使用したOCI IAMのガイダンスを参照してください。
ADブリッジの理解
IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分ごとに、ADブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達します。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます。この同期により、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。
ユーザーがMicrosoft Active DirectoryからIAMに同期された後、ユーザーをアクティブ化または非アクティブ化したり、ユーザーの属性値を変更したり、IAMでユーザーのグループ・メンバーシップを変更すると、これらの変更はブリッジを介してMicrosoft Active Directoryに伝播されます。
Microsoft Active Directory組織ユニット(OU)には、IAMにインポートされるユーザーおよびグループが含まれます。
各ドメインにブリッジをインストールすることで、1つまたは複数のMicrosoft Active Directoryドメインと同期するようにIAMを構成できます。
自動検出のために、Microsoft Active Directoryドメインにアタッチされたマシンにブリッジをインストールする必要があります。ドメイン・コントローラにブリッジをインストールする必要はありません。
次の図は、インバウンド・ディレクトリの同期を示しています。
次の図は、アウトバウンド・ディレクトリの同期を示しています。
上の図で、Clarence Saladna (CSALADNA)は、ブリッジを介してMicrosoft Active DirectoryからIAMに同期されたユーザーです。IAMで、管理者は、Clarenceが休暇中のためそのアカウントを非アクティブ化します。また、Clarenceは昇進したため、新しいジョブ・タイトルは「Director」になり、「Executive」グループや「Management」グループなど、新しいロールに関連付けられている様々なグループに属します。ブリッジを使用して、これらの変更をMicrosoft Active Directoryに伝播できます。
ブリッジとMicrosoft Active Directoryエンタープライズ・ディレクトリ構造は両方ともMicrosoft Windows環境(たとえば、Microsoft Windows 2003)に存在します。IAMはOracle Cloud Infrastructureサービスであるため、Oracle環境内に存在します。
次の図は、ブリッジのセキュリティを示しています。
Microsoft Active Directoryユーザー属性が複数値の場合、ブリッジは属性の最初の値のみをIAMに転送します。
ADブリッジを使用する理由
ほとんどの顧客は、Microsoft Active Directoryを中央ディレクトリ・サービスとして持っています。これらの顧客は、ネットワーク・ディレクトリとしてMicrosoft Active Directoryも使用します。このディレクトリは、すべてのワークステーションの接続先であり、そこからユーザーを管理します。
Microsoft Active Directoryに加えて、顧客はエンタープライズLDAPを使用してすべてのユーザー・アイデンティティを集中管理します。そのため、顧客はMicrosoft Active Directoryを使用して従業員を管理しますが、集中管理されたLDAPでは、パートナ、コンシューマ、および顧客が関係を持つその他のユーザーを管理します。
これらの理由から、IAMはMicrosoft Active DirectoryおよびエンタープライズLDAP (Oracle Internet Directoryなど)の両方と統合できる必要があります。
- ADブリッジ: このブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分ごとに、ブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達します。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます。その結果、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップを変更すると、これらの変更はADブリッジを介してMicrosoft Active Directoryに伝播されます。
- プロビジョニング・ブリッジ: このブリッジは、エンタープライズLDAP (Oracle Internet Directoryなど)とIAM間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データは、IAMにプルされ、対応するIAMユーザーおよびグループのために格納されます。その結果、これらのレコードに対する変更は、IAMに転送されます。これにより、各レコードの状態は、LDAPとIAM間で同期されます。プロビジョニング・ブリッジの管理を参照してください。
動作保証されたコンポーネント
次の表に、IAM、Microsoft Active Directory、使用するオペレーティング・システムおよびMicrosoft .NETソフトウェア・フレームワーク(ADブリッジの実行に必要)の動作保証済バージョンを示します。
| IAM | AD | 64ビット | オペレーティング・システム | .NET Framework |
|---|---|---|---|---|
| 20.1.3 |
Microsoft Windows Server 2008 Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 |
はい |
Windows Server 2016以降 |
バージョン4.6+ |
ステータス
-
一部構成済: ADブリッジはインストールされていますが、Microsoft Active DirectoryドメインまたはIAMと通信するように構成されていません。
-
構成済: ADブリッジはインストールおよび構成され、Microsoft Active Directoryドメインとの同期に使用できます。
-
アクティブ: ADブリッジがインストールおよび構成され、Microsoft Active Directoryと同期してユーザー・アカウントおよびグループを取得できます。
-
非アクティブ: ADブリッジはインストールおよび構成されていますが、Microsoft Active Directoryとの同期には使用できません。これは、パフォーマンスのために行われます。
-
接続不可: ADブリッジはインストールおよび構成されています。ただし、次のいずれかの状況が発生しています:
-
IAMとMicrosoft Active Directory間の通信の確立に使用されるバックエンド・サービスは停止されます。
-
IAM管理者はADブリッジに関連付けられたクライアントをアンインストールしましたが、クライアントがサーバーに接続できないため、IAMコンソールの「ディレクトリ統合」ページからブリッジを削除できませんでした。IAMは、ブリッジを使用してMicrosoft Active Directoryと通信できません。Microsoft Active Directory (AD)ブリッジの削除を参照してください。
-
管理者によってADブリッジのクライアント・シークレットが再生成され、ブリッジのクライアントがアンインストールされました。
-
ハードウェア要件
最小限のハードウェア要件:
- 1GBのRAM
- 1GBのディスク領域
- クアッドコアCPU