In der Verwaltungskonsole können Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory angeben sowie Benutzer und Gruppen zur Synchronisierung mit dem VMware Identity Manager-Verzeichnis auswählen.

Warum und wann dieser Vorgang ausgeführt wird

Als Active Directory-Verbindungsoptionen stehen „Active Directory über LDAP“ und „Active Directory (integrierte Windows-Authentifizierung)“ zur Verfügung. Bei „Active Directory über LDAP“ wird die DNS-Dienstspeicherort-Suche unterstützt. Bei „Active Directory (integrierte Windows-Authentifizierung)“ konfigurieren Sie die Domäne, der Sie beitreten.

Voraussetzungen

  • Wählen Sie auf der Seite „Benutzerattribute“ die erforderlichen Attribute aus und fügen Sie ggf. zusätzliche Attribute hinzu. Siehe Auswahl der mit dem Verzeichnis zu synchronisierenden Attribute.

    Wichtig:

    Wenn Sie XenApp-Ressourcen mit VMware Identity Manager synchronisieren möchten, müssen Sie distinguishedName als erforderliches Attribut festlegen. Diese Auswahl muss vor dem Erstellen eines Verzeichnisses getroffen werden, da Attribute nicht in erforderliche Attribute geändert werden können, nachdem ein Verzeichnis erstellt wurde.

  • Liste der Active Directory-Gruppen und -Benutzer, die aus Active Directory synchronisiert werden sollen.

  • Für „Active Directory über LDAP“ gehören zu den erforderlichen Informationen der Basis-DN, der Bind-DN und das Bind-DN-Kennwort.

    Anmerkung:

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Für die integrierte Windows-Authentifizierung von Active Directory werden die Bind-Benutzer-UPN-Adresse und das entsprechende Kennwort benötigt.

    Anmerkung:

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Wenn Active Directory einen Zugriff über SSL oder STARTTLS erfordert, ist das Stamm-Zertifizierungsstellenzertifikat des Active Directory-Domänencontrollers erforderlich.

  • Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Strukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorgruppe der Domäne hinzugefügt wurde, die die lokalen Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.

Prozedur

  1. In der Verwaltungskonsole klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement.
  2. Auf der Seite der Verzeichnisse klicken Sie auf Verzeichnis hinzufügen.
  3. Geben Sie einen Namen für dieses-VMware Identity ManagerVerzeichnis ein.
  4. Wählen Sie den Active Directory-Typ in Ihrer Umgebung und konfigurieren Sie die Verbindungsinformationen.

    Option

    Beschreibung

    Active Directory über LDAP

    1. Wählen Sie im Feld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung mit Active Directory verwendet werden soll.

    2. Klicken Sie im Feld Authentifizierung auf Ja, wenn dieses Active Directory zur Authentifizierung der Benutzer verwendet wird.

      Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die Active Directory-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält.

    4. Wenn das Active Directory die DNS-Dienstspeicherort-Suche verwendet, treffen Sie die nachfolgend aufgeführte Auswahl.

      • Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.

        Wenn das Verzeichnis erstellt wird, wird auch eine Datei namens domain_krb.properties angelegt, die automatisch mit einer Liste der Domänencontroller aufgefüllt wird. Siehe Informationen zur Auswahl von Domänencontrollern.

      • Wenn das Active Directory eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das Active Directory-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Feld SSL-Zertifikat ein.

        Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein.

        Anmerkung:

        Wenn für das Active Directory STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    5. Wenn das Active Directory nicht die DNS-Dienstspeicherort-Suche verwendet, treffen Sie die folgende Auswahl.

      • Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein.

        Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in Active Directory-Umgebungen.

      • Wenn für das Active Directory ein Zugriff über eine SSL-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das Active Directory-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Feld SSL-Zertifikat ein.

        Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein.

        Anmerkung:

        Wenn für das Active Directory SSL erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    6. Geben Sie im Feld Basis-DN den Namen der Domäne an, in der die Kontosuche beginnen soll. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com.

    7. Geben Sie im Feld Bind-DN das Konto an, das nach Benutzern suchen kann. Beispiel: CN=MeineEinheit,DC=MeineFirma,DC=com.

      Anmerkung:

      Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    8. Nach Eingabe des Bind-Kennworts klicken Sie auf Verbindung testen, um zu überprüfen, ob das Verzeichnis eine Verbindung mit Active Directory herstellen kann.

    Active Directory (integrierte Windows-Authentifizierung)

    1. Wählen Sie im Feld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung mit Active Directory verwendet werden soll.

    2. Klicken Sie im Feld Authentifizierung auf Ja, wenn dieses Active Directory zur Authentifizierung der Benutzer verwendet wird.

      Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die Active Directory-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält.

    4. Wenn für das Active Directory eine STARTTLS-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS im Abschnitt Zertifikate, kopieren Sie das Active Directory-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Feld SSL-Zertifikat ein.

      Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein.

      Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate für alle Domänen gleichzeitig hinzu.

      Anmerkung:

      Wenn für das Active Directory STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    5. Geben Sie den Namen der Active Directory-Domäne ein, der beigetreten werden soll. Geben Sie eine Kombination von Benutzername und ein Kennwort ein, die eine Berechtigung zum Beitreten der Domäne besitzt. Weitere Informationen hierzu finden Sie unter Zum Beitreten einer Domäne erforderliche Genehmigungen.

    6. Geben Sie im Feld „Bind-Benutzer-UPN“ den Benutzer-Prinzipalnamen des Benutzers an, der sich bei der Domäne authentifizieren kann. Beispiel: [email protected].

      Anmerkung:

      Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    7. Geben Sie das Bind-Benutzerkennwort ein.

  5. Klicken Sie auf Speichern und weiter.

    Daraufhin wird die Seite mit der Liste der Domänen angezeigt.

  6. Bei Verwendung von „Active Directory über LDAP“ werden die Domänen mit einem Häkchen aufgeführt.

    Bei Verwendung von „Active Directory (integrierte Windows-Authentifizierung)“ wählen Sie die Domänen aus, die dieser Active Directory-Verbindung zugeordnet werden sollen.

    Anmerkung:

    Wenn Sie nach der Verzeichniserstellung eine Domäne mit Vertrauensbeziehung hinzufügen, erkennt der Dienst nicht automatisch die neue Domäne mit Vertrauensbeziehung. Damit der Dienst die Domäne erkennen kann, muss der Connector die Domäne verlassen und ihr dann erneut beitreten. Wenn der Connector erneut der Domäne beitritt, wird die Domäne mit Vertrauensbeziehung in der Liste angezeigt.

    Klicken Sie auf Weiter.

  7. Überprüfen Sie, ob die VMware Identity Manager-Verzeichnis-Attributnamen den richtigen Active Directory-Attributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor. Klicken Sie dann auf Weiter.
  8. Wählen Sie die Gruppen, die aus Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.

    Option

    Beschreibung

    Gruppen-DNs angeben

    Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen an, die sich darunter befinden.

    1. Klicken Sie auf + und geben Sie den Gruppen-DN an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com

      Wichtig:

      Geben Sie Gruppen-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. Klicken Sie auf Gruppen suchen.

      In der Spalte Gruppen für die Synchronisation ist die Anzahl der Gruppen aufgeführt, die im DN gefunden wurden.

    3. Um alle Gruppen in dem DN auszuwählen, klicken Sie auf Alle auswählen, klicken Sie ansonsten auf Auswählen und wählen Sie die spezifischen Gruppen für die Synchronisierung aus.

    Anmerkung:

    Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.

    Geschachtelte Gruppenmitglieder synchronisieren

    Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben.

    Wenn die Option Geschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Active Directory-Konfigurationen sinnvoll, wenn die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

  9. Klicken Sie auf Weiter.
  10. Geben Sie ggf. zusätzliche zu synchronisierende Benutzer an.
    1. Klicken Sie auf das + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
      Wichtig:

      Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. (Optional) Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen.

      Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.

  11. Klicken Sie auf Weiter.
  12. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Synchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

  13. Um die Synchronisierung mit dem Verzeichnis zu starten, klicken Sie auf Verzeichnis synchronisieren.

Ergebnisse

Die Verbindung zu Active Directory ist hergestellt. Benutzer und Gruppen werden aus dem Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert. Standardmäßig hat der Bind-DN-Benutzer eine Administratorrolle in VMware Identity Manager.

Nächste Maßnahme

  • Wenn Sie ein Verzeichnis erstellt haben, das den DNS-Dienstspeicherort unterstützt, wurde eine Datei domain_krb.properties erstellt und mit einer Liste aller Domänencontroller aufgefüllt. Zeigen Sie die Datei an und prüfen oder bearbeiten Sie die Liste der Domänencontroller. Siehe Informationen zur Auswahl von Domänencontrollern.

  • Richten Sie Authentifizierungsmethoden ein. Nachdem Benutzer und Gruppen mit dem Verzeichnis synchronisiert wurden, können Sie zusätzliche Authentifizierungsmethoden für den Connector konfigurieren, falls dieser auch zur Authentifizierung verwendet wird. Wenn ein externer Identitätsanbieter zur Authentifizierung verwendet wird, konfigurieren Sie diesen Identitätsanbieter im Connector.

  • Überprüfen Sie die Standardzugriffsrichtlinie. Die Standardzugriffsrichtlinie wird so konfiguriert, dass alle Appliances in allen Netzwerkbereichen auf den Webbrowser zugreifen können, wobei ein Sitzungs-Timeout von acht Stunden bzw. der Zugriff auf eine Client-App innerhalb eines Sitzungs-Timeout von 2160 Stunden (90 Tagen) festgelegt wird. Sie können die Standardzugriffsrichtlinie ändern. Wenn Sie Web-Anwendungen dem Katalog hinzufügen, können Sie zudem neue Standardzugriffsrichtlinien erstellen.

  • Wenden Sie das benutzerdefinierte Branding auf die Verwaltungskonsole, die Benutzerportalseiten und den Anmeldebildschirm an.