Você pode integrar o seu diretório LDAP corporativo ao VMware Identity Manager para sincronizar usuários e grupos do diretório LDAP com o serviço do VMware Identity Manager.

Para integrar seu diretório LDAP, você cria um diretório correspondente do VMware Identity Manager e sincroniza usuários e grupos do diretório LDAP com o diretório do VMware Identity Manager. Você pode configurar uma agenda de sincronização regular para atualizações subsequentes.

Você também pode selecionar os atributos LDAP que deseja sincronizar para os usuários e os mapear para atributos do VMware Identity Manager.

Sua configuração do diretório LDAP pode ser baseada em esquemas padrão ou esquemas personalizados. Ela também pode ter atributos personalizados. Para o VMware Identity Manager poder consultar seu diretório LDAP e obter objetos de usuário ou de grupo, você precisa fornecer os nomes de atributos e os filtros de pesquisa LDAP aplicáveis ao seu diretório LDAP.

Especificamente, você precisa fornecer as seguintes informações.

  • Filtros de pesquisa LDAP para a obtenção de grupos, usuários e o usuário de associação
  • Nomes de atributo LDAP para associação ao grupo, UUID e nome distinto ou atributo equivalente

Certas limitações aplicam-se ao recurso de integração de diretório LDAP. Consulte Limitações da Integração de Diretório LDAP.

Pré-requisitos

  • Verifique os atributos na página Gerenciamento de Identidade e Acesso > Configuração > Atributos do Usuário e adicione os atributos adicionais que você deseja sincronizar. Você mapeia os atributos do VMware Identity Manager para os atributos de diretório LDAP ao criar o diretório. Esses atributos são sincronizados para os usuários no diretório.
    Observação: Quando você fizer alterações nos atributos do usuário, considere o efeito dessas alterações sobre outros diretórios no serviço. Se você planeja adicionar tanto o Active Directory quanto o diretório LDAP, certifique-se de não marcar nenhum atributo obrigatório, exceto userName, que pode ser marcado como obrigatório. As configurações na página Atributos de Usuário aplicam-se a todos os diretórios no serviço. Se um atributo for marcado como obrigatório, os usuários sem esse atributo não serão sincronizados com o serviço do VMware Identity Manager.
  • Uma conta de usuário de DN de associação. É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.
  • No seu diretório LDAP, o UUID de usuários e grupos deve estar em formato de texto simples.
  • No seu diretório LDAP, deve existir um atributo de domínio para todos os usuários e grupos.

    Você mapeia esse atributo para o atributo VMware Identity Manager domain quando criar o diretório do VMware Identity Manager.

  • Os nomes de usuário não devem conter espaços. Se um nome de usuário contiver um espaço, o usuário é sincronizado, mas os direitos não estarão disponíveis para o usuário.
  • Se você usar a autenticação de certificado, os usuários deverão ter valores para os atributos de endereço de e-mail e userPrincipalName.

Procedimento

  1. No console do VMware Identity Manager, clique na guia Gerenciamento de Identidade e Acesso.
  2. Na página Diretórios, clique em Adicionar diretório e selecione Adicionar Diretório LDAP.
  3. Insira as informações necessárias na página Adicionar Diretório LDAP.
    Opção Descrição
    Nome do diretório Um nome para o diretório do VMware Identity Manager.
    Sincronização e Autenticação do Diretório
    1. Na caixa de texto Sincronizar Conector, selecione o conector que você deseja usar para sincronizar usuários e grupos a partir de seu diretório LDAP com o diretório do VMware Identity Manager.

      Você não precisa usar um conector separado para um diretório LDAP. Um conector pode ser compatível com vários diretórios, independentemente se eles são diretórios do Active Directory ou LDAP. Para os cenários em que você precisa de conectores adicionais, consulte Instalando e configurando o VMware Identity Manager.

    2. Na caixa de texto Autenticação, se você quiser usar este diretório LDAP para autenticar usuários, selecione Sim.

      Se você desejar usar um provedor de identidade de terceiros para autenticar usuários, selecione Não. Após adicionar a conexão de diretório para sincronizar usuários e grupos, vá para a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para a autenticação.

    3. Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributo de diretório LDAP a ser usado para nomes de usuário. Se o atributo não estiver listado, selecione Personalizado e digite o nome do atributo personalizado a ser usado para usuários e para grupos. Por exemplo, cn.
    Localização de Servidor Insira o número de porta e o host do servidor do Diretório LDAP. Para o host do servidor, você pode especificar o nome de domínio totalmente qualificado ou o endereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou 100.00.00.0.

    Se você tiver um cluster de servidores atrás de um balanceador de carga, digite as informações do balanceador de carga.

    Configuração LDAP Especifique os atributos e os filtros de pesquisa LDAP que o VMware Identity Manager pode usar para consultar seu diretório LDAP. Os valores padrão são fornecidos com base no esquema LDAP principal.

    Filtrar Consultas

    • Grupos: o filtro de pesquisa para a obtenção de objetos de grupo.

      Por exemplo: (objectClass=groupOfNames)

    • Usuário de Associação: o filtro de pesquisa para a obtenção do objeto de usuário de associação, ou seja, o usuário que pode se associar ao diretório.

      Por exemplo: (objectClass=person)

    • Usuários: o filtro de pesquisa para a obtenção de usuários para sincronização.

      Por exemplo:(&(objectClass=user)(objectCategory=person))

    Atributos

    • Associação: o atributo usado em seu diretório LDAP para a definição dos membros de um grupo.

      Por exemplo: member

    • UUID de objeto: o atributo usado em seu diretório LDAP para a definição do UUID de um objeto de usuário ou grupo.

      Por exemplo: entryUUID

    • Nome Distinto: (opcional) o atributo usado em seu diretório LDAP para o nome distinto de um usuário ou grupo.

      Por exemplo: dn

      Por padrão, o atributo de nome distinto é usado para identificar exclusivamente objetos de usuário e grupo. Se o seu esquema LDAP não tiver o atributo de nome distinto, selecione a opção Ativar a configuração avançada do LDAP e digite os valores a serem usados para identificar grupos e usuários.

    • Ativar a configuração avançada do LDAP: marque a caixa de seleção para visualizar as opções de configuração avançada do LDAP. Use a configuração avançada se o seu esquema LDAP não tiver o atributo de nome distinto ou se usar posixGroups.
      • Filtro de Grupo: o valor a ser usado para consultar e identificar grupos. Esse valor será necessário se o seu esquema LDAP não tiver o atributo de nome distinto.

        Por exemplo: cn

      • Filtro de Usuário: o valor a ser usado para consultar e identificar usuários. Esse valor será necessário se o seu esquema LDAP não tiver o atributo de nome distinto.

        Por exemplo: uid

      • Filtro de Mapeamento de Associação do Usuário: (opcional) essa opção normalmente é necessária para diretórios LDAP que usam posixGroups. O Filtro de Mapeamento de Associação do Usuário é usado para consultar e identificar os usuários retornados pelo atributo de associação.

        Por exemplo: uidNumber

    Certificados Se o seu diretório LDAP requer acesso via SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL e copie e cole o certificado SSL da CA raiz do servidor do diretório LDAP na caixa de texto. Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
    Detalhes do usuário de associação DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo, cn=users,dc=example,dc=com
    DN de associação: digite o nome de usuário a ser usado para vinculação ao diretório LDAP.
    Observação: É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.

    Senha do usuário de associação: digite a senha para o usuário do DN de associação.

  4. Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.
    Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça as alterações adequadas.
  5. Clique em Salvar e Avançar.
  6. Na página Domínios, verifique se o domínio correto está listado e clique em Avançar.
  7. Na página Atributos Mapeados, verifique se os atributos do VMware Identity Manager estão mapeados para os atributos LDAP corretos.

    Esses atributos serão sincronizados para os usuários.

    Importante: Você deve especificar um mapeamento para o atributo domain.

    Você pode adicionar atributos à lista na página Atributos de Usuário.

  8. Clique em Avançar.
  9. Na página de grupos, clique em + para selecionar os grupos que você deseja sincronizar a partir do diretório LDAP para o diretório do VMware Identity Manager.

    Quando os grupos são adicionados, os nomes de grupo são sincronizados com o diretório. Os usuários que são membros do grupo não serão sincronizados com o diretório até que o grupo tenha direito a um aplicativo ou o nome do grupo seja adicionado a uma regra de política de acesso.

    Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomes exclusivos para eles na página de grupos.

    A opção Sincronizar usuários do grupo aninhado é habilitada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados quando o grupo é autorizado. No diretório do VMware Identity Manager, esses usuários serão exibidos como membros do grupo de nível superior que você selecionou para sincronização. Com efeito, a hierarquia sob um grupo selecionado é simplificada e os usuários de todos os níveis aparecem no VMware Identity Manager como membros do grupo selecionado.

    Se essa opção estiver desativada, quando você especificar um grupo para sincronização, todos os usuários que pertencem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. A desativação dessa opção é útil para grandes configurações de diretório em que percorrer uma árvore de grupo exige muitos recursos e muito tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.

  10. Clique em Avançar.
  11. Clique em + para adicionar usuários. Por exemplo, digite CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
    Como os membros em grupos não serão sincronizados com o diretório até que o grupo tenha direito para aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuários que precisam ser autenticados antes dos direitos do grupo serem configurados.

    Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários. Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.

    Clique em Avançar.

  12. Analise a página para ver quantos nomes de usuário e de grupo serão sincronizados com o diretório e ver a agenda de sincronização padrão.

    Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.

  13. Clique em Sincronizar diretório para iniciar a sincronização de diretório.

Resultados

A conexão com o diretório LDAP é estabelecida e os nomes de usuário e de grupo são sincronizados a partir do diretório LDAP com o diretório do VMware Identity Manager. O usuário do DN de associação tem uma função de administrador no VMware Identity Manager por padrão.