Microsoft Active Directoryブリッジの設定

Microsoft Active Directory (AD)ブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。

ノート

ADブリッジが必要なのは、Windowsドメイン・コントローラがオンプレミスにあり、Entra ID (旧称Azure AD)がない場合のみです。Entra IDを使用している場合は、ソフトウェアをインストールせずに、AzureからOCI IAMへの同期を直接設定できます。Microsoft Entra IDチュートリアルを使用したOCI IAMのガイダンスを参照してください。

ADブリッジの理解

IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分ごとに、ADブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達します。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます。この同期により、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。

ユーザーがMicrosoft Active DirectoryからIAMに同期された後、ユーザーをアクティブ化または非アクティブ化したり、ユーザーの属性値を変更したり、IAMでユーザーのグループ・メンバーシップを変更すると、これらの変更はブリッジを介してMicrosoft Active Directoryに伝播されます。

ノート

Microsoft Active Directory組織ユニット(OU)には、IAMにインポートされるユーザーおよびグループが含まれます。

各ドメインにブリッジをインストールすることで、1つまたは複数のMicrosoft Active Directoryドメインと同期するようにIAMを構成できます。

ノート

自動検出のために、Microsoft Active Directoryドメインにアタッチされたマシンにブリッジをインストールする必要があります。ドメイン・コントローラにブリッジをインストールする必要はありません。

次の図は、インバウンド・ディレクトリの同期を示しています。

Microsoft Active Directoryドメインごとにブリッジをインストールおよび構成することで、Microsoft Active DirectoryからIAMへのインバウンド・ディレクトリ同期。

次の図は、アウトバウンド・ディレクトリの同期を示しています。

ユーザーのアクティブ化ステータス、属性値またはグループ・メンバーシップを更新するためのIAMからMicrosoft Active Directoryへのアウトバウンド・ディレクトリ同期。

上の図で、Clarence Saladna (CSALADNA)は、ブリッジを介してMicrosoft Active DirectoryからIAMに同期されたユーザーです。IAMで、管理者は、Clarenceが休暇中のためそのアカウントを非アクティブ化します。また、Clarenceは昇進したため、新しいジョブ・タイトルは「Director」になり、「Executive」グループや「Management」グループなど、新しいロールに関連付けられている様々なグループに属します。ブリッジを使用して、これらの変更をMicrosoft Active Directoryに伝播できます。

ブリッジとMicrosoft Active Directoryエンタープライズ・ディレクトリ構造は両方ともMicrosoft Windows環境(たとえば、Microsoft Windows 2003)に存在します。IAMはOracle Cloud Infrastructureサービスであるため、Oracle環境内に存在します。

次の図は、ブリッジのセキュリティを示しています。

IAMに各ブリッジをリンクするインターネット接続。

ノート

Microsoft Active Directoryユーザー属性が複数値の場合、ブリッジは属性の最初の値のみをIAMに転送します。

ADブリッジを使用する理由

ほとんどの顧客は、Microsoft Active Directoryを中央ディレクトリ・サービスとして持っています。これらの顧客は、ネットワーク・ディレクトリとしてMicrosoft Active Directoryも使用します。このディレクトリは、すべてのワークステーションの接続先であり、そこからユーザーを管理します。

Microsoft Active Directoryに加えて、顧客はエンタープライズLDAPを使用してすべてのユーザー・アイデンティティを集中管理します。そのため、顧客はMicrosoft Active Directoryを使用して従業員を管理しますが、集中管理されたLDAPでは、パートナ、コンシューマ、および顧客が関係を持つその他のユーザーを管理します。

これらの理由から、IAMはMicrosoft Active DirectoryおよびエンタープライズLDAP (Oracle Internet Directoryなど)の両方と統合できる必要があります。

IAMを使用することで、顧客はディレクトリベースのアプリケーションをクラウドに移行するタイミングを制御できます。その間、次のいずれかを使用できます:
  • ADブリッジ: このブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。1分ごとに、ブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達します。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます。その結果、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップを変更すると、これらの変更はADブリッジを介してMicrosoft Active Directoryに伝播されます。
  • プロビジョニング・ブリッジ: このブリッジは、エンタープライズLDAP (Oracle Internet Directoryなど)とIAM間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データは、IAMにプルされ、対応するIAMユーザーおよびグループのために格納されます。その結果、これらのレコードに対する変更は、IAMに転送されます。これにより、各レコードの状態は、LDAPとIAM間で同期されます。プロビジョニング・ブリッジの管理を参照してください。

動作保証されたコンポーネント

次の表に、IAM、Microsoft Active Directory、使用するオペレーティング・システムおよびMicrosoft .NETソフトウェア・フレームワーク(ADブリッジの実行に必要)の動作保証済バージョンを示します。

IAM AD 64ビット オペレーティング・システム .NET Framework
20.1.3

Microsoft Windows Server 2008

Microsoft Windows Server 2008 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

Microsoft Windows Server 2019

はい

Windows 10 v1607以降

Windows Server 2016以降

バージョン4.6+

ステータス

ADブリッジが通信しているMicrosoft Active Directoryドメインには、次の2つのステータスがあります。
  • 一部構成済: ADブリッジはインストールされていますが、Microsoft Active DirectoryドメインまたはIAMと通信するように構成されていません。

  • 構成済: ADブリッジはインストールおよび構成され、Microsoft Active Directoryドメインとの同期に使用できます。

ADブリッジには、次の3つのステータスがあります。
  • アクティブ: ADブリッジがインストールおよび構成され、Microsoft Active Directoryと同期してユーザー・アカウントおよびグループを取得できます。

  • 非アクティブ: ADブリッジはインストールおよび構成されていますが、Microsoft Active Directoryとの同期には使用できません。これは、パフォーマンスのために行われます。

  • 接続不可: ADブリッジはインストールおよび構成されています。ただし、次のいずれかの状況が発生しています:
    • IAMとMicrosoft Active Directory間の通信の確立に使用されるバックエンド・サービスは停止されます。

    • IAM管理者はADブリッジに関連付けられたクライアントをアンインストールしましたが、クライアントがサーバーに接続できないため、IAMコンソールの「ディレクトリ統合」ページからブリッジを削除できませんでした。IAMは、ブリッジを使用してMicrosoft Active Directoryと通信できません。Microsoft Active Directory (AD)ブリッジの削除を参照してください。

    • 管理者によってADブリッジのクライアント・シークレットが再生成され、ブリッジのクライアントがアンインストールされました。

ハードウェア要件

最小限のハードウェア要件:

  • 1GBのRAM
  • 1GBのディスク領域
  • クアッドコアCPU