您可以将企业 LDAP 目录与 VMware Identity Manager 相集成,以便将用户和组从 LDAP 目录同步到 VMware Identity Manager 服务。

关于此任务

要集成 LDAP 目录,您需要创建相应的 VMware Identity Manager 目录,并将用户和组从 LDAP 目录同步到 VMware Identity Manager 目录。您可以设置定期同步计划以进行后续更新。

您也可以选择要为用户同步的 LDAP 属性,然后将这些属性映射到 VMware Identity Manager 属性。

您的 LDAP 目录配置可以基于默认架构,或者您也可以创建自定义架构。您还可以定义自定义属性。为了让 VMware Identity Manager 能够查询您的 LDAP 目录,从而获取用户或组对象,您需要提供适用于 LDAP 目录的 LDAP 搜索筛选器和属性名称。

具体来说,您需要提供以下信息。

  • 用于获取组、用户和绑定用户的 LDAP 搜索筛选器

  • 用于组成员资格、UUID 和标识名的 LDAP 属性名称

LDAP 目录集成功能具有一些限制。请参阅LDAP 目录集成的限制

先决条件

  • 如果您使用额外的外部连接器虚拟设备,请注意,集成 LDAP 目录的功能仅适用于连接器 2016.6.1 和更高版本。

  • 查看身份和访问管理 > 设置 > 用户属性页面中的属性,并添加其他要同步的属性。稍后在创建目录时,您会将这些 VMware Identity Manager 属性映射到 LDAP 目录属性。系统将为目录中的用户同步这些属性。

    注:

    更改用户属性时,请考虑此操作对服务中的其他目录的影响。如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外,此属性可以标记为“必需”。“用户属性”页面中的设置适用于服务中的所有目录。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到 VMware Identity Manager 服务。

  • 绑定 DN 用户帐户。建议使用具有不过期密码的绑定 DN 用户帐户。

  • 在您的 LDAP 目录中,用户和组的 UUID 必须为纯文本格式。

  • 在您的 LDAP 目录中,所有用户和组都必须存在 domain 属性。

    在创建 VMware Identity Manager 目录时,您会将此属性映射到 VMware Identity Manager domain 属性。

  • 用户名不得包含空格。如果用户名包含空格,虽然可以同步用户,但用户无法获得授权。

  • 如果使用证书身份验证,则用户必须具有 userPrincipalName 和电子邮件地址属性值。

过程

  1. 在管理控制台中,单击身份和访问管理选项卡。
  2. 在“目录”页面中,单击添加目录并选择添加 LDAP 目录
  3. 在“添加 LDAP 目录”页面中输入必需的信息。

    选项

    描述

    目录名称

    VMware Identity Manager 目录的名称。

    目录同步和身份验证

    1. 同步连接器字段中,选择您要用于将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录的连接器。

      默认情况下,连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备,每个设备的连接器组件显示在列表中。

      您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录,而不管它们是 Active Directory 还是 LDAP 目录。

      对于需要额外连接器的场景,请参阅《VMware Identity Manager 安装指南》中的“安装额外的连接器设备”。

    2. 身份验证字段中,如果您要使用该 LDAP 目录对用户进行身份验证,请选择

      如果您要使用第三方身份提供程序对用户进行身份验证,请选择。在为同步用户和组添加目录连接后,请转到身份和访问管理 > 管理 > 身份提供程序页面,以添加用于身份验证的第三方身份提供程序。

    3. 目录搜索属性字段中,指定要对用户名使用的 LDAP 目录属性。如果属性未列出,请选择自定义并键入属性名称。例如,cn

    服务器位置

    输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com100.00.00.0

    如果您的服务器群集位于负载平衡器后面,请改为输入负载平衡器信息。

    LDAP 配置

    指定 VMware Identity Manager 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。

    LDAP 查询

    • 获取组:用于获取组对象的搜索筛选器。

      例如:(objectClass=group)

    • 获取绑定用户:用于获取绑定用户对象(即可以绑定到目录的用户)的搜索筛选器。

      例如:(objectClass=person)

    • 获取用户:用于获取要同步的用户的搜索筛选器。

      例如:(&(objectClass=user)(objectCategory=person))

    属性

    • 成员资格:在您的 LDAP 目录中用于定义组成员的属性。

      例如:member

    • 对象 UUID:在您的 LDAP 目录中用于定义用户或组的 UUID 的属性。

      例如:entryUUID

    • 标识名:在您的 LDAP 目录中对用户或组的标识名使用的属性。

      例如:entryDN

    证书

    如果您的 LDAP 目录需要通过 SSL 访问,请选择此目录要求所有连接都使用 SSL,然后复制并粘贴 LDAP 目录服务器的根 CA SSL 证书。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

    绑定用户详细信息

    基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com

    绑定 DN:输入用于绑定到 LDAP 目录的用户名。

    注:

    建议使用具有不过期密码的绑定 DN 用户帐户。

    绑定 DN 密码:输入绑定 DN 用户的密码。

  4. 要测试与 LDAP 目录服务器的连接,请单击测试连接

    如果连接不成功,请检查您输入的信息并进行相应的更改。

  5. 单击保存并执行下一步
  6. 在“域”页面中,验证是否列出了正确的域,然后单击下一步
  7. 在“映射属性”页面中,验证 VMware Identity Manager 属性是否映射到正确的 LDAP 属性。
    重要:

    您必须指定 domain 属性的映射。

    您可以将属性添加到“用户属性”页面的列表。

  8. 单击下一步
  9. 在组页面中,单击 +,选择您要从 LDAP 目录同步到 VMware Identity Manager 目录的组。

    如果您的 LDAP 目录中有多个同名的组,则必须在组页面中为这些组指定唯一的名称。

    默认情况下,同步嵌套的组用户选项处于启用状态。启用此选项后,将会同步直属于所选组的所有用户以及属于该组下的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将显示为您选择进行同步的顶级组的成员。实际上,选定组下的层次结构将会变平,并且所有级别的用户都会在 VMware Identity Manager 中显示为选定组的成员。

    如果禁用此选项,则在指定要同步的组时,直属于该组的所有用户都会被同步。属于该组下的嵌套组的用户则不会被同步。在大型目录配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  10. 单击下一步
  11. 单击 + 以添加其他用户。例如,输入 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com

    要排除用户,请创建一个筛选器以排除某些类型的用户。您可以选择要作为筛选条件的用户属性、查询规则和值。

    单击下一步

  12. 查看该页面,了解将同步到目录的用户和组数量以及默认同步计划。

    要对用户和组或同步频率进行更改,请单击编辑链接。

  13. 单击同步目录以开始目录同步。

结果

此时会建立与 LDAP 目录的连接,并且会将用户和组从 LDAP 目录同步到 VMware Identity Manager 目录。默认情况下,绑定 DN 用户在 VMware Identity Manager 中具有管理员角色。