Depois que a instância do VMware Identity Manager for implantada, use o assistente de Instalação para definir senhas e selecionar um banco de dados. Em seguida, configure a conexão com o diretório do Active Directory ou LDAP.
Verifique se a sua execução do Assistente de instalação está usando o nome de host totalmente qualificado. Não insira o endereço IP como o nome.
Pré-requisitos
- A máquina do VMware Identity Manager está ligada.
- O banco de dados externo está configurado e as informações de conexão do banco de dados externo estão disponíveis. Antes de executar o Assistente de instalação, verifique se a configuração do banco de dados está correta. Consulte Criar o banco de dados de serviço do VMware Identity Manager para obter informações.
- Antes de configurar o diretório, consulte A integração de diretório com o VMware Identity Manager para obter os requisitos e as limitações.
- Você tem as informações de diretório do Active Directory ou o LDAP.
- Quando um Active Directory de várias florestas está configurado e o grupo Domínio Local contém membros de domínios em diferentes florestas, o usuário do DN de associação usado na página Diretório do VMware Identity Manager deve ser adicionado ao grupo Administradores do domínio no qual o grupo Domínio Local reside. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.
- Você tem uma lista de atributos de usuário que deseja usar como filtros, e uma lista dos grupos e usuários que deseja adicionar ao VMware Identity Manager.
Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo não serão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra de política. Os usuários que precisam se autenticar antes dos direitos do grupo serem configurados devem ser adicionados diretamente durante a configuração inicial.
Procedimento
- Acesse a URL do VMware Identity Manager exibida quando você terminou a instalação. Insira o nome de domínio totalmente qualificado (FQDN). Por exemplo,
https://nomedohost.exemplo.com
. - Aceite o certificado, se for solicitado a fazê-lo.
Você pode atualizar o certificado após a configuração inicial.
- Na página Iniciar, clique em Continuar.
- Na página Definir Senhas, defina as senhas das seguintes contas de administrador, que são utilizadas para gerenciar o appliance, e clique em Continuar.
Conta Administrador do appliance Defina a senha do usuário admin. Esse nome de usuário não pode ser alterado. A conta do usuário admin é usada para gerenciar as configurações do appliance. Importante: A senha do usuário administrador deve ter pelo menos 6 caracteres.Raiz do Appliance Defina a senha do usuário root. O usuário root tem direitos totais para o appliance. Usuário Remoto Defina a senha de sshuser, que é usada fazer login remotamente no appliance com uma conexão SSH. - Na página Selecionar Banco de Dados, selecione o banco de dados a ser usado.
- Se você estiver usando um banco de dados externo, selecione Banco de Dados Externo e insira as informações, o nome de usuário e a senha da conexão do banco de dados externo. Para verificar se o VMware Identity Manager consegue se conectar ao banco de dados, clique em Testar Conexão.
Depois de verificar a conexão, clique em Continuar.
- Se você estiver usando o banco de dados interno, clique em Continuar.
Observação: Não recomendamos que o banco de dados interno seja usado com implantações de produção.
A conexão com o banco de dados está configurada e ele é inicializado. Quando o processo for concluído, a página A instalação foi concluída será exibida. - Se você estiver usando um banco de dados externo, selecione Banco de Dados Externo e insira as informações, o nome de usuário e a senha da conexão do banco de dados externo. Para verificar se o VMware Identity Manager consegue se conectar ao banco de dados, clique em Testar Conexão.
- Clique no link Faça login no console de administração na página A instalação foi concluída para fazer login no console do VMware Identity Manager e configurar a conexão do diretório do Active Directory ou LDAP.
- Faça login no console do VMware Identity Manager como o usuário admin usando a senha que você definiu.
Você está conectado como um administrador local e a página Diretórios é exibida. Antes de adicionar um diretório, certifique-se de revisar Integração do diretório com o VMware Identity Manager para obter os requisitos e as limitações.
- Clique na guia Gerenciamento de Identidade e Acesso.
- Clique em Instalar > Atributos de Usuário para selecionar os atributos de usuário a serem sincronizados com o diretório.
Os atributos padrão são listados e você pode selecionar os necessárias. Se um atributo for marcado como necessário, somente os usuários com esse atributo serão sincronizados com o serviço. Você também pode adicionar outros atributos.Importante: Depois que um diretório é criado, você não pode alterar um atributo para que ele seja necessário. Você deve fazer essa seleção agora.
Além disso, esteja ciente de que as definições na página Atributos de Usuário se aplicam a todos os diretórios no serviço. Quando você marca um atributo como necessário, considere o impacto em outros diretórios. Se um atributo for marcado como necessário, os usuários sem esse atributo não serão sincronizados com o serviço.
- Clique em Salvar.
- Clique na guia Gerenciamento de Identidade e Acesso.
- Na página Diretórios, clique em Adicionar Diretório e selecione Adicionar Active Directory sobre LDAP/IWA ou Adicionar Diretório LDAP, dependendo do tipo de diretório que você está integrando.
Você também pode criar um diretório local no serviço. Para obter mais informações sobre o uso de diretórios locais, consulte #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.
- Para o Active Directory, siga estas etapas.
- Insira um nome para o diretório que você está criando no VMware Identity Manager e selecione o tipo de diretório, Active Directory sobre LDAP ou Active Directory (Autenticação Integrada do Windows).
- Forneça as informações de conexão.
Opção Descrição Active Directory sobre LDAP - No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos do Active Directory com o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista.
- No campo Autenticação, selecione Sim se você desejar usar esse Active Directory para autenticar usuários.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.
- No campo Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
- Se o Active Directory usar a pesquisa Localização do serviço DNS, faça as seleções a seguir.
- Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS.
- Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.
Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
- Se o Active Directory não usar a pesquisa de Localização do Serviço DNS, faça as seleções a seguir.
- Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory.
Para configurar o diretório como um catálogo global, consulte a seção Ambiente do Active Directory de floresta única e de vários domínios em "Ambientes do Active Directory" no documento Integração do diretório com o VMware Identity Manager.
- Se o Active Directory exigir acesso por SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.
Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Observação: Se o Active Directory exigir SSL e o certificado não for fornecido, você não poderá criar o diretório.
- Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory.
- Na seção Permitir Alteração de Senha, selecione Ativar a Alteração de Senha se você desejar permitir que os usuários redefinam as próprias senhas na página de login do VMware Identity Manager caso a senha expire ou se o administrador do Active Directory redefinirá a senha do usuário.
- No campo DN Base, insira o DN do qual iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com.
- No campo DN de associação, insira a conta que pode pesquisar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Observação: É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.
- Depois de inserir a Senha do bind, clique em Testar Conexão para verificar se o diretório consegue se conectar ao seu Active Directory.
Active Directory (Autenticação Integrada do Windows) - No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos do Active Directory com o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista.
- No campo Autenticação, se você desejar usar esse Active Directory para autenticar usuários, clique em Sim.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.
- No campo Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
- Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.
Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
Se o diretório tiver vários domínios, adicione os certificados da CA raiz a todos os domínios, um por vez.
Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório. - Insira o nome do domínio do Active Directory no qual ingressar. Insira um nome de usuário e uma senha que tenha o direito de ingressar no domínio. Consulte "Permissões necessárias para ingressar em um domínio" em Integração do diretório com o VMware Identity Manager para obter mais informações.
- Na seção Permitir Alteração de Senha, selecione Ativar a Alteração de Senha se você desejar permitir que os usuários redefinam as próprias senhas na página de login do VMware Identity Manager caso a senha expire ou se o administrador do Active Directory redefinirá a senha do usuário.
- Na seção Detalhes do Usuário de Associação, insira o nome de usuário e a senha do usuário de associação que tem permissão para consultar usuários e grupos para os domínios necessários. Para o nome de usuário, insira sAMAccountName, por exemplo, jdoe. Se o domínio do usuário de associação for diferente do nome em Ingressar no Domínio inserido acima, insira o nome de usuário como sAMAccountName@domain, onde domain é o nome de domínio completo. Por exemplo, [email protected].
Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
- No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos do Active Directory com o diretório do VMware Identity Manager.
- Clique em Salvar e Avançar.
É exibida a página com a lista de domínios.
- Para diretórios LDAP, siga estas etapas.
- Forneça as informações de conexão.
Opção Descrição Nome do diretório Um nome para o diretório que você está criando no VMware Identity Manager. Sincronização e Autenticação do Diretório - No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos a partir de seu diretório LDAP para o diretório do VMware Identity Manager.
Um componente de conector está sempre disponível com o serviço do VMware Identity Manager por padrão. Esse conector é exibido na lista suspensa. Se você instalar vários appliances do VMware Identity Manager para alta disponibilidade, o componente de conector de cada um deles será exibido na lista.
Você não precisa de um conector separado para um diretório LDAP. Um conector pode ser compatível com vários diretórios, independentemente se eles são diretórios do Active Directory ou LDAP.
- No campo Autenticação, selecione Sim se você desejar usar esse diretório LDAP para autenticar usuários.
Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, selecione Não. Após adicionar a conexão de diretório para sincronizar usuários e grupos, vá para a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para a autenticação.
- No campo Atributo de Pesquisa do Diretório, especifique o atributo de diretório LDAP a ser usado para nomes de usuário. Se o atributo não estiver listado, selecione Personalizado e digite o nome do atributo. Por exemplo, cn.
Localização de Servidor Insira o número de porta e o host do servidor do Diretório LDAP. Para o host do servidor, você pode especificar o nome de domínio totalmente qualificado ou o endereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou 100.00.00.0. Se você tiver um cluster de servidores atrás de um balanceador de carga, digite as informações do balanceador de carga.
Configuração LDAP Especifique os atributos e os filtros de pesquisa LDAP que o VMware Identity Manager pode usar para consultar seu diretório LDAP. Os valores padrão são fornecidos com base no esquema LDAP principal. Consultas LDAP
- Obter grupos: o filtro de pesquisa para a obtenção de objetos de grupo.
Por exemplo: (objectClass=group)
- Obter usuário de associação: o filtro de pesquisa para a obtenção do objeto de usuário de associação, quer dizer, o usuário que pode associar-se ao diretório.
Por exemplo: (objectClass=person)
- Obter usuário: o filtro de pesquisa para a obtenção de usuários para sincronização.
Por exemplo:(&(objectClass=user)(objectCategory=person))
Atributos
- Associação: o atributo usado em seu diretório LDAP para a definição dos membros de um grupo.
Por exemplo: member
- UUID de objeto: o atributo usado em seu diretório LDAP para a definição do UUID de um usuário ou grupo.
Por exemplo: entryUUID
- Nome Distinto: o atributo usado em seu diretório LDAP para o nome distinto de um usuário ou grupo.
Por exemplo: entryDN
Certificados Se o seu diretório LDAP requer acesso via SSL, selecione Esse diretório requer que todas as conexões usem SSL e copie e cole o certificado SSL da CA raiz do servidor do diretório LDAP. Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”. Detalhes do usuário de associação DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo, cn=users,dc=example,dc=com. DN de associação: digite o nome de usuário a ser usado para vinculação ao diretório LDAP.Observação: É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.Senha do DN de associação: digite a senha para o usuário do DN de associação.
- No campo Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos a partir de seu diretório LDAP para o diretório do VMware Identity Manager.
- Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.
Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça as alterações adequadas.
- Clique em Salvar e Avançar.
A página que lista o domínio é exibida.
- Forneça as informações de conexão.
- Para um diretório LDAP, o domínio é listado e não pode ser modificado.
Para Active Directory sobre LDAP, os domínios são listados e não podem ser modificados.
Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.
Observação: Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.Clique em Avançar.
- Verifique se os nomes de atributo do VMware Identity Manager estão mapeados para os atributos corretos do Active Directory ou do LDAP e, se necessário, faça alterações.
Importante: Se você estiver integrando um diretório LDAP, deverá especificar um mapeamento para o atributo domain.
- Clique em Avançar.
- Selecione os grupos que você deseja sincronizar do seu diretório do Active Directory ou LDAP para o diretório do VMware Identity Manager.
Opção Descrição Especificar os DNs de grupo Para selecionar grupos, especifique um ou mais DNs de grupo e selecione os grupos sob eles. - Clique em + e especifique o DN de grupo. Por exemplo, CN=users,DC=example,DC=company,DC=com.
Importante: Especifique os DNs de grupo que estão sob o DN Base que você digitou. Se um DN de grupo estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
- Clique em Encontrar Grupos.
A coluna Grupos a Sincronizar lista o número de grupos encontrados no DN.
- Para selecionar todos os grupos no DN, clique em Selecionar Tudo; caso contrário, clique em Selecionar e selecione os grupos específicos a serem sincronizados.
Observação: Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomes exclusivos para eles no VMware Identity Manager. Você pode alterar o nome ao selecionar o grupo.
Observação: Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.Sincronizar membros reunidos do grupo A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão membros do grupo principal que você selecionou para sincronização.
Se a opção Sincronizar membros reunidos do grupo estiver desativada, quando você especificar um grupo para a sincronização, todos os usuários que pertencerem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. Desativar essa opção é útil para grandes configurações do Active Directory nas quais passar por uma árvore de grupos exige muitos recursos e tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.
- Clique em + e especifique o DN de grupo. Por exemplo, CN=users,DC=example,DC=company,DC=com.
- Clique em Avançar.
- Especifique usuários adicionais para sincronizar, se necessário.
Como os membros de grupos não serão sincronizados com o diretório até que o grupo tenha direito para aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuários que precisam ser autenticados antes dos direitos do grupo serem configurados.
- Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Importante: Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
- (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.
Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.
- Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
- Clique em Avançar.
- Revise a página para ver quantos usuários e grupos serão sincronizados com o diretório e para exibir a agenda de sincronização.
Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.
- Clique em Sincronizar diretório para iniciar a sincronização de diretório.
Resultados
O que Fazer Depois
Para obter informações sobre como configurar um balanceador de carga ou uma configuração de alta disponibilidade, consulte Configuração avançada do appliance do VMware Identity Manager.