In der Verwaltungskonsole geben Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem aktiven Verzeichnis an und wählen Benutzer und Gruppen zur Synchronisierung mit dem VMware Identity Manager-Verzeichnis aus.

Als aktive Verzeichnis-Verbindungsoptionen stehen „Aktives Verzeichnis über LDAP“ und „Aktives Verzeichnis (integrierte Windows-Authentifizierung)“ zur Verfügung. Bei „Aktives Verzeichnis über LDAP“ wird die DNS-Dienstspeicherort-Suche unterstützt.

Voraussetzungen

  • (SaaS) Connector wurde installiert und aktiviert.
  • Wählen Sie auf der Seite „Benutzerattribute“ die erforderlichen Attribute aus und fügen Sie zusätzliche Attribute hinzu. Siehe Auswahl der mit dem Verzeichnis zu synchronisierenden Attribute.
  • Liste der Active Directory-Benutzer und -Gruppen, die aus Active Directory synchronisiert werden sollen. Gruppennamen werden sofort mit dem Verzeichnis synchronisiert. Mitglieder einer Gruppe werden erst synchronisiert, wenn die Gruppe Berechtigungen für Ressourcen hat oder einer Richtlinienregel hinzugefügt wurde. Benutzer, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden, sollten während der Erstkonfiguration hinzugefügt werden.
  • Für „Aktives Verzeichnis über LDAP“ gehören zu den erforderlichen Informationen die Basis-DN, die Bind-DN und das Bind-DN-Kennwort.
    Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  • Für das aktive Verzeichnis (integrierte Windows-Authentifizierung) werden die Bind-Benutzer-UPN-Adresse und das entsprechende Kennwort benötigt.
    Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  • Wenn das aktive Verzeichnis einen Zugriff über SSL oder STARTTLS erfordert, ist das Stamm-Zertifizierungsstellenzertifikat des aktiven Verzeichnis-Domänencontrollers erforderlich.
  • Verfügen Sie über eine aktive Verzeichnis-Umgebung (mit integrierter Windows-Authentifizierung), in der mehrere Gesamtstrukturen konfiguriert sind und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Strukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorengruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.

Prozedur

  1. In der Verwaltungskonsole klicken Sie auf die Registerkarte Identitäts- und Zugriffsmanagement.
  2. Auf der Seite der Verzeichnisse klicken Sie auf Verzeichnis hinzufügen.
  3. Geben Sie einen Namen für diesesVMware Identity Manager-Verzeichnis ein.
  4. Wählen Sie den aktives Verzeichnis-Typ in Ihrer Umgebung und konfigurieren Sie die Verbindungsinformationen.
    Option Beschreibung
    Aktives Verzeichnis über LDAP
    1. Wählen Sie im Textfeld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung mit Active Directory verwendet werden soll.

      In einer lokalen Bereitstellung ist standardmäßig immer eine Connectorkomponente mit dem VMware Identity Manager-Dienst verfügbar. Dieser Connector wird im Dropdown-Menü angezeigt. Wenn Sie mehrere VMware Identity Manager-Instanzen für Hochverfügbarkeit installieren, erscheint die Connectorkomponente jeder Instanz in der Liste. Außerdem werden zusätzliche, externe Connectoren aufgeführt.

    2. Klicken Sie im Textfeld Authentifizierung auf Ja, wenn dieses Active Directory zur Authentifizierung der Benutzer verwendet wird.

      Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die aktive Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Wählen Sie im Textfeld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält.
    4. Wenn das aktive Verzeichnis die DNS-Dienstspeicherort-Suche verwendet, treffen Sie die nachfolgend aufgeführte Auswahl.
      • Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.

        Wenn das Verzeichnis erstellt wird, wird auch eine Datei namens domain_krb.properties angelegt, die automatisch mit einer Liste der Domänencontroller aufgefüllt wird. Siehe Informationen zur Auswahl von Domänencontrollern.

      • Wenn das aktive Verzeichnis eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein.

        Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

        Hinweis: Wenn für das aktive Verzeichnis STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.
    5. Wenn das aktive Verzeichnis nicht die DNS-Dienstspeicherort-Suche verwendet, treffen Sie die folgende Auswahl.
      • Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein.

        Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Aktive Verzeichnis-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in Active Directory-Umgebungen.

      • Wenn für das aktive Verzeichnis ein Zugriff über eine SSL-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Feld SSL-Zertifikat ein.

        Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

        Hinweis: Wenn für das aktives Verzeichnis SSL erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.
    6. Geben Sie im Feld Basis-DN den Namen der Domäne an, in der die Kontosuche beginnen soll. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com.
    7. Geben Sie im Feld Bind-DN das Konto an, das nach Benutzern suchen kann. Beispiel: CN=MeineEinheit,DC=MeineFirma,DC=com.
      Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
    8. Nach Eingabe des Bind-Kennworts klicken Sie auf Verbindung testen, um zu überprüfen, ob das Verzeichnis eine Verbindung mit dem aktiven Verzeichnis herstellen kann.
    Aktives Verzeichnis (integrierte Windows-Authentifizierung)
    1. Wählen Sie im Feld Synchronisierungs-Connector den Connector aus, der für die Synchronisierung mit dem aktiven Verzeichnis verwendet werden soll.
    2. Klicken Sie im Feld Authentifizierung auf Ja, wenn dieses aktive Verzeichnis zur Authentifizierung der Benutzer verwendet wird.

      Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die aktive Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält.
    4. Wenn das Active Directory eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein.

      Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „ZERTIFIKATANFANG“ und „ZERTIFIKATENDE“ enthält.

      Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate für alle Domänen gleichzeitig hinzu.

      Hinweis: Wenn für das aktive Verzeichnis STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.
    5. (Nur Linux) Geben Sie den Namen der aktive Verzeichnis-Domäne ein, der beigetreten werden soll. Geben Sie eine Kombination von Benutzername und Kennwort ein, die eine Berechtigung zum Beitreten der Domäne besitzt. Weitere Informationen hierzu finden Sie unter Erforderliche Berechtigungen für den Beitritt zu einer Domäne (nur virtuelle Linux-Appliance).
    6. Geben Sie im Textfeld „Bind-Benutzer-UPN“ den Benutzerprinzipalnamen des Benutzers ein, der sich bei der Domäne authentifizieren kann. Beispiel: [email protected].
      Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
    7. Geben Sie das Bind-Benutzerkennwort ein.
  5. Klicken Sie auf Speichern und weiter.
    Daraufhin wird die Seite mit der Liste der Domänen angezeigt.
  6. Bei Verwendung von „Aktives Verzeichnis über LDAP“ werden die Domänen mit einem Häkchen aufgeführt.
    Bei Verwendung von „Aktives Verzeichnis (integrierte Windows-Authentifizierung)“ wählen Sie die Domänen aus, die dieser aktiven Verzeichnis-Verbindung zugeordnet werden sollen.
    Hinweis: Wenn Sie nach der Verzeichniserstellung eine Domäne mit Vertrauensbeziehung hinzufügen, erkennt der Dienst nicht automatisch die neue Domäne mit Vertrauensbeziehung. Damit der Dienst die Domäne erkennen kann, muss der Connector die Domäne verlassen und ihr dann erneut beitreten. Wenn der Connector erneut der Domäne beitritt, wird die Domäne mit Vertrauensbeziehung in der Liste angezeigt.

    Klicken Sie auf Weiter.

  7. Überprüfen Sie, ob die VMware Identity Manager-Verzeichnis-Attributnamen den richtigen aktiven Verzeichnis-Attributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor. Klicken Sie dann auf Weiter.
  8. Wählen Sie die Gruppen, die aus dem aktiven Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.
    Wenn hier Gruppen hinzugefügt werden, werden Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde. Alle nachfolgenden Synchronisierungsvorgänge bringen aktualisierte Informationen vom Active Directory für diese Gruppennamen.
    Option Beschreibung
    Gruppen-DNs angeben Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen an, die sich darunter befinden.
    1. Klicken Sie auf + und geben Sie den Gruppen-DN an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com
      Wichtig: Geben Sie Gruppen-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    2. Klicken Sie auf Gruppen suchen.

      In der Spalte Gruppen für die Synchronisation ist die Anzahl der Gruppen aufgeführt, die im DN gefunden wurden.

    3. Um alle Gruppen in dem DN auszuwählen, klicken Sie auf Alle auswählen, klicken Sie ansonsten auf Auswählen und wählen Sie die spezifischen Gruppen für die Synchronisierung aus.
    Hinweis: Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe im aktiven Verzeichnis darstellt, nicht synchronisiert.
    Geschachtelte Gruppenmitglieder synchronisieren

    Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören, wenn die Gruppe dazu berechtigt ist. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben.

    Wenn die Option Geschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Aktives-Verzeichnis-Konfigurationen sinnvoll, wenn die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

  9. Klicken Sie auf Weiter.
  10. Geben Sie die zu synchronisierenden Benutzer ein.
    Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.
    1. Klicken Sie auf + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
      Wichtig: Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    2. (Optional) Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen.
      Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.
  11. Klicken Sie auf Weiter.
  12. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Synchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

  13. Um die Synchronisierung mit dem Verzeichnis zu starten, klicken Sie auf Verzeichnis synchronisieren.

Ergebnisse

Die Verbindung zum Active Directory ist hergestellt. Benutzer und Gruppennamen werden aus dem Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert. Standardmäßig hat der Bind-DN-Benutzer eine Administratorenrolle inne VMware Identity Manager.

Nächste Maßnahme

  • Wenn Sie ein Verzeichnis erstellt haben, das den DNS-Dienstspeicherort unterstützt, wurde eine Datei domain_krb.properties erstellt und mit einer Liste aller Domänencontroller aufgefüllt. Zeigen Sie die Datei an und prüfen oder bearbeiten Sie die Liste der Domänencontroller. Siehe Informationen zur Auswahl von Domänencontrollern.
  • Richten Sie Authentifizierungsmethoden ein. Nachdem Benutzer und Gruppennamen mit dem Verzeichnis synchronisiert wurden, können Sie zusätzliche Authentifizierungsmethoden für den Konnektor konfigurieren, falls dieser auch zur Authentifizierung verwendet wird. Wenn ein externer Identitätsanbieter zur Authentifizierung verwendet wird, konfigurieren Sie diesen Identitätsanbieter im Konnektor.
  • Überprüfen Sie die Standardzugriffsrichtlinie. Die Standardzugriffsrichtlinie wird so konfiguriert, dass alle Geräte in allen Netzwerkbereichen auf das Web-Portal zugreifen können, wobei ein Sitzungs-Timeout von acht Stunden bzw. der Zugriff auf eine Client-App innerhalb eines Sitzungs-Timeout von 2160 Stunden (90 Tagen) festgelegt wird. Sie können die Standardzugriffsrichtlinie ändern. Wenn Sie Web-Anwendungen dem Katalog hinzufügen, können Sie zudem neue Standardzugriffsrichtlinien erstellen.
  • (Lokal) Wenden Sie das benutzerdefinierte Branding auf die Verwaltungskonsole, die Benutzerportalseiten und den Anmeldebildschirm an.