部署 VMware Identity Manager 实例后，您可以使用设置向导来设置密码并选择一个数据库。然后，您可以设置与 Active Directory 或 LDAP 目录的连接。

1. 转到在完成安装时显示的 VMware Identity Manager URL。输入完全限定域名 (Fully Qualified Domain Name, FQDN)。例如，https://hostname.example.com。
2. 在出现提示时，接受证书。
   完成初始设置后，您可以更新证书。
3. 在“开始”页中，单击继续。
4. 在“设置密码”页中，为以下管理员帐户（用于管理设备）设置密码，然后单击继续。

   帐户
   设备管理员	为 admin 用户设置密码。不能更改该用户名。管理员用户帐户用于管理设备设置。 重要事项： 管理员用户密码长度必须至少为 6 个字符。
   设备 root	设置 root 用户密码。root 用户具有设备的全部权限。
   远程用户	设置 sshuser 密码，该密码用于通过 SSH 连接远程登录设备。

5. 在“选择数据库”页中，选择要使用的数据库。
   请参阅 配置 VMware Identity Manager 以使用外部数据库
   • 如果使用外部数据库，请选择外部数据库，然后输入外部数据库连接信息、用户名和密码。要验证 VMware Identity Manager 是否可以连接到数据库，请单击测试连接。

     在验证连接后，单击继续。

   • 如果您正使用内部数据库，请单击继续。
     注： 不建议将内部数据库用于生产部署。
   将配置与该数据库的连接，并将初始化该数据库。该过程完成后，将显示 设置已完成页面。
6. 单击设置已完成页上的登录管理控制台链接，以登录到 VMware Identity Manager 控制台来设置 Active Directory 或 LDAP 目录连接。
7. 使用您设置的密码以管理员用户身份登录到 VMware Identity Manager 控制台。
   您会以本地管理员身份登录，并且将显示“目录”页。在添加目录之前，请确保查阅 《将目录与 VMware Identity Manager 集成》以了解要求和限制。
8. 单击身份和访问管理选项卡。
9. 单击设置 > 用户属性以选择要同步到目录的用户属性。
   列出默认属性，您可以选择所需的属性。如果将某个属性标记为“必需”，则只有具备该属性的用户才会被同步到服务。也可以添加其他属性。

   重要事项： 在创建目录后，您无法将属性更改为必需属性。您必须现在选择这些属性。

   另外请注意，“用户属性”页面中的设置适用于服务中的所有目录。在将某个属性标记为“必需”时，请考虑此操作对其他目录的影响。如果将某个属性标记为“必需”，则不具备该属性的用户将不会被同步到服务。

10. 单击保存。
11. 单击身份和访问管理选项卡。
12. 在“目录”页面中，单击添加目录，并根据您将集成的目录类型选择添加通过 LDAP/IWA 访问的 Active Directory 或添加 LDAP 目录。
    也可以在该服务中创建本地目录。有关使用本地目录的详细信息，请参阅 #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665。
13. 对于 Active Directory，请执行以下步骤。
    1. 输入您将在 VMware Identity Manager 中创建的目录的名称，并选择目录类型：通过 LDAP 访问的 Active Directory 或 Active Directory (集成 Windows 身份验证)。
    2. 提供连接信息。

       选项	描述
       通过 LDAP 访问的 Active Directory	在同步连接器字段中，选择您要用于将 Active Directory 中的用户和组同步到 VMware Identity Manager 目录的 连接器。 默认情况下，连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备，每个设备的连接器组件显示在列表中。 在身份验证字段中，如果您要使用该 Active Directory 对用户进行身份验证，请选择是。 如果要使用第三方身份提供程序对用户进行身份验证，请单击否。在为同步用户和组配置 Active Directory 连接后，转到身份和访问管理 > 管理 > 身份提供程序页面，添加第三方身份提供程序进行身份验证。 在目录搜索属性字段中，选择包含用户名的帐户属性。 如果 Active Directory 使用 DNS 服务位置查找，请选择以下各项。 在服务器位置部分中，选中此目录支持 DNS 服务位置复选框。 如果 Active Directory 要求进行 STARTTLS 加密，请选中证书部分的此目录要求所有连接都使用 SSL 复选框，然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。 请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 注： 如果 Active Directory 要求使用 STARTTLS，但您没有提供证书，则无法创建目录。 如果 Active Directory 不使用 DNS 服务位置查找，请选择以下各项。 在服务器位置部分中，确认未选中此目录支持 DNS 服务位置复选框，并输入 Active Directory 服务器主机名和端口号。 要将目录配置为全局目录，请参阅《将目录与 VMware Identity Manager 集成》的“Active Directory 环境”中的“多域、单林 Active Directory 环境”部分。 如果 Active Directory 要求通过 SSL 访问，请选中证书部分的此目录要求所有连接都使用 SSL 复选框，然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。 请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 注： 如果 Active Directory 要求使用 SSL，但您没有提供证书，则无法创建目录。 在允许更改密码部分中，如果您要允许用户在密码过期或 Active Directory 管理员重置用户密码后，从 VMware Identity Manager 登录页面重置其密码，请选择启用更改密码。 在基本 DN 字段中，输入从中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。 在绑定 DN 字段中，输入可搜索用户的帐户。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。 注： 建议使用具有不过期密码的绑定 DN 用户帐户。 在输入绑定密码后，单击测试连接以确认目录可以连接到 Active Directory。
       Active Directory (集成 Windows 身份验证)	在同步连接器字段中，选择您要用于将 Active Directory 中的用户和组同步到 VMware Identity Manager 目录的 连接器。 默认情况下，连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备，每个设备的连接器组件显示在列表中。 在身份验证字段中，如果您要使用该 Active Directory 对用户进行身份验证，请单击是。 如果要使用第三方身份提供程序对用户进行身份验证，请单击否。在为同步用户和组配置 Active Directory 连接后，转到身份和访问管理 > 管理 > 身份提供程序页面，添加第三方身份提供程序进行身份验证。 在目录搜索属性字段中，选择包含用户名的帐户属性。 如果 Active Directory 要求进行 STARTTLS 加密，请选中证书部分的此目录要求所有连接都使用 STARTTLS 复选框，然后将 Active Directory 根 CA 证书复制并粘贴到 SSL 证书字段。 请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。 如果该目录有多个域，请添加所有域的根 CA 证书（一次添加一个证书）。 注： 如果 Active Directory 要求使用 STARTTLS，但您没有提供证书，则无法创建目录。 输入要加入的 Active Directory 域的名称。输入有权加入该域的用户名和密码。有关详细信息，请参阅《将目录与 VMware Identity Manager 集成》中的“加入域所需的权限”。 在允许更改密码部分中，如果您要允许用户在密码过期或 Active Directory 管理员重置用户密码后，从 VMware Identity Manager 登录页面重置其密码，请选择启用更改密码。 在绑定用户详细信息部分中，输入有权查询所需域的用户和组的绑定用户的用户名和密码。对于用户名，输入 sAMAccountName，例如 jdoe。如果绑定用户的域与上面输入的加入域不同，则输入 sAMAccountName@domain 格式的用户名，其中 domain 是完全限定域名。例如，[email protected]。 注： 建议使用具有不过期密码的绑定用户帐户。

    3. 单击保存并执行下一步。
       将显示包含域列表的页面。
14. 对于 LDAP 目录，请执行以下步骤。
    1. 提供连接信息。

       选项	描述
       目录名称	您将在 VMware Identity Manager 中创建的目录的名称。
       目录同步和身份验证	在同步连接器字段中，选择您要用于将 LDAP 目录中的用户和组同步到 VMware Identity Manager 目录的连接器。 默认情况下，连接器组件始终可用于 VMware Identity Manager 服务。将在下拉列表中显示该连接器。如果您安装多个高可用性 VMware Identity Manager 设备，每个设备的连接器组件显示在列表中。 您无需为 LDAP 目录使用单独的连接器。一个连接器可以支持多个目录，而不管它们是 Active Directory 还是 LDAP 目录。 在身份验证字段中，如果您要使用该 LDAP 目录对用户进行身份验证，请选择是。 如果您要使用第三方身份提供程序对用户进行身份验证，请选择否。在为同步用户和组添加目录连接后，请转到身份和访问管理 > 管理 > 身份提供程序页面，以添加用于身份验证的第三方身份提供程序。 在目录搜索属性字段中，指定要对用户名使用的 LDAP 目录属性。如果属性未列出，请选择自定义并键入属性名称。例如，cn。
       服务器位置	输入 LDAP 目录服务器主机和端口号。对于服务器主机，您可以指定完全限定域名或 IP 地址。例如，myLDAPserver.example.com 或 100.00.00.0。 如果您的服务器群集位于负载平衡器后面，请改为输入负载平衡器信息。
       LDAP 配置	指定 VMware Identity Manager 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。 LDAP 查询 获取组：用于获取组对象的搜索筛选器。 例如：(objectClass=group) 获取绑定用户：用于获取绑定用户对象（即可以绑定到目录的用户）的搜索筛选器。 例如：(objectClass=person) 获取用户：用于获取要同步的用户的搜索筛选器。 例如：(&(objectClass=user)(objectCategory=person)) 属性 成员资格：在您的 LDAP 目录中用于定义组成员的属性。 例如：member 对象 UUID：在您的 LDAP 目录中用于定义用户或组的 UUID 的属性。 例如：entryUUID 标识名：在您的 LDAP 目录中对用户或组的标识名使用的属性。 例如：entryDN
       证书	如果您的 LDAP 目录需要通过 SSL 访问，请选择此目录要求所有连接都使用 SSL，然后复制并粘贴 LDAP 目录服务器的根 CA SSL 证书。请确保证书采用的是 PEM 格式，并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
       绑定用户详细信息	基本 DN：输入从中开始搜索的 DN。例如，cn=users,dc=example,dc=com。 绑定 DN：输入用于绑定到 LDAP 目录的用户名。 注： 建议使用具有不过期密码的绑定 DN 用户帐户。 绑定 DN 密码：输入绑定 DN 用户的密码。

    2. 要测试与 LDAP 目录服务器的连接，请单击测试连接。
       如果连接不成功，请检查您输入的信息并进行相应的更改。
    3. 单击保存并执行下一步。
       此时会出现列出域的页面。
15. 对于 LDAP 目录，所列的域无法修改。
    对于“通过 LDAP 访问的 Active Directory”，所列的域也无法修改。

    对于“Active Directory (集成 Windows 身份验证)”，可选择应与此 Active Directory 连接关联的域。

    注： 如果您在创建目录后添加信任域，则服务不会自动检测新的信任域。要使服务能够检测信任域， 连接器必须离开域，然后重新加入。当 连接器重新加入域时，信任域便会出现在列表中。

    单击下一步。

16. 验证 VMware Identity Manager 属性名称是否已映射到正确的 Active Directory 或 LDAP 属性，并根据需要进行更改。
    重要事项： 如果您正在集成 LDAP 目录，则必须为 域属性指定映射。
17. 单击下一步。
18. 选择您要从 Active Directory 或 LDAP 目录同步到 VMware Identity Manager 目录的组。

    选项	描述
    指定组 DN	要选择组，您需要指定一个或多个组 DN，然后选择这些组 DN 下的组。 单击 +，然后指定组 DN。例如，CN=users,DC=example,DC=company,DC=com。 重要事项： 请指定您输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外，则该 DN 中的用户将会被同步，但这些用户无法登录。 单击查找组。 要同步的组列中会列出在该 DN 中找到的组数量。 要选择该 DN 中的所有组，请单击全选，否则，请单击选择，然后选择要同步的特定组。 注： 如果您的 LDAP 目录中有多个同名的组，则必须在 VMware Identity Manager 中为这些组指定唯一的名称。您可以在选择组时更改组名称。 注： 在同步组时，不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
    同步嵌套的组成员	默认情况下，同步嵌套的组成员选项处于启用状态。如果启用该选项，将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意，不会同步嵌套组；只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中，这些用户将为您选择进行同步的父组的成员。 如果禁用同步嵌套的组成员选项，则在指定要同步的组时，将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中，遍历组树会耗用大量资源和时间，对于这类配置，禁用此选项会非常有用。如果禁用此选项，请确保选择所有要同步用户的组。

19. 单击下一步。
20. 如果需要，指定其他要同步的用户。
    由于在授权组使用应用程序或将组添加到访问策略规则后才会将组成员同步到目录，因此，请添加在配置组授权之前需要进行身份验证的所有用户。
    1. 单击 +，然后输入用户 DN。例如，CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
       重要事项： 请指定您输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外，则该 DN 中的用户将会被同步，但这些用户无法登录。
    2. （可选）要排除用户，请创建一个筛选器以排除某些类型的用户。
       您可以选择要作为筛选条件的用户属性、查询规则和值。
21. 单击下一步。
22. 查看该页面，了解将与目录同步的用户和组的数量，以及查看同步计划。

    要对用户和组或同步频率进行更改，请单击编辑链接。

23. 单击同步目录以开始目录同步。