Você pode integrar o seu diretório LDAP corporativo ao VMware Identity Manager para sincronizar usuários e grupos do diretório LDAP com o serviço do VMware Identity Manager.
Para integrar seu diretório LDAP, você cria um diretório correspondente do VMware Identity Manager e sincroniza usuários e grupos a partir do diretório LDAP para o diretório do VMware Identity Manager. Você pode configurar uma agenda de sincronização regular para atualizações subsequentes.
Você também pode selecionar os atributos LDAP que deseja sincronizar para os usuários e os mapear para atributos do VMware Identity Manager.
Sua configuração do diretório LDAP pode estar baseada em esquemas padrão ou você pode ter criado esquemas personalizados. Você também pode ter definido atributos personalizados. Para o VMware Identity Manager poder consultar seu diretório LDAP e obter objetos de usuário ou de grupo, você precisa fornecer os nomes de atributos e os filtros de pesquisa LDAP aplicáveis ao seu diretório LDAP.
Especificamente, você precisa fornecer as seguintes informações.
- Filtros de pesquisa LDAP para a obtenção de grupos, usuários e o usuário de associação
- Nomes de atributo LDAP para associação ao grupo, o UUID e o nome distinto
Certas limitações aplicam-se ao recurso de integração de diretório LDAP. Consulte Limitações da Integração de Diretório LDAP.
Pré-requisitos
- Caso você use appliances virtuais adicionais com conectores externos, observe que a capacidade de integrar diretórios LDAP está disponível apenas com a versão 2016.6.1 do conector e posteriores.
- Verifique os atributos na página e adicione os atributos adicionais que você deseja sincronizar. Você mapeará depois esses atributos do VMware Identity Manager para os atributos de diretório LDAP ao criar o diretório. Esses atributos são sincronizados para os usuários no diretório.
Observação: Quando você fizer alterações nos atributos do usuário, considere o efeito dessas alterações sobre outros diretórios no serviço. Se você planeja adicionar tanto o Active Directory quanto o diretório LDAP, certifique-se de não marcar nenhum atributo obrigatório, exceto
userName, que pode ser marcado como obrigatório. As configurações na página Atributos de Usuário aplicam-se a todos os diretórios no serviço. Se um atributo for marcado como obrigatório, os usuários sem esse atributo não serão sincronizados com o serviço do
VMware Identity Manager.
- Uma conta de usuário de DN de associação. É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
- No seu diretório LDAP, o UUID de usuários e grupos deve estar em formato de texto simples.
- No seu diretório LDAP, deve existir um atributo de domínio para todos os usuários e grupos.
Você mapeia esse atributo para o atributo VMware Identity Managerdomain quando criar o diretório do VMware Identity Manager.
- Os nomes de usuário não devem conter espaços. Se um nome de usuário contiver um espaço, o usuário é sincronizado, mas os direitos não estarão disponíveis para o usuário.
- Se você usar a autenticação de certificado, os usuários deverão ter valores para os atributos de endereço de e-mail e userPrincipalName.
Procedimento
- No console de administração, clique na guia Gerenciamento de Identidade e Acesso.
- Na página Diretórios, clique em Adicionar diretório e selecione Adicionar Diretório LDAP.
- Insira as informações necessárias na página Adicionar Diretório LDAP.
Opção |
Descrição |
Nome do diretório |
Um nome para o diretório do VMware Identity Manager. |
Sincronização e Autenticação do Diretório |
- No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos a partir de seu diretório LDAP para o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista. Você não precisa de um conector separado para um diretório LDAP. Um conector pode ser compatível com vários diretórios, independentemente se eles são diretórios do Active Directory ou LDAP. Para os cenários em que você precisa de conectores adicionais, consulte "Instalando appliances do conector" no Guia de Instalação do VMware Identity Manager.
- No campo Autenticação, se você quiser usar este diretório LDAP para autenticar usuários, selecione Sim.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, selecione Não. Após adicionar a conexão de diretório para sincronizar usuários e grupos, vá para a página para adicionar o provedor de identidade de terceiros para a autenticação.
- No campo Atributo de Pesquisa do Diretório, especifique o atributo de diretório LDAP a ser usado para nomes de usuário. Se o atributo não estiver listado, selecione Personalizado e digite o nome do atributo. Por exemplo, cn.
|
Localização de Servidor |
Insira o número de porta e o host do servidor do Diretório LDAP. Para o host do servidor, você pode especificar o nome de domínio totalmente qualificado ou o endereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou 100.00.00.0. Se você tiver um cluster de servidores atrás de um balanceador de carga, digite as informações do balanceador de carga. |
Configuração LDAP |
Especifique os atributos e os filtros de pesquisa LDAP que o VMware Identity Manager pode usar para consultar seu diretório LDAP. Os valores padrão são fornecidos com base no esquema LDAP principal. Consultas LDAP
- Obter grupos: o filtro de pesquisa para a obtenção de objetos de grupo.
Por exemplo: (objectClass=group)
- Obter usuário de associação: o filtro de pesquisa para a obtenção do objeto de usuário de associação, quer dizer, o usuário que pode associar-se ao diretório.
Por exemplo: (objectClass=person)
- Obter usuário: o filtro de pesquisa para a obtenção de usuários para sincronização.
Por exemplo:(&(objectClass=user)(objectCategory=person))
Atributos
- Associação: o atributo usado em seu diretório LDAP para a definição dos membros de um grupo.
Por exemplo: member
- UUID de objeto: o atributo usado em seu diretório LDAP para a definição do UUID de um usuário ou grupo.
Por exemplo: entryUUID
- Nome Distinto: o atributo usado em seu diretório LDAP para o nome distinto de um usuário ou grupo.
Por exemplo: entryDN
|
Certificados |
Se o seu diretório LDAP requer acesso via SSL, selecione Esse diretório requer que todas as conexões usem SSL e copie e cole o certificado SSL da CA raiz do servidor do diretório LDAP. Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”. |
Associar detalhes do usuário |
DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo, cn=users,dc=example,dc=com
DN de associação: digite o nome de usuário a ser usado para vinculação ao diretório LDAP.
Observação: É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
Senha do DN de associação: digite a senha para o usuário do DN de associação. |
- Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.
Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça as alterações adequadas.
- Clique em Salvar e Avançar.
- Na página Domínios, verifique se o domínio correto está listado e clique em Avançar.
- Na página Atributos Mapeados, verifique se os atributos do VMware Identity Manager estão mapeados para os atributos LDAP corretos.
Importante: Você deve especificar um mapeamento para o atributo
domain.
Você pode adicionar atributos à lista na página Atributos de Usuário.
- Clique em Avançar.
- Na página de grupos, clique em + para selecionar os grupos que você deseja sincronizar a partir do diretório LDAP para o diretório do VMware Identity Manager.
Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomes exclusivos para eles na página de grupos.
A opção Sincronizar usuários do grupo aninhado é habilitada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão exibidos como membros do grupo de nível superior que você selecionou para sincronização. Com efeito, a hierarquia sob um grupo selecionado é simplificada e os usuários de todos os níveis aparecem no VMware Identity Manager como membros do grupo selecionado.
Se essa opção estiver desativada, quando você especificar um grupo para sincronização, todos os usuários que pertencem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. A desativação dessa opção é útil para grandes configurações de diretório em que percorrer uma árvore de grupo exige muitos recursos e muito tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.
- Clique em Avançar.
- Clique em + para adicionar mais usuários. Por exemplo, digite CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários. Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.
Clique em Avançar.
- Analise a página para ver quantos usuários e grupos serão sincronizados com o diretório e ver a agenda de sincronização padrão.
Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.
- Clique em Sincronizar diretório para iniciar a sincronização de diretório.
Resultados
A conexão com o diretório LDAP é estabelecida e os usuários e grupos são sincronizados a partir do diretório LDAP para o diretório do VMware Identity Manager. O usuário DN Bind tem uma função de administrador no VMware Identity Manager por padrão.