OCI IAM Microsoft Active Directoryブリッジの統合の問題のトラブルシューティング (2023/11/30)

OCI IAM Microsoft Active Directoryブリッジの統合の問題のトラブルシューティング (2023/11/30)

https://blogs.oracle.com/cloud-infrastructure/post/integration-oci-iam-ms-active-directory-bridge

投稿者:Ranjini Rajendran | Senior Cloud Engineer


Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)は、Microsoft Active Directory (AD)ブリッジを提供します。これにより、組織はアイデンティティの認可ソースとしてADを維持でき、それらのアイデンティティは、ADと直接統合されていないシステムおよびアプリケーションにアクセスできます。ブリッジは、オンプレミスAD環境とOCI IAM間の接続を確立します。この接続により、OCI IAMアイデンティティ・ドメインへの追加、更新または削除など、AD内のユーザーまたはグループ・レコードに対するすべての変更を同期できます。


Microsoft ADブリッジの初期設定中に発生した最も一般的なエラーは、同期に関連しています。このブログ投稿では、ソース・エンドポイントおよびターゲット・エンドポイントへの正常な接続の確立に役立つ重要な情報、ヒントおよび有用なリンクを提供します。続行する前に、「Microsoft Active Directory (AD)ブリッジについて」に記載されているガイドラインを確認して、ADブリッジ接続を設定することをお薦めします。



ユースケース1: グループが同期していない


潜在的な同期の問題の1つは、ユーザーが同期するが、対応するグループは同期しないことです。このような場合、ログに「ERROR IDBridge - GetResponseAsync: The server cannot handle directory requests」などのエラーが表示されることがあります。この問題に対処するには、Active Directory側のセキュアソケットレイヤー(SSL)構成を調べることをお勧めします。ADブリッジ・コネクタのインストール時に、SSLでADに接続できるように選択できます。後でコンソールからこの設定を変更することはできません。



ただし、次の形式でOracle REST APIを使用することで、このタスクを実行できます。SSLを一時的に無効化し、完全同期または増分同期を実行することで、問題を特定して解決できます。問題を解決した後、SSLを再度有効にできます。

/admin/v1/IdentitySources/appid

{
"schemas": [
   "urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
   {
     "op": "replace",
     "path": "sslEnabled",
     "value": false
   }
]
}


ユースケース2: Active Directoryドメインのネットワーク・レベルの分離


場合によっては、オンプレミス環境が単一のADドメインで構成され、開発者、QA、本番などの異なる環境がネットワーク・レベルで分離されることがあります。これらの各環境には、同期する必要があるユーザーやグループの独自のセットがあります。ただし、環境ごとに個別のADブリッジ・コネクタが必要な場合、このシナリオでは実行できません。ADブリッジはドメイン名のみを認識でき、これはすべての環境で同じままです。そのため、確立できるADブリッジ接続は1つのみです。



ユースケース3: 階層Active Directory構造


ルートADドメインおよび子ドメインを含む階層Active Directory構造があり、ルート・ドメインにADブリッジを構成している場合、子ドメインからユーザーおよびグループを取得する場合は、想定どおりに機能しないことがあります。これらのユーザーを同期するには、子ドメインごとにADブリッジを個別に構成する必要があります。




ユースケース4: ADブリッジの高可用性の構成


主な目的は、本番環境でADブリッジ構成の高可用性を有効にすることです。高可用性機能をアクティブ化するには、2つの異なるWindowsマシンにADブリッジを設定し、Oracleサポートでサービス・リクエストを送信する必要があります。高可用性が有効になっている場合でも、一方のドメイン・コントローラにアクセスできなくなった場合、もう一方のノードに接続するための自動ドメイン検出はありません。このような場合は、ADブリッジ・コネクタ・エージェントの「ドメイン・コントローラの検出」ボタンを使用して、手動検出を開始できます。





まとめ


これらの例は、Oracle Cloud Infrastructure IAM Microsoft ADブリッジの構成時に発生する可能性のあるいくつかのシナリオを示しています。これらのシナリオがトラブルシューティング時に役立つことを願っています。ADブリッジのインストールドキュメントを参照し、指示された手順に従うと、同期プロセスを正常に確立できます。詳細は、Oracle Identity Cloud Serviceのドキュメントを参照してください。


コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13)

イメージ
Oracle Cloudのデータベースをオブジェクト・ストレージにバックアップする3つの方法 (2021/12/13) https://database-heartbeat.com/2021/12/13/three-ways-backup-cloud/ はじめに Oracle Cloudでは、ボタンをクリックするだけで自動バックアップを有効にするオプションが用意されています。バックアップの要件が異なる場合でも、手動でバックアップ設定を行い、コマンドライン・ツールやRMANを直接使用してバックアップを作成する柔軟性があります。これは、VM DB Systems、Exadata Cloud Service、およびExadata Cloud at Customerに適用されます。 このブログ記事では、Oracle Cloud Object Storageをバックアップ先として使用する場合の、さまざまなバックアップ・オプションの主な違いと、それに伴うコストについて紹介します。Object Storageは、内蔵されたトリプル・ミラーリングと99.999999%(イレブンナイン)の耐久性を提供します。 ハイブリッド・クラウドとマルチ・クラウド Oracle Cloud Object StorageへのOracle Databaseのバックアップは、Oracle Cloud上のOracle Databaseに限らず、ハイブリッドクラウド上のオンプレミスのOracle Databaseや、マルチクラウド環境のOracle以外のクラウド上で稼働しているOracle Databaseに対しても、RMANを介して実装することができます。 プライベートおよび専用のネットワーク接続は、FastConnect、Azure Interconnect、またはサードパーティのネットワーク接続プロバイダを介して提供できます。マルチクラウド環境では、クラウドプロバイダー、リージョン、転送するデータ量に応じて、追加のアウトバウンドトラフィックコストが発生する可能性があります。オラクルをはじめとする多くのクラウドプロバイダーは、すでに Bandwidth Alliance に参加しており、ネットワークエグレス料金を削減または排除しています。 環境について     Oracle Cloud VM DB Sy
続きを読む