在管理控制台中，指定连接到 Active Directory 所需的信息，然后选择要与 VMware Identity Manager 目录进行同步的用户和组。

1. 在管理控制台中，单击身份和访问管理选项卡。
2. 在“目录”页面上，单击添加目录。
3. 输入此 VMware Identity Manager 目录的名称。
4. 选择您的环境中的 Active Directory 类型，并配置连接信息。

   选项	描述
   通过 LDAP 访问的 Active Directory	在同步连接器字段中，选择用来与 Active Directory 同步的连接器。 在身份验证字段中，如果使用此 Active Directory 验证用户身份，请单击是。 如果使用第三方身份提供程序验证用户身份，请单击否。在配置 Active Directory 连接以同步用户和组后，转到“身份和访问管理”>“管理”>“身份提供程序”页面，以添加第三方身份提供程序进行身份验证。 在目录搜索属性字段中，选择包含用户名的帐户属性。 如果 Active Directory 使用 DNS 服务位置查找，请选择以下各项。 在服务器位置部分中，选中此目录支持 DNS 服务位置复选框。 创建该目录时，系统将会随之创建 domain_krb.properties 文件，并在其中自动填充域控制器列表。请参阅关于域控制器选择（domain_krb.properties 文件）。 如果 Active Directory 要求进行 STARTTLS 加密，请选中证书部分的此目录要求所有连接都使用 SSL 复选框，然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。 请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 注： 如果 Active Directory 要求使用 STARTTLS，但您没有提供证书，则无法创建目录。 如果 Active Directory 不使用 DNS 服务位置查找，请选择以下各项。 在服务器位置部分中，确认未选中此目录支持 DNS 服务位置复选框，并输入 Active Directory 服务器主机名和端口号。 要将目录配置为全局目录，请参阅Active Directory 环境中的“多域、单林 Active Directory 环境”部分。 如果 Active Directory 要求通过 SSL 访问，请选中证书部分的此目录要求所有连接都使用 SSL 复选框，然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。 请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 注： 如果 Active Directory 要求使用 SSL，但您没有提供证书，则无法创建目录。 在基本 DN 字段中，输入从中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。 在绑定 DN 字段中，输入可搜索用户的帐户。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。 注： 建议使用具有不过期密码的绑定 DN 用户帐户。 在输入绑定密码后，单击测试连接以确认目录可以连接到 Active Directory。
   Active Directory (集成 Windows 身份验证)	在同步连接器字段中，选择用来与 Active Directory 同步的连接器。 在身份验证字段中，如果使用此 Active Directory 验证用户身份，请单击是。 如果使用第三方身份提供程序验证用户身份，请单击否。在配置 Active Directory 连接以同步用户和组后，转到“身份和访问管理”>“管理”>“身份提供程序”页面，以添加第三方身份提供程序进行身份验证。 在目录搜索属性字段中，选择包含用户名的帐户属性。 如果 Active Directory 要求进行 STARTTLS 加密，请选中证书部分的此目录要求所有连接都使用 STARTTLS 复选框，然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。 请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 如果该目录有多个域，请添加所有域的根 CA 证书（一次添加一个证书）。 注： 如果 Active Directory 要求使用 STARTTLS，但您没有提供证书，则无法创建目录。 在“绑定用户 UPN”字段中，输入可通过该域进行身份验证的用户的用户主体名称。例如，[email protected]。 注： 建议使用具有不过期密码的绑定 DN 用户帐户。 输入绑定用户密码。

5. 单击保存并执行下一步。

   将显示包含域列表的页面。

6. 对于“通过 LDAP 访问的 Active Directory”，所列的域均带有一个选中标记。

   对于“Active Directory (集成 Windows 身份验证)”，可选择应与此 Active Directory 连接关联的域。

   注：

   如果您在创建目录后添加信任域，则服务不会自动检测新的信任域。要使服务能够检测信任域，连接器必须离开域，然后重新加入。当连接器重新加入域时，信任域便会出现在列表中。

   单击下一步。

7. 验证 VMware Identity Manager 目录属性名称是否已映射到正确的 Active Directory 属性，并根据需要进行更改，然后单击下一步。
8. 选择您要从 Active Directory 同步到 VMware Identity Manager 目录的组。

   选项	描述
   指定组 DN	要选择组，您需要指定一个或多个组 DN，然后选择这些组 DN 下的组。 单击 +，然后指定组 DN。例如，CN=users,DC=example,DC=company,DC=com。 重要： 请指定您输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外，则该 DN 中的用户将会被同步，但这些用户无法登录。 单击查找组。 要同步的组列中会列出在该 DN 中找到的组数量。 要选择该 DN 中的所有组，请单击全选，否则，请单击选择，然后选择要同步的特定组。 注： 在同步组时，不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
   同步嵌套的组成员	默认情况下，同步嵌套的组成员选项处于启用状态。启用此选项后，将会同步直属于所选组的所有用户以及属于该组下的嵌套组的所有用户。请注意，不会同步嵌套组；只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中，这些用户将为您选择进行同步的父组的成员。 如果禁用同步嵌套的组成员选项，则在指定要同步的组时，将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中，遍历组树会耗用大量资源和时间，对于这类配置，禁用此选项会非常有用。如果禁用此选项，请确保选择所有要同步用户的组。

9. 单击下一步。
10. 如果需要，指定其他要同步的用户。
    1. 单击 +，然后输入用户 DN。例如，CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
       重要：

       请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外，则该 DN 中的用户将会被同步，但这些用户无法登录。

    2. （可选）要排除用户，请创建一个筛选器以排除某些类型的用户。

       您可以选择要作为筛选条件的用户属性、查询规则和值。

11. 单击下一步。
12. 查看页面以了解同步到目录的用户和组数以及同步计划。

    要对用户和组或同步频率进行更改，请单击编辑链接。

13. 单击同步目录以开始同步到目录。