Você deve usar o recurso do Directories Management para configurar um link para o Active Directory de forma a oferecer suporte para a autenticação de todos os tenants e selecionar usuários e grupos para sincronizar com o diretório do Directories Management.

Antes de Iniciar

  • Conector instalado e o código de ativação ativado.

  • Selecione os atributos padrão necessários e adicione atributos adicionais na página Atributos de Usuário. Consulte Selecionar atributos para sincronizar com o diretório.

  • Lista dos grupos e usuários do Active Directory para sincronizar a partir do Active Directory.

  • Para o Active Directory sobre LDAP, as informações necessárias incluem o DN de base, o DN de associação e a senha do DN de associação.

  • Para autenticação integrada do Windows no Active Directory, as informações necessárias incluem a senha e o endereço UPN do usuário de associação do domínio.

  • Se o Active Directory for acessado através de SSL, é necessária uma cópia do certificado SSL.

  • Para o Active Directory (Autenticação Integrada do Windows), quando você tiver várias florestas do Active Directory configuradas e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação é adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão em falta do grupo local de domínio.

  • Faça logon no console do vRealize Automation como administrador de tenant.

Por Que e Quando Desempenhar Esta Tarefa

Há duas opções de conexão do Active Directory: Active Directory sobre LDAP e Active Directory (Autenticação Integrada do Windows). Uma conexão do Active Directory sobre LDAP suporta a pesquisa de Localização de Serviço DNS por padrão. Com o Active Directory (Autenticação Integrada do Windows), você configura o domínio para participar.

Procedimento

  1. Selecione Administração > Gerenciamento de Diretórios > Diretórios.
  2. Clique em Adicionar Diretório.
  3. Na página Adicionar Diretório, especifique o endereço IP para o servidor do Active Directory na caixa de texto Nome do Diretório.
  4. Selecione o protocolo de comunicação apropriado do Active Directory utilizando os botões de rádio na caixa de texto Nome do Diretório.

    Opção

    Descrição

    Autenticação do Windows

    Selecione Active Directory (Autenticação Integrada do Windows)

    LDAP

    Selecione Active Directory sobre LDAP.

  5. Configure o conector que sincroniza usuários do Active Directory com o diretório do VMware Directories Management na seção Autenticação e Sincronização de Diretórios.

    Opção

    Descrição

    Conector de Sincronização

    Selecione o conector apropriado para uso no seu sistema. Cada vRealize Automation appliance contém um conector padrão. Consulte o seu administrador de sistema se precisar de ajuda na escolha do conector apropriado.

    Autenticação

    Clique no botão de opção apropriado para indicar se o conector selecionado também realiza a autenticação.

    Atributo de Pesquisa de Diretório

    Selecione o atributo de conta apropriado que contém o nome do usuário.

  6. Insira as informações apropriadas na caixa de texto Localização do Servidor se você tiver selecionado Active Directory sobre LDAP ou nas caixas de texto Detalhes de Ingresso em um Domínio, se tiver selecionado Active Directory (Autenticação Integrada do Windows)

    Opção

    Descrição

    Localização do Servidor - Exibida quando a opção Active Directory sobre LDAP está selecionada

    • Se quiser usar a Localização do Serviço DNS para localizar domínios do Active Directory, deixe a caixa de seleção Este diretório suporta a Localização do Serviço DNS marcada.

    • Se o Active Directory especificado não utilizar a pesquisa de Localização de Serviço DNS, desmarque a caixa de seleção ao lado de Este diretório suporta a Localização do Serviço DNS nos campos de Localização do Servidor e insira o número da porta e o nome do host do servidor do Active Directory nas caixas de texto apropriadas.

    • Se o Active Directory exigir acesso via SSL, marque a caixa de seleção Este diretório requer que todas as conexões usem SSL, no título Certificados, e forneça o certificado SSL do Active Directory.

    Detalhes de Ingresso em um Domínio - Exibidos quando a opção Active Directory (Autenticação integrada do Windows) está selecionada

    Insira as credenciais apropriadas nas caixas de texto Nome do Domínio, Nome do Usuário Administrador do Domínio e Senha do Administrador do Domínio.

  7. Na seção Detalhes do Usuário de Associação, insira as credenciais apropriadas para facilitar a sincronização de diretórios.

    Para o Active Directory sobre LDAP:

    Opção

    Descrição

    DN base

    Insira o nome distinto da base de pesquisa. Por exemplo, cn=users,dc=corp,dc=local.

    Vincular DN

    Insira o nome distinto da associação. Por exemplo, cn=fritz infra,cn=users,dc=corp,dc=local

    Para o Active Directory (Autenticação Integrada do Windows):

    Opção

    Descrição

    Vincular UPN de usuário

    Insira o Nome da Entidade de Segurança do Usuário que pode se autenticar no domínio. Por exemplo, UserName@example.com.

    Vincular senha do DN

    Insira a senha do Usuário de Associação.

  8. Clique em Testar Conexão para testar a conexão com o diretório configurado.
  9. Clique em Salvar e Avançar.

    A página Selecionar os Domínios aparece com a lista dos domínios.

  10. Revise e atualize os domínios listados para a conexão com o Active Directory.
    • Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.

    • Para o Active Directory sobre LDAP, os domínios são listados com uma marca.

      Observação:

      Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.

  11. Clique em Avançar.
  12. Verifique se os nomes de atributos do diretório Directories Management são mapeados para os atributos do Active Directory corretos.

    Se os nomes de atributos de diretório não estiverem mapeados corretamente, selecione o atributo correto do Active Directory no menu suspenso.

  13. Clique em Avançar.
  14. Clique no Adicionar para selecionar os grupos que você deseja sincronizar do Active Directory para o diretório.

    Quando você adiciona um grupo do Active Directory, se os membros desse grupo não estiverem na lista de usuários, eles serão adicionados.

    Observação:

    O sistema de autenticação do usuário do Directories Management importa dados do Active Directory ao adicionar grupos e usuários, bem como a velocidade do sistema é limitada pelas capacidades do Active Directory. Como resultado, as operações de importação podem exigir uma quantidade significativa de tempo, dependendo do número de grupos e usuários sendo adicionados. Para minimizar o potencial de atrasos ou problemas, limite o número de grupos e usuários a apenas aqueles necessários para operação do vRealize Automation. Se o desempenho do sistema se degradar ou caso ocorram erros, feche todos os aplicativos desnecessários e verifique se o sistema tem memória alocada apropriada para o Active Directory. Se os problemas persistirem, aumente a alocação de memória do Active Directory conforme necessário. Para sistemas com um grande número de usuários e grupos, você pode precisar aumentar a alocação de memória do Active Directory para até 24 GB.

  15. Clique em Avançar.
  16. Clique em Adicionar para adicionar mais usuários. Por exemplo, insira como CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Para excluir usuários, clique em Adicionar para criar um filtro para excluir alguns tipos de usuários. Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.

  17. Clique em Avançar.
  18. Reveja a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório.

    Se quiser fazer alterações nos usuários e grupos, clique nos links Editar.

  19. Clique em Enviar ao Espaço de Trabalho para iniciar a sincronização com o diretório.

Resultados

A conexão com o Active Directory está completa e os usuários e grupos selecionados são adicionados ao diretório.

O que Fazer Depois

Se o seu ambiente do vRealize Automation estiver configurado para alta disponibilidade, você deverá configurar especificamente o Gerenciamento de Diretórios para alta disponibilidade. Consulte Configurar o Gerenciamento de Diretórios para alta disponibilidade.

  • Configure os métodos de autenticação. Depois de sincronizar usuários e grupos para o diretório, se o conector também é usado para autenticação, você pode configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.

  • Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o navegador da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.

  • Aplique a marca personalizada para o console de administração, as páginas do portal do usuário e a tela de login.

Consulte Guia de administração do Directories Management para obter informações sobre como configurar esses recursos.