您可以在计划连接到多域 Active Directory 环境时创建此目录类型。连接器绑定到使用集成 Windows 身份验证的 Active Directory。

前提条件

确认您拥有添加目录所需的用户凭据。

过程

  1. 单击“我的服务”仪表板上的身份与租户管理
  2. 导航到“目录管理”选项卡,然后单击目录
  3. 单击 + 添加目录,然后单击添加基于 IWA 的 Active Directory
  4. 目录详细信息选项卡上:
    字段 描述
    目录信息 输入有效的目录名称。
    目录同步和身份验证 选择要与 Active Directory 同步的连接器。连接器是一个 VMware Identity Manager 服务组件,用于在 Active Directory 和 VMware Identity Manager 服务之间同步用户和组数据。会对用户进行身份验证。每个 VMware Identity Manager 设备节点均包含一个默认连接器组件。如有必要,也可通过全局环境横向扩展部署专用连接器。
    已启用身份验证

    可以指示所选连接器是否也执行身份验证。如果使用第三方身份提供程序对用户进行身份验证,请选择
    目录搜索属性 从下拉菜单中选择搜索属性。
    证书
    • 如果 Active Directory 要求通过 SSL/TLS 进行访问,请选中证书部分中的目录要求所有连接都使用 STARTTLS 复选框,然后将域控制器的中间证书(如果使用)和根 CA 证书复制并粘贴到 SSL 证书文本框。首先输入中间 CA 证书,然后再输入根 CA 证书。确保每个证书都采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果域控制器具有多个中间和根证书颁发机构颁发的证书,请依次输入所有中间-根 CA 证书链。如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
    加入域详细信息 输入域名、域管理员用户名和域密码。
    绑定用户详细信息
    • 输入有权查询所需域中用户和组的绑定用户的绑定用户名绑定密码。输入 sAMAccountName@domain 格式的用户名,其中 domain 是完全限定域名。使用密码未过期的绑定用户帐户。
  5. 单击创建并执行下一步
    您可以选择应该与 Active Directory 连接关联的域。
  6. 域选择详细信息选项卡上,选择域,然后单击提交并执行下一步
    具有 IWA 的 Active Directory 会填充域列表,可以根据需要选择或编辑域。
  7. 要验证 VMware Identity Manager 目录属性名称是否映射到正确的 Active Directory 属性,请在映射属性选项卡上,选择所需的属性,然后单击提交并执行下一步
  8. 组选择选项卡上,指定组 DN 详细信息,然后单击下一步

    要选择组,请单击添加组标识名,然后指定一个或多个组 DN,并选择其下的组。指定在“添加目录”部分的“基本 DN”文本框中输入的“基本 DN”下的组 DN。如果组 DN 未包含在“基本 DN”下,则该 DN 中的用户将会同步,但无法登录。

    在同步组时,不会同步未将“域用户”作为 Active Directory 中的主要组的任何用户。

    1. 选择同步嵌套的组成员选项。
  9. 用户选择选项卡上,输入用户 DN 详细信息,然后单击下一步
    注: 启用此选项后,若为所选组授权,将会同步直属于该组的所有用户以及属于该组下的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 VMware Identity Manager 目录中,这些用户将是您选择进行同步的父组的成员。如果禁用 同步嵌套的组成员选项,则指定要同步的组时,直属于该组的所有用户都会同步。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。
    套件管理员是 Active Directory 中的用户名,作为已部署套件产品、日志和 AD 表的管理员用户。
  10. 试运行检查选项卡上,阅读摘要。
  11. 单击同步并完成以开始同步到目录。将建立与 Active Directory 的连接,并且用户名和组名称将从 Active Directory 同步到 VMware Identity Manager 目录。
  12. 单击提交
  13. 要进行编辑,请单击 Active Directory 列表中特定 Active Directory 上的编辑图标。添加的任何信息都将附加到 VMware Identity Manager 上的配置。但是,如果通过编辑进行移除,则只能从 vRealize Suite Lifecycle Manager 清单中移除配置,而不会从 VMware Identity Manager 中移除。
  14. 要进行删除,请单击 Active Directory 列表中特定 Active Directory 上的删除图标。只能从 vRealize Suite Lifecycle Manager 清单中删除 Active Directory,而不会从 VMware Identity Manager 中删除。