在 VMware Identity Manager 控制台中,输入连接到 Active Directory 所需的信息,然后选择要与 VMware Identity Manager 目录同步的用户和组。
Active Directory 连接选项为“通过 LDAP 访问的 Active Directory”或“Active Directory (集成 Windows 身份验证)”。通过 LDAP 访问的 Active Directory 连接支持 DNS 服务位置查找。
前提条件
- (SaaS) 已安装并激活Connector。
- 在“用户属性”页上选择所需的属性,然后添加其他属性。请参阅选择要与目录同步的属性。
- 为要从 Active Directory 中同步的 Active Directory 用户和组创建一个列表。组名称将立即同步到目录。在授权组使用资源或将其添加到策略规则后,才会同步组的成员。在初始配置期间,应添加在配置组授权之前需要进行身份验证的用户。
- 对于通过 LDAP 访问的 Active Directory,您需要基本 DN、绑定 DN 以及绑定 DN 密码。
绑定 DN 用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:
注: 建议使用具有不过期密码的绑定 DN 用户帐户。
- 对于通过集成 Windows 身份验证访问的 Active Directory,您需要使用有权对所需域上的用户和组进行查询的绑定用户的用户名和密码。
绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:
注: 建议使用具有不过期密码的绑定用户帐户。
- 如果 Active Directory 要求通过 SSL 或 STARTTLS 访问,则需要所有相关 Active Directory 域的域控制器的根 CA 证书。
- 对于通过集成 Windows 身份验证访问的 Active Directory,如果配置了多林 Active Directory 并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。
- 对于通过集成 Windows 身份验证访问的 Active Directory:
- 对于 SRV 记录中列出的所有域控制器以及隐藏的 RODC,主机名和 IP 地址的 nslookup 应当可以正常执行。
- 就网络连接方面而言,所有域控制器必须可以访问
过程
- 在 VMware Identity Manager 控制台中,单击身份和访问管理选项卡。
- 在“目录”页面上,单击添加目录。
- 输入此 VMware Identity Manager 目录的名称。
- 选择您的环境中的 Active Directory 类型,并配置连接信息。
选项 |
描述 |
通过 LDAP 访问的 Active Directory |
- 在同步连接器文本框中,选择用于与 Active Directory 同步的 连接器。
在内部部署中,默认情况下 VMware Identity Manager 服务始终提供有一个连接器组件。将在下拉菜单中显示该连接器。如果您安装多个 VMware Identity Manager 实例以实现高可用性,则会在列表中显示每个实例的连接器组件。此外,还会列出独立的连接器。
- 在身份验证文本框中,如果使用该 Active Directory 验证用户身份,请单击是。
如果使用第三方身份提供程序验证用户身份,请单击否。在配置 Active Directory 连接以同步用户和组后,转到“身份和访问管理”>“管理”>“身份提供程序”页面,以添加第三方身份提供程序进行身份验证。
- 在目录搜索属性文本框中,选择包含用户名的帐户属性。
- 如果您希望对 Active Directory 使用 DNS 服务位置查找,请进行以下选择。
- 在服务器位置部分中,选中此目录支持 DNS 服务位置复选框。
VMware Identity Manager 会查找并使用最佳的域控制器。如果您不希望使用优化的域控制器选择,请按照步骤 e 进行操作。
- 如果 Active Directory 需要使用 STARTTLS 加密,请在证书部分中选中此目录要求所有连接都使用 SSL 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。
确保该证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
注: 如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。
- 如果您不希望对 Active Directory 使用 DNS 服务位置查找,请进行以下选择。
- 在服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。
要将目录配置为全局目录,请参阅Active Directory 环境中的“多域、单林 Active Directory 环境”部分。
- 如果 Active Directory 要求通过 SSL 访问,请选中证书部分的此目录要求所有连接都使用 SSL 复选框,然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。
确保该证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 如果目录有多个域,则逐个添加所有域的根 CA 证书。
注: 如果 Active Directory 要求使用 SSL,但您没有提供证书,则无法创建目录。
- 在基本 DN 字段中,输入从中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。
- 在绑定 DN 字段中,输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
注: 建议使用具有不过期密码的绑定 DN 用户帐户。
- 在输入绑定密码后,单击测试连接以确认目录可以连接到 Active Directory。
|
Active Directory (集成 Windows 身份验证) |
- 在同步连接器文本框中,选择用于与 Active Directory 同步的 连接器。
- 在身份验证文本框中,如果使用该 Active Directory 验证用户身份,请单击是。
如果使用第三方身份提供程序验证用户身份,请单击否。在配置 Active Directory 连接以同步用户和组后,转到“身份和访问管理”>“管理”>“身份提供程序”页面,以添加第三方身份提供程序进行身份验证。
- 在目录搜索属性文本框中,选择包含用户名的帐户属性。
- 如果 Active Directory 需要使用 STARTTLS 加密,请在证书部分中选中此目录要求所有连接都使用 STARTTLS 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。
确保该证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 如果目录有多个域,则逐个添加所有域的根 CA 证书。
注: 如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。
- (仅限 Linux)输入要加入的 Active Directory 域的名称。输入有权加入该域的用户名和密码。更多信息请参阅加入域所需的权限(仅限 Linux 虚拟设备)。
- 在绑定用户详细信息部分中,输入有权查询所需域的用户和组的绑定用户的用户名和密码。对于用户名,输入 sAMAccountName,例如 jdoe。如果绑定用户的域与上面输入的加入域不同,则输入 sAMAccountName@domain 格式的用户名,其中 domain 是完全限定域名。例如,[email protected]。
注: 建议使用具有不过期密码的绑定用户帐户。
|
- 单击保存并执行下一步。
将显示包含域列表的页面。
- 对于“通过 LDAP 访问的 Active Directory”,所列的域均带有一个选中标记。
对于“Active Directory (集成 Windows 身份验证)”,可选择应与此 Active Directory 连接关联的域。
注: 如果您在创建目录后添加信任域,则服务不会自动检测新的信任域。要使服务能够检测信任域,
连接器必须离开域,然后重新加入。当
连接器重新加入域时,信任域便会出现在列表中。
单击下一步。
- 验证 VMware Identity Manager 目录属性名称是否已映射到正确的 Active Directory 属性,并根据需要进行更改,然后单击下一步。
- 选择您要从 Active Directory 同步到 VMware Identity Manager 目录的组。
在此处添加组时,组名称将同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。任何后续的计划同步将从 Active Directory 中获取这些组名称的更新信息。
选项 |
描述 |
指定组 DN |
要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。
- 单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。
重要事项: 请指定您输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
- 单击查找组。
要同步的组列中会列出在该 DN 中找到的组数量。
- 要选择该 DN 中的所有组,请单击全选,否则,请单击选择,然后选择要同步的特定组。
注: 在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
|
同步嵌套的组成员 |
默认情况下,同步嵌套的组成员选项处于启用状态。如果启用该选项,在为组授权时,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将为您选择进行同步的父组的成员。 如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。 |
- 单击下一步。
- 指定要同步的用户。
由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
- 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
重要事项: 请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
- (可选)要排除用户,请创建一个筛选器以排除某些类型的用户。
您可以选择要作为筛选条件的用户属性,以及要使用的查询规则,并且添加值。值不区分大小写。字符串中不能包含以下字符:
*^()?!$。
- 指定要同步的用户。
由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
- 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
重要事项: 请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
- (可选)要排除用户,请创建筛选器以根据所选属性排除用户。您可以创建多个排除筛选器。
您可以选择要作为筛选条件的用户属性,以及要应用于所定义值的查询筛选器。
选项 |
描述 |
包含 |
排除与设置的属性和值匹配的所有用户。例如,name 包含 Jane 会排除名为“Jane”的用户。 |
不包含 |
排除与设置的属性和值匹配的用户之外的所有用户。例如,telephoneNumber 不包含 800 会仅包含电话号码含“800”的用户。 |
开头为 |
排除属性值中的字符以 <xxx> 开头的所有用户。例如,employeeID 开头为 ACME0 会排除员工 ID 号以“ACME0”开头的所有用户。 |
结尾为 |
排除属性值中的字符以 <yyy> 结尾的所有用户。例如,mail 结尾为 example1.com 会排除电子邮件地址以“example1.com”结尾的所有用户。 |
值不区分大小写。值字符串中不能包含以下符号。
- 星号
*
- 脱字号
^
- 圆括号
(
)
- 问号
?
- 感叹号
!
- 美元符号
$
- 单击下一步。
- 查看页面以了解同步到目录的用户和组数以及同步计划。
- 单击同步目录以开始同步到目录。
结果
将建立与 Active Directory 的连接,并将用户和组名称从 Active Directory 同步到 VMware Identity Manager 目录。默认情况下,绑定用户在 VMware Identity Manager 中具有管理员角色。
有关如何同步组的详细信息,请参阅《VMware Identity Manager 管理》中的“管理用户和组”。
后续步骤
- 设置身份验证方法。在用户和组名称同步到目录后,如果还使用连接器进行身份验证,您可以在连接器上设置其他身份验证方法。如果身份验证的身份提供程序是第三方,可在连接器中配置该身份提供程序。
- 查看默认访问策略。默认访问策略配置为允许所有网络范围中的所有设备访问 Web 门户(会话超时设置为 8 小时)或访问客户端应用程序(会话超时设置为 2160 小时(90 天))。您可以更改默认访问策略,并且在将 Web 应用程序添加到目录中时,还可以创建新访问策略。
- (内部部署)如有必要,将自定义品牌标识应用于 VMware Identity Manager 控制台、用户门户页面和登录屏幕。