您可以将企业 LDAP 目录与 VMware Identity Manager 相集成,以便将用户和组从 LDAP 目录同步到 VMware Identity Manager 服务。
要集成 LDAP 目录,您需要创建对应的 VMware Identity Manager 目录,并将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录。您可以设置定期同步计划以进行后续更新。
您也可以选择要为用户同步的 LDAP 属性,然后将这些属性映射到 VMware Identity Manager 属性。
您的 LDAP 目录配置可以基于默认架构,也可以基于自定义架构。它还可以具有自定义属性。为了让 VMware Identity Manager 能够查询您的 LDAP 目录,从而获取用户或组对象,您需要提供适用于 LDAP 目录的 LDAP 搜索筛选器和属性名称。
具体来说,您需要提供以下信息。
LDAP 目录集成功能具有一些限制。请参阅LDAP 目录集成的限制。
前提条件
查看页面中的属性,并添加其他要同步的属性。在创建目录时,您会将 VMware Identity Manager 属性映射到 LDAP 目录属性。系统将为目录中的用户同步这些属性。
注:
更改用户属性时,请考虑此操作对服务中的其他目录的影响。如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外,此属性可以标记为“必需”。“用户属性”页面中的设置适用于服务中的所有目录。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到 VMware Identity Manager 服务。
绑定 DN 用户帐户。建议使用具有不过期密码的绑定 DN 用户帐户。
在您的 LDAP 目录中,用户和组的 UUID 必须为纯文本格式。
在您的 LDAP 目录中,所有用户和组都必须存在 domain 属性。
在创建 VMware Identity Manager 目录时,您会将此属性映射到 VMware Identity Manager domain 属性。
用户名不得包含空格。如果用户名包含空格,虽然可以同步用户,但用户无法获得授权。
如果使用证书身份验证,则用户必须具有 userPrincipalName 和电子邮件地址属性值。
过程
- 在 VMware Identity Manager 控制台中,单击身份和访问管理选项卡。
- 在“目录”页面中,单击添加目录并选择添加 LDAP 目录。
- 在“添加 LDAP 目录”页面中输入必需的信息。
选项 |
描述 |
目录名称 |
VMware Identity Manager 目录的名称。 |
目录同步和身份验证 |
在同步连接器文本框中,选择要用于将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录的连接器。 在内部部署中,默认情况下 VMware Identity Manager 服务始终提供有一个连接器组件。将在下拉列表中显示该连接器。如果您安装多个 VMware Identity Manager 实例以实现高可用性,则会在列表中显示每个实例的连接器组件。此外,还会列出外部连接器。 您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录,而不管它们是 Active Directory 还是 LDAP 目录。有关需要其他连接器的方案,请参阅《安装和配置 VMware Identity Manager》。
在身份验证文本框中,如果要使用该 LDAP 目录对用户进行身份验证,请选择是。 如果您要使用第三方身份提供程序对用户进行身份验证,请选择否。在为同步用户和组添加目录连接后,请转到页面,以添加用于身份验证的第三方身份提供程序。
在目录搜索属性文本框中,指定要用于用户名的 LDAP 目录属性。如果属性未列出,请选择自定义并键入属性名称。例如,cn。
|
服务器位置 |
输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com 或 100.00.00.0。 如果您的服务器群集位于负载平衡器后面,请改为输入负载平衡器信息。 |
LDAP 配置 |
指定 VMware Identity Manager 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。 LDAP 查询
属性
成员资格:在您的 LDAP 目录中用于定义组成员的属性。 例如:member
对象 UUID:在您的 LDAP 目录中用于定义用户或组的 UUID 的属性。 例如:entryUUID
标识名:在您的 LDAP 目录中对用户或组的标识名使用的属性。 例如:entryDN
|
证书 |
如果您的 LDAP 目录需要通过 SSL 访问,请选择此目录要求所有连接都使用 SSL,然后复制并粘贴 LDAP 目录服务器的根 CA SSL 证书。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 |
绑定用户详细信息 |
基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com 绑定 DN:输入用于绑定到 LDAP 目录的用户名。
注:
建议使用具有不过期密码的绑定 DN 用户帐户。
绑定 DN 密码:输入绑定 DN 用户的密码。 |
- 要测试与 LDAP 目录服务器的连接,请单击测试连接。
如果连接不成功,请检查您输入的信息并进行相应的更改。
- 单击保存并执行下一步。
- 在“域”页面中,验证是否列出了正确的域,然后单击下一步。
- 在“映射属性”页面中,验证 VMware Identity Manager 属性是否映射到正确的 LDAP 属性。
系统将为用户同步这些属性。
您可以将属性添加到“用户属性”页面的列表。
- 单击下一步。
- 在组页面中,单击 +,选择您要从 LDAP 目录同步到 VMware Identity Manager 目录的组。
在添加组时,组名称将同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。
如果您的 LDAP 目录中有多个同名的组,则必须在组页面中为这些组指定唯一的名称。
默认情况下,同步嵌套的组用户选项处于启用状态。如果启用该选项,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;在授权嵌套组时,仅同步属于该组的用户。在 VMware Identity Manager 目录中,这些用户将显示为您选择进行同步的顶级组的成员。实际上,选定组下的层次结构将会变平,并且所有级别的用户都会在 VMware Identity Manager 中显示为选定组的成员。
如果禁用此选项,则在指定要同步的组时,直属于该组的所有用户都会被同步。属于该组下的嵌套组的用户则不会被同步。在大型目录配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。
- 单击下一步。
- 单击 + 以添加用户。例如,输入 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
要排除用户,请创建一个筛选器以排除某些类型的用户。您可以选择要作为筛选条件的用户属性、查询规则和值。
单击下一步。
- 查看该页以了解将同步到目录的用户和组名称数以及查看默认同步计划。
- 单击同步目录以开始目录同步。
结果
将建立与 LDAP 目录的连接,并将用户和组名称从 LDAP 目录同步到 VMware Identity Manager 目录。默认情况下,绑定 DN 用户在 VMware Identity Manager 中具有管理员角色。