Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) nabízí most Microsoft Active Directory (AD), který organizacím umožňuje udržovat AD jako autoritativní zdroj identit a zároveň umožňuje těmto identitám přístup k systémům a aplikacím, které nejsou integrovány s AD. přímo. Most vytváří spojení mezi místním prostředím AD a OCI IAM. Toto připojení umožňuje synchronizovat jakékoli změny provedené v záznamech uživatelů nebo skupin v AD, včetně přidání, aktualizací nebo odstranění domény identity OCI IAM.
Nejtypičtější chyby, ke kterým došlo během počátečního nastavení Microsoft AD Bridge, se týkají synchronizace. Tento blogový příspěvek poskytuje základní informace, tipy a užitečné odkazy, které vám pomohou navázat úspěšná připojení ke zdrojovým a cílovým koncovým bodům. Než budete pokračovat, doporučujeme, abyste si prostudovali pokyny uvedené v části O mostu Microsoft Active Directory (AD) Bridge k nastavení připojení k mostu AD.
Případ použití 1: Skupiny se nesynchronizují
Jedním z potenciálních problémů synchronizace je situace, kdy se uživatelé synchronizují, ale odpovídající skupiny nikoli. V těchto případech se v protokolech může zobrazit chyba, například „CHYBA IDBridge – GetResponseAsync: Server nemůže zpracovat požadavky na adresář“. Chcete-li tento problém vyřešit, doporučujeme prozkoumat konfiguraci vrstvy SSL (Secure Socket Layer) na straně Active Directory. Během instalace konektoru AD bridge máte možnost povolit připojení SSL k AD. Toto nastavení nelze později změnit prostřednictvím konzoly.
Tento úkol však můžete provést pomocí rozhraní Oracle REST API v následujícím formátu. Dočasným zakázáním SSL a provedením úplné nebo přírůstkové synchronizace můžete problém identifikovat a vyřešit. Po vyřešení problému můžete SSL znovu povolit.
/admin/v1/IdentitySources/appid
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "replace",
"path": "sslEnabled",
"value": false
}
]
}
Případ použití 2: Segregace domény Active Directory na úrovni sítě
V určitých případech může místní prostředí sestávat z jedné domény AD, zatímco různá prostředí, jako je vývojář, kontrola kvality a produkce, jsou na úrovni sítě oddělena. Každé z těchto prostředí má svou vlastní sadu uživatelů a skupin, které je třeba synchronizovat. Pokud je však požadavkem mít samostatné konektory AD bridge pro každé prostředí, není to v tomto scénáři možné. AD bridge dokáže rozpoznat pouze název domény, který zůstává stejný ve všech prostředích. Takže můžete vytvořit pouze jedno připojení AD bridge.
Případ použití 3: Hierarchická struktura Active Directory
Pokud máte hierarchickou strukturu Active Directory s kořenovou doménou AD a podřízenými doménami a nakonfigurovali jste AD bridge v kořenové doméně, nemusí fungovat podle očekávání, pokud doufáte, že načtete uživatele a skupiny z podřízených domén. Chcete-li tyto uživatele synchronizovat, musíte nakonfigurovat AD bridge samostatně pro každou podřízenou doménu.
Případ použití 4: Konfigurace vysoké dostupnosti pro AD bridge
Primárním cílem je umožnit vysokou dostupnost konfigurace AD bridge v produkčním prostředí. Chcete-li aktivovat funkci vysoké dostupnosti, musíte nastavit AD bridge na dvou různých počítačích s Windows a odeslat požadavek na službu s podporou Oracle. I když je povolena vysoká dostupnost, nemáte k dispozici automatické zjišťování domény pro připojení k druhému uzlu, pokud se jeden řadič domény stane nedostupným. V takových případech můžete zahájit ruční vyhledávání pomocí tlačítka Detect Domain Controller v agentovi konektoru AD bridge.
Závěr
Tyto příklady představují několik možných scénářů, se kterými se můžete setkat při konfiguraci mostu Oracle Cloud Infrastructure IAM Microsoft AD. Doufáme, že tyto scénáře budou užitečné při odstraňování problémů. Pokud se podíváte na dokumentaci k instalaci AD bridge a budete postupovat podle poskytnutých pokynů, můžete úspěšně vytvořit proces synchronizace.
Zdroj: Oracle