No console do VMware Identity Manager, insira as informações necessárias para se conectar ao seu Active Directory e selecione os usuários e os grupos a serem sincronizados com o diretório do VMware Identity Manager.

As opções de conexão do Active Directory são Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows. Uma conexão do Active Directory sobre LDAP é compatível com a pesquisa de Localização do Serviço DNS.

Pré-requisitos

  • Instale e ative uma instância do VMware Identity Manager Connector. Consulte Instalando e configurando o VMware Identity Manager Connector (Windows).
  • Selecione quais atributos são necessários e adicione mais atributos, se necessário, na página Atributos do Usuário no console do VMware Identity Manager. Consulte Selecionar atributos para sincronizar com o diretório.
  • Faça uma lista dos usuários e grupos do Active Directory a serem sincronizados do Active Directory. Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo não serão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra de política. Os usuários que precisam se autenticar antes dos direitos do grupo serem configurados devem ser adicionados durante a configuração inicial.
  • Para o Active Directory sobre LDAP, você precisa do Base DN, do DN de associação e da senha do DN de associação a serem usados.

    O usuário do DN de associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:

    • Ler
    • Ler todas as propriedades
    • Permissões de leitura
    Observação: É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.
  • Para o Active Directory sobre Autenticação Integrada do Windows, é necessário o nome de usuário e a senha do usuário de Associação que tem permissão para consultar usuários e grupos para os domínios necessários.

    O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:

    • Ler
    • Ler todas as propriedades
    • Permissões de leitura
    Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
  • Se o Active Directory exigir acesso sobre SSL ou STARTTLS, serão necessários os certificados da autoridade de certificação raiz dos controladores de domínio para todos os domínios do Active Directory relevantes.
  • Para o Active Directory sobre Autenticação Integrada do Windows, quando você tiver várias florestas do Active Directory configuradas, e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.
  • Para o Active Directory sobre Autenticação Integrada do Windows:
    • Para todos os controladores de domínio listados nos registros SRV e nos RODCs ocultos, nslookup de nome do host e endereço IP deve funcionar.
    • Todos os controladores de domínio devem ser acessíveis em termos de conectividade de rede

Procedimento

  1. No console do VMware Identity Manager, clique na guia Gerenciamento de Identidade e Acesso.
  2. Na página Diretórios, clique em Adicionar Diretório.
  3. Insira um nome para esse diretório do VMware Identity Manager.
  4. Selecione o tipo de Active Directory no seu ambiente e configurar as informações de conexão.
    Opção Descrição
    Active Directory sobre LDAP
    1. Na caixa de texto Sincronizar Conector, selecione o conector a ser usado para sincronização com o Active Directory.
    2. Na caixa de texto Autenticação, se esse Active Directory for usado para autenticar usuários, clique em Sim.

      Se um provedor de identidade de terceiros for usado para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    3. Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
    4. Se você quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory, faça as seleções a seguir.
      • Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS.

        O VMware Identity Manager localiza e usa os controladores de domínio ideais. Se você não quiser usar a seleção do controlador de domínio otimizada, siga e etapa e.

      • Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory na caixa de texto Certificado SSL.

        Verifique se o certificado está no formato PEM e inclui as linhas "INICIAR CERTIFICADO" e "ENCERRAR CERTIFICADO".

        Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
    5. Se você não quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory, faça as seleções a seguir.
      • Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory.

        Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.

      • Se o Active Directory exigir acesso por SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

        Verifique se o certificado está no formato PEM e inclui as linhas "INICIAR CERTIFICADO" e "ENCERRAR CERTIFICADO".

        Se o diretório tiver vários domínios, adicione os certificados da autoridade de certificação raiz de todos os domínios, um após o outro.

        Observação: Se o Active Directory exigir SSL e o certificado não for fornecido, você não poderá criar o diretório.
    6. No campo DN Base, insira o DN do qual iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com.
    7. No campo DN de associação, insira a conta que pode pesquisar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Observação: É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.
    8. Depois de inserir a Senha do bind, clique em Testar Conexão para verificar se o diretório consegue se conectar ao seu Active Directory.
    Active Directory (Autenticação Integrada do Windows)
    1. Na caixa de texto Sincronizar Conector, selecione o conector a ser usado para sincronização com o Active Directory.
    2. Na caixa de texto Autenticação, se esse Active Directory for usado para autenticar usuários, clique em Sim.

      Se um provedor de identidade de terceiros for usado para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    3. Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributo de conta que contém o nome de usuário.
    4. Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory na caixa de texto Certificado SSL.

      Verifique se o certificado está no formato PEM e inclui as linhas "INICIAR CERTIFICADO" e "ENCERRAR CERTIFICADO".

      Se o diretório tiver vários domínios, adicione os certificados da autoridade de certificação raiz de todos os domínios, um após o outro.

      Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
    5. Na seção Detalhes do Usuário de Associação, insira o nome de usuário e a senha do usuário de associação que tem permissão para consultar usuários e grupos para os domínios necessários. Para o nome de usuário, insira sAMAccountName, por exemplo, jdoe. Se o domínio do usuário de associação for diferente do nome em Ingressar no Domínio inserido acima, insira o nome de usuário como sAMAccountName@domain, onde domain é o nome de domínio completo. Por exemplo, jdoe@example.com.
      Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
  5. Clique em Salvar e Avançar.
    É exibida a página com a lista de domínios.
  6. Para o Active Directory sobre LDAP, os domínios são listados com uma marca de seleção.
    Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.
    Observação: Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.

    Clique em Avançar.

  7. Verifique se os nomes de atributos do diretório do VMware Identity Manager estão mapeados para os atributos corretos do Active Directory, faça alterações, se necessário, e clique em Avançar.
  8. Selecione os grupos que você deseja sincronizar do Active Directory para o diretório do VMware Identity Manager.
    Quando os grupos são adicionados aqui, os nomes de grupo são sincronizados com o diretório. Os usuários que são membros do grupo não serão sincronizados com o diretório até que o grupo tenha direito a um aplicativo ou o nome do grupo seja adicionado a uma regra de política de acesso. Qualquer sincronização agendada subsequente traz informações atualizadas do Active Directory para esses nomes de grupo.
    Opção Descrição
    Especificar os DNs de grupo Para selecionar grupos, especifique um ou mais DNs de grupo e selecione os grupos sob eles.
    1. Clique em + e especifique o DN de grupo. Por exemplo, CN=users,DC=example,DC=company,DC=com.
      Importante: Especifique os DNs de grupo que estão sob o DN Base que você digitou. Se um DN de grupo estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. Clique em Encontrar Grupos.

      A coluna Grupos a Sincronizar lista o número de grupos encontrados no DN.

    3. Para selecionar todos os grupos no DN, clique em Selecionar Tudo; caso contrário, clique em Selecionar e selecione os grupos específicos a serem sincronizados.
    Observação: Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.
    Sincronizar membros reunidos do grupo

    A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados quando o grupo for autorizado. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão membros do grupo principal que você selecionou para sincronização.

    Se a opção Sincronizar membros reunidos do grupo estiver desativada, quando você especificar um grupo para a sincronização, todos os usuários que pertencerem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. Desativar essa opção é útil para grandes configurações do Active Directory nas quais passar por uma árvore de grupos exige muitos recursos e tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.

  9. Clique em Avançar.
  10. Especifique os usuários a serem sincronizados.
    Como os membros em grupos não serão sincronizados com o diretório até que o grupo tenha direito para aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuários que precisam ser autenticados antes dos direitos do grupo serem configurados.
    1. Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.
      Você seleciona o atributo do usuário para filtragem, a regra de consulta a usar e adiciona o valor. O valor diferencia maiúsculas de minúsculas. Os seguintes caracteres não podem estar na cadeia de caracteres: *^()?!$.
  11. Especifique os usuários a serem sincronizados.
    Como os membros em grupos não serão sincronizados com o diretório até que o grupo tenha direito para aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuários que precisam ser autenticados antes dos direitos do grupo serem configurados.
    1. Clique em + e insira os DNs de usuário. Por exemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. (Opcional) Para excluir usuários, crie filtros para excluir usuários com base no atributo escolhido. Você pode criar vários filtros de exclusão.
      Selecione o atributo de usuário para filtragem e o filtro de consulta a ser aplicado como o valor que você definir.
      Opção Descrição
      Contém Exclui todos os usuários que correspondem ao conjunto de atributos e valores. Por exemplo, o nome contém Jane exclui usuários chamados "Jane".
      Não contém Exclui todos os usuários, exceto aquelas que correspondem ao conjunto de atributos e valores. Por exemplo, telephoneNumber não contém 800, inclui apenas os usuários com um número de telefone que inclui "800".
      Começa com Exclui todos os usuários em que os caracteres começam com <xxx> no valor do atributo. Por exemplo, employeeID começa com ACME0, exclui todos os usuários que têm uma ID de funcionário que inclui "ACME0" no início do seu número de ID.
      Termina com Exclui todos os usuários em que os caracteres terminam com <yyy> no valor do atributo. Por exemplo, e-mail termina com example1.com, exclui todos os usuários que têm um endereço de e-mail que termina em "example1.com".
    O valor diferencia maiúsculas de minúsculas. Os seguintes símbolos não podem estar na cadeia de caracteres de valor.
    • Asterisco *
    • Acento circunflexo ^
    • Parênteses ()
    • Ponto de interrogação ?
    • Ponto de exclamação !
    • Sinal de dinheiro $
  12. Clique em Avançar.
  13. Revise a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório e para exibir a agenda de sincronização.

    Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos links Editar.

  14. Clique em Sincronizar Diretório para iniciar a sincronização com o diretório.

Resultados

A conexão com o Active Directory é estabelecida, e os nomes de usuários e de grupos são sincronizados do Active Directory com o diretório do VMware Identity Manager. O usuário de Associação tem uma função de administrador no VMware Identity Manager por padrão.

Para obter mais informações sobre como os grupos são sincronizados, consulte "Gerenciando usuários e grupos" na Administração do VMware Identity Manager.

O que Fazer Depois

  • Configure os métodos de autenticação. Depois de sincronizar os nomes de usuários e de grupos com o diretório, se o conector também for usado para autenticação, você poderá configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.
  • Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o portal da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.
  • (No local) Aplique a marca personalizada ao console do VMware Identity Manager, às páginas do portal do usuário e à tela de login, se necessário.