您可以将企业 LDAP 目录与 VMware Identity Manager 相集成,以便将用户和组从 LDAP 目录同步到 VMware Identity Manager 服务。

要集成 LDAP 目录,您需要创建对应的 VMware Identity Manager 目录,并将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录。您可以设置定期同步计划以进行后续更新。

您也可以选择要为用户同步的 LDAP 属性,然后将这些属性映射到 VMware Identity Manager 属性。

您的 LDAP 目录配置可以基于默认架构,也可以基于自定义架构。它还可以具有自定义属性。为了让 VMware Identity Manager 能够查询您的 LDAP 目录,从而获取用户或组对象,您需要提供适用于 LDAP 目录的 LDAP 搜索筛选器和属性名称。

具体来说,您需要提供以下信息。

  • 用于获取组、用户和绑定用户的 LDAP 搜索筛选器
  • 用于组成员资格、UUID 和标识名的 LDAP 属性名称或等效属性

LDAP 目录集成功能具有一些限制。请参阅LDAP 目录集成的限制

前提条件

  • 查看身份和访问管理 > 设置 > 用户属性页面中的属性,并添加其他要同步的属性。在创建目录时,您会将 VMware Identity Manager 属性映射到 LDAP 目录属性。系统将为目录中的用户同步这些属性。
    注: 更改用户属性时,请考虑此操作对服务中的其他目录的影响。如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外,此属性可以标记为“必需”。“用户属性”页面中的设置适用于服务中的所有目录。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到 VMware Identity Manager 服务。
  • 绑定 DN 用户帐户。建议使用具有不过期密码的绑定 DN 用户帐户。
  • 在您的 LDAP 目录中,用户和组的 UUID 必须为纯文本格式。
  • 在您的 LDAP 目录中,所有用户和组都必须存在 domain 属性。

    在创建 VMware Identity Manager 目录时,您会将此属性映射到 VMware Identity Manager domain 属性。

  • 用户名不得包含空格。如果用户名包含空格,虽然可以同步用户,但用户无法获得授权。
  • 如果使用证书身份验证,则用户必须具有 userPrincipalName 和电子邮件地址属性值。

过程

  1. VMware Identity Manager 控制台中,单击身份和访问管理选项卡。
  2. 在“目录”页面中,单击添加目录并选择添加 LDAP 目录
  3. 在“添加 LDAP 目录”页面中输入必需的信息。
    选项 描述
    目录名称 VMware Identity Manager 目录的名称。
    目录同步和身份验证
    1. 同步连接器文本框中,选择要用于将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录的连接器。

      您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录,而不管它们是 Active Directory 还是 LDAP 目录。有关需要其他连接器的方案,请参阅《安装和配置 VMware Identity Manager》

    2. 身份验证文本框中,如果要使用该 LDAP 目录对用户进行身份验证,请选择

      如果您要使用第三方身份提供程序对用户进行身份验证,请选择。在为同步用户和组添加目录连接后,请转到身份和访问管理 > 管理 > 身份提供程序页面,以添加用于身份验证的第三方身份提供程序。

    3. 目录搜索属性文本框中,选择用于用户名的 LDAP 目录属性。如果未列出属性,请选择自定义,然后键入用于用户和组的自定义属性名称。例如,cn
    服务器位置 输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com100.00.00.0

    如果您的服务器群集位于负载平衡器后面,请改为输入负载平衡器信息。

    LDAP 配置 指定 VMware Identity Manager 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。

    筛选器查询

    • :用于获取组对象的搜索筛选器。

      例如:(objectClass=groupOfNames)

    • 绑定用户:用于获取绑定用户对象(即,可以绑定到目录的用户)的搜索筛选器。

      例如:(objectClass=person)

    • 用户:用于获取要同步的用户的搜索筛选器。

      例如:(&(objectClass=user)(objectCategory=person))

    属性

    • 成员资格:用于在 LDAP 目录中定义组成员的属性。

      例如:member

    • 对象 UUID:用于在 LDAP 目录中定义用户或组对象的 UUID 的属性。

      例如:entryUUID

    • 标识名:(可选)用于在 LDAP 目录中定义用户或组的标识名的属性。

      例如:dn

      默认情况下,标识名属性用于唯一地标识用户和组对象。如果 LDAP 架构没有标识名属性,请选择启用高级 LDAP 配置选项,然后输入用于标识组和用户的值。

    • 启用高级 LDAP 配置:选中该复选框以查看高级 LDAP 配置选项。如果 LDAP 架构没有标识名属性或使用 posixGroups,请使用高级配置。
      • 组筛选器:用于查询和确定组的值。如果 LDAP 架构没有标识名属性,则该值是必需的。

        例如:cn

      • 用户筛选器:用于查询和确定用户的值。如果 LDAP 架构没有标识名属性,则该值是必需的。

        例如:uid

      • 用户成员资格映射筛选器:(可选)使用 posixGroups 的 LDAP 目录通常需要使用该选项。用户成员资格映射筛选器用于查询和确定成员资格属性返回的用户。

        例如:uidNumber

    证书 如果您的 LDAP 目录需要通过 SSL 进行访问,请选中此目录要求所有连接都使用 SSL 复选框,然后复制 LDAP 目录服务器的根 CA SSL 证书并将其粘贴到文本框中。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
    绑定用户详细信息 基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com
    绑定 DN:输入用于绑定到 LDAP 目录的用户名。
    注: 建议使用具有不过期密码的绑定 DN 用户帐户。

    绑定用户密码:输入绑定 DN 用户的密码。

  4. 要测试与 LDAP 目录服务器的连接,请单击测试连接
    如果连接不成功,请检查您输入的信息并进行相应的更改。
  5. 单击保存并执行下一步
  6. 在“域”页面中,验证是否列出了正确的域,然后单击下一步
  7. 在“映射属性”页面中,验证 VMware Identity Manager 属性是否映射到正确的 LDAP 属性。

    系统将为用户同步这些属性。

    重要事项: 您必须指定 domain 属性的映射。

    您可以将属性添加到“用户属性”页面的列表。

  8. 单击下一步
  9. 在组页面中,单击 +,选择您要从 LDAP 目录同步到 VMware Identity Manager 目录的组。

    在添加组时,组名称将同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。

    如果您的 LDAP 目录中有多个同名的组,则必须在组页面中为这些组指定唯一的名称。

    默认情况下,同步嵌套的组用户选项处于启用状态。如果启用该选项,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;在授权嵌套组时,仅同步属于该组的用户。在 VMware Identity Manager 目录中,这些用户将显示为您选择进行同步的顶级组的成员。实际上,选定组下的层次结构将会变平,并且所有级别的用户都会在 VMware Identity Manager 中显示为选定组的成员。

    如果禁用此选项,则在指定要同步的组时,直属于该组的所有用户都会被同步。属于该组下的嵌套组的用户则不会被同步。在大型目录配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  10. 单击下一步
  11. 单击 + 以添加用户。例如,输入 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com
    由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。

    要排除用户,请创建一个筛选器以排除某些类型的用户。您可以选择要作为筛选条件的用户属性、查询规则和值。

    单击下一步

  12. 查看该页以了解将同步到目录的用户和组名称数以及查看默认同步计划。

    要对用户和组或同步频率进行更改,请单击编辑链接。

  13. 单击同步目录以开始目录同步。

结果

将建立与 LDAP 目录的连接,并将用户和组名称从 LDAP 目录同步到 VMware Identity Manager 目录。默认情况下,绑定 DN 用户在 VMware Identity Manager 中具有管理员角色。