Oracle Cloud Infrastructureドキュメント

Microsoft Active Directoryブリッジの設定

Microsoft Active Directory (AD)ブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。

ノート

ADブリッジは、オンプレミスにWindowsドメイン・コントローラがあり、Entra ID (旧称Azure AD)がない場合にのみ必要です。Entra IDを使用している場合は、ソフトウェアをインストールせずに、AzureからOCI IAMへの同期を直接設定できます。Microsoft Entra IDを使用したOCI IAMのチュートリアルのガイダンスを参照してください。

ADブリッジの理解

IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。毎分、ADブリッジでは、Microsoft Active Directoryにこれらのレコードに対する変更についてポーリングし、その変更をIAMに伝えます。そのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます、この同期により、各レコードの状態は、Microsoft Active DirectoryとIAMの間で同期されています。

ユーザーをMicrosoft Active DirectoryからIAMに同期した後、ユーザーをアクティブ化または非アクティブ化したり、ユーザーの属性値を変更したり、IAMでユーザーのグループ・メンバーシップを変更できますと、これらの変更はブリッジを介してMicrosoft Active Directoryに伝播されます。

ノート

Microsoft Active Directoryの組織単位(OU)には、IAMにインポートされるユーザーおよびグループが含まれます。

各ドメインのブリッジをインストールすることで、1つまたは複数のMicrosoft Active Directoryドメインと同期するようにIAMを構成できます。

ノート

自動検出のために、Microsoft Active Directoryドメインにアタッチされたマシン上にブリッジをインストールする必要があります。ドメイン・コントローラにブリッジをインストールする必要はありません。

次の図は、インバウンド・ディレクトリの同期を示しています。

各Microsoft Active Directoryドメインのブリッジをインストールして構成することで、Microsoft Active DirectoryからIAMへのインバウンド・ディレクトリ同期。

次の図は、アウトバウンド・ディレクトリの同期を示しています。

ユーザーのアクティブ化ステータス、属性値またはグループ・メンバーシップを更新するためのIAMからMicrosoft Active Directoryに対するアウトバウンド・ディレクトリ同期。

上の図では、Clarence Saladna (CSALADNA)は、ブリッジを介してMicrosoft Active DirectoryからIAMに同期されたユーザーです。IAMで、管理者は、Clarenceが休暇中のためそのアカウントを非アクティブ化します。また、Clarenceは昇進したため、Directorの新しい肩書を持ち、新しい職務職に関連付けられた様々なグループ(ExecutiveおよびManagementグループなど)に属しています。ブリッジを使用して、これらの変更をMicrosoft Active Directoryに伝播できます。

ブリッジとMicrosoft Active Directoryエンタープライズ・ディレクトリ構造は両方ともMicrosoft Windows環境(Microsoft Windows 2003など)に存在します。IAMはOracle Cloud Infrastructureサービスであるため、Oracle環境内にあります。

次の図は、ブリッジのセキュリティを示しています。

各ブリッジをIAMにリンクするインターネット接続には、ファイアウォールが含まれます。

ノート

Microsoft Active Directoryユーザー属性が複数値の場合は、ブリッジは属性の最初の値のみをIAMに転送します

ADブリッジを使用する理由

ほとんどの顧客は、Microsoft Active Directoryが中央ディレクトリ・サービスとなっています。これらの顧客は、ネットワーク・ディレクトリとしてMicrosoft Active Directoryも使用します。このディレクトリは、すべてのワークステーションが接続されている場所で、そこからユーザーを管理します。

Microsoft Active Directoryに加えて、顧客はエンタープライズLDAPを使用してすべてのユーザー・アイデンティティを集中管理します。そのため、顧客はMicrosoft Active Directoryを使用して従業員を管理しますが、集中管理のLDAPでは、顧客はパートナ、コンシューマ、および顧客が関係を持つその他のユーザーを管理します。

これらの理由から、IAMがMicrosoft Active DirectoryとエンタープライズLDAP (Oracle Internet Directoryなど)の両方と統合できることが不可欠です。

IAMを使用することで、顧客はディレクトリベースのアプリケーションをクラウドに移行するタイミングを制御できます。その間、次のいずれかを使用できます:
  • ADブリッジ: このブリッジは、Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供します。IAMはこのディレクトリ構造と同期できるため、新規、更新済または削除済のユーザーまたはグループ・レコードはIAMに転送されます。毎分、ブリッジはこれらのレコードに対する変更についてMicrosoft Active Directoryをポーリングし、その変更をIAMに伝達しますそのため、Microsoft Active Directoryでユーザーが削除されると、その変更はIAMに伝播されます、その結果、各レコードの状態は、Microsoft Active DirectoryとIAM間で同期されます。ユーザーがMicrosoft Active DirectoryからIAMに同期された後、IAMでユーザーのアクティブ化または非アクティブ化、ユーザーの属性値の変更、またはユーザーのグループ・メンバーシップを変更すると、その変更はADブリッジを介してMicrosoft Active Directoryに伝播されます。
  • プロビジョニング・ブリッジ: このブリッジは、エンタープライズLDAP (Oracle Internet Directoryなど)とIAM間のリンクを提供します。同期を通じて、LDAPで直接作成および更新されるアカウント・データは、IAMにプルされ、対応するIAMユーザーおよびグループのために格納されます。その結果、これらのレコードに対する変更はIAMに転送されます、これにより、各レコードの状態は、LDAPとIAM間で同期されます。プロビジョニング・ブリッジの管理を参照してください。

動作保証されたコンポーネント

The following table lists the certified versions for IAM, Microsoft Active Directory, your operating system, and the Microsoft .NET software framework (which is required for the AD bridge to run).

IAM AD 64ビット オペレーティング・システム .NET Framework
20.1.3

Microsoft Windows Server 2008

Microsoft Windows Server 2008 R2

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

Microsoft Windows Server 2019

 はい

Windows 10 v1607以降

Windows Server 2016以降

 バージョン4.6+

ステータス

ADブリッジが通信しているMicrosoft Active Directoryドメインには、次の2つのステータスがあります。

  • 一部構成済の: ADブリッジはインストールされていますが、Microsoft Active DirectoryドメインまたはIAMと通信するように構成されていません。

  • 構成: ADブリッジはインストールおよび構成され、Microsoft Active Directoryドメインとの同期に使用できるようになります。

ADブリッジには次の3つのステータスがあります。

  • アクティブ: ADブリッジがインストールおよび構成され、Microsoft Active Directoryと同期してユーザー・アカウントおよびグループを取得できるようになります。

  • 非アクティブ: ADブリッジはインストールおよび構成されていますが、Microsoft Active Directoryとの同期には使用できません。これは、パフォーマンス上の理由で行われます。

  • 接続不可: ADブリッジはインストールおよび構成されています。ただし、次のいずれかの状況が発生しています:

    • IAMとMicrosoft Active Directory間の通信を確立するために使用されるバックエンド・サービスが停止されます。

    • IAM管理者はADブリッジに関連付けられたクライアントをアンインストールしました。ただし、クライアントがサーバーに接続できないため、IAMコンソールの「ディレクトリ統合」ページから橋を削除できませんでした。IAMは、ブリッジを使用してMicrosoft Active Directoryと通信できません。Microsoft Active Directory (AD)ブリッジの削除を参照してください。

    • 管理者はADブリッジのクライアント・シークレットを再生成してから、ブリッジのクライアントをアンインストールしました

ハードウェア要件

最小限のハードウェア要件:

  • 1GBのRAM
  • 1GBのディスク領域
  • クアッドコアCPU