Beim Importieren von Benutzerkontoinformationen, die sich auf einer anderen Maschine befindet, müssen die Kriterien für den Import der Benutzerkonten aus der Quellmaschine definiert werden.

Vorgehensweise zum Hinzufügen oder Bearbeiten von Authentifizierungsquellen

  1. Klicken Sie zum Hinzufügen von Authentifizierungsquellen im linken Menü auf Verwaltung > Systemsteuerung und dann auf die Kachel Authentifizierungsquellen.
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie zum Bearbeiten der Authentifizierungsquellen auf Bearbeiten.
Tabelle 1. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen
Option Beschreibung
Anzeigename der Quelle Der Name, den Sie der Authentifizierungsquelle zuweisen.
Quelltyp
Hinweis: Die Option, die Sie im Dropdown-Feld Quelltyp auswählen, wirkt sich auf die Optionen aus, die in diesem Dialogfeld zur Verfügung stehen.
Zeigt den Typ der Verzeichnisdienstzugangstechnologie an, um auf die Quell-Maschine zuzugreifen, auf der sich die Datenbank der Benutzerkonten befindet. Es gibt zwei Datenbanktypen: LDAP und Single-Sign-On. Zu den Optionen gehören:
  • SSO SAML: Ein XML-basierter Standard für Single-Sign-On über einen Webbrowser, der Benutzer aktiviert, um Single-Sign-On für verschiedene Anwendungen durchzuführen.
  • VMware Identity Manager: Eine Plattform, auf der Sie Benutzer und Gruppen, Ressourcen und die Benutzerauthentifizierung sowie Zugriffsrichtlinien verwalten können. Außerdem können Sie Benutzern den Zugriff auf Ressourcen gewähren.
  • VMware SSO: Browserbasiertes SSO, das externen Identitätsanbieter für die Anmeldung bei vCenter Server, VMware Aria Operations, VMware Aria Operations for Logs und VMware Aria Operations Orchestrator verwendet, ohne dass die Anmeldedaten erneut eingegeben werden müssen.
  • Open LDAP: Ein plattformunabhängiges Protokoll, das Zugang zu einer LDAP-Datenbank auf einer anderen Maschine bereitstellt, um Benutzerkonten zu importieren.
  • Sonstige: Gibt beliebige andere LDAP-basierte Verzeichnisse an, z. B. Novel oder OpenDJ, die zum Importieren von Benutzerkonten von einer LDAP-Datenbank auf eine Linux Mac-Maschine verwendet werden.
Tabelle 2. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Optionen, die zur Verfügung stehen, wenn SSO SAML ausgewählt wurde
Name Beschreibung
Host Name oder IP-Adresse der Host-Maschine, auf der sich der Single-Sign-On-Benutzerserver befindet.
Port Der Single-Sign-On-Listening-Port. Dieser ist standardmäßig auf 443 festgelegt.
Benutzername Der Name des Benutzerkontos, mit dem die Anmeldung bei der Single-Sign-On-Hostmaschine erfolgen kann.
Kennwort Das Kennwort des Benutzerkontos, mit dem die Anmeldung bei der Single-Sign-On-Hostmaschine erfolgen kann.
Soll VMware Aria Operations für die zukünftige Konfiguration die Administratorrolle zugewiesen werden? Wenn Sie eine SSO-Quelle erstellt haben, wird ein neues VMware Aria Operations-Benutzerkonto auf dem Single-Sign-On-Server erstellt.
  • Wählen Sie Ja, um VMware Aria Operations eine Administratorrolle zuzuweisen, damit er zum Konfigurieren der SSO-Quelle verwendet werden kann, wenn Änderungen an der VMware Aria Operations-Konfiguration vorgenommen werden.
  • Wenn Sie Nein auswählen und die VMware Aria Operations-Konfiguration geändert wird, können sich SSO-Benutzer erst anmelden, nachdem Sie die SSO-Quelle erneut registriert haben.
Automatische Weiterleitung zur VMware Aria Operations-Single-Sign-On-URL? Nachdem Sie eine Single-Sign-On-Quelle konfiguriert haben, werden Benutzer zum vCenter SSO-Server weitergeleitet.
  • Wählen Sie Ja, um Benutzer zur Authentifizierung zum Single-Sign-On-Server weiterzuleiten.
  • Wenn Sie Nein auswählen, müssen sich Benutzer über die VMware Aria Operations-Anmeldeseite anmelden.
Single-Sign-On-Benutzergruppen nach dem Hinzufügen der aktuellen Quelle importieren? Wenn Sie eine SSO-Quelle eingerichtet haben, importieren Sie Benutzer und Benutzergruppen in den VMware Aria Operations, sodass Single-Sign-On-Benutzer mit ihren Single-Sign-On-Berechtigungen auf das System zugreifen können.
  • Wenn Sie Ja auswählen, leitet Sie der Assistent auf die Seite „Benutzergruppen importieren“ weiter, sodass Sie Benutzergruppen importieren können, sobald Sie die Einrichtung der SSO-Quelle abgeschlossen haben.
  • Wenn Sie Benutzerkonten oder Benutzergruppen zu einem späteren Zeitpunkt importieren möchten, wählen Sie Nein.
Erweitert Wenn Ihr System einen Lastausgleichsdienst verwendet, geben Sie die IP-Adresse des Lastausgleichsdienstes ein.
Testen

Testet, ob die Hostmaschine mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann.

Tabelle 3. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Optionen, die zur Verfügung stehen, wenn VMware SSO ausgewählt ist.
Name Beschreibung
Host Der Name oder die IP-Adresse der vCenter Server-Hostmaschine, auf der VMware SSO konfiguriert wurde.
Port Der Single-Sign-On-Listening-Port. Dieser ist standardmäßig auf 443 festgelegt.
Tenant
Benutzername Der Name des vCenter Server-Benutzerkontos, mit dem die Anmeldung bei der VMware SSO-Hostmaschine erfolgen kann.
Hinweis: Dem Benutzer muss die Berechtigung VcIdentityProviders.Manage zugewiesen sein.
Kennwort Das Kennwort des vCenter Server-Benutzerkontos, mit dem die Anmeldung bei der VMware SSO-Hostmaschine erfolgen kann.
Hinweis: Während eines bestimmten Zeitraums kann nur eine VMware Single Sign-On-Konfiguration vorhanden sein.
Tabelle 4. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Verfügbare Optionen, wenn Open LDAP, Active Directory und Sonstige ausgewählt wurden
Option Beschreibung

Grundeinstellungen für den Integrationsmodus

Wendet Grundeinstellungen an, um die LDAP-Importquelle in die Instanz von VMware Aria Operations zu integrieren.

Mithilfe der Grundeinstellungen des Integrationsmodus kann VMware Aria Operations die Hostmaschine ermitteln, auf der sich die LDAP-Datenbank befindet, und den eindeutigen Basisnamen (Basis-DN) festlegen, der zur Suche nach Nutzern verwendet wird. Sie geben den Namen der Domäne und der Subdomäne an, die VMware Aria Operations als Host- und Basis-DN einträgt, und tragen Name und Kennwort des Benutzers ein, der sich bei der LDAP-Hostmaschine anmelden kann.

Im Grundmodus wird versucht, den Host und Port vom DNS-Server sowie den globalen Katalog und die Domänencontroller für die Domäne abzurufen, wobei SSL-/TLS-aktivierte Server bevorzugt werden.

  • Domäne/Subdomäne. Domäneninformationen für das LDAP-Benutzerkonto.
    Hinweis: Um Benutzer und Gruppen aus mehreren Unterdomänen zu importieren, verwenden Sie die Stammdomäne.com anstelle der Unterdomäne. Die Verwendung einer Unterdomäne schränkt die Sichtbarkeit von VMware Aria Operations für Gruppen und Benutzer aus dieser Unterdomäne ein.
  • SSL/TLS verwenden. Bei Auswahl dieser Option verwendet VMware Aria Operations das SSL-/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) zur Bereitstellung einer sicheren Kommunikation beim Import von Benutzern aus einer LDAP-Datenbank. Das SSL-/TLS-Zertifikat braucht nicht installiert zu werden. Stattdessen fordert VMware Aria Operations Sie zur Anzeige und Überprüfung des Fingerabdrucks und zur Annahme des LDAP-Serverzertifikats auf. Nach erfolgter Annahme des Zertifikats wird die LDAP-Kommunikation aufgenommen.
  • Wenn Active Directory ein selbstsigniertes Zertifikat verwendet, sollte das Zertifikat das Feld Betreff Alternativer Name enthalten. VMware Aria Operations kann das Active Directory-Zertifikat erfolgreich überprüfen und nur dann in Active Directory integrieren, wenn der Hostname oder die IP-Adresse, die im Feld Betreff Alternativer Name angegeben ist, mit der Adresse des Domänencontrollers, auf den das Zertifikat angewendet wird, übereinstimmt.
  • Benutzername. Der Name des Benutzerkontos, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Kennwort zurücksetzen. Setzt das Kennwort für das Benutzerkonto zurück, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Benutzermitgliedschaft für konfigurierte Gruppen automatisch synchronisieren. Bei Auswahl dieser Option wird VMware Aria Operations aktiviert, um importierte LDAP-Benutzer zu Benutzergruppen zuzuordnen.
  • Host. Name oder IP-Adresse der Host-Maschine, auf der sich die LDAP-Benutzerdatenbank befindet.
  • Port. Für den Import verwendeter Port. Verwenden Sie Port 389, wenn Sie kein SSL/TLS verwenden, bzw. Port 636, wenn Sie SSL/TLS verwenden, oder eine andere Portnummer Ihrer Wahl. Die Ports des globalen Katalogs lauten 3268 für Nicht-SSL/TLS und 3269 für SSL/TLS.
  • Basis-DN. Basis-DN für die Benutzersuche. VMware Aria Operations sucht nur die Benutzer unter dem Basis-DN. Der Basis-DN ist ein einfacher Eintrag für den definierten Namen (DN) eines importierten Benutzers, der den Basiseintrag für den Benutzernamen darstellt, ohne dass andere entsprechende Informationen wie beispielsweise der vollständige Pfad zum Benutzerkonto oder der Einschluss entsprechender Domänen-Komponenten erforderlich ist. Das Feld für den Basis-DN wird zwar von VMware Aria Operations ausgefüllt, ein Administrator muss den Basis-DN jedoch vor dem Speichern der LDAP-Konfiguration überprüfen.
  • Allgemeiner Name. LDAP-Attribut, das zum Identifizieren des Benutzernamens verwendet wird. Das Standardattribut für Active Directory ist userPrincipalName.

Erweiterte Einstellungen für den Integrationsmodus

Wendet erweiterte Einstellungen an, um die LDAP-Importquelle in die Instanz von VMware Aria Operations zu integrieren.

Geben Sie im erweiterten Integrationsmodus manuell den Hostnamen und den Basis-DN ein, sodass VMware Aria Operations Benutzer importiert. Sie geben Name und Kennwort des Benutzers ein, der sich bei der LDAP-Hostmaschine anmelden kann.

  • Host. Name oder IP-Adresse der Host-Maschine, auf der sich die LDAP-Benutzerdatenbank befindet.
  • SSL/TLS verwenden. Bei Auswahl dieser Option verwendet VMware Aria Operations das SSL-/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) zur Bereitstellung einer sicheren Kommunikation beim Import von Benutzern aus einer LDAP-Datenbank. Das SSL-/TLS-Zertifikat braucht nicht installiert zu werden. Stattdessen fordert VMware Aria Operations Sie zur Anzeige und Überprüfung des Fingerabdrucks und zur Annahme des LDAP-Serverzertifikats auf. Nach erfolgter Annahme des Zertifikats wird die LDAP-Kommunikation aufgenommen.
  • Wenn Active Directory ein selbstsigniertes Zertifikat verwendet, sollte das Zertifikat das Feld Betreff Alternativer Name enthalten. VMware Aria Operations kann das Active Directory-Zertifikat erfolgreich überprüfen und nur dann in Active Directory integrieren, wenn der Hostname oder die IP-Adresse, die im Feld Betreff Alternativer Name angegeben ist, mit der Adresse des Domänencontrollers, auf den das Zertifikat angewendet wird, übereinstimmt.
  • Basis-DN. Basis-DN für die Benutzersuche. VMware Aria Operations sucht nur die Benutzer unter dem Basis-DN. Der Basis-DN ist ein einfacher Eintrag für den definierten Namen (DN) eines importierten Benutzers, der den Basiseintrag für den Benutzernamen darstellt, ohne dass andere entsprechende Informationen wie beispielsweise der vollständige Pfad zum Benutzerkonto oder der Einschluss entsprechender Domänen-Komponenten erforderlich ist. Das Feld für den Basis-DN wird zwar von VMware Aria Operations ausgefüllt, ein Administrator muss den Basis-DN jedoch vor dem Speichern der LDAP-Konfiguration überprüfen.
  • Benutzername. Der Name des Benutzerkontos, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Kennwort zurücksetzen. Setzt das Kennwort für das Benutzerkonto zurück, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Benutzermitgliedschaft für konfigurierte Gruppen automatisch synchronisieren. Bei Auswahl dieser Option wird VMware Aria Operations aktiviert, um importierte LDAP-Benutzer zu Benutzergruppen zuzuordnen.
  • Allgemeiner Name. LDAP-Attribut, das zum Identifizieren des Benutzernamens verwendet wird. Das Standardattribut für Active Directory ist userPrincipalName.
  • Port. Für den Import verwendeter Port. Verwenden Sie Port 389, wenn Sie kein SSL/TLS verwenden, bzw. Port 636, wenn Sie SSL/TLS verwenden, oder eine andere Portnummer Ihrer Wahl. Die Ports des globalen Katalogs lauten 3268 für Nicht-SSL/TLS und 3269 für SSL/TLS.

Suchkriterien

Zeigt die Einstellungen für die Suchkriterien an.

Obwohl VMware Aria Operations einen Teil der Suchkriterien einträgt, muss ein Administrator die Einstellungen bestätigen, um ihre Korrektheit gemäß den Eigenschaften des LDAP-Typs zu gewährleisten.

  • Kriterien für die Gruppensuche. Suchkriterien für LDAP-Gruppen. Wenn nicht angegeben, verwendet VMware Aria Operations die Standardsuchparameter: (|(objectClass=group)(objectClass=groupOfNames))
  • Mitgliederattribut. Der Name des Attributs eines Gruppenobjekts, das die Liste der Mitglieder enthält. Wenn nicht angegeben, verwendet VMware Aria Operations die Benutzer entsprechend der Voreinstellung.
  • Kriterien für die Benutzersuche. Suchkriterien für die Verwendung des Mitgliederfeldes, um LDAP-Benutzer zu finden und zu cachen. Sie geben Schlüssel-Wert-Paare in der Form (|(key1=value1)(key2=value2)) ein. Wenn nicht angegeben, sucht VMware Aria Operations nach jedem Benutzer einzeln. Dieser Vorgang kann zusätzliche Zeit in Anspruch nehmen.
  • Feld „Mitgliederübereinstimmung“. Name des Attributs für ein Benutzerobjekt, das zum Mitgliedereintrag eines Gruppenobjektes passt. Wenn nicht angegeben, behandelt VMware Aria Operations den Mitgliedereintrag als definierten Namen.
  • LDAP-Kontextattribute. Attribute, die VMware Aria Operations auf die LDAP-Kontextumgebung anwendet. Sie geben durch Komma getrennte Schlüssel-Wert-Paare ein, beispielsweise java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse.

Testen

Testet, ob die Hostmaschine mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann. Auch wenn ein Test der Verbindung erfolgreich ist, müssen Benutzer, die die Suchfunktion verwenden, Leserechte in der LDAP-Quelle haben.

Dieser Test überprüft nicht die Korrektheit der Einträge für den Basis-DN oder den Allgemeinen Namen.

Tabelle 5. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Optionen, die zur Verfügung stehen, wenn VMware Identity Manager ausgewählt wurde.
Option Beschreibung
Host Name oder IP-Adresse des VMware Identity Manager-Computers, auf dem sich der Single-Sign-On-Benutzerserver befindet.
Port Der Single-Sign-On-Listening-Port. Dieser ist standardmäßig auf 443 festgelegt.
Tenant Dies ist ein optionales Feld.
Benutzername VMware Identity Manager Systemdomäne Mandant Administrator Benutzername.
Kennwort Kennwort des Tenant-Administrators der VMware Identity Manager-Systemdomäne.
IP/FQDN umleiten

Dies ist die IP-Adresse des VMware Aria Operations-Knotens, zu dem VMware Identity Manager einen Benutzer nach erfolgreicher Authentifizierung umleitet. Standardmäßig ist dies die IP-Adresse des VMware Aria Operations-Primärknotens.

Hinweis: Wenn das Primärreplikat zum Primärknoten für VMware Aria Operations wird, muss der VMware Aria Operations-Administrator die IP-Adresse manuell bearbeiten und auf die IP-Adresse des aktuellen Primärknotens festlegen.
Testen

Testet, ob der VMware Identity Manager-Computer mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann.