Você pode criar este tipo de diretório se pretender se conectar a um único ambiente de domínio do Active Directory. Para o Active Directory em um tipo de diretório LDAP, o conector se vincula ao Active Directory usando uma autenticação de vinculação simples.

Pré-requisitos

  • Liste os grupos e usuários do Active Directory a serem sincornizados a partir do Active Directory.
  • Verifique se você especificou os atributos padrão necessários e adicione atributos adicionais na definição de Atributos do usuário.
  • Verifique se você tem as credenciais de usuário necessárias para adicionar um diretório.

Procedimento

  1. Clique em Gerenciamento de Identidade e Tenants no dashboard Meus Serviços.
  2. Navegue até a guia Gerenciamento de Diretórios e clique em Diretórios.
  3. Clique em Adicionar diretório e selecione Adicionar Active Directory sobre LDAP.
  4. Na guia Detalhes do diretório:
    Campos Descrição
    Informações do Diretório Digite um nome de diretório válido.
    Sincronização e Autenticação do Diretório Selecione o conector a ser sincronizado com o Active Directory. O conector é um componente de serviço do VMware Identity Manager que sincroniza dados de usuários e de grupos entre o Active Directory e o VMware Identity Manager serviço.

    Quando usado como um provedor de identidade, ele também autentica os usuários. Cada nó do dispositivo do VMware Identity Manager contém um componente do conector padrão. Quando necessário, um conector dedicado também pode ser implantado através de um ambiente global.
    Autenticação ativada Se você quiser que o conector realize a autenticação, selecione Sim.

    Você pode indicar se o conector selecionado também realiza a autenticação. Se você estiver usando um provedor de identidade de terceiros para autenticar usuários, clique em Não.
    Atributo de Pesquisa de Diretório Selecione um atributo de conta no menu suspenso que contém um nome de usuário.
    Localização de Servidor Marque a caixa de seleção Diretório compatível com localização de serviço DNS.
    • Se o Active Directory exigir acesso por SSL/TLS, marque a caixa de seleção Diretório requer que todas as conexões usem STARTTLS ou SSL na seção Certificados e copie e cole os controladores de domínio intermediários (se usados) e certificados de CA raiz na caixa de texto Certificado SSL. Digite primeiro o certificado de CA intermediária e, em seguida, o certificado de CA raiz. Verifique se cada certificado está no formato PEM e inclui as linhas BEGIN CERTIFICATE e END CERTIFICATE. Se os controladores de domínio tiverem certificados de várias Autoridades de certificação raiz e intermediária, digite todas as cadeias de certificado de CA raiz intermediária, uma após a outra. Se o Active Directory exigir acesso por SSL/TLS e você não fornecer os certificados, não será possível criar o diretório.
    • Se você não quiser usar a Localização de serviço DNS, verifique se o Directory oferece suporte à localização de serviço DNS não está selecionado e digite o número da porta e o nome do host do servidor do Active Directory.
    Certificados

    Se o Active Directory exigir acesso por SSL/TLS marque a caixa de seleção Diretório requer que todas as conexões usem SSL na seção Certificados e copie e cole o certificado intermediário (se usado) e a CA raiz do controlador de domínio na caixa de texto Certificado SSL. Digite primeiro o certificado de CA intermediária e, em seguida, o certificado de CA raiz. Verifique se o certificado está no formato PEM e inclui as linhas BEGIN CERTIFICATE e END CERTIFICATE. Se o Active Directory exigir acesso por SSL/TLS e você não fornecer o certificado, não será possível criar o diretório.

    Detalhes do usuário do bind
    • Base DN - Digite o DN para iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp, DC=com. A Base DN é usada para autenticação. Somente os usuários sob o DN Base podem se autenticar. Certifique-se de que os DNs do grupo e os DNs do usuário que você especificar posteriormente para sincronização estão nessa Base DN.
    • Vincular DN do usuário - digite os detalhes da conta. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp, DC=com. Use uma conta de usuário da vinculação com uma senha que não expire.
    • Vincular senha: clique em Testar Conexão para verificar se o diretório consegue se conectar ao Active Directory.
  5. Clique em Criar e Avançar.
    Para o Active Directory sobre LDAP, os domínios são listados com uma marca de seleção.
  6. Na guia Detalhes da seleção do domínio, selecione o domínio e clique em Avançar.
  7. Para mapear o atributo de diretório para o Active Directory, na guia Mapear atributo, selecione o atributo necessário e clique em Salvar e Avançar.
  8. Na guia Seleção do grupo, para sincronizar do Active Directory com o diretório do VMware Identity Manager especifique os detalhes do DN do grupo e clique em Avançar.
    Você também pode selecionar todos os grupos do Active Directory que já estão disponíveis na lista para sincronização com o diretório.
    1. Para selecionar grupos, clique em Adicionar nome distinto do grupo e especifique um ou mais DNs do grupo. Selecione os grupos sob eles. Especifique os DNs do grupo que estão na Base DN que você especificou na caixa de texto "Base DN" na página Adicionar diretório. Se um DN do grupo estiver fora da Base DN, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. Clique em Encontrar grupos. A coluna Ações lista o número de grupos encontrados no DN. Para selecionar todos os grupos no DN, clique em Selecionar todos ou clique no número e selecione os grupos específicos a sincronizar. Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.
    3. Selecione a opção Sincronizar membros do grupo aninhado.
  9. Na guia Seleção do usuário, digite os detalhes do DN do usuário e clique em Avançar.
    Administradores do conjunto é um nome de usuário no Active Directory que atua como um usuário administrador para os produtos implantados do conjunto, registros e tabela AD.
  10. Selecione a opção Sincronizar Membros do Grupo Aninhado e digite Administradores do Conjunto.
    Quando esta opção está ativada, todos os usuários que pertencem diretamente ao grupo selecionado e todos os usuários que pertencem aos grupos aninhados sob ele são sincronizados quando o grupo tem a qualificação. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do VMware Identity Manager, esses usuários serão membros do grupo primário que você selecionou para sincronização. Se a opção “Sincronizar membros do grupo aninhado” estiver desativada, quando você especificar um grupo para sincronização, todos os usuários que pertencem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. A desativação dessa opção é útil para grandes configurações do Active Directory em que percorrer uma árvore de grupo exige muitos recursos e tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.
  11. Clique em Salvar e Avançar. Na página Seleção do usuário, clique em Adicionar usuário e especifique os DNs dos usuários a serem sincronizados. Especifique os DNs do usuário que estão na Base DN que você especificou na caixa de texto Base DN na página Adicionar diretório. Se um DN do usuário estiver fora da Base DN, os usuários desse DN serão sincronizados, mas não poderão fazer login. Clique em Salvar e Avançar.
  12. Revise a guia Verificação do exercício de simulação, leia o resumo, clique em Sincronizar e Concluir para iniciar a sincronização com o diretório. A conexão com o Active Directory será estabelecida, e os nomes de usuários e grupos serão sincronizados do Active Directory com o diretório do VMware Identity Manager.
  13. Clique em Enviar.
  14. Para editar, clique no ícone Editar no Active Directory específico na lista de diretórios ativos. Qualquer informação adicionada é anexada à configuração do VMware Identity Manager. No entanto, qualquer remoção através da edição apenas remove a configuração do inventário do vRealize Suite Lifecycle Manager e não do VMware Identity Manager.
  15. Para excluir, clique no ícone Excluir no Active Directory específico na lista de diretórios ativos. A ação de exclusão exclui o Active Directory somente do inventário do vRealize Suite Lifecycle Manager e não do VMware Identity Manager.