您可以将企业目录与 VMware Identity Manager集成在一起,以将企业目录中的用户和组同步到 VMware Identity Manager 服务。
支持以下类型的目录。
通过 LDAP 访问的 Active Directory
Active Directory(集成 Windows 身份验证)
LDAP 目录。
前提条件
请查阅《将目录与 VMware Identity Manager 集成》以了解要求和限制。
您的 Active Directory 或 LDAP 目录信息。
如果配置了多林 Active Directory 并且域本地组包含其他林中的域的成员,必须将VMware Identity Manager目录页上使用的绑定 DN 用户添加到域本地组所在的域的管理员组中。如果未执行此操作,“域本地”组中将缺少这些成员。
注:必须将 VMware Identity Manager服务配置为以 Windows 域用户身份运行以使用多林 Active Directory。
要作为筛选器的用户属性列表以及要添加到 VMware Identity Manager的组列表。
过程
- 使用您设置的密码以管理员用户身份登录到 VMware Identity Manager 控制台。
您将作为本地管理员登录。将显示“目录”页面。在添加目录之前,请确保查阅《将目录与 VMware Identity Manager 集成》以了解要求和限制。
- 单击身份和访问管理选项卡。
- 单击设置 > 用户属性以选择要同步到目录的用户属性。
列出默认属性,您可以选择所需的属性。如果将某个属性标记为“必需”,则只有具备该属性的用户才会被同步到服务。也可以添加其他属性。
重要:在创建目录后,您无法将属性更改为必需属性。您必须现在选择这些属性。
请注意,“用户属性”页中的设置适用于该服务中的所有目录。在将某个属性标记为“必需”时,请考虑此操作对其他目录的影响。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到服务。
重要:如果打算将 XenApp 资源与 VMware Identity Manager 进行同步,您必须将 distinguishedName 指定为必需属性。
- 单击保存。
- 单击身份和访问管理选项卡。
- 在“目录”页面中,单击添加目录,并根据您将集成的目录类型选择添加通过 LDAP/IWA 访问的 Active Directory 或添加 LDAP 目录。
也可以在该服务中创建本地目录。有关使用本地目录的详细信息,请参阅《VMware Identity Manager 管理指南》。
- 对于 Active Directory,请执行以下步骤。
- 输入您将在 VMware Identity Manager中创建的目录的名称,并选择目录类型:通过 LDAP 访问的 Active Directory 或 Active Directory (集成 Windows 身份验证)。
- 提供连接信息。
选项
描述
通过 LDAP 访问的 Active Directory
在同步连接器文本框中,选择要用于将 Active Directory 中的用户和组同步到 VMware Identity Manager 目录的连接器。
默认情况下,连接器组件始终可用于VMware Identity Manager服务。将在下拉菜单中显示该连接器。如果您安装多个高可用性 VMware Identity Manager设备,每个设备的连接器组件显示在列表中。
在身份验证文本框中,如果要使用该 Active Directory 对用户进行身份验证,请选择是。
如果要使用第三方身份提供程序对用户进行身份验证,请单击否。在为同步用户和组配置 Active Directory 连接后,转到身份和访问管理 > 管理 > 身份提供程序页面,添加第三方身份提供程序进行身份验证。
在目录搜索属性文本框中,选择包含用户名的帐户属性。
如果 Active Directory 使用 DNS 服务位置查找,请选择以下各项。
在服务器位置部分中,选中此目录支持 DNS 服务位置复选框。
如果 Active Directory 需要使用 STARTTLS 加密,请在证书部分中选中此目录要求所有连接都使用 SSL 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。
请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
注:如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。
如果 Active Directory 不使用 DNS 服务位置查找,请选择以下各项。
在服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。
要将目录配置为全局目录,请参阅《将目录与 VMware Identity Manager 集成》的“Active Directory 环境”中的“多域、单林 Active Directory 环境”部分。
如果 Active Directory 要求通过 SSL 进行访问,请选中证书部分中的此目录要求所有连接都使用 SSL 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。
请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
注:如果 Active Directory 要求使用 SSL,但您没有提供证书,则无法创建目录。
在允许更改密码部分中,如果您要允许用户在密码过期或 Active Directory 管理员重置用户密码后,从 VMware Identity Manager 登录页面重置其密码,请选择启用更改密码。
在基本 DN 文本框中,输入从中开始搜索帐户的 DN。例如 OU=myUnit,DC=myCorp,DC=com。
在绑定 DN 文本框中,输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
注:建议使用具有不过期密码的绑定 DN 用户帐户。
在输入绑定密码后,单击测试连接以确认目录可以连接到 Active Directory。
Active Directory (集成 Windows 身份验证)
在同步连接器文本框中,选择要用于将 Active Directory 中的用户和组同步到 VMware Identity Manager 目录的连接器。
默认情况下,连接器组件始终可用于VMware Identity Manager服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager设备,每个设备的连接器组件显示在列表中。
在身份验证文本框中,如果要使用该 Active Directory 对用户进行身份验证,请选择是。
如果要使用第三方身份提供程序对用户进行身份验证,请单击否。在为同步用户和组配置 Active Directory 连接后,转到身份和访问管理 > 管理 > 身份提供程序页面,添加第三方身份提供程序进行身份验证。
在目录搜索属性文本框中,选择包含用户名的帐户属性。
如果 Active Directory 需要使用 STARTTLS 加密,请在证书部分中选中此目录要求所有连接都使用 STARTTLS 复选框,然后复制 Active Directory 根 CA 证书并将其粘贴到 SSL 证书文本框中。
请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
如果该目录有多个域,请添加所有域的根 CA 证书(一次添加一个证书)。
注:如果 Active Directory 要求使用 STARTTLS,但您没有提供证书,则无法创建目录。
在允许更改密码部分中,如果您要允许用户在密码过期或 Active Directory 管理员重置用户密码后,从 VMware Identity Manager 登录页面重置其密码,请选择启用更改密码。
在绑定用户 UPN 字段中,输入可通过该域进行身份验证的用户的用户主体名称。例如,[email protected]。
注:建议使用具有不过期密码的绑定 DN 用户帐户。
输入绑定 DN 用户密码。
- 单击保存并执行下一步。
将显示包含域列表的页面。
- 对于 LDAP 目录,请执行以下步骤。
- 提供连接信息。
选项
描述
目录名称
您将在 VMware Identity Manager中创建的目录的名称。
目录同步和身份验证
在同步连接器文本框中,选择要用于将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录的连接器。
默认情况下,连接器组件始终可用于VMware Identity Manager服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager设备,每个设备的连接器组件显示在列表中。
您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录,而不管它们是 Active Directory 还是 LDAP 目录。
在身份验证文本框中,如果要使用该 LDAP 目录对用户进行身份验证,请选择是。
如果您要使用第三方身份提供程序对用户进行身份验证,请选择否。在为同步用户和组添加目录连接后,请转到身份和访问管理 > 管理 > 身份提供程序页面,以添加用于身份验证的第三方身份提供程序。
在目录搜索属性文本框中,指定要用于用户名的 LDAP 目录属性。如果未列出该属性,请选择自定义并输入属性名称。例如,cn。
服务器位置
输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com 或 100.00.00.0。
如果您的服务器群集位于负载平衡器后面,请改为输入负载平衡器信息。
LDAP 配置
指定VMware Identity Manager可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。
LDAP 查询
获取组:用于获取组对象的搜索筛选器。
例如:(objectClass=group)
获取绑定用户:用于获取绑定用户对象(即可以绑定到目录的用户)的搜索筛选器。
例如:(objectClass=person)
获取用户:用于获取要同步的用户的搜索筛选器。
例如:(&(objectClass=user)(objectCategory=person))
属性
成员资格:在您的 LDAP 目录中用于定义组成员的属性。
例如:member
对象 UUID:在您的 LDAP 目录中用于定义用户或组的 UUID 的属性。
例如:entryUUID
标识名:在您的 LDAP 目录中对用户或组的标识名使用的属性。
例如:entryDN
证书
如果您的 LDAP 目录需要通过 SSL 访问,请选择此目录要求所有连接都使用 SSL,然后复制并粘贴 LDAP 目录服务器的根 CA SSL 证书。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
绑定用户详细信息
基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com
绑定 DN:输入用于绑定到 LDAP 目录的用户名。
注:建议使用具有不过期密码的绑定 DN 用户帐户。
绑定 DN 密码:输入绑定 DN 用户的密码。
- 要测试与 LDAP 目录服务器的连接,请单击测试连接。
如果连接不成功,请检查您输入的信息并进行相应的更改。
- 单击保存并执行下一步。
此时会出现列出域的页面。
- 提供连接信息。
- 对于 LDAP 目录,所列的域无法修改。
对于“通过 LDAP 访问的 Active Directory”,所列的域也无法修改。
对于“Active Directory (集成 Windows 身份验证)”,可选择应与此 Active Directory 连接关联的域。
注:如果您在创建目录后添加信任域,则服务不会自动检测新的信任域。要使服务能够检测信任域,连接器必须离开域,然后重新加入。当连接器重新加入域时,信任域便会出现在列表中。
单击下一步。
- 验证 VMware Identity Manager属性名称是否已映射到正确的 Active Directory 或 LDAP 属性,并根据需要进行更改。
重要:
如果您正在集成 LDAP 目录,则必须为域属性指定映射。
- 单击下一步。
- 选择您要从 Active Directory 或 LDAP 目录同步到 VMware Identity Manager目录的组。
选项
描述
指定组 DN
要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。
单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。
重要:请指定您输入的基本 DN 下的组 DN。如果组 DN 位于基本 DN 外部,将同步该 DN 中的用户,但这些用户无法登录。
单击查找组。
要同步的组列中会列出在该 DN 中找到的组数量。
要选择该 DN 中的所有组,请单击全选,否则,请单击选择,然后选择要同步的特定组。
注:如果您的 LDAP 目录中有多个同名的组,则必须在VMware Identity Manager中为这些组指定唯一的名称。您可以在选择组时更改组名称。
注:在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
同步嵌套的组成员
默认情况下,同步嵌套的组成员选项处于启用状态。如果启用该选项,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager目录中,这些用户将为您选择进行同步的父组的成员。
如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。
- 单击下一步。
- 如果需要,指定其他要同步的用户。
- 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
重要:
请指定您输入的基本 DN 下的用户 DN。如果用户 DN 位于基本 DN 外部,将同步该 DN 中的用户,但这些用户无法登录。
- (可选)要排除用户,请创建一个筛选器以排除某些类型的用户。
您可以选择要作为筛选条件的用户属性、查询规则和值。
- 单击 +,然后输入用户 DN。例如,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
- 单击下一步。
- 查看该页面,了解将与目录同步的用户和组的数量,以及查看同步计划。
要对用户和组或同步频率进行更改,请单击编辑链接。
- 单击同步目录以开始目录同步。
结果
如果出现网络错误,而无法使用反向 DNS 唯一地解析主机名,配置过程将停止。您必须修复网络连接问题,然后重新启动虚拟设备。然后才可以继续执行部署过程。在重新启动虚拟设备后,才能使用新的网络设置。
下一步做什么
有关设置负载平衡器或高可用性配置的信息,请参阅在负载平衡器后面部署 VMware Identity Manager 计算机。
您可以为组织的应用程序自定义资源目录,并允许用户访问这些资源。您还可以设置其他资源,包括 View、ThinApp 和基于 Citrix 的应用程序。请参阅《在 VMware Identity Manager 中设置资源》。