Depois que o OVA do VMware Identity Manager for implantado, use o assistente Instalar para definir senhas e selecionar um banco de dados. Em seguida, configure a conexão com o diretório do Active Directory ou LDAP.
Pré-requisitos
O appliance virtual do VMware Identity Manager está ligado.
Se você usar um banco de dados externo, ele está configurado e as informações de conexão dele estão disponíveis. Consulte Conectando-se ao banco de dados para obter informações.
Revise Integrando ao seu Diretório Corporativo, Integrando com o Active Directory e Integrar um diretório LDAP ao serviço para conhecer os requisitos e as limitações.
Você tem as informações de diretório do Active Directory ou o LDAP.
Quando um Active Directory de várias florestas está configurado e o grupo Domínio Local contém membros de domínios em diferentes florestas, o usuário DN Bind usado na página Diretório do VMware Identity Manager deve ser adicionado ao grupo Administradores do domínio no qual o grupo Domínio Local reside. Se isso não for feito, esses membros estarão em falta do grupo local de domínio.
Você tem uma lista de atributos de usuário que deseja usar como filtros, e uma lista dos grupos que deseja adicionar ao VMware Identity Manager.
Procedimento
- Acesse a URL do VMware Identity Manager mostrada na tela azul na guia Console. Por exemplo,
https://nomedohost.exemplo.com
. - Aceite o certificado, se for solicitado a fazê-lo.
- Na página Iniciar, clique em Continuar.
- Na página Definir Senhas, defina as senhas das seguintes contas de administrador, que são utilizadas para gerenciar o appliance, e clique em Continuar.
Conta
Administrador do appliance
Defina a senha do usuário admin. Esse nome de usuário não pode ser alterado. A conta do usuário admin é usada para gerenciar as configurações do appliance.
Importante:A senha do usuário administrador deve ter pelo menos 6 caracteres.
Raiz do Appliance
Defina a senha do usuário root. O usuário root tem direitos totais para o appliance.
Usuário Remoto
Defina a senha de sshuser, que é usada fazer login remotamente no appliance com uma conexão SSH.
- Na página Selecionar Banco de Dados, selecione o banco de dados a ser usado.
Consulte Conectando-se ao banco de dados para obter mais informações.
Se você estiver usando um banco de dados externo, selecione Banco de Dados Externo e insira as informações, o nome de usuário e a senha da conexão do banco de dados externo. Para verificar se o VMware Identity Manager consegue se conectar ao banco de dados, clique em Testar Conexão.
Depois de verificar a conexão, clique em Continuar.
Se você estiver usando o banco de dados interno, clique em Continuar.
Observação:Não recomendamos que o banco de dados interno seja usado com implantações de produção.
A conexão com o banco de dados está configurada e ele é inicializado. Quando o processo for concluído, a página A instalação foi concluída será exibida.
- Clique no link Faça login no console de administração na página A instalação foi concluída para fazer login no console de administração e configurar a conexão do diretório do Active Directory ou LDAP.
- Faça login no console de administração como o usuário admin usando a senha que você definiu.
Você está conectado como um Administrador Local. A página Diretórios é exibida. Antes de adicionar um diretório, certifique-se de revisar Integrando ao seu Diretório Corporativo, Integrando com o Active Directory e Integrar um diretório LDAP ao serviço para conhecer os requisitos e as limitações.
- Clique na guia Gerenciamento de Identidade e Acesso.
- Clique em Instalar > Atributos de Usuário para selecionar os atributos de usuário a serem sincronizados com o diretório.
Os atributos padrão são listados e você pode selecionar os necessárias. Se um atributo for marcado como necessário, somente os usuários com esse atributo serão sincronizados com o serviço. Você também pode adicionar outros atributos.
Importante:Depois que um diretório é criado, você não pode alterar um atributo para que ele seja necessário. Você deve fazer essa seleção agora.
Além disso, esteja ciente de que as definições na página Atributos de Usuário se aplicam a todos os diretórios no serviço. Quando você marca um atributo como necessário, considere o impacto em outros diretórios. Se um atributo for marcado como necessário, os usuários sem esse atributo não serão sincronizados com o serviço.
Importante:Se você pretende sincronizar recursos do XenApp para o VMware Identity Manager, torne o distinguishedName um atributo obrigatório.
- Clique em Salvar.
- Clique na guia Gerenciamento de Identidade e Acesso.
- Na página Diretórios, clique em Adicionar Diretório e selecione Adicionar Active Directory sobre LDAP/IWA ou Adicionar Diretório LDAP, dependendo do tipo de diretório que você está integrando.
Você também pode criar um diretório local no serviço. Para obter mais informações sobre o uso de diretórios locais, consulte Usando diretórios locais.
- Para o Active Directory, siga estas etapas.
- Insira um nome para o diretório que você está criando no VMware Identity Manager e selecione o tipo de diretório, Active Directory sobre LDAP ou Active Directory (Autenticação Integrada do Windows).
- Forneça as informações de conexão.
Opção
Descrição
Active Directory sobre LDAP
No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos do Active Directory com o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista.
No campo Autenticação, selecione Sim se você desejar usar esse Active Directory para autenticar usuários.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.
No campo Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
Se o Active Directory usar a pesquisa Localização do serviço DNS, faça as seleções a seguir.
Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS.
Será criado um arquivo domain_krb.properties, preenchido automaticamente com uma lista de controladores de domínio, quando o diretório for criado. Consulte Sobre a seleção do controlador de domínio (arquivo domain_krb.properties).
Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.
Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Observação:Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
Se o Active Directory não usar a pesquisa de Localização do Serviço DNS, faça as seleções a seguir.
Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory.
Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.
Se o Active Directory exigir acesso por SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.
Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Observação:Se o Active Directory exigir SSL e o certificado não for fornecido, você não poderá criar o diretório.
Na seção Permitir Alteração de Senha, selecione Ativar a Alteração de Senha se você desejar permitir que os usuários redefinam as próprias senhas na página de login do VMware Identity Manager caso a senha expire ou se o administrador do Active Directory redefinirá a senha do usuário.
No campo DN Base, insira o DN do qual iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com.
No campo DN Bind, insira a conta que pode pesquisar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Observação:É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
Depois de inserir a Senha do bind, clique em Testar Conexão para verificar se o diretório consegue se conectar ao seu Active Directory.
Active Directory (Autenticação Integrada do Windows)
No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos do Active Directory com o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista.
No campo Autenticação, se você desejar usar esse Active Directory para autenticar usuários, clique em Sim.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.
No campo Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.
Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Se o diretório tiver vários domínios, adicione os certificados da CA raiz a todos os domínios, um por vez.
Observação:Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
Insira o nome do domínio do Active Directory no qual ingressar. Insira um nome de usuário e uma senha que tenha o direito de ingressar no domínio. Consulte Permissões necessárias para se ingressar em um domínio para obter mais informações.
Na seção Permitir Alteração de Senha, selecione Ativar a Alteração de Senha se você desejar permitir que os usuários redefinam as próprias senhas na página de login do VMware Identity Manager caso a senha expire ou se o administrador do Active Directory redefinirá a senha do usuário.
No campo UPN do usuário do bind, insira o Nome principal do usuário que pode se autenticar no domínio. Por exemplo, [email protected].
Observação:É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
Insira a senha do Usuário do DN de associação.
- Clique em Salvar e Avançar.
É exibida a página com a lista de domínios.
- Para diretórios LDAP, siga estas etapas.
- Forneça as informações de conexão.
Opção
Descrição
Nome do diretório
Um nome para o diretório que você está criando no VMware Identity Manager.
Sincronização e Autenticação do Diretório
No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos a partir de seu diretório LDAP para o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista.
Você não precisa de um conector separado para um diretório LDAP. Um conector pode ser compatível com vários diretórios, independentemente se eles são diretórios do Active Directory ou LDAP.
No campo Autenticação, selecione Sim se você desejar usar esse diretório LDAP para autenticar usuários.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, selecione Não. Após adicionar a conexão de diretório para sincronizar usuários e grupos, vá para a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para a autenticação.
No campo Atributo de Pesquisa do Diretório, especifique o atributo de diretório LDAP a ser usado para nomes de usuário. Se o atributo não estiver listado, selecione Personalizado e digite o nome do atributo. Por exemplo, cn.
Localização de Servidor
Insira o número de porta e o host do servidor do Diretório LDAP. Para o host do servidor, você pode especificar o nome de domínio totalmente qualificado ou o endereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou 100.00.00.0.
Se você tiver um cluster de servidores atrás de um balanceador de carga, digite as informações do balanceador de carga.
Configuração LDAP
Especifique os atributos e os filtros de pesquisa LDAP que o VMware Identity Manager pode usar para consultar seu diretório LDAP. Os valores padrão são fornecidos com base no esquema LDAP principal.
Consultas LDAP
Obter grupos: o filtro de pesquisa para a obtenção de objetos de grupo.
Por exemplo: (objectClass=group)
Obter usuário de associação: o filtro de pesquisa para a obtenção do objeto de usuário de associação, quer dizer, o usuário que pode associar-se ao diretório.
Por exemplo: (objectClass=person)
Obter usuário: o filtro de pesquisa para a obtenção de usuários para sincronização.
Por exemplo:(&(objectClass=user)(objectCategory=person))
Atributos
Associação: o atributo usado em seu diretório LDAP para a definição dos membros de um grupo.
Por exemplo: member
UUID de objeto: o atributo usado em seu diretório LDAP para a definição do UUID de um usuário ou grupo.
Por exemplo: entryUUID
Nome Distinto: o atributo usado em seu diretório LDAP para o nome distinto de um usuário ou grupo.
Por exemplo: entryDN
Certificados
Se o seu diretório LDAP requer acesso via SSL, selecione Esse diretório requer que todas as conexões usem SSL e copie e cole o certificado SSL da CA raiz do servidor do diretório LDAP. Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Associar detalhes do usuário
DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo, cn=users,dc=example,dc=com
DN de associação: digite o nome de usuário a ser usado para vinculação ao diretório LDAP.
Observação:É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
Senha do DN de associação: digite a senha para o usuário do DN de associação.
- Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.
Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça as alterações adequadas.
- Clique em Salvar e Avançar.
A página que lista o domínio é exibida.
- Forneça as informações de conexão.
- Para um diretório LDAP, o domínio é listado e não pode ser modificado.
Para Active Directory sobre LDAP, os domínios são listados e não podem ser modificados.
Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.
Observação:Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.
Clique em Avançar.
- Verifique se os nomes de atributo do VMware Identity Manager estão mapeados para os atributos corretos do Active Directory ou do LDAP e, se necessário, faça alterações.
Importante:
Se você estiver integrando um diretório LDAP, deverá especificar um mapeamento para o atributo domain.
- Clique em Avançar.
- Selecione os grupos que você deseja sincronizar do seu diretório do Active Directory ou LDAP para o diretório do VMware Identity Manager.
Opção
Descrição
Especificar os DNs de grupo
Para selecionar grupos, especifique um ou mais DNs de grupo e selecione os grupos sob eles.
Clique em + e especifique o DN de grupo. Por exemplo, CN=users,DC=example,DC=company,DC=com.
Importante:Especifique os DNs de grupo que estão sob o DN Base que você digitou. Se um DN de grupo estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
Clique em Encontrar Grupos.
A coluna Grupos a Sincronizar lista o número de grupos encontrados no DN.
Para selecionar todos os grupos no DN, clique em Selecionar Tudo; caso contrário, clique em Selecionar e selecione os grupos específicos a serem sincronizados.
Observação:Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomes exclusivos para eles no VMware Identity Manager. Você pode alterar o nome ao selecionar o grupo.
Observação:Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.
Sincronizar membros reunidos do grupo
A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão membros do grupo principal que você selecionou para sincronização.
Se a opção Sincronizar membros reunidos do grupo estiver desativada, quando você especificar um grupo para a sincronização, todos os usuários que pertencerem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. Desativar essa opção é útil para grandes configurações do Active Directory nas quais passar por uma árvore de grupos exige muitos recursos e tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.
- Clique em Avançar.
- Especifique usuários adicionais para sincronizar, se necessário.
- Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Importante:
Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
- (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.
Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.
- Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
- Clique em Avançar.
- Revise a página para ver quantos usuários e grupos serão sincronizados com o diretório e para exibir a agenda de sincronização.
Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.
- Clique em Sincronizar diretório para iniciar a sincronização de diretório.
Resultados
Se ocorrer um erro de rede e o nome do host não puder ser resolvido de forma exclusiva usando o DNS reverso, o processo de configuração será interrompido. Você deverá corrigir os problemas de rede e reiniciar o appliance virtual. Em seguida, poderá continuar o processo de implantação. As novas configurações de rede não estarão disponíveis antes do reinício do appliance virtual.
O que Fazer Depois
Para obter informações sobre como configurar um balanceador de carga ou uma configuração de alta disponibilidade, consulte Configuração avançada do appliance do VMware Identity Manager.
Você pode personalizar o catálogo de recursos para os aplicativos da sua organização e permitir o acesso do usuário a esses recursos. Você também pode configurar outros recursos, incluindo o View, o ThinApp e os aplicativos baseados no Citrix. Consulte Configurando recursos no VMware Identity Manager.