在管理控制台中,输入连接到 Active Directory 所需的信息,然后选择要与 VMware Identity Manager 目录同步的用户和组。

Active Directory 连接选项为“通过 LDAP 访问的 Active Directory”或“Active Directory (集成 Windows 身份验证)”。通过 LDAP 访问的 Active Directory 连接支持 DNS 服务位置查找。

前提条件

  • (SaaS) 已安装并激活Connector
  • 在“用户属性”页上选择所需的属性,然后添加其他属性。请参阅选择要与目录同步的属性
  • 要从 Active Directory 中同步的 Active Directory 用户和组的列表。组名称将立即同步到目录。在授权组使用资源或将其添加到策略规则后,才会同步组的成员。在初始配置期间,应添加在配置组授权之前需要进行身份验证的用户。
  • 对于通过 LDAP 访问的 Active Directory,必需的信息包括基本 DN、绑定 DN 以及绑定 DN 密码。
    注: 建议使用具有不过期密码的绑定 DN 用户帐户。
  • 对于 Active Directory(集成 Windows 身份验证),必需的信息包括域的绑定用户 UPN 地址和密码。
    注: 建议使用具有不过期密码的绑定 DN 用户帐户。
  • 如果 Active Directory 要求通过 SSL 或 STARTTLS 访问,则需要使用 Active Directory 域控制器的根 CA 证书。
  • 对于 Active Directory(集成 Windows 身份验证),如果配置了多林 Active Directory 并且“域本地”组包含不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在的域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。

过程

  1. 在管理控制台中,单击身份和访问管理选项卡。
  2. 在“目录”页面上,单击添加目录
  3. 输入此 VMware Identity Manager 目录的名称。
  4. 选择您的环境中的 Active Directory 类型,并配置连接信息。
    选项 描述
    通过 LDAP 访问的 Active Directory
    1. 同步连接器文本框中,选择用于与 Active Directory 同步的 连接器

      在内部部署中,默认情况下 VMware Identity Manager 服务始终提供有一个连接器组件。将在下拉菜单中显示该连接器。如果您安装多个 VMware Identity Manager 实例以实现高可用性,则会在列表中显示每个实例的连接器组件。此外,还会列出外部连接器。

    2. 身份验证文本框中,如果使用该 Active Directory 验证用户身份,请单击

      如果使用第三方身份提供程序验证用户身份,请单击。在配置 Active Directory 连接以同步用户和组后,转到“身份和访问管理”>“管理”>“身份提供程序”页面,以添加第三方身份提供程序进行身份验证。

    3. 目录搜索属性文本框中,选择包含用户名的帐户属性。
    4. 如果 Active Directory 使用 DNS 服务位置查找,请选择以下各项。
      • 服务器位置部分中,选中此目录支持 DNS 服务位置复选框。

        在创建目录时,将创建 domain_krb.properties 文件,并在其中自动填充域控制器列表。请参阅关于域控制器选择(domain_krb.properties 文件)

      • 如果 Active Directory 需要使用 STARTTLS 加密,请在证书部分中选中此目录要求所有连接都使用 SSL 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。

        确保该证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

        注: 如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。
    5. 如果 Active Directory 不使用 DNS 服务位置查找,请选择以下各项。
      • 服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。

        要将目录配置为全局目录,请参阅Active Directory 环境中的“多域、单林 Active Directory 环境”部分。

      • 如果 Active Directory 要求通过 SSL 访问,请选中证书部分的此目录要求所有连接都使用 SSL 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。

        确保该证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

        注: 如果 Active Directory 要求使用 SSL,但您没有提供证书,则无法创建目录。
    6. 基本 DN 字段中,输入从中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。
    7. 绑定 DN 字段中,输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
      注: 建议使用具有不过期密码的绑定 DN 用户帐户。
    8. 在输入绑定密码后,单击测试连接以确认目录可以连接到 Active Directory。
    Active Directory (集成 Windows 身份验证)
    1. 同步连接器文本框中,选择用于与 Active Directory 同步的 连接器
    2. 身份验证文本框中,如果使用该 Active Directory 验证用户身份,请单击

      如果使用第三方身份提供程序验证用户身份,请单击。在配置 Active Directory 连接以同步用户和组后,转到“身份和访问管理”>“管理”>“身份提供程序”页面,以添加第三方身份提供程序进行身份验证。

    3. 目录搜索属性文本框中,选择包含用户名的帐户属性。
    4. 如果 Active Directory 需要使用 STARTTLS 加密,请在证书部分中选中此目录要求所有连接都使用 STARTTLS 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。

      确保该证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

      如果该目录有多个域,请添加所有域的根 CA 证书(一次添加一个证书)。

      注: 如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。
    5. (仅限 Linux)输入要加入的 Active Directory 域的名称。输入有权加入该域的用户名和密码。更多信息请参阅加入域所需的权限(仅限 Linux 虚拟设备)
    6. 在“绑定用户 UPN”文本框中,输入可通过该域进行身份验证的用户的用户主体名称。例如,[email protected]
      注: 建议使用具有不过期密码的绑定 DN 用户帐户。
    7. 输入绑定用户密码。
  5. 单击保存并执行下一步
    将显示包含域列表的页面。
  6. 对于“通过 LDAP 访问的 Active Directory”,所列的域均带有一个选中标记。
    对于“Active Directory (集成 Windows 身份验证)”,可选择应与此 Active Directory 连接关联的域。
    注: 如果您在创建目录后添加信任域,则服务不会自动检测新的信任域。要使服务能够检测信任域, 连接器必须离开域,然后重新加入。当 连接器重新加入域时,信任域便会出现在列表中。

    单击下一步

  7. 验证 VMware Identity Manager 目录属性名称是否已映射到正确的 Active Directory 属性,并根据需要进行更改,然后单击下一步
  8. 选择您要从 Active Directory 同步到 VMware Identity Manager 目录的组。
    在此处添加组时,组名称将同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。任何后续的计划同步将从 Active Directory 中获取这些组名称的更新信息。
    选项 描述
    指定组 DN 要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。
    1. 单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。
      重要事项: 请指定您输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
    2. 单击查找组

      要同步的组列中会列出在该 DN 中找到的组数量。

    3. 要选择该 DN 中的所有组,请单击全选,否则,请单击选择,然后选择要同步的特定组。
    注: 在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
    同步嵌套的组成员

    默认情况下,同步嵌套的组成员选项处于启用状态。如果启用该选项,在为组授权时,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将为您选择进行同步的父组的成员。

    如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  9. 单击下一步
  10. 指定要同步的用户。
    由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
    1. 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
      重要事项: 请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
    2. (可选)要排除用户,请创建一个筛选器以排除某些类型的用户。
      您可以选择要作为筛选条件的用户属性、查询规则和值。
  11. 单击下一步
  12. 查看页面以了解同步到目录的用户和组数以及同步计划。

    要对用户和组或同步频率进行更改,请单击编辑链接。

  13. 单击同步目录以开始同步到目录。

结果

将建立与 Active Directory 的连接,并将用户和组名称从 Active Directory 同步到 VMware Identity Manager 目录。默认情况下,绑定 DN 用户在 VMware Identity Manager 中具有管理员角色。

后续步骤

  • 如果您创建的目录支持 DNS 服务位置,则系统会随之创建 domain_krb.properties 文件,并在其中自动填充域控制器列表。请查看该文件,以确认或编辑域控制器列表。请参阅关于域控制器选择(domain_krb.properties 文件)
  • 设置身份验证方法。在用户和组名称同步到目录后,如果还使用连接器进行身份验证,您可以在连接器上设置其他身份验证方法。如果身份验证的身份提供程序是第三方,可在连接器中配置该身份提供程序。
  • 查看默认访问策略。默认访问策略配置为允许所有网络范围中的所有设备访问 Web 门户(会话超时设置为 8 小时)或访问客户端应用程序(会话超时设置为 2160 小时(90 天))。您可以更改默认访问策略,并且在将 Web 应用程序添加到目录中时,还可以创建新访问策略。
  • (内部部署)将自定义品牌标识应用于管理控制台、用户门户页面和登录屏幕。