É possível configurar um Active Directory sobre um link LDAP/IWA para suportar a autenticação do usuário utilizando o recurso Directories Management, para configurar um link ao Active Directory para suportar a autenticação do usuário para todos os locatários e selecionar usuários e grupos para a sincronização com o diretório Directories Management.

Para obter informações e instruções sobre o uso de OpenLDAP com a Gestão de Diretórios, veja Configurar uma conexão OpenLDAP Directory.

Para o Active Directory (Autenticação Integrada do Windows), quando você tiver várias florestas do Active Directory configuradas e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação é adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes no grupo Local de Domínio.

Observação: Configure os diretórios do Active Directory IWA para o tenant padrão primeiro e, em seguida, você pode adicioná-los a outros tenants.

Pré-requisitos

  • Selecione os atributos padrão necessários e adicione atributos adicionais na página Atributos de Usuário. Consulte Selecionar atributos para sincronizar com o diretório.
  • Lista dos grupos e usuários do Active Directory para sincronizar a partir do Active Directory.
  • Se seu Active Directory exigir acesso sobre SSL ou STARTTLS, será necessário o certificado da CA Raiz do controlador de domínio do Active Directory.
  • Faça logon no vRealize Automation como administrador de tenants.

Procedimento

  1. Selecione Administração > Gerenciamento de Diretórios > Diretórios.
  2. Clique em Acrescentar Diretório e selecione Acrescentar Active Directory sobre LDAP/IWA.
  3. Na página Adicionar Diretório, especifique o endereço IP para o servidor do Active Directory na caixa de texto Nome do Diretório.
  4. Selecione o protocolo de comunicação apropriado do Active Directory utilizando os botões de rádio na caixa de texto Nome do Diretório.
    Opção Descrição
    Autenticação do Windows Selecione Active Directory (Autenticação Integrada do Windows) Para Autenticação Integrada do Windows no Active Directory, as informações necessárias incluem a senha e o endereço UPN do usuário de associação do domínio.
    LDAP Selecione Active Directory sobre LDAP. Para o Active Directory sobre LDAP, as informações necessárias incluem o DN de base, o DN de associação e a senha do DN de associação.
  5. Configure o conector que sincroniza usuários do Active Directory com o diretório do VMware Directories Management na seção Autenticação e Sincronização de Diretórios.
    Opção Descrição
    Conector de Sincronização Selecione o conector apropriado para uso no seu sistema. Cada appliance do vRealize Automation contém um conector padrão. Consulte o seu administrador de sistema se precisar de ajuda na escolha do conector apropriado.
    Autenticação Clique no botão de opção apropriado para indicar se o conector selecionado também realiza a autenticação.

    Se você estiver usando o Active Directory (Autenticação integrada do Windows), com um provedor de identidade de terceiros para autenticar usuários, clique em Não. Depois de configurar a conexão do Active Directory para sincronizar usuários e grupos, use a página Provedores de Identidade para adicionar o provedor de identidade de terceiros para autenticação.

    Para obter informações sobre o uso de adaptadores de autenticação, como PasswordIpddAdapter, SecurIDAdapter e RadiusAuthAdapter, consulte o Guia de administração do VMware Identity Manager.

    Atributo de Pesquisa de Diretório Selecione o atributo de conta apropriado que contém o nome do usuário. A VMware recomenda usar o atributo sAMAccount em vez de o userPrincipleName. Se você usar o userPrincipleName para operações de sincronização, a integração com softwares de segunda e terceira parte que requer um nome de usuário poderá não funcionar corretamente.
    Observação: Se você selecionar sAMAccountName ao usar um catálogo global, indicado pela marcação da caixa de seleção Este diretório tem um catálogo global na área de Localização do Servidor, os usuários não conseguirão fazer login.
  6. Insira as informações apropriadas na caixa de texto Localização do Servidor se você tiver selecionado Active Directory sobre LDAP ou insira as informações nas caixas de texto Detalhes de Ingresso em um Domínio, se tiver selecionado Active Directory (Autenticação Integrada do Windows).
    Opção Descrição
    Localização do Servidor - Exibida quando a opção Active Directory sobre LDAP está selecionada
    • Se quiser usar a Localização do Serviço DNS para localizar domínios do Active Directory, deixe a caixa de seleção Este diretório suporta a Localização do Serviço DNS marcada.
      Observação: Você não poderá alterar a atribuição de porta para 636 se selecionar essa opção.

      Um arquivo domain_krb.properties, preenchido automaticamente com uma lista de controladores de domínio, é criado em conjunto com o diretório. Consulte Sobre a seleção do controlador de domínio.

      Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

    • Se o Active Directory especificado não utilizar a pesquisa de Localização de Serviço DNS, desmarque a caixa de seleção ao lado de Este diretório suporta a Localização do Serviço DNS nos campos de Localização do Servidor e insira o número da porta e o nome do host do servidor do Active Directory nas caixas de texto apropriadas.

      Marque a caixa de seleção Este diretório tem um catálogo global se o Active Directory associado usar um catálogo global. Um catálogo global contém uma representação de todos os objetos em cada domínio em uma floresta do Active Directory multidomínios.

      Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.

      Se o Active Directory exigir acesso via SSL, marque a caixa de seleção Este diretório requer que todas as conexões usem SSL, no título Certificados, e forneça o certificado SSL do Active Directory.

      Ao selecionar esta opção, a porta 636 é usada automaticamente e não pode ser alterada.

      Verifique se o certificado está no formato PEM e inclui as linhas BEGIN CERTIFICATE e END CERTIFICATE.

    Detalhes de União a um Domínio - Exibidos quando a opção Active Directory (Autenticação integrada do Windows) está selecionada

    Insira as credenciais apropriadas nas caixas de texto Nome do Domínio, Nome do Usuário Administrador do Domínio e Senha do Administrador do Domínio.

    Se o Active Directory exigir criptografia STARTTLS, marque a caixa de seleção Esse diretório requer que todas as conexões usem STARTTLS na seção Certificados e copie e cole o certificado da CA raiz do Active Directory no campo Certificado SSL.

    Verifique se o certificado está no formato PEM e inclui as linhas BEGIN CERTIFICATE e END CERTIFICATE.

    Se o diretório usar vários domínios, adicione os certificados da CA raiz a todos os domínios, um de cada vez.

    Observação: Se o Active Directory exigir STARTTLS e o certificado não for fornecido, você não poderá criar o diretório.
  7. Na seção Detalhes do Usuário de Associação, insira as credenciais apropriadas para facilitar a sincronização de diretórios.
    Para o Active Directory sobre LDAP:
    Opção Descrição
    DN base Insira o nome distinto da base de pesquisa. Por exemplo, cn=users,dc=corp,dc=local.
    Vincular DN Insira o nome distinto da associação. Por exemplo, cn=fritz infra,cn=users,dc=corp,dc=local

    Para o Active Directory (Autenticação Integrada do Windows):

    Opção Descrição
    Vincular UPN de usuário Insira o Nome da Entidade de Segurança do Usuário que pode se autenticar no domínio. Por exemplo, UserName@example.com.
    Vincular senha do DN Insira a senha do Usuário de Associação.
  8. Clique em Testar Conexão para testar a conexão com o diretório configurado.
    Esse botão não aparecerá se você tiver selecionado Active Directory (Autenticação Integrada do Windows).
  9. Clique em Salvar e Avançar.
    A página Selecionar os Domínios aparece com a lista dos domínios.
  10. Revise e atualize os domínios listados para a conexão com o Active Directory.
    • Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem ser associados com esta conexão do Active Directory.
    • Para o Active Directory sobre LDAP, o domínio disponível é listado com uma marca de seleção.
      Observação: Se você adicionar um domínio confiante após o diretório ser criado, o serviço não detecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar o domínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conector reingressa no domínio, o domínio de confiança aparece na lista.
  11. Clique em Avançar.
  12. Verifique se os nomes de atributos do diretório Directories Management são mapeados para os atributos do Active Directory corretos.
    Se os nomes de atributos de diretório não estiverem mapeados corretamente, selecione o atributo correto do Active Directory no menu suspenso.
  13. Clique em Avançar.
  14. Clique no Adicionar para selecionar os grupos que você deseja sincronizar do Active Directory para o diretório.
    Quando você adiciona um grupo do Active Directory, se os membros desse grupo não estiverem na lista de usuários, eles serão adicionados. Quando você sincroniza um grupo, todos os usuários que não possuem Usuários de Domínio como grupo primário no Active Directory não são sincronizados.
    Observação: O sistema de autenticação do usuário do Directories Management importa dados do Active Directory ao adicionar grupos e usuários, bem como a velocidade do sistema é limitada pelas capacidades do Active Directory. Como resultado, as operações de importação podem exigir um tempo significativo, dependendo do número de grupos e usuários sendo adicionados. Para minimizar o potencial de atrasos ou problemas, limite o número de grupos e usuários a apenas aqueles necessários para operação do vRealize Automation.

    Se o desempenho do sistema se degradar ou caso ocorram erros, feche todos os aplicativos desnecessários e verifique se o sistema tem memória alocada apropriada para o Active Directory. Se os problemas persistirem, aumente a alocação de memória do Active Directory conforme necessário. Para sistemas com um grande número de usuários e grupos, você pode precisar aumentar a alocação de memória do Active Directory para até 24 GB.

  15. Clique em Avançar.
  16. Clique em Adicionar para adicionar mais usuários.
    Os valores apropriados são os seguintes:
    • Usuário único: CN=username,CN=Users,OU=Users,DC=myCorp,DC=com
    • Vários usuários: OU=Users,OU=myUnit,DC=myCorp,DC=com

    Para excluir usuários, clique em Adicionar para criar um filtro para excluir alguns tipos de usuários. Você seleciona o atributo do usuário a ser usado para filtragem, a regra de consulta e o valor.

  17. Clique em Avançar.
  18. Reveja a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório.

    Se quiser fazer alterações nos usuários e grupos, clique nos links Editar.

    Observação: Lembre-se de especificar DNs de usuário que estão sob a base DN especificada anteriormente. Se o DN do usuário estiver fora da base DN, os usuários desse DN serão sincronizados, mas não poderão fazer login.
  19. Clique em Enviar ao Espaço de Trabalho para iniciar a sincronização com o diretório.

Resultados

A conexão com o Active Directory está completa e os usuários e grupos selecionados são adicionados ao diretório. Agora, é possível atribuir usuários e grupos às funções de vRealize Automation apropriadas selecionando Administração > Usuários e Grupos > Diretório de Usuários e Grupos. Consulte Atribuir funções a usuários ou grupos de diretórios para obter mais informações.

O que Fazer Depois

Se o seu ambiente do vRealize Automation estiver configurado para alta disponibilidade, você deverá configurar especificamente o Gerenciamento de Diretórios para alta disponibilidade. Consulte Configurar o Gerenciamento de Diretórios para alta disponibilidade.

  • Configure os métodos de autenticação. Depois de sincronizar usuários e grupos para o diretório, se o conector também é usado para autenticação, você pode configurar métodos de autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação, configure esse provedor de identidade no conector.
  • Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir que todos os appliances em todos os intervalos de rede acessem o navegador da Web com um tempo limite de sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessão de 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionar aplicativos da Web para o catálogo, você pode criar novos.
  • Aplique a marca personalizada para o console de administração, as páginas do portal do usuário e a tela de login.