您可以使用Directories Management功能将通过 LDAP/IWA 链路访问的 Active Directory 配置为支持用户身份验证,以便针对所有租户将指向 Active Directory 的链接配置为支持用户身份验证,并选择要与Directories Management目录同步的用户和组。

开始之前

  • 已安装连接器并使用激活码进行了激活。

  • 在“用户属性”页面上选择必需的默认属性并添加其他属性。请参见选择要与目录同步的属性

  • 要从 Active Directory 同步的 Active Directory 组和用户的列表。

  • 对于通过 LDAP 访问的 Active Directory,必需的信息包括基本 DN、绑定 DN 以及绑定 DN 密码。

  • 对于 Active Directory(集成 Windows 身份验证),必需的信息包括域的绑定用户 UPN 地址和密码。

  • 如果通过 SSL 访问 Active Directory,则需要 SSL 证书的副本。

  • 对于 Active Directory (集成 Windows 身份验证),如果您配置了多林 Active Directory,并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在的域的“管理员”组中。如果该操作失败,“域本地”组中将缺少这些成员。

  • 租户管理员身份登录到 vRealize Automation 控制台。

关于此任务

有关将 OpenLDAP 与身份目录管理结合使用的信息,请参见配置 OpenLDAP 目录连接

过程

  1. 选择管理 > 身份目录管理 > 目录
  2. 单击添加目录,然后选择添加通过 LDAP/IWA 访问的 Active Directory
  3. 在“添加目录”页面上,在目录名称文本框中指定 Active Directory 服务器的 IP 地址。
  4. 使用目录名称文本框下的单选按钮,选择相应的 Active Directory 通信协议。

    选项

    描述

    Windows 身份验证

    选择 Active Directory (集成 Windows 身份验证)

    LDAP

    选择通过 LDAP 访问的 Active Directory

  5. 在“目录同步和身份验证”部分配置用于将用户从 Active Directory 同步到 VMware Directories Management目录的连接器。

    选项

    描述

    同步连接器

    选择适合用于系统的连接器。每个 vRealize Automation 设备 均包含一个默认连接器。如需有关选择适当连接器的帮助,请咨询系统管理员。

    身份验证

    单击相应单选按钮,指示所选连接器是否也执行身份验证。

    目录搜索属性

    选择包含用户名的合适帐户属性。

  6. 如果选择“通过 LDAP 访问的 Active Directory”,请在“服务器位置”文本框中输入适当的信息;或者,如果选择“Active Directory (集成 Windows 身份验证)”,请在“加入域详细信息”文本框中输入适当的信息。

    选项

    描述

    服务器位置 - 选择“通过 LDAP 访问的 Active Directory”时显示

    • 如果要使用 DNS 服务位置查找 Active Directory 域,请选中该目录支持 DNS 服务位置复选框。

    • 如果指定的 Active Directory 不使用 DNS 服务位置查找,请在“服务器位置”字段中取消选中该目录支持 DNS 服务位置旁边的复选框,并在相应文本框中输入 Active Directory 服务器的主机名和端口号。

    • 如果 Active Directory 需要通过 SSL 进行访问,请选中“证书”标题下的此目录要求所有连接使用 SSL复选框并提供 Active Directory SSL 证书。

    加入域详细信息 - 选择“Active Directory (集成 Windows 身份验证)”时显示

    域名域管理员用户名域管理员密码文本框中,输入相应的凭据。

  7. 在“绑定用户详细信息”部分,输入相应的凭据,以便执行目录同步。

    对于“通过 LDAP 访问的 Active Directory”:

    选项

    描述

    基本 DN

    输入搜索基本识别名。例如,cn=users,dc=corp,dc=local

    绑定 DN

    输入绑定识别名。例如,cn=fritz infra,cn=users,dc=corp,dc=local

    对于“Active Directory (集成 Windows 身份验证)”:

    选项

    描述

    绑定用户 UPN

    输入可对域进行身份验证的用户的“用户主体名称”。例如,UserName@example.com。

    绑定 DN 密码

    输入绑定用户密码。

  8. 单击测试连接以测试与已配置目录的连接。

    如果选择“Active Directory (集成 Windows 身份验证)”,将不显示此按钮。

  9. 单击保存并执行下一步

    此时将显示“选择域”页面,其中包含域的列表。

  10. 检查并更新为 Active Directory 连接列出的域。
    • 对于“Active Directory (集成 Windows 身份验证)”,可选择应与此 Active Directory 连接关联的域。

    • 对于“通过 LDAP 访问的 Active Directory”,所列的可用域均带有一个选中标记。

      注:

      如果您在创建目录后添加信任域,则服务不会自动检测新的信任域。要使服务能够检测信任域,连接器必须离开域,然后重新加入。当连接器重新加入域时,信任域便会出现在列表中。

  11. 单击下一步
  12. 确认 Directories Management 目录属性名称已映射到正确的 Active Directory 属性。

    如果目录属性名称未正确映射,请从下拉菜单中选择正确的 Active Directory 属性。

  13. 单击下一步
  14. 单击 添加 以选择您要从 Active Directory 同步到目录的组。

    从 Active Directory 添加组时,如果该组中的成员不在“用户”列表中,则表明已添加这些成员。

    注:

    Directories Management用户身份验证系统在添加组和用户时从 Active Directory 导入数据,系统的速度受 Active Directory 功能限制。因此,导入操作可能需要很长时间,具体取决于要添加的组和用户数量。为了最大程度地减少潜在的延迟或问题,请将组和用户数量限制为 vRealize Automation 操作所需的数量。

    如果系统性能降低或者如果出现错误,请关闭所有不需要的应用程序并确保系统已为 Active Directory 分配相应的内存。如果问题仍然存在,请根据需要增加 Active Directory 内存分配。对于拥有大量用户和组的系统,您可能需要将 Active Directory 内存分配增加至多达 24 GB。

  15. 单击下一步
  16. 单击 添加 以添加其他用户。例如,输入 CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com

    要排除用户,请单击 添加 创建一个筛选器以排除某些类型的用户。您可以选择要作为筛选条件的用户属性、查询规则和值。

  17. 单击下一步
  18. 查看该页面以了解将要同步到目录的用户和组数量。

    如果您要对用户和组进行更改,请单击“编辑”链接。

  19. 单击推送到 Workspace 以开始与目录同步。

结果

将完成到 Active Directory 的连接,并将选定的用户和组添加到目录中。您现在可以通过选择管理 > 用户和组 > 目录用户和组,将用户和组分配给相应的 vRealize Automation 角色。有关详细信息,请参见为目录用户或组分配角色

下一步做什么

如果您的 vRealize Automation 环境已配置高可用性,则必须专门为身份目录管理配置高可用性。请参见配置身份目录管理以实现高可用性

  • 设置身份验证方法。在用户和组同步到目录后,如果连接器还用于进行身份验证,则您可以在连接器上设置其他身份验证方法。如果身份验证的身份提供程序是第三方,可在连接器中配置该身份提供程序。

  • 查看默认访问策略。默认访问策略配置为允许所有网络范围中的所有设备访问 Web 浏览器(会话超时设置为 8 小时)或访问客户端应用程序(会话超时设置为 2160 小时(90 天))。您可以更改默认访问策略,并且在将 Web 应用程序添加到目录中时,还可以创建新访问策略。

  • 将自定义品牌标识应用于管理控制台、用户门户页面和登录屏幕。