No console do VMware Identity Manager, insira as informações necessárias para se conectar ao seu Active Directory e selecione os usuários e os grupos a serem sincronizados com o diretório do VMware Identity Manager.
As opções de conexão do Active Directory são Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows. Uma conexão do Active Directory sobre LDAP é compatível com a pesquisa de Localização do Serviço DNS.
Pré-requisitos
(SaaS) Conector instalado e ativado.
Selecione quais atributos são necessários e adicione mais atributos, se necessário, na página Atributos do Usuário. Consulte Selecionar atributos para sincronizar com o diretório.
Faça uma lista dos usuários e grupos do Active Directory a serem sincronizados do Active Directory. Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo não serão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra de política. Os usuários que precisam se autenticar antes dos direitos do grupo serem configurados devem ser adicionados durante a configuração inicial.
Para o Active Directory sobre LDAP, você precisa do DN de base, do DN de associação e da senha do DN de associação.
O usuário do DN de associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:
Ler
Ler todas as propriedades
Permissões de leitura
Observação:É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.
Para o Active Directory sobre Autenticação Integrada do Windows, é necessário o nome de usuário e a senha do usuário de Associação que tem permissão para consultar usuários e grupos para os domínios necessários.
O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:
Ler
Ler todas as propriedades
Permissões de leitura
Observação:É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Se o Active Directory exigir acesso sobre SSL ou STARTTLS, serão necessários os certificados da autoridade de certificação raiz dos controladores de domínio para todos os domínios do Active Directory relevantes.
Para o Active Directory sobre Autenticação Integrada do Windows, quando você tiver várias florestas do Active Directory configuradas, e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.
Para o Active Directory sobre Autenticação Integrada do Windows:
Para todos os controladores de domínio listados nos registros SRV e nos RODCs ocultos, nslookup de nome do host e endereço IP deve funcionar.
Todos os controladores de domínio devem ser acessíveis em termos de conectividade de rede
Procedimento
Resultados
A conexão com o Active Directory é estabelecida, e os nomes de usuários e de grupos são sincronizados do Active Directory com o diretório do VMware Identity Manager. O usuário de Associação tem uma função de administrador no VMware Identity Manager por padrão.
Para obter mais informações sobre como os grupos são sincronizados, consulte "Gerenciando usuários e grupos" na Administração do VMware Identity Manager.
O que Fazer Depois
Configure os métodos de autenticação. Depois de sincronizar os nomes de usuários e de grupos com o diretório, se o conector também for usado para autenticação, você poderá configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.
Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o portal da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.