※ 本記事は、Ranjini Rajendranによる”Troubleshoot integration issues in the OCI IAM Microsoft Active Directory Bridge“を翻訳したものです。

2024年1月19日

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)は、Microsoft Active Directory (AD) Bridgeを提供します。これにより、組織はアイデンティティの認可ソースとしてADを維持でき、それらのアイデンティティは、ADと直接統合されていないシステムおよびアプリケーションにアクセスできます。Bridgeは、オンプレミスAD環境とOCI IAM間の接続を確立します。この接続により、OCI IAMアイデンティティ・ドメインへの追加、更新または削除など、AD内のユーザーまたはグループ・レコードに対するすべての変更を同期できます。

Microsoft AD Bridgeの初期設定中に発生した最も一般的なエラーは、同期に関連しています。このブログ投稿では、ソース・エンドポイントおよびターゲット・エンドポイントへの正常な接続の確立に役立つ重要な情報、ヒントおよび有用なリンクを提供します。続行する前に、「Microsoft Active Directory (AD) Bridgeについて」に記載されているガイドラインを確認して、AD Bridge接続を設定することをお薦めします。

ユース・ケース1: グループが同期していない

潜在的な同期の問題の1つは、ユーザーが同期するが、対応するグループは同期しないことです。このような場合、ログに「ERROR IDBridge – GetResponseAsync: The server cannot handle directory requests」などのエラーが表示されることがあります。次のトラブルシューティング方法のいずれかを使用して、原因を特定します。

  • ディレクトリ統合ページで、組織単位の構成を確認します。ユーザーおよびグループのOUは個別に選択する必要があります。グループとユーザーが同じOUに存在する場合でも、グループとユーザーに対して異なる選択を行います。必要な調整を行ったら、必ず構成ページを保存してください。
  • 構成ページで使用されているユーザー/グループ・フィルタを確認します。PowerShellを使用してフィルタを実行し、ユーザーに表示されるかどうかを確認します。
  • AD Bridgeがインストールされ、Active Directoryに対して構成されているホストからのネットワーク接続を確認します。
  • Active Directory管理者がすべてのOUにアクセスできることを確認します。
  • AD Bridgeが最新バージョンを使用していることを確認します。そうでない場合は、それに応じてアップグレードします。

ユース・ケース2: Active Directoryドメインのネットワーク・レベルの分離

場合によっては、オンプレミス環境が単一のADドメインで構成され、開発者、QA、本番などの異なる環境がネットワーク・レベルで分離されることがあります。これらの各環境には、同期する必要があるユーザーやグループの独自のセットがあります。ただし、環境ごとに個別のAD Bridgeコネクタが必要な場合、このシナリオでは実行できません。AD Bridgeはドメイン名のみを認識でき、これはすべての環境で同じままです。そのため、確立できるAD Bridge接続は1つのみです。

ユース・ケース3: 階層Active Directory構造

ルートADドメインおよび子ドメインを含む階層Active Directory構造があり、ルート・ドメインにAD Bridgeを構成している場合、子ドメインからユーザーおよびグループを取得する場合は、想定どおりに機能しないことがあります。これらのユーザーを同期するには、子ドメインごとにAD Bridgeを個別に構成する必要があります。

A graphic depicting the architecture for a deployment with a root domain and separate child domains.

ユース・ケース4: AD Bridgeの高可用性の構成

主な目的は、本番環境でAD Bridge構成の高可用性を有効にすることです。高可用性機能をアクティブ化するには、2つの異なるWindowsマシンにAD Bridgeを設定し、Oracleサポートでサービス・リクエストを送信する必要があります。高可用性が有効になっている場合でも、一方のドメイン・コントローラにアクセスできなくなった場合、もう一方のノードに接続するための自動ドメイン検出はありません。このような場合は、AD Bridgeコネクタ・エージェントの「ドメイン・コントローラの検出」ボタンを使用して、手動検出を開始できます。

 

A screenshot of the AD bridge connector agent screen showing the Test Success window with the Detect Domain Controller button highlighted.

まとめ

これらの例は、Oracle Cloud Infrastructure IAM Microsoft AD Bridgeの構成時に発生する可能性のあるいくつかのシナリオを示しています。これらのシナリオがトラブルシューティング時に役立つことを願っています。AD Bridgeのインストールドキュメントを参照し、指示された手順に従うと、同期プロセスを正常に確立できます。詳細は、Oracle Identity Cloud Serviceのドキュメントを参照してください。