Puente de Microsoft AD

El dominio al que se conecta el cliente del puente de AD se determina a partir del dominio del usuario conectado que está instalando el cliente del puente de AD en Windows Server.

Active Directory debe estar configurado para una conexión SSL. Intente conectar ldp.exe con Active Directory en SSL. Para verificar la conexión SSL:

es posible que el servidor del puente de AD se desconecte de IAM debido a incidencias de conectividad de red. Después de restaurar la conectividad, se envía una notificación por correo electrónico.

El error "LDAP Server unavailable" se produce cuando el servidor en el que está instalado el cliente del puente de AD no puede conectarse al controlador de dominio de Active Directory mediante LDAP. Verifique que los servicios de Active Directory se están ejecutando (en la lista Servicios de Windows, compruebe el estado del servicio Controlador de dominio de AD DS) y, a continuación, intente conectarse mediante la utilidad de cliente ldp.exe.

El puente de AD tiene una comunicación unidireccional con IAM. Esto significa que IAM no se puede comunicar directamente con el servidor en el que está instalado el puente de AD. En su lugar, el puente de AD sondea IAM con frecuencia para comprobar si hay alguna operación (como la sincronización) pendiente. El mensaje que indica que el puente de AD es inaccesible significa que no se está realizando el sondeo. A continuación se indican algunos de los motivos por los que es posible que no se pueda acceder al puente de AD.

• El puente de AD no está instalado.
• El puente de AD está instalado pero no se puede acceder a IAM a través de Internet.
  • Compruebe la configuración de conexión/proxy.
  • Pruebe la conexión utilizando la interfaz de usuario del puente de AD.
• El servicio en segundo plano está parado.
  • Inicie el Servicio de puente de Microsoft Active Directory para Oracle Identity Cloud Service desde los servicios de Windows.
  • Asegúrese de que el Tipo de inicio es automático.

Cuando vea el mensaje "No active sync" en la consola, puede ignorarlo sin problemas.

Este mensaje no indica que haya una incidencia. Esto significa que actualmente no hay ninguna sincronización en curso. La siguiente sincronización se ejecutará según el intervalo definido para el dominio a través de la página de configuración. O bien, se puede disparar manualmente.

Dado que la sincronización incremental solo lee los datos modificados, se puede producir una sincronización muy rápido y podría parecer que el mensaje "No active sync" nunca desaparece. Siempre puede verificar el estado de sincronización más reciente en la página Importar de ese dominio en particular.

El movimiento del controlador de dominio no debería causar problemas. Verifique la conexión del controlador de dominio mediante la opción Probar conexión en la interfaz de usuario del puente de AD. Si hay una incidencia en la comunicación del puente de AD al controlador de dominio (LDAP), haga clic en Detectar controlador de dominio para detectar si se puede acceder al controlador de dominio.

Las siguientes capturas de pantalla son ejemplos de pruebas de conexión correcta.

La causa depende de los tres métodos de autenticación (que se muestran a continuación) que se utilizan para conectarse en usuarios de Active Directory (AD). Estos métodos se pueden cambiar mediante la página de configuración del dominio. La funcionalidad de conexión funciona de manera diferente en cada caso.

• Autenticación local (valor por defecto): después de la sincronización, los usuarios reciben una notificación de bienvenida para cambiar la contraseña de su cuenta. Deben utilizar el nombre de usuario (de AD) y la contraseña proporcionados que han definido para conectarse a su cuenta.

  Acción que se debe realizar: compruebe si el usuario está presente en IAM. (Es posible que la sincronización de usuario haya fallado debido a que los datos no son válidos). Si el usuario existe, intente restablecer la contraseña desde IAM.

• Autenticación delegada: con la autenticación local, puede activar la delegación desde AD. Con la autenticación delegada, los usuarios no crearán una contraseña, sino que utilizarán sus contraseñas de AD existentes para conectarse. IAM delega la autenticación de usuario en AD a través del puente de AD.

  Acción que se debe realizar: compruebe si el usuario está presente en IAM. Además, compruebe si el usuario está activo en AD y que la contraseña no ha caducado.

• Autenticación federada: este método utiliza un servicio de terceros como Microsoft AD FS para autenticar al usuario.

  Acción que se debe realizar: compruebe la configuración del servicio de terceros.

Utilice las siguientes capturas de pantalla como guía.

Si no puede activar la federación, compruebe si está activada la autenticación delegada. Si la autenticación delegada está activada, la autenticación federada no se puede activar. Para activarla, realice los siguientes pasos:

Si no puede activar la autenticación delegada, realice los siguientes pasos:

Si desea cambiar el nombre de usuario de inicio de sesión por una dirección de correo electrónico, realice el siguiente paso:

El puente de AD registra las actualizaciones en Active Directory mediante tokens de sincronización y un número de secuencia de actualización (USN). El valor USN más alto anterior se mantiene almacenado y cada vez que se ejecuta una sincronización incremental, IAM lee los datos desde el USN almacenado hasta el USN más reciente.

A veces, debido a factores como un cambio de controlador de dominios (DC), los números de USN se corrompen (si un nuevo DC tiene un valor de USN mayor que un DC anterior) y los usuarios no se sincronizan. Una sincronización completa no utiliza tokens, por ello los usuarios aparecen en una sincronización completa.

Las asignaciones de atributos se pueden cambiar en cualquier momento. Asegúrese de realizar una sincronización completa después de guardar la nueva configuración. La sincronización completa actualizará los datos de usuario. Si no realiza una sincronización completa, los datos de los usuarios existentes seguirán siendo los mismos y los nuevos usuarios tendrán los datos actualizados.

Puede suprimir algunos correos electrónicos y notificaciones generados automáticamente.

IAM mantiene una asignación de todos los usuarios de AD (el identificador de IAM asignado al identificador de AD). Cuando el usuario se elimina de la sincronización activa debido, por ejemplo, a una nueva condición de filtro, el registro de IAM se mantiene y solo se elimina la asignación. La eliminación de la asignación se denomina desenlazar.

Este caso es diferente de la supresión, ya que el usuario no se suprime de AD. Si se restablecen los filtros, se volverá a enlazar al usuario.

Para saber cuántos puentes de AD puede instalar para su tipo de dominio de identidad, consulte Límites de objetos de dominio de identidad de IAM.

Sólo se puede instalar un puente en la misma máquina de Windows Server. Para utilizar la alta disponibilidad (HA), necesita varias máquinas conectadas al mismo dominio de AD.

Cuando hay disponible una nueva versión del cliente del puente de AD:

• Siempre debe actualizar.
• Asegúrese de que vuelve a no utilizar la versión actual. La reinstalación de la versión actual elimina el puente existente y puede provocar fallos de autenticación y sincronización.

No es necesario desinstalar el puente de AD existente para actualizar a una versión más reciente.

Puede verificar el número de versión de la interfaz de usuario del puente de AD.

Los datos existentes no se ven afectados por una actualización y puede realizar una sincronización incremental. Además, el programa de sincronización no se verá afectado y la siguiente sincronización se realizará según se ha configurado.

No se recomienda volver a una versión anterior del cliente del puente de AD.

Si decide volver a la versión anterior del cliente, debe desinstalar el cliente actual del puente de AD, lo que puede provocar un tiempo de inactividad de los servicios (sincronización, autenticación delegada, etc.).

A continuación, puede instalar la versión que desee.

• Compruebe la configuración de UO en la página Integraciones de directorios. Debe seleccionar las UO de grupos y usuarios por separado. Incluso si tiene la misma UO para grupos y usuarios, selecciónelos por separado. Asegúrese de guardar la página de configuración después de realizar los cambios.
• Confirme el filtro que se utiliza en usuarios/grupos en la página de configuración. Utilice PowerShell para ejecutar el filtro y comprobar si los usuarios se muestran allí.
• Compruebe la conectividad de red del cliente del puente de a IAM. (Solo si fallan algunos de los registros).
• Compruebe el archivo log IDBridge ("Ver logs" en la interfaz de usuario del puente de AD. Busque un error como el siguiente:
  

Si necesita realizar un volcado de threads del servicio del puente de AD en una máquina del puente de AD, siga estos pasos.

Los filtros pueden impedir la sincronización de nuevos usuarios y grupos en IAM.

En todos estos casos, la solicitud de autenticación falla a menos que el almacenamiento en caché de contraseñas esté activado y la contraseña esté disponible en la caché.

Para los tres primeros escenarios, el servicio se recuperará cuando se resuelva la incidencia de conexión/sistema descendente.

Para el último escenario, el servicio se recuperará después de que disminuya la carga de solicitudes simultáneas.

Si el almacenamiento en caché de contraseñas está activado y no hay una contraseña almacenada en caché, o si la contraseña en caché ha caducado, la siguiente vez que el usuario se conecta correctamente al sistema, se almacena la contraseña.

La caducidad por defecto de una contraseña es de cinco días, pero puede cambiarla en la configuración de autenticación delegada.

Cuando falla la instalación del puente de AD, esto se debe a:

• Se supera el número de dominios de identidad para el tipo de dominio de identidad.
• Se supera el número de clientes del puente de AD para el tipo de dominio de identidad.

Para saber cuántos dominios de identidad o puentes de AD puede instalar para su tipo de dominio de identidad, consulte Límites de objetos de dominio de identidad de IAM.

Tenga en cuenta que la entrada Atributos de usuario de directorio no es una selección desplegable, sino un cuadro de texto de sugerencia. Puede escribir cualquier cosa en el cuadro de texto, incluso si ese atributo no está presente en AD.

Asegúrese de escribir el atributo correcto de forma exacta (incluidos los caracteres en mayúscula y minúscula) tal y como aparece el nombre del atributo en Active Directory.

Si no lo hace, no verá un error al guardar la asignación, pero la sincronización de AD se verá afectada y no podrá extraer este atributo de Active Directory.

Un dominio parcialmente configurado indica que no hay ninguna UO seleccionada en la página de configuración. Cualquier selección de UO para usuarios, grupos o ambos es necesaria para configurar el dominio para la sincronización. Hasta entonces no hay nada que importar y la importación permanecerá desactivada.