No console de administração, especifique as informações necessárias para conexão com o seu Active Directory e selecione os usuários e os grupos a serem sincronizados com o diretório do VMware Identity Manager.

Por Que e Quando Desempenhar Esta Tarefa

As opções de conexão do Active Directory são Active Directory sobre LDAP ou Autenticação Integrada do Windows do Active Directory. Uma conexão do Active Directory sobre LDAP é compatível com a pesquisa de Localização do Serviço DNS. Com a Autenticação Integrada do Windows do Active Directory, você configura o domínio no qual ingressar.

Pré-requisitos

  • Selecione quais atributos são necessários e adicione atributos complementares, se necessário, na página Atributos do Usuário. Consulte Selecionar atributos para sincronizar com o diretório.

    Importante:

    Se você pretende sincronizar recursos do XenApp com o VMware Identity Manager, torne distinguishedName um atributo obrigatório. Você deve fazer essa seleção antes de criar um diretório, pois os atributos não podem ser alterados para serem necessários depois que um diretório é criado.

  • Lista dos grupos e usuários do Active Directory para sincronizar a partir do Active Directory.

  • Para o Active Directory sobre LDAP, as informações necessárias incluem o DN Base, o DN Bind e a senha do DN Bind.

    Observação:

    É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.

  • Para autenticação integrada do Windows no Active Directory, as informações necessárias incluem a senha e o endereço UPN do usuário de associação do domínio.

    Observação:

    É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.

  • Se o Active Directory exigir acesso sobre SSL ou STARTTLS, será necessário o certificado da CA Raiz do controlador de domínio do Active Directory.

  • Para autenticação integrada do Windows no Active Directory, quando você tiver várias florestas do Active Directory configuradas e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.

Procedimento

  1. No console de administração, clique na guia Gerenciamento de Identidade e Acesso.
  2. Na página Diretórios, clique em Adicionar Diretório.
  3. Insira um nome para esse diretório do VMware Identity Manager.
  4. Selecione o tipo de Active Directory no seu ambiente e configurar as informações de conexão.

    Opção

    Descrição

    Active Directory sobre LDAP

    1. No campo Sincronizar Conector, selecione o conector a ser usado para sincronização com o Active Directory.

    2. No campo Autenticação, se esse Active Directory for usado para autenticar usuários, clique em Sim.

      Se um provedor de identidade de terceiros for usado para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    3. No campo Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.

    4. Se o Active Directory usar a pesquisa Localização do serviço DNS, faça as seleções a seguir.

      • Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS.

        Será criado um arquivo domain_krb.properties, preenchido automaticamente com uma lista de controladores de domínio, quando o diretório for criado. Consulte Sobre a seleção do controlador de domínio (domain_krb.properties file).

      • Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

        Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.

        Observação:

        Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.

    5. Se o Active Directory não usar a pesquisa de Localização do Serviço DNS, faça as seleções a seguir.

      • Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory.

        Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.

      • Se o Active Directory exigir acesso por SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

        Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.

        Observação:

        Se o Active Directory exigir SSL e o certificado não for fornecido, você não poderá criar o diretório.

    6. No campo DN Base, insira o DN do qual iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com.

    7. No campo DN Bind, insira a conta que pode pesquisar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

      Observação:

      É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.

    8. Depois de inserir a Senha do bind, clique em Testar Conexão para verificar se o diretório consegue se conectar ao seu Active Directory.

    Active Directory (Autenticação Integrada do Windows)

    1. No campo Sincronizar Conector, selecione o conector a ser usado para sincronização com o Active Directory.

    2. No campo Autenticação, se esse Active Directory for usado para autenticar usuários, clique em Sim.

      Se um provedor de identidade de terceiros for usado para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    3. No campo Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.

    4. Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

      Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.

      Se o diretório tiver vários domínios, adicione os certificados da CA raiz a todos os domínios, um por vez.

      Observação:

      Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.

    5. Insira o nome do domínio do Active Directory no qual ingressar. Insira um nome de usuário e uma senha que tenha o direito de ingressar no domínio. Consulte Permissões necessárias para se ingressar em um domínio para obter mais informações.

    6. No campo UPN do Usuário do Bind, insira o Nome Principal do Usuário que pode se autenticar no domínio. Por exemplo, nomedeusuario@exemplo.com.

      Observação:

      É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.

    7. Insira a senha do Usuário de Associação.

  5. Clique em Salvar e Avançar.

    É exibida a página com a lista de domínios.

  6. Para o Active Directory sobre LDAP, os domínios são listados com uma marca de seleção.

    Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.

    Observação:

    Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.

    Clique em Avançar.

  7. Verifique se os nomes de atributos do diretório do VMware Identity Manager estão mapeados para os atributos corretos do Active Directory, faça alterações, se necessário, e clique em Avançar.
  8. Selecione os grupos que você deseja sincronizar do Active Directory para o diretório do VMware Identity Manager.

    Opção

    Descrição

    Especificar os DNs de grupo

    Para selecionar grupos, especifique um ou mais DNs de grupo e selecione os grupos sob eles.

    1. Clique em + e especifique o DN de grupo. Por exemplo, CN=users,DC=example,DC=company,DC=com.

      Importante:

      Especifique os DNs de grupo que estão sob o DN Base que você digitou. Se um DN de grupo estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.

    2. Clique em Encontrar Grupos.

      A coluna Grupos a Sincronizar lista o número de grupos encontrados no DN.

    3. Para selecionar todos os grupos no DN, clique em Selecionar Tudo; caso contrário, clique em Selecionar e selecione os grupos específicos a serem sincronizados.

    Observação:

    Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.

    Sincronizar membros reunidos do grupo

    A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão membros do grupo principal que você selecionou para sincronização.

    Se a opção Sincronizar membros reunidos do grupo estiver desativada, quando você especificar um grupo para a sincronização, todos os usuários que pertencerem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. Desativar essa opção é útil para grandes configurações do Active Directory nas quais passar por uma árvore de grupos exige muitos recursos e tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.

  9. Clique em Avançar.
  10. Especifique usuários adicionais para sincronizar, se necessário.
    1. Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante:

      Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.

    2. (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.

      Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.

  11. Clique em Avançar.
  12. Revise a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório e para exibir a agenda de sincronização.

    Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.

  13. Clique em Sincronizar Diretório para iniciar a sincronização com o diretório.

Resultados

A conexão com o Active Directory é estabelecida, e os usuários e os grupos são sincronizados a partir do Active Directory para o diretório do VMware Identity Manager. O usuário DN Bind tem uma função de administrador no VMware Identity Manager por padrão.

O que Fazer Depois

  • Se você tiver criado um diretório compatível com a Localização do Serviço DNS, um arquivo domain_krb.properties terá sido criado e preenchido automaticamente com uma lista dos controladores de domínio. Exiba o arquivo para verificar ou editar a lista dos controladores de domínio. Consulte Sobre a seleção do controlador de domínio (domain_krb.properties file).

  • Configure os métodos de autenticação. Depois de sincronizar usuários e grupos para o diretório, se o conector também é usado para autenticação, você pode configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.

  • Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o navegador da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.

  • Aplique a marca personalizada para o console de administração, as páginas do portal do usuário e a tela de login.