In der Verwaltungskonsole können Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory angeben sowie Benutzer und Gruppen zur Synchronisierung mit dem VMware Identity Manager-Verzeichnis auswählen.
Warum und wann dieser Vorgang ausgeführt wird
Als Active Directory-Verbindungsoptionen stehen „Active Directory über LDAP“ und „Active Directory (integrierte Windows-Authentifizierung)“ zur Verfügung. Bei „Active Directory über LDAP“ wird die DNS-Dienstspeicherort-Suche unterstützt. Bei „Active Directory (integrierte Windows-Authentifizierung)“ konfigurieren Sie die Domäne, der Sie beitreten.
Voraussetzungen
Wählen Sie auf der Seite „Benutzerattribute“ die erforderlichen Attribute aus und fügen Sie ggf. zusätzliche Attribute hinzu. Siehe Auswahl der mit dem Verzeichnis zu synchronisierenden Attribute.
Wichtig:Wenn Sie XenApp-Ressourcen mit VMware Identity Manager synchronisieren möchten, müssen Sie distinguishedName als erforderliches Attribut festlegen. Diese Auswahl muss vor dem Erstellen eines Verzeichnisses getroffen werden, da Attribute nicht in erforderliche Attribute geändert werden können, nachdem ein Verzeichnis erstellt wurde.
Liste der Active Directory-Gruppen und -Benutzer, die aus Active Directory synchronisiert werden sollen.
Für „Active Directory über LDAP“ gehören zu den erforderlichen Informationen der Basis-DN, der Bind-DN und das Bind-DN-Kennwort.
Anmerkung:Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Für die integrierte Windows-Authentifizierung von Active Directory werden die Bind-Benutzer-UPN-Adresse und das entsprechende Kennwort benötigt.
Anmerkung:Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Wenn Active Directory einen Zugriff über SSL oder STARTTLS erfordert, ist das Stamm-Zertifizierungsstellenzertifikat des Active Directory-Domänencontrollers erforderlich.
Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Strukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorgruppe der Domäne hinzugefügt wurde, die die lokalen Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.
Prozedur
Ergebnisse
Die Verbindung zu Active Directory ist hergestellt. Benutzer und Gruppen werden aus dem Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert. Standardmäßig hat der Bind-DN-Benutzer eine Administratorrolle in VMware Identity Manager.
Nächste Maßnahme
Wenn Sie ein Verzeichnis erstellt haben, das den DNS-Dienstspeicherort unterstützt, wurde eine Datei domain_krb.properties erstellt und mit einer Liste aller Domänencontroller aufgefüllt. Zeigen Sie die Datei an und prüfen oder bearbeiten Sie die Liste der Domänencontroller. Siehe Informationen zur Auswahl von Domänencontrollern.
Richten Sie Authentifizierungsmethoden ein. Nachdem Benutzer und Gruppen mit dem Verzeichnis synchronisiert wurden, können Sie zusätzliche Authentifizierungsmethoden für den Connector konfigurieren, falls dieser auch zur Authentifizierung verwendet wird. Wenn ein externer Identitätsanbieter zur Authentifizierung verwendet wird, konfigurieren Sie diesen Identitätsanbieter im Connector.
Überprüfen Sie die Standardzugriffsrichtlinie. Die Standardzugriffsrichtlinie wird so konfiguriert, dass alle Appliances in allen Netzwerkbereichen auf den Webbrowser zugreifen können, wobei ein Sitzungs-Timeout von acht Stunden bzw. der Zugriff auf eine Client-App innerhalb eines Sitzungs-Timeout von 2160 Stunden (90 Tagen) festgelegt wird. Sie können die Standardzugriffsrichtlinie ändern. Wenn Sie Web-Anwendungen dem Katalog hinzufügen, können Sie zudem neue Standardzugriffsrichtlinien erstellen.
Wenden Sie das benutzerdefinierte Branding auf die Verwaltungskonsole, die Benutzerportalseiten und den Anmeldebildschirm an.