Sie können Ihr LDAP-Unternehmensverzeichnis in VMware Identity Manager integrieren, um Benutzer und Gruppen aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Dienst zu synchronisieren.

Zum Integrieren Ihres LDAP-Verzeichnisses erstellen Sie ein entsprechendes VMware Identity Manager-Verzeichnis und synchronisieren Benutzer und Gruppen aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis. Sie können eine regelmäßige Synchronisierung für spätere Aktualisierungen einrichten.

Sie können auch die LDAP-Attribute auswählen, die für Benutzer synchronisiert werden sollen, und diese den VMware Identity Manager-Attributen zuordnen.

Die LDAP-Verzeichniskonfiguration kann auf Standardschemata oder benutzerdefinierten Schemata basieren. Sie kann auch über benutzerdefinierte Attribute verfügen. Damit VMware Identity Manager Ihr LDAP-Verzeichnis nach Benutzer- oder Gruppenobjekten abfragen kann, müssen Sie die LDAP-Suchfilter und Attributnamen angeben, die für Ihr LDAP-Verzeichnis gelten.

Insbesondere müssen Sie folgende Informationen angeben:

  • LDAP-Suchfilter zum Abfragen von Gruppen, Benutzern und des Verbindungsbenutzers
  • LDAP-Attributnamen für Gruppenmitgliedschaft, UUID und eindeutiger Name

Für die Funktion der LDAP-Verzeichnisintegration gelten bestimmte Einschränkungen. Siehe Einschränkungen bei der Integration von LDAP-Verzeichnissen.

Voraussetzungen

  • Prüfen Sie die Attribute auf der Seite Identitäts- und Zugriffsmanagement > Setup > Benutzerattribute, und fügen Sie weitere Attribute hinzu, die synchronisiert werden sollen. Sie ordnen die VMware Identity Manager-Attribute den Attributen Ihres LDAP-Verzeichnisses beim Erstellen des Verzeichnisses zu. Diese Attribute werden für die im Verzeichnis aufgeführten Benutzer synchronisiert.
    Hinweis: Wenn Sie Änderungen an Benutzerattributen vornehmen, sollten Sie die Auswirkungen auf andere Verzeichnisse im Dienst berücksichtigen. Wenn Sie sowohl Active Directory als auch LDAP-Verzeichnisse hinzufügen möchten, dürfen Sie mit Ausnahme des Attributs userName, das als erforderlich gekennzeichnet werden kann, kein Attribut als erforderlich markieren. Die Einstellungen auf der Seite „Benutzerattribute“ gelten für alle Verzeichnisse im Dienst. Wenn ein Attribut als erforderlich markiert ist, werden Benutzer ohne dieses Attribut nicht mit dem VMware Identity Manager-Dienst synchronisiert.
  • Ein Bind-DN-Benutzerkonto. Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  • In Ihrem LDAP-Verzeichnis muss die UUID von Benutzern und Gruppen reines Textformat haben.
  • In Ihrem LDAP-Verzeichnis muss ein Domänenattribut für alle Benutzer und Gruppen vorhanden sein.

    Dieses Attribut ordnen Sie dem Attribut VMware Identity Manager-Domäne beim Erstellen des VMware Identity Manager-Verzeichnisses zu.

  • Benutzernamen dürfen keine Leerzeichen enthalten. Wenn ein Benutzername ein Leerzeichen enthält, wird der Benutzer zwar synchronisiert, verfügt jedoch nicht über Berechtigungen.
  • Bei Verwendung der zertifikatbasierten Authentifizierung müssen Benutzer Werte für die Attribute „Nutzerhauptname“ und „E-Mail-Adresse“ haben.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Identitäts- und Zugriffsmanagement.
  2. Klicken Sie auf der Seite „Verzeichnisse“ auf Verzeichnis hinzufügen, und wählen Sie LDAP-Verzeichnis hinzufügen.
  3. Geben Sie die erforderlichen Informationen auf der Seite „LDAP-Verzeichnis hinzufügen“ ein.
    Option Beschreibung
    Verzeichnisname Name für das VMware Identity Manager-Verzeichnis.
    Verzeichnissynchronisierung und Authentifizierung
    1. Wählen Sie im Textfeld Synchronisierungs-Konnektor den Konnektor aus, der für die Synchronisierung von Benutzern und Gruppen aus Ihrem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis verwendet werden soll.

      In einer lokalen Bereitstellung ist standardmäßig immer eine Connectorkomponente mit dem VMware Identity Manager-Dienst verfügbar. Dieser Konnektor wird in der Dropdown-Liste angezeigt. Wenn Sie mehrere VMware Identity Manager-Instanzen für Hochverfügbarkeit installieren, erscheint die Connectorkomponente jeder Instanz in der Liste. Außerdem werden zusätzliche, externe Connectoren aufgeführt.

      Sie müssen keinen separaten Konnektor für ein LDAP-Verzeichnis verwenden. Ein Connector kann mehrere Verzeichnisse unterstützen – unabhängig davon, ob es sich dabei um ein aktives Verzeichnis oder LDAP-Verzeichnisse handelt. Weitere Informationen zu Szenarien, in denen Sie zusätzliche Konnektoren benötigen, finden Sie unter Installieren und Konfigurieren von VMware Identitätsmanager.

    2. Wählen Sie im Textfeld Authentifizierung die Option Ja, wenn Sie dieses LDAP-Verzeichnis für die Authentifizierung von Benutzern verwenden möchten.

      Wenn die Authentifizierung der Benutzer durch einen externen Identitätsanbieter erfolgen soll, wählen Sie Nein. Nach dem Hinzufügen der Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen öffnen Sie die Seite Identitäts- und Zugriffsmanagement > Verwalten > Identitätsanbieter, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Geben Sie im Textfeld Verzeichnissuchattribut das für den Benutzernamen zu verwendende LDAP-Verzeichnisattribut an. Wenn das Attribut nicht aufgeführt ist, wählen Sie Benutzerdefiniert, und geben Sie den Attributnamen ein, z. B.cn.
    Server-Speicherort Geben Sie den Host und die Portnummer des LDAP-Verzeichnisservers ein. Für den Server-Host können Sie entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Z. B. meinLDAPserver.beispiel.com oder 100.00.00.0.

    Wenn sich hinter einem Lastausgleichsdienst ein Server-Cluster befindet, geben Sie stattdessen die Informationen zum Lastausgleichsdienst ein.

    LDAP-Konfiguration Geben Sie die LDAP-Suchfilter und -Attribute an, die VMware Identity Manager zur Abfrage Ihres LDAP-Verzeichnisses verwenden kann. Standardwerte werden auf Basis des LDAP-Grundschemas bereitgestellt.

    LDAP-Abfragen

    • Gruppen abrufen: Der Suchfilter zum Abrufen von Gruppenobjekten.

      Z. B.: (Objektklasse=Gruppe)

    • Verbindungsbenutzer abrufen: Der Suchfilter zum Abrufen des Objekts Verbindungsbenutzer, d. h. des Benutzers, der eine Verbindung zum Verzeichnis herstellen kann.

      Z. B.: (Objektklasse=Person)

    • Benutzer abrufen: Der Suchfilter zum Abrufen der zu synchronisierenden Benutzer.

      Z. B.:(&(Objektklasse=Benutzer)(Objektkategorie=Person))

    Attribute

    • Mitgliedschaft: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der Mitglieder einer Gruppe verwendet wird.

      Z. B.: Mitglied

    • Objekt-UUID: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der UUID eines Benutzers oder einer Gruppe verwendet wird.

      Z. B.: EingabeUUID

    • Eindeutiger Name: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren des eindeutigen Namens eines Benutzers oder einer Gruppe verwendet wird.

      Z. B.: EingabeDN

    Zertifikate Wenn Ihr LDAP-Verzeichnis den Zugriff über SSL erfordert, aktivieren Sie die Option Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL, und geben Sie das Stammzertifizierungsstellen-SSL-Zertifikat des LDAP-Verzeichnisservers mittels Kopieren und Einfügen ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „ZERTIFIKATANFANG“ und „ZERTIFIKATENDE“ ein.
    Details des Bind-Benutzers Basis-DN: Geben Sie die DN ein, ab der die Suche starten soll. Z. B.: cn=Benutzer,dc=Beispiel,dc=com
    Bind-DN: Geben Sie den für die Verbindung zum LDAP-Verzeichnis zu verwendenden Benutzernamen ein.
    Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    Bind-DN-Kennwort: Geben Sie das Kennwort für den Bind-DN-Benutzer ein.

  4. Zum Testen der Verbindung zum LDAP-Verzeichnisserver klicken Sie auf Verbindung testen.
    Wenn keine Verbindung hergestellt werden kann, prüfen Sie die von Ihnen eingegebenen Informationen, und nehmen Sie entsprechende Änderungen vor.
  5. Klicken Sie auf Speichern und weiter.
  6. Prüfen Sie auf der Seite „Domänen“, ob die richtige Domäne aufgeführt ist, und klicken Sie dann auf Weiter.
  7. Prüfen Sie auf der Seite „Attribute zuordnen“, ob die VMware Identity Manager-Attribute den richtigen LDAP-Attributen zugeordnet sind.

    Diese Attribute werden für Benutzer synchronisiert.

    Wichtig: Sie müssen eine Zuordnung für das Attribut -Domäne angeben.

    Sie können der Liste Attribute von der Seite „Benutzerattribute“ hinzufügen.

  8. Klicken Sie auf Weiter.
  9. Klicken Sie auf der Seite „Gruppen“ auf + , um die Gruppen auszuwählen, die aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.

    Wenn Gruppen hinzugefügt werden, werden Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde.

    Wenn Ihr LDAP-Verzeichnis mehrere Gruppen mit dem gleichen Namen enthält, müssen Sie für sie eindeutige Namen auf der Seite „Gruppen“ angeben.

    Die Option Benutzer verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören, sofern die Gruppe entsprechend berechtigt ist. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der obersten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben. Tatsächlich wird die Hierarchie unter einer ausgewählten Gruppe geglättet; Benutzer aus allen Ebenen in VMware Identitätsmanager werden als Mitglieder der ausgewählten Gruppe angezeigt.

    Wenn diese Option deaktiviert ist und wenn Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Verzeichniskonfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

  10. Klicken Sie auf Weiter.
  11. Um Benutzer hinzuzufügen, klicken Sie auf + . Geben Sie beispielsweise CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com ein.
    Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe ist zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde, fügen Sie alle Benutzer die authentifizieren müssen, hinzu, bevor Gruppenberechtigungen konfiguriert werden müssen.

    Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen. Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.

    Klicken Sie auf Weiter.

  12. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppennamen mit dem Verzeichnis synchronisiert werden und wie die Standardsynchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

  13. Klicken Sie auf Verzeichnis synchronisieren, um die Verzeichnissynchronisierung zu starten.

Ergebnisse

Die Verbindung zum LDAP-Verzeichnis ist hergestellt. Benutzer und Gruppennamen werden aus dem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert. Standardmäßig hat der Bind-DN-Benutzer eine Administratorenrolle inne VMware Identity Manager.