在管理控制台中,指定连接到 Active Directory 所需的信息,然后选择要与 VMware Identity Manager 目录进行同步的用户和组。

关于此任务

Active Directory 连接选项为通过 LDAP 访问的 Active Directory 或 Active Directory(集成 Windows 身份验证)。通过 LDAP 访问的 Active Directory 连接支持 DNS 服务位置查找。

先决条件

  • 在“用户属性”页面上选择必需的属性,并根据需要添加其他属性。请参阅选择要与目录同步的属性

    重要:

    如果打算将 XenApp 资源与 VMware Identity Manager 进行同步,您必须将 distinguishedName 指定为必需属性。您必须在创建目录之前指定该属性,因为在创建目录后无法将该属性从可选属性更改为必需属性。

  • 要从 Active Directory 同步的 Active Directory 组和用户的列表。

  • 对于通过 LDAP 访问的 Active Directory,必需的信息包括基本 DN、绑定 DN 以及绑定 DN 密码。

    注:

    建议使用具有不过期密码的绑定 DN 用户帐户。

  • 对于 Active Directory(集成 Windows 身份验证),必需的信息包括域的绑定用户 UPN 地址和密码。

    注:

    建议使用具有不过期密码的绑定 DN 用户帐户。

  • 如果 Active Directory 要求通过 SSL 或 STARTTLS 访问,则需要使用 Active Directory 域控制器的根 CA 证书。

  • 对于 Active Directory(集成 Windows 身份验证),如果您配置了多林 Active Directory,并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在的域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。

过程

  1. 在管理控制台中,单击身份和访问管理选项卡。
  2. 在“目录”页面上,单击添加目录
  3. 输入此 VMware Identity Manager 目录的名称。
  4. 选择您的环境中的 Active Directory 类型,并配置连接信息。

    选项

    描述

    通过 LDAP 访问的 Active Directory

    1. 同步连接器字段中,选择用来与 Active Directory 同步的连接器

    2. 身份验证字段中,如果使用此 Active Directory 验证用户身份,请单击

      如果使用第三方身份提供程序验证用户身份,请单击。在配置 Active Directory 连接以同步用户和组后,转到“身份和访问管理”>“管理”>“身份提供程序”页面,以添加第三方身份提供程序进行身份验证。

    3. 目录搜索属性字段中,选择包含用户名的帐户属性。

    4. 如果 Active Directory 使用 DNS 服务位置查找,请选择以下各项。

      • 服务器位置部分中,选中此目录支持 DNS 服务位置复选框。

        创建该目录时,系统将会随之创建 domain_krb.properties 文件,并在其中自动填充域控制器列表。请参阅关于域控制器选择(domain_krb.properties 文件)

      • 如果 Active Directory 要求进行 STARTTLS 加密,请选中证书部分的此目录要求所有连接都使用 SSL 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

        请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

        注:

        如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。

    5. 如果 Active Directory 不使用 DNS 服务位置查找,请选择以下各项。

      • 服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。

        要将目录配置为全局目录,请参阅Active Directory 环境中的“多域、单林 Active Directory 环境”部分。

      • 如果 Active Directory 要求通过 SSL 访问,请选中证书部分的此目录要求所有连接都使用 SSL 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

        请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

        注:

        如果 Active Directory 要求使用 SSL,但您没有提供证书,则无法创建目录。

    6. 基本 DN 字段中,输入从中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。

    7. 绑定 DN 字段中,输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。

      注:

      建议使用具有不过期密码的绑定 DN 用户帐户。

    8. 在输入绑定密码后,单击测试连接以确认目录可以连接到 Active Directory。

    Active Directory (集成 Windows 身份验证)

    1. 同步连接器字段中,选择用来与 Active Directory 同步的连接器

    2. 身份验证字段中,如果使用此 Active Directory 验证用户身份,请单击

      如果使用第三方身份提供程序验证用户身份,请单击。在配置 Active Directory 连接以同步用户和组后,转到“身份和访问管理”>“管理”>“身份提供程序”页面,以添加第三方身份提供程序进行身份验证。

    3. 目录搜索属性字段中,选择包含用户名的帐户属性。

    4. 如果 Active Directory 要求进行 STARTTLS 加密,请选中证书部分的此目录要求所有连接都使用 STARTTLS 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

      请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

      如果该目录有多个域,请添加所有域的根 CA 证书(一次添加一个证书)。

      注:

      如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。

    5. 在“绑定用户 UPN”字段中,输入可通过该域进行身份验证的用户的用户主体名称。例如,[email protected]

      注:

      建议使用具有不过期密码的绑定 DN 用户帐户。

    6. 输入绑定用户密码。

  5. 单击保存并执行下一步

    将显示包含域列表的页面。

  6. 对于“通过 LDAP 访问的 Active Directory”,所列的域均带有一个选中标记。

    对于“Active Directory (集成 Windows 身份验证)”,可选择应与此 Active Directory 连接关联的域。

    注:

    如果您在创建目录后添加信任域,则服务不会自动检测新的信任域。要使服务能够检测信任域,连接器必须离开域,然后重新加入。当连接器重新加入域时,信任域便会出现在列表中。

    单击下一步

  7. 验证 VMware Identity Manager 目录属性名称是否已映射到正确的 Active Directory 属性,并根据需要进行更改,然后单击下一步
  8. 选择您要从 Active Directory 同步到 VMware Identity Manager 目录的组。

    选项

    描述

    指定组 DN

    要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。

    1. 单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。

      重要:

      请指定您输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。

    2. 单击查找组

      要同步的组列中会列出在该 DN 中找到的组数量。

    3. 要选择该 DN 中的所有组,请单击全选,否则,请单击选择,然后选择要同步的特定组。

    注:

    在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。

    同步嵌套的组成员

    默认情况下,同步嵌套的组成员选项处于启用状态。启用此选项后,将会同步直属于所选组的所有用户以及属于该组下的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将为您选择进行同步的父组的成员。

    如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  9. 单击下一步
  10. 如果需要,指定其他要同步的用户。
    1. 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
      重要:

      请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。

    2. (可选)要排除用户,请创建一个筛选器以排除某些类型的用户。

      您可以选择要作为筛选条件的用户属性、查询规则和值。

  11. 单击下一步
  12. 查看页面以了解同步到目录的用户和组数以及同步计划。

    要对用户和组或同步频率进行更改,请单击编辑链接。

  13. 单击同步目录以开始同步到目录。

结果

此时会建立与 Active Directory 的连接,并且会将用户和组从 Active Directory 同步到 VMware Identity Manager 目录。默认情况下,绑定 DN 用户在 VMware Identity Manager 中具有管理员角色。

下一步做什么

  • 如果您创建的目录支持 DNS 服务位置,则系统会随之创建 domain_krb.properties 文件,并在其中自动填充域控制器列表。请查看该文件,以确认或编辑域控制器列表。请参阅关于域控制器选择(domain_krb.properties 文件)

  • 设置身份验证方法。在用户和组同步到目录后,如果连接器还用于进行身份验证,则您可以在连接器上设置其他身份验证方法。如果身份验证的身份提供程序是第三方,可在连接器中配置该身份提供程序。

  • 查看默认访问策略。默认访问策略配置为允许所有网络范围中的所有设备访问 Web 浏览器(会话超时设置为 8 小时)或访问客户端应用程序(会话超时设置为 2160 小时(90 天))。您可以更改默认访问策略,并且在将 Web 应用程序添加到目录中时,还可以创建新访问策略。

  • 将自定义品牌标识应用于管理控制台、用户门户页面和登录屏幕。