É possível configurar um Active Directory sobre um link LDAP/IWA para suportar a autenticação do usuário utilizando o recurso Directories Management, para configurar um link ao Active Directory para suportar a autenticação do usuário para todos os locatários e selecionar usuários e grupos para a sincronização com o diretório Directories Management.

Por Que e Quando Desempenhar Esta Tarefa

Para obter informações e instruções sobre o uso de OpenLDAP com a Gestão de Diretórios, veja Configurar uma conexão OpenLDAP Directory.

Para o Active Directory (Autenticação Integrada do Windows), quando você tiver várias florestas do Active Directory configuradas e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação é adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes no grupo Local de Domínio.

Pré-requisitos

  • Selecione os atributos padrão necessários e adicione atributos adicionais na página Atributos de Usuário. Consulte Selecionar atributos para sincronizar com o diretório.

  • Lista dos grupos e usuários do Active Directory para sincronizar a partir do Active Directory.

  • Se seu Active Directory exigir acesso sobre SSL ou STARTTLS, será necessário o certificado da CA Raiz do controlador de domínio do Active Directory.

  • Faça logon no console do vRealize Automation como administrador de tenant.

Procedimento

  1. Selecione Administração > Gerenciamento de Diretórios > Diretórios.
  2. Clique em Acrescentar Diretório e selecione Acrescentar Active Directory sobre LDAP/IWA.
  3. Na página Adicionar Diretório, especifique o endereço IP para o servidor do Active Directory na caixa de texto Nome do Diretório.
  4. Selecione o protocolo de comunicação apropriado do Active Directory utilizando os botões de rádio na caixa de texto Nome do Diretório.

    Opção

    Descrição

    Autenticação do Windows

    Selecione Active Directory (Autenticação Integrada do Windows) Para Autenticação Integrada do Windows no Active Directory, as informações necessárias incluem a senha e o endereço UPN do usuário de associação do domínio.

    LDAP

    Selecione Active Directory sobre LDAP. Para o Active Directory sobre LDAP, as informações necessárias incluem o DN de base, o DN de associação e a senha do DN de associação.

  5. Configure o conector que sincroniza usuários do Active Directory com o diretório do VMware Directories Management na seção Autenticação e Sincronização de Diretórios.

    Opção

    Descrição

    Conector de Sincronização

    Selecione o conector apropriado para uso no seu sistema. Cada appliance do vRealize Automation contém um conector padrão. Consulte o seu administrador de sistema se precisar de ajuda na escolha do conector apropriado.

    Autenticação

    Clique no botão de opção apropriado para indicar se o conector selecionado também realiza a autenticação.

    Atributo de Pesquisa de Diretório

    Selecione o atributo de conta apropriado que contém o nome do usuário. A VMware recomenda usar o atributo sAMAccount em vez de o userPrincipleName. Se você usar o userPrincipleName para operações de sincronização, a integração com softwares de segunda e terceira parte que requer um nome de usuário poderá não funcionar corretamente.

    Observação:

    Se você selecionar sAMAccountName ao usar um catálogo global, indicado pela marcação da caixa de seleçãoEste diretório tem um catálogo global na área de Localização do Servidor, os usuários não conseguirão fazer login.

  6. Insira as informações apropriadas na caixa de texto Localização do Servidor se você tiver selecionado Active Directory sobre LDAP ou insira as informações nas caixas de texto Detalhes de Ingresso em um Domínio, se tiver selecionado Active Directory (Autenticação Integrada do Windows).

    Opção

    Descrição

    Localização do Servidor - Exibida quando a opção Active Directory sobre LDAP está selecionada

    • Se quiser usar a Localização do Serviço DNS para localizar domínios do Active Directory, deixe a caixa de seleção Este diretório suporta a Localização do Serviço DNS marcada.

      Observação:

      Você não poderá alterar a atribuição de porta para 636 se selecionar essa opção.

      Um arquivo domain_krb.properties, preenchido automaticamente com uma lista de controladores de domínio, é criado em conjunto com o diretório. Consulte Sobre a seleção do controlador de domínio.

      Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

    • Se o Active Directory especificado não utilizar a pesquisa de Localização de Serviço DNS, desmarque a caixa de seleção ao lado de Este diretório suporta a Localização do Serviço DNS nos campos de Localização do Servidor e insira o número da porta e o nome do host do servidor do Active Directory nas caixas de texto apropriadas.

      Marque a caixa de seleção Este diretório tem um catálogo global se o Active Directory associado usar um catálogo global. Um catálogo global contém uma representação de todos os objetos em cada domínio em uma floresta do Active Directory multidomínios.

      Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.

      Se o Active Directory exigir acesso via SSL, marque a caixa de seleção Este diretório requer que todas as conexões usem SSL, no título Certificados, e forneça o certificado SSL do Active Directory.

      Ao selecionar esta opção, a porta 636 é usada automaticamente e não pode ser alterada.

      Verifique se o certificado está no formato PEM e inclui as linhas BEGIN CERTIFICATE e END CERTIFICATE.

    Detalhes de União a um Domínio - Exibidos quando a opção Active Directory (Autenticação integrada do Windows) está selecionada

    Insira as credenciais apropriadas nas caixas de texto Nome do Domínio, Nome do Usuário Administrador do Domínio e Senha do Administrador do Domínio.

    Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

  7. Na seção Detalhes do Usuário de Associação, insira as credenciais apropriadas para facilitar a sincronização de diretórios.

    Para o Active Directory sobre LDAP:

    Opção

    Descrição

    DN base

    Insira o nome distinto da base de pesquisa. Por exemplo, cn=users,dc=corp,dc=local.

    Vincular DN

    Insira o nome distinto da associação. Por exemplo, cn=fritz infra,cn=users,dc=corp,dc=local

    Para o Active Directory (Autenticação Integrada do Windows):

    Opção

    Descrição

    Vincular UPN de usuário

    Insira o Nome da Entidade de Segurança do Usuário que pode se autenticar no domínio. Por exemplo, UserName@example.com.

    Vincular senha do DN

    Insira a senha do Usuário de Associação.

  8. Clique em Testar Conexão para testar a conexão com o diretório configurado.

    Esse botão não aparecerá se você tiver selecionado Active Directory (Autenticação Integrada do Windows).

  9. Clique em Salvar e Avançar.

    A página Selecionar os Domínios aparece com a lista dos domínios.

  10. Revise e atualize os domínios listados para a conexão com o Active Directory.
    • Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.

    • Para o Active Directory sobre LDAP, o domínio disponível é listado com uma marca de seleção.

      Observação:

      Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.

  11. Clique em Avançar.
  12. Verifique se os nomes de atributos do diretório Directories Management são mapeados para os atributos do Active Directory corretos.

    Se os nomes de atributos de diretório não estiverem mapeados corretamente, selecione o atributo correto do Active Directory no menu suspenso.

  13. Clique em Avançar.
  14. Clique no Adicionar para selecionar os grupos que você deseja sincronizar do Active Directory para o diretório.

    Quando você adiciona um grupo do Active Directory, se os membros desse grupo não estiverem na lista de usuários, eles serão adicionados. Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.

    Observação:

    O sistema de autenticação do usuário do Directories Management importa dados do Active Directory ao adicionar grupos e usuários, bem como a velocidade do sistema é limitada pelas capacidades do Active Directory. Como resultado, as operações de importação podem exigir um tempo significativo, dependendo do número de grupos e usuários sendo adicionados. Para minimizar o potencial de atrasos ou problemas, limite o número de grupos e usuários a apenas aqueles necessários para operação do vRealize Automation.

    Se o desempenho do sistema se degradar ou caso ocorram erros, feche todos os aplicativos desnecessários e verifique se o sistema tem memória alocada apropriada para o Active Directory. Se os problemas persistirem, aumente a alocação de memória do Active Directory conforme necessário. Para sistemas com um grande número de usuários e grupos, você pode precisar aumentar a alocação de memória do Active Directory para até 24 GB.

  15. Clique em Avançar.
  16. Clique em Adicionar para adicionar mais usuários.

    Os valores apropriados são os seguintes:

    • Usuário único: CN=username,CN=Users,OU=Users,DC=myCorp,DC=com

    • Vários usuários: OU=Users,OU=myUnit,DC=myCorp,DC=com

    Para excluir usuários, clique em Adicionar para criar um filtro para excluir alguns tipos de usuários. Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.

  17. Clique em Avançar.
  18. Reveja a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório.

    Se quiser fazer alterações nos usuários e grupos, clique nos links Editar.

    Observação:

    Lembre-se de especificar DNs de usuário que estão sob a base DN especificada anteriormente. Se o DN do usuário estiver fora da base DN, os usuários desse DN serão sincronizados, mas não poderão fazer login.

  19. Clique em Enviar ao Espaço de Trabalho para iniciar a sincronização com o diretório.

Resultados

A conexão com o Active Directory está completa e os usuários e grupos selecionados são adicionados ao diretório. Agora, é possível atribuir usuários e grupos às funções de vRealize Automation apropriadas selecionando Administração > Usuários e Grupos > Diretório de Usuários e Grupos. Consulte Atribuir funções a usuários ou grupos de diretórios para obter mais informações.

O que Fazer Depois

Se o seu ambiente do vRealize Automation estiver configurado para alta disponibilidade, você deverá configurar especificamente o Gerenciamento de Diretórios para alta disponibilidade. Consulte Configurar o Gerenciamento de Diretórios para alta disponibilidade.

  • Configure os métodos de autenticação. Depois de sincronizar usuários e grupos para o diretório, se o conector também é usado para autenticação, você pode configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.

  • Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o navegador da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.

  • Aplique a marca personalizada para o console de administração, as páginas do portal do usuário e a tela de login.