导入位于其他计算机的用户帐户信息时,必须定义用于从源计算机导入用户帐户的条件。

添加或编辑身份验证源的位置

  1. 要添加身份验证源,请从左侧菜单中单击管理,然后单击身份验证源磁贴。
  2. 单击添加
  3. 要编辑身份验证源,请单击编辑
表 1. 身份验证源:为用户和组导入添加源
选项 描述
源显示名称 分配给身份验证源的名称。
源类型
注:源类型下拉框中选择的选项确定此对话框中可用的选项。
表示要访问用户帐户的数据库所驻留的源计算机的目录服务访问技术类型。数据库有两种类型:LDAP 和单点登录。选项包括:
  • SSO SAML:针对 Web 浏览器单点登录的基于 XML 的标准,它可让用户执行单点登录以访问多个应用程序。
  • Open LDAP:一种独立于平台的协议,可提供对其他计算机上 LDAP 数据库的访问权限以导入用户帐户。
  • 其他:指定 Novel 或 OpenDJ 等任何其他基于 LDAP 的目录服务,用于从 Linux Mac 计算机上的 LDAP 数据库中导入用户帐户。
  • VMware Identity Manager:可以在其中管理用户和组、管理资源和用户身份验证、访问策略以及向用户授予资源权限的平台。
表 2. 身份验证源:为用户和组导入添加源 - 选择 SSO SAML 时可用的选项。
名称 描述
主机 单点登录用户服务器所驻留的主机的名称或 IP 地址。
端口 单点登录侦听端口。默认情况下,此选项设置为 443。
用户名 可以登录单点登录主机的用户帐户的名称。
密码 可以登录单点登录主机的用户帐户的密码。
是否授予 vRealize Operations 管理员角色以便日后进行配置? 创建单点登录源后,会在单点登录服务器上创建新的 vRealize Operations 用户帐户。
  • 选择可授予 vRealize Operations 管理角色,以便可在 vRealize Operations 设置更改时用于配置 SSO 源。
  • 如果选择,并且 vRealize Operations 设置已更改,则直到您重新注册 SSO 源之后,SSO 用户才能登录。
是否自动重定向到 vRealize Operations 单点登录 URL? 在您配置单点登录源之后,用户将重定向到 vCenter SSO 服务器。
  • 选择可将用户重定向到单点登录服务器以进行身份验证。
  • 如果选择,则用户必须通过 vRealize Operations 登录页面登录。
添加当前源后是否导入单点登录用户组? 设置单点登录源后,可将用户和用户组导入 vRealize Operations,以便单点登录用户可以使用其单点登录权限访问系统。
  • 如果选择,向导将指引您转到“导入用户组”页面,以便您可以在完成 SSO 源设置之后导入用户组。
  • 如果要稍后导入用户帐户或用户组,请选择
高级 如果您的系统使用负载均衡器,请输入负载均衡器的 IP 地址。
测试

测试是否可使用所提供的凭据访问主机。

表 3. 身份验证源:为用户和组导入添加源 - 选择 Open LDAPActive Directory其他时可用的选项。
选项 描述

集成模式基本设置

应用基本设置,以将 LDAP 导入源与 vRealize Operations 的实例集成。

使用基本集成模式使 vRealize Operations 发现 LDAP 数据库所在的主机,并设置用于搜索用户的基本标识名(基本 DN)。提供域和子域的名称(由 vRealize Operations 用于填充主机和基本 DN 详细信息),以及可登录 LDAP 主机的用户的用户名和密码。

在基本模式下,会尝试从 DNS 服务器提取主机和端口,并为域获取全局目录和域控制器(支持 SSL/TLS 的服务器优先)。

  • 域/子域。LDAP 用户帐户的域信息。
    注: 要从多个子域导入用户和组,请使用根 domain.com,而不是子域。使用子域会将 vRealize Operations 的可见性限制为该特定子域中的组和用户。
  • 使用 SSL/TLS。选择该选项后,从 LDAP 数据库导入用户时,vRealize Operations 将使用安全套接字层/传输层安全性 (SSL/TLS) 协议提供安全通信。无需安装 SSL/TLS 证书。vRealize Operations 会提示您查看和验证指纹,并接受 LDAP 服务器证书。接受证书后,LDAP 通信继续。
  • 如果 Active Directory 使用自签名证书,则该证书应包含主体备用名称字段。仅当主体备用名称字段中提供的主机名或 IP 地址与使用证书的域控制器的地址匹配时,vRealize Operations 才能成功验证 Active Directory 证书并与 Active Directory 集成。
  • 用户名。可以登录 LDAP 主机的用户帐户的名称。
  • 重置密码。重置可以登录 LDAP 主机的用户帐户的密码。
  • 自动同步已配置组的用户成员资格。选择该选项后,vRealize Operations 可以将导入的 LDAP 用户映射到用户组。
  • 主机。LDAP 用户数据库所驻留的主机的名称或 IP 地址。
  • 端口。用于导入的端口。如果未使用 SSL/TLS,请使用端口 389;如果使用 SSL/TLS,请使用端口 636;也可以选择其他端口号。对于非 SSL/TLS 全局目录端口为 3268,对于 SSL/TLS 为 3269。
  • 基本 DN。供用户搜索的基本标识名。vRealize Operations 只能查找使用基本 DN 的用户。基本 DN 是所导入用户的标识名 (DN) 的基础条目,它是用户名的基本条目,无需其他相关信息(例如,用户帐户的完整路径或包含相关域组件)。虽然 vRealize Operations 会填充基本 DN,但是管理员必须先验证该基本 DN,然后再保存 LDAP 配置。
  • 公用名称。用于标识用户名的 LDAP 属性。Active Directory 的默认属性为 userPrincipalName

集成模式高级设置

应用高级设置,以将 LDAP 导入源与 vRealize Operations 的实例集成。

采用高级集成模式手动提供主机名和基本标识名(基本 DN)以使 vRealize Operations 导入用户。提供可登录 LDAP 主机的用户的用户名和密码。

  • 主机。LDAP 用户数据库所驻留的主机的名称或 IP 地址。
  • 使用 SSL/TLS。选择该选项后,从 LDAP 数据库导入用户时,vRealize Operations 将使用安全套接字层/传输层安全性 (SSL/TLS) 协议提供安全通信。无需安装 SSL/TLS 证书。vRealize Operations 会提示您查看和验证指纹,并接受 LDAP 服务器证书。接受证书后,LDAP 通信继续。
  • 如果 Active Directory 使用自签名证书,则该证书应包含主体备用名称字段。仅当主体备用名称字段中提供的主机名或 IP 地址与使用证书的域控制器的地址匹配时,vRealize Operations 才能成功验证 Active Directory 证书并与 Active Directory 集成。
  • 基本 DN。供用户搜索的基本标识名。vRealize Operations 只能查找使用基本 DN 的用户。基本 DN 是所导入用户的标识名 (DN) 的基础条目,它是用户名的基本条目,无需其他相关信息(例如,用户帐户的完整路径或包含相关域组件)。虽然 vRealize Operations 会填充基本 DN,但是管理员必须先验证该基本 DN,然后再保存 LDAP 配置。
  • 用户名。可以登录 LDAP 主机的用户帐户的名称。
  • 重置密码。重置可以登录 LDAP 主机的用户帐户的密码。
  • 自动同步已配置组的用户成员资格。选择该选项后,vRealize Operations 可以将导入的 LDAP 用户映射到用户组。
  • 公用名称。用于标识用户名的 LDAP 属性。Active Directory 的默认属性为 userPrincipalName
  • 端口。用于导入的端口。如果未使用 SSL/TLS,请使用端口 389;如果使用 SSL/TLS,请使用端口 636;也可以选择其他端口号。对于非 SSL/TLS 全局目录端口为 3268,对于 SSL/TLS 为 3269。

搜索条件

显示搜索条件设置。

虽然 vRealize Operations 会填充部分搜索条件,但是管理员必须根据 LDAP 类型的属性验证设置,以确保这些设置正确。

  • 组搜索条件。用于查找 LDAP 组的搜索条件。如果不包括此选项,vRealize Operations 将使用默认搜索参数:(|(objectClass=group)(objectClass=groupOfNames))
  • 成员属性。包含成员列表的组对象的属性名称。如果不包括此选项,vRealize Operations 将使用默认成员。
  • 用户搜索条件。通过使用成员字段来查找并缓存 LDAP 用户的搜索条件。以 (|(key1=value1)(key2=value2)) 格式输入多组“键=值”对。如果不包括此选项,vRealize Operations 将单独搜索每个用户。此操作可能会花费额外的时间。
  • 成员匹配字段。要与组对象中的成员条目匹配的用户对象的属性名称。如果不包括此选项,vRealize Operations 会将成员条目视为标识名。
  • LDAP 上下文属性。vRealize Operations 应用到 LDAP 上下文环境中的属性。输入以逗号分隔的多组“键=值”对,例如 java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse

测试

测试是否可使用所提供的凭据访问主机。虽然对连接的测试已成功,但是使用搜索功能的用户必须在 LDAP 源中具有读取权限。

该测试不会验证“基本 DN”或“公用名称”条目的准确性。

表 4. 身份验证源:为用户和组导入添加源 - 选择 VMware Identity Manager 时可用的选项。
选项 描述
主机 单点登录用户服务器所驻留的 VMware Identity Manager 计算机的名称或 IP 地址。
端口 单点登录侦听端口。默认情况下,此选项设置为 443。
租户 这是可选字段。
用户名 VMware Identity Manager 系统域租户管理员的用户名。
密码 VMware Identity Manager 系统域租户管理员的密码。
重定向 IP/FQDN

这是从 VMware Identity Manager 成功进行身份验证后重定向用户的 vRealize Operations 节点的 IP 地址。默认情况下,这是 vRealize Operations 主节点的 IP 地址。

注: 当主副本在 vRealize Operations 上成为主节点后, vRealize Operations 管理员必须手动编辑 IP 地址,并将其设置为当前主节点的 IP 地址。
测试

测试是否可使用所提供的凭据访问 VMware Identity Manager 计算机。