In der VMware Identity Manager-Konsole geben Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory ein und wählen Sie Benutzer und Gruppen zur Synchronisierung mit dem VMware Identity Manager-Verzeichnis aus.

Als Active Directory-Verbindungsoptionen stehen „Active Directory über LDAP“ und „Active Directory über integrierte Windows-Authentifizierung“ zur Verfügung. Bei „Aktives Verzeichnis über LDAP“ wird die DNS-Dienstspeicherort-Suche unterstützt.

Voraussetzungen

  • (SaaS) Connector wurde installiert und aktiviert.

  • Wählen Sie auf der Seite „Benutzerattribute“ die erforderlichen Attribute aus und fügen Sie zusätzliche Attribute hinzu. Siehe Auswahl der mit dem Verzeichnis zu synchronisierenden Attribute.

  • Erstellen Sie eine Liste der Active Directory-Benutzer und -Gruppen, die aus Active Directory synchronisiert werden sollen. Gruppennamen werden sofort mit dem Verzeichnis synchronisiert. Mitglieder einer Gruppe werden erst synchronisiert, wenn die Gruppe Berechtigungen für Ressourcen hat oder einer Richtlinienregel hinzugefügt wurde. Benutzer, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden, sollten während der Erstkonfiguration hinzugefügt werden.

  • Für Active Directory über LDAP gehören zu den erforderlichen Informationen der Basis-DN, der Bind-DN und das Bind-DN-Kennwort.

    Der Bind-DN-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.

    • Lesen

    • Alle Eigenschaften lesen

    • Berechtigungen lesen

    Hinweis:

    Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Für Active Directory über die integrierte Windows-Authentifizierung benötigen Sie den Benutzernamen und das Kennwort des Bind-Benutzers, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt.

    Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.

    • Lesen

    • Alle Eigenschaften lesen

    • Berechtigungen lesen

    Hinweis:

    Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  • Wenn das Active Directory einen Zugriff über SSL oder STARTTLS erfordert, sind die Stamm-CA-Zertifikate der Domänencontroller für die entsprechenden Active Directory-Domänen erforderlich.

  • Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Gesamtstrukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorengruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.

  • Für Active Directory über die integrierte Windows-Authentifizierung:

    • Für alle Domänencontroller, die in SRV-Datensätzen und ausgeblendeten RODCs aufgeführt sind, sollte die nslookup-Abfrage nach Hostnamen und IP-Adresse funktionieren.

    • Alle Domänencontroller müssen in Bezug auf die Netzwerkkonnektivität erreichbar sein.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Identitäts- und Zugriffsmanagement.
  2. Auf der Seite der Verzeichnisse klicken Sie auf Verzeichnis hinzufügen.
  3. Geben Sie einen Namen für diesesVMware Identity Manager-Verzeichnis ein.
  4. Wählen Sie den aktives Verzeichnis-Typ in Ihrer Umgebung und konfigurieren Sie die Verbindungsinformationen.

    Option

    Beschreibung

    Aktives Verzeichnis über LDAP

    1. Wählen Sie im Textfeld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung mit Active Directory verwendet werden soll.

    2. Klicken Sie im Textfeld Authentifizierung auf Ja, wenn dieses Active Directory zur Authentifizierung der Benutzer verwendet wird.

      Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die aktive Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Wählen Sie im Textfeld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält.

    4. Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory verwenden möchten, treffen Sie die folgende Auswahl.

      • Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.

        VMware Identity Manager sucht und verwendet optimale Domänencontroller. Wenn Sie keine optimierte Auswahl von Domänencontrollern verwenden möchten, führen Sie stattdessen Schritt e. aus.

      • Wenn das aktive Verzeichnis eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein.

        Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

        Hinweis:

        Wenn für das aktive Verzeichnis STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    5. Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory nicht verwenden möchten, treffen Sie die folgende Auswahl.

      • Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein.

        Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Aktive Verzeichnis-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in Active Directory-Umgebungen.

      • Wenn für das aktive Verzeichnis ein Zugriff über eine SSL-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Feld SSL-Zertifikat ein.

        Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

        Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate aller Domänen nacheinander hinzu.

        Hinweis:

        Wenn für das aktives Verzeichnis SSL erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    6. Geben Sie im Feld Basis-DN den Namen der Domäne an, in der die Kontosuche beginnen soll. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com.

    7. Geben Sie im Feld Bind-DN das Konto an, das nach Benutzern suchen kann. Beispiel: CN=MeineEinheit,DC=MeineFirma,DC=com.

      Hinweis:

      Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    8. Nach Eingabe des Bind-Kennworts klicken Sie auf Verbindung testen, um zu überprüfen, ob das Verzeichnis eine Verbindung mit dem aktiven Verzeichnis herstellen kann.

    Aktives Verzeichnis (integrierte Windows-Authentifizierung)

    1. Wählen Sie im Feld Synchronisierungs-Connector den Connector aus, der für die Synchronisierung mit dem aktiven Verzeichnis verwendet werden soll.

    2. Klicken Sie im Feld Authentifizierung auf Ja, wenn dieses aktive Verzeichnis zur Authentifizierung der Benutzer verwendet wird.

      Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die aktive Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen.

    3. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält.

    4. Wenn das Active Directory eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein.

      Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „ZERTIFIKATANFANG“ und „ZERTIFIKATENDE“ enthält.

      Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate aller Domänen nacheinander hinzu.

      Hinweis:

      Wenn für das aktive Verzeichnis STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    5. (Nur Linux) Geben Sie den Namen der aktive Verzeichnis-Domäne ein, der beigetreten werden soll. Geben Sie eine Kombination von Benutzername und Kennwort ein, die eine Berechtigung zum Beitreten der Domäne besitzt. Weitere Informationen hierzu finden Sie unter Erforderliche Berechtigungen für den Beitritt zu einer Domäne (nur virtuelle Linux-Appliance).

    6. Geben Sie im Abschnitt Bind-Benutzerdetails den Benutzernamen und das Kennwort des Bind-Benutzers ein, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt. Geben Sie für den Benutzernamen den sAMAccountName ein, z. B. jdoe. Wenn die Domäne des Bind-Benutzers von der Beitrittsdomäne, die oben eingegeben wurde, abweicht, geben Sie den Benutzernamen als sAMAccountName@domain ein, wobei Domäne der vollqualifizierte Domänenname ist. Beispielsweise jdoe@example.com.

      Hinweis:

      Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

  5. Klicken Sie auf Speichern und weiter.

    Daraufhin wird die Seite mit der Liste der Domänen angezeigt.

  6. Bei Verwendung von „Aktives Verzeichnis über LDAP“ werden die Domänen mit einem Häkchen aufgeführt.

    Bei Verwendung von „Aktives Verzeichnis (integrierte Windows-Authentifizierung)“ wählen Sie die Domänen aus, die dieser aktiven Verzeichnis-Verbindung zugeordnet werden sollen.

    Hinweis:

    Wenn Sie nach der Verzeichniserstellung eine Domäne mit Vertrauensbeziehung hinzufügen, erkennt der Dienst nicht automatisch die neue Domäne mit Vertrauensbeziehung. Damit der Dienst die Domäne erkennen kann, muss der Connector die Domäne verlassen und ihr dann erneut beitreten. Wenn der Connector erneut der Domäne beitritt, wird die Domäne mit Vertrauensbeziehung in der Liste angezeigt.

    Klicken Sie auf Weiter.

  7. Überprüfen Sie, ob die VMware Identity Manager-Verzeichnis-Attributnamen den richtigen aktiven Verzeichnis-Attributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor. Klicken Sie dann auf Weiter.
  8. Wählen Sie die Gruppen, die aus dem aktiven Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.

    Wenn hier Gruppen hinzugefügt werden, werden Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde. Alle nachfolgenden Synchronisierungsvorgänge bringen aktualisierte Informationen vom Active Directory für diese Gruppennamen.

    Option

    Beschreibung

    Gruppen-DNs angeben

    Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen an, die sich darunter befinden.

    1. Klicken Sie auf + und geben Sie den Gruppen-DN an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com

      Wichtig:

      Geben Sie Gruppen-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. Klicken Sie auf Gruppen suchen.

      In der Spalte Gruppen für die Synchronisation ist die Anzahl der Gruppen aufgeführt, die im DN gefunden wurden.

    3. Um alle Gruppen in dem DN auszuwählen, klicken Sie auf Alle auswählen, klicken Sie ansonsten auf Auswählen und wählen Sie die spezifischen Gruppen für die Synchronisierung aus.

    Hinweis:

    Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe im aktiven Verzeichnis darstellt, nicht synchronisiert.

    Geschachtelte Gruppenmitglieder synchronisieren

    Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören, wenn die Gruppe dazu berechtigt ist. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben.

    Wenn die Option Geschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Aktives-Verzeichnis-Konfigurationen sinnvoll, wenn die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

  9. Klicken Sie auf Weiter.
  10. Geben Sie die zu synchronisierenden Benutzer ein.

    Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.

    1. Klicken Sie auf + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
      Wichtig:

      Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. (Optional) Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen.

      Dazu wählen Sie das Benutzerattribut für den Filter und die zu verwendende Abfrageregel aus und fügen den Wert hinzu. Beim Wert die Groß- und Kleinschreibung beachten. Die folgenden Zeichen dürfen sich nicht in der Zeichenfolge befinden: *^()?!$.

  11. Geben Sie die zu synchronisierenden Benutzer ein.

    Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.

    1. Klicken Sie auf + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
      Wichtig:

      Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. (Optional) Zum Ausschluss von Benutzern erstellen Sie Filter, um Benutzer basierend auf dem ausgewählten Attribut auszuschließen. Sie können mehrere Ausschlussfilter erstellen.

      Wählen Sie das Benutzerattribut für den Filter und den Abfragefilter, um den von Ihnen definierten Wert anzuwenden.

      Option

      Beschreibung

      Enthält

      Schließt alle Benutzer aus, die mit dem eingestellten Attribut und Wert übereinstimmen. Beispielsweise schließt Name enthält Jane Benutzer mit dem Namen „Jane“ aus.

      Enthält nicht

      Schließt alle Benutzer aus mit Ausnahme derjenigen, die mit dem eingestellten Attribut und Wert übereinstimmen. Beispielsweise schließt Telefonnummer enthält keine 800 nur Benutzer ein, deren Telefonnummer „800“ enthält.

      Beginnt mit

      Schließt alle Benutzer aus, bei denen die Zeichen mit <xxx> in dem Attributswert beginnen. Beispielsweise schließt EmployeeID beginnt mit ACME0 alle Benutzer mit einer Mitarbeiter-ID aus, deren ID-Nummer am Anfang „ACME0“ enthält.

      Endet mit

      Schließt alle Benutzer aus, bei denen die Zeichen mit <yyy> in dem Attributswert enden. Beispielsweise schließt Mail endet mit example1.com alle Benutzer aus, deren E-Mail-Adresse auf "example1.com" endet.

    Beim Wert die Groß- und Kleinschreibung beachten. Die folgenden Zeichen dürfen nicht in der Wertzeichenfolge enthalten sein.

    • Sternchen *

    • Zirkumflex^

    • Klammern ( )

    • Fragezeichen ?

    • Ausrufezeichen !

    • Dollarzeichen $

  12. Klicken Sie auf Weiter.
  13. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Synchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

  14. Um die Synchronisierung mit dem Verzeichnis zu starten, klicken Sie auf Verzeichnis synchronisieren.

Ergebnisse

Die Verbindung zum Active Directory ist hergestellt. Benutzer und Gruppennamen werden aus dem Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert. Standardmäßig hat der Bind-Benutzer in VMware Identity Manager eine Administratorenrolle inne.

Weitere Informationen dazu, wie Gruppen synchronisiert werden, finden Sie unter „Verwalten von Benutzern und Gruppen“ in Administration von VMware Identity Manager.

Nächste Maßnahme

  • Richten Sie Authentifizierungsmethoden ein. Nachdem Benutzer und Gruppennamen mit dem Verzeichnis synchronisiert wurden, können Sie zusätzliche Authentifizierungsmethoden für den Konnektor konfigurieren, falls dieser auch zur Authentifizierung verwendet wird. Wenn ein externer Identitätsanbieter zur Authentifizierung verwendet wird, konfigurieren Sie diesen Identitätsanbieter im Konnektor.

  • Überprüfen Sie die Standardzugriffsrichtlinie. Die Standardzugriffsrichtlinie wird so konfiguriert, dass alle Geräte in allen Netzwerkbereichen auf das Web-Portal zugreifen können, wobei ein Sitzungs-Timeout von acht Stunden bzw. der Zugriff auf eine Client-App innerhalb eines Sitzungs-Timeout von 2160 Stunden (90 Tagen) festgelegt wird. Sie können die Standardzugriffsrichtlinie ändern. Wenn Sie Web-Anwendungen dem Katalog hinzufügen, können Sie zudem neue Standardzugriffsrichtlinien erstellen.