No console de administração, insira as informações necessárias para se conectar ao seu Active Directory e selecione os usuários e os grupos a serem sincronizados com o diretório do VMware Identity Manager.

As opções de conexão do Active Directory são Active Directory sobre LDAP ou Active Directory (Autenticação Integrada do Windows). Uma conexão do Active Directory sobre LDAP é compatível com a pesquisa de Localização do Serviço DNS.

Pré-requisitos

  • (SaaS) Conector instalado e ativado.
  • Selecione quais atributos são necessários e adicione mais atributos, se necessário, na página Atributos do Usuário. Consulte Selecionar atributos para sincronizar com o diretório.
  • Lista dos usuários e grupos do Active Directory a serem sincronizados do Active Directory. Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo não serão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra de política. Os usuários que precisam se autenticar antes dos direitos do grupo serem configurados devem ser adicionados durante a configuração inicial.
  • Para o Active Directory sobre LDAP, as informações necessárias incluem o DN Base, o DN Bind e a senha do DN Bind.
    Observação: É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
  • No Active Directory (Autenticação Integrada do Windows), as informações necessárias incluem a senha e o endereço UPN do usuário de associação do domínio.
    Observação: É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
  • Se o Active Directory exigir acesso sobre SSL ou STARTTLS, será necessário o certificado da CA Raiz do controlador de domínio do Active Directory.
  • Para o Active Directory (Autenticação Integrada do Windows), quando você tiver várias florestas do Active Directory configuradas, e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.

Procedimento

  1. No console de administração, clique na guia Gerenciamento de Identidade e Acesso.
  2. Na página Diretórios, clique em Adicionar Diretório.
  3. Insira um nome para esse diretório do VMware Identity Manager.
  4. Selecione o tipo de Active Directory no seu ambiente e configurar as informações de conexão.
    Opção Descrição
    Active Directory sobre LDAP
    1. Na caixa de texto Sincronizar Conector, selecione o conector a ser usado para sincronização com o Active Directory.

      Em uma implantação local, um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido no menu suspenso. Se você instalar várias instâncias do VMware Identity Manager para fins de alta disponibilidade, o componente de conector de cada um deles será exibido na lista. Conectores externos adicionais também são listados.

    2. Na caixa de texto Autenticação, se esse Active Directory for usado para autenticar usuários, clique em Sim.

      Se um provedor de identidade de terceiros for usado para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    3. Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
    4. Se o Active Directory usar a pesquisa Localização do serviço DNS, faça as seleções a seguir.
      • Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS.

        Será criado um arquivo domain_krb.properties, preenchido automaticamente com uma lista de controladores de domínio, quando o diretório for criado. Consulte Sobre a seleção do controlador de domínio (arquivo domain_krb.properties).

      • Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory na caixa de texto Certificado SSL.

        Verifique se o certificado está no formato PEM e inclui as linhas "INICIAR CERTIFICADO" e "ENCERRAR CERTIFICADO".

        Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
    5. Se o Active Directory não usar a pesquisa de Localização do Serviço DNS, faça as seleções a seguir.
      • Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory.

        Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.

      • Se o Active Directory exigir acesso por SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

        Verifique se o certificado está no formato PEM e inclui as linhas "INICIAR CERTIFICADO" e "ENCERRAR CERTIFICADO".

        Observação: Se o Active Directory exigir SSL e o certificado não for fornecido, você não poderá criar o diretório.
    6. No campo DN Base, insira o DN do qual iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com.
    7. No campo DN Bind, insira a conta que pode pesquisar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Observação: É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
    8. Depois de inserir a Senha do bind, clique em Testar Conexão para verificar se o diretório consegue se conectar ao seu Active Directory.
    Active Directory (Autenticação Integrada do Windows)
    1. Na caixa de texto Sincronizar Conector, selecione o conector a ser usado para sincronização com o Active Directory.
    2. Na caixa de texto Autenticação, se esse Active Directory for usado para autenticar usuários, clique em Sim.

      Se um provedor de identidade de terceiros for usado para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    3. Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
    4. Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory na caixa de texto Certificado SSL.

      Verifique se o certificado está no formato PEM e inclui as linhas "INICIAR CERTIFICADO" e "ENCERRAR CERTIFICADO".

      Se o diretório tiver vários domínios, adicione os certificados da CA raiz a todos os domínios, um por vez.

      Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
    5. (Somente Linux) Insira o nome do domínio do Active Directory no qual será ingressado. Insira um nome de usuário e uma senha que tenha o direito de ingressar no domínio. Consulte Permissões necessárias para ingressar em um domínio (somente appliance virtual do Linux) para obter mais informações.
    6. Na caixa de texto UPN do Usuário do Bind, insira o Nome Principal do Usuário que pode se autenticar no o domínio. Por exemplo, [email protected].
      Observação: É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.
    7. Insira a senha do Usuário de Associação.
  5. Clique em Salvar e Avançar.
    É exibida a página com a lista de domínios.
  6. Para o Active Directory sobre LDAP, os domínios são listados com uma marca de seleção.
    Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.
    Observação: Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.

    Clique em Avançar.

  7. Verifique se os nomes de atributos do diretório do VMware Identity Manager estão mapeados para os atributos corretos do Active Directory, faça alterações, se necessário, e clique em Avançar.
  8. Selecione os grupos que você deseja sincronizar do Active Directory para o diretório do VMware Identity Manager.
    Quando os grupos são adicionados aqui, os nomes de grupo são sincronizados com o diretório. Os usuários que são membros do grupo não serão sincronizados com o diretório até que o grupo tenha direito a um aplicativo ou o nome do grupo seja adicionado a uma regra de política de acesso. Qualquer sincronização agendada subsequente traz informações atualizadas do Active Directory para esses nomes de grupo.
    Opção Descrição
    Especificar os DNs de grupo Para selecionar grupos, especifique um ou mais DNs de grupo e selecione os grupos sob eles.
    1. Clique em + e especifique o DN de grupo. Por exemplo, CN=users,DC=example,DC=company,DC=com.
      Importante: Especifique os DNs de grupo que estão sob o DN Base que você digitou. Se um DN de grupo estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. Clique em Encontrar Grupos.

      A coluna Grupos a Sincronizar lista o número de grupos encontrados no DN.

    3. Para selecionar todos os grupos no DN, clique em Selecionar Tudo; caso contrário, clique em Selecionar e selecione os grupos específicos a serem sincronizados.
    Observação: Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.
    Sincronizar membros reunidos do grupo

    A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados quando o grupo for autorizado. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão membros do grupo principal que você selecionou para sincronização.

    Se a opção Sincronizar membros reunidos do grupo estiver desativada, quando você especificar um grupo para a sincronização, todos os usuários que pertencerem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. Desativar essa opção é útil para grandes configurações do Active Directory nas quais passar por uma árvore de grupos exige muitos recursos e tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.

  9. Clique em Avançar.
  10. Especifique os usuários a serem sincronizados.
    Como os membros em grupos não serão sincronizados com o diretório até que o grupo tenha direito para aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuários que precisam ser autenticados antes dos direitos do grupo serem configurados.
    1. Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.
      Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.
  11. Clique em Avançar.
  12. Revise a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório e para exibir a agenda de sincronização.

    Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.

  13. Clique em Sincronizar Diretório para iniciar a sincronização com o diretório.

Resultados

A conexão com o Active Directory é estabelecida, e os nomes de usuários e de grupos são sincronizados do Active Directory com o diretório do VMware Identity Manager. O usuário DN Bind tem uma função de administrador no VMware Identity Manager por padrão.

O que Fazer Depois

  • Se você tiver criado um diretório compatível com a Localização do Serviço DNS, um arquivo domain_krb.properties terá sido criado e preenchido automaticamente com uma lista dos controladores de domínio. Exiba o arquivo para verificar ou editar a lista dos controladores de domínio. Consulte Sobre a seleção do controlador de domínio (arquivo domain_krb.properties).
  • Configure os métodos de autenticação. Depois de sincronizar os nomes de usuários e de grupos com o diretório, se o conector também for usado para autenticação, você poderá configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.
  • Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o portal da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.
  • (on-premise) Aplique a marca personalizada ao console de administração, às páginas do portal do usuário e à tela de logon.