In der VMware Identity Manager-Konsole geben Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory ein und wählen Sie Benutzer und Gruppen zur Synchronisierung mit dem VMware Identity Manager-Verzeichnis aus.

1. Klicken Sie in der VMware Identity Manager-Konsole auf die Registerkarte Identitäts- und Zugriffsmanagement.
2. Auf der Seite der Verzeichnisse klicken Sie auf Verzeichnis hinzufügen.
3. Geben Sie einen Namen für diesesVMware Identity Manager-Verzeichnis ein.
4. Wählen Sie den aktives Verzeichnis-Typ in Ihrer Umgebung und konfigurieren Sie die Verbindungsinformationen.

   Option	Beschreibung
   Aktives Verzeichnis über LDAP	Wählen Sie im Textfeld Synchronisierungs-Konnektor den Connector aus, der für die Synchronisierung mit Active Directory verwendet werden soll. Klicken Sie im Textfeld Authentifizierung auf Ja, wenn dieses Active Directory zur Authentifizierung der Benutzer verwendet wird. Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die aktive Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen. Wählen Sie im Textfeld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält. Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory verwenden möchten, treffen Sie die folgende Auswahl. Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort. VMware Identity Manager sucht und verwendet optimale Domänencontroller. Wenn Sie keine optimierte Auswahl von Domänencontrollern verwenden möchten, führen Sie stattdessen Schritt e. aus. Wenn das aktive Verzeichnis eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält. Hinweis: Wenn für das aktive Verzeichnis STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen. Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory nicht verwenden möchten, treffen Sie die folgende Auswahl. Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein. Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Aktive Verzeichnis-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in Active Directory-Umgebungen. Wenn für das aktive Verzeichnis ein Zugriff über eine SSL-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Feld SSL-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält. Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate aller Domänen nacheinander hinzu. Hinweis: Wenn für das aktives Verzeichnis SSL erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen. Geben Sie im Feld Basis-DN den Namen der Domäne an, in der die Kontosuche beginnen soll. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com. Geben Sie im Feld Bind-DN das Konto an, das nach Benutzern suchen kann. Beispiel: CN=MeineEinheit,DC=MeineFirma,DC=com. Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft. Nach Eingabe des Bind-Kennworts klicken Sie auf Verbindung testen, um zu überprüfen, ob das Verzeichnis eine Verbindung mit dem aktiven Verzeichnis herstellen kann.
   Aktives Verzeichnis (integrierte Windows-Authentifizierung)	Wählen Sie im Feld Synchronisierungs-Connector den Connector aus, der für die Synchronisierung mit dem aktiven Verzeichnis verwendet werden soll. Klicken Sie im Feld Authentifizierung auf Ja, wenn dieses aktive Verzeichnis zur Authentifizierung der Benutzer verwendet wird. Wird ein externer Identitätsanbieter zur Benutzerauthentifizierung verwendet, klicken Sie auf Nein. Nachdem Sie die aktive Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite „Identitäts- und Zugriffsmanagement“ > „Einrichten“ > „Identitätsanbieter“, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält. Wenn das Active Directory eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „ZERTIFIKATANFANG“ und „ZERTIFIKATENDE“ enthält. Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate aller Domänen nacheinander hinzu. Hinweis: Wenn für das aktive Verzeichnis STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen. (Nur Linux) Geben Sie den Namen der aktive Verzeichnis-Domäne ein, der beigetreten werden soll. Geben Sie eine Kombination von Benutzername und Kennwort ein, die eine Berechtigung zum Beitreten der Domäne besitzt. Weitere Informationen hierzu finden Sie unter Erforderliche Berechtigungen für den Beitritt zu einer Domäne (nur virtuelle Linux-Appliance). Geben Sie im Abschnitt Bind-Benutzerdetails den Benutzernamen und das Kennwort des Bind-Benutzers ein, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt. Geben Sie für den Benutzernamen den sAMAccountName ein, z. B. jdoe. Wenn die Domäne des Bind-Benutzers von der Beitrittsdomäne, die oben eingegeben wurde, abweicht, geben Sie den Benutzernamen als sAMAccountName@domain ein, wobei Domäne der vollqualifizierte Domänenname ist. Beispielsweise [email protected]. Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

5. Klicken Sie auf Speichern und weiter.

   Daraufhin wird die Seite mit der Liste der Domänen angezeigt.

6. Bei Verwendung von „Aktives Verzeichnis über LDAP“ werden die Domänen mit einem Häkchen aufgeführt.

   Bei Verwendung von „Aktives Verzeichnis (integrierte Windows-Authentifizierung)“ wählen Sie die Domänen aus, die dieser aktiven Verzeichnis-Verbindung zugeordnet werden sollen.

   Hinweis:

   Wenn Sie nach der Verzeichniserstellung eine Domäne mit Vertrauensbeziehung hinzufügen, erkennt der Dienst nicht automatisch die neue Domäne mit Vertrauensbeziehung. Damit der Dienst die Domäne erkennen kann, muss der Connector die Domäne verlassen und ihr dann erneut beitreten. Wenn der Connector erneut der Domäne beitritt, wird die Domäne mit Vertrauensbeziehung in der Liste angezeigt.

   Klicken Sie auf Weiter.

7. Überprüfen Sie, ob die VMware Identity Manager-Verzeichnis-Attributnamen den richtigen aktiven Verzeichnis-Attributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor. Klicken Sie dann auf Weiter.
8. Wählen Sie die Gruppen, die aus dem aktiven Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.

   Wenn hier Gruppen hinzugefügt werden, werden Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde. Alle nachfolgenden Synchronisierungsvorgänge bringen aktualisierte Informationen vom Active Directory für diese Gruppennamen.

   Option	Beschreibung
   Gruppen-DNs angeben	Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen an, die sich darunter befinden. Klicken Sie auf + und geben Sie den Gruppen-DN an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com Wichtig: Geben Sie Gruppen-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden. Klicken Sie auf Gruppen suchen. In der Spalte Gruppen für die Synchronisation ist die Anzahl der Gruppen aufgeführt, die im DN gefunden wurden. Um alle Gruppen in dem DN auszuwählen, klicken Sie auf Alle auswählen, klicken Sie ansonsten auf Auswählen und wählen Sie die spezifischen Gruppen für die Synchronisierung aus. Hinweis: Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe im aktiven Verzeichnis darstellt, nicht synchronisiert.
   Geschachtelte Gruppenmitglieder synchronisieren	Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören, wenn die Gruppe dazu berechtigt ist. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben. Wenn die Option Geschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Aktives-Verzeichnis-Konfigurationen sinnvoll, wenn die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

9. Klicken Sie auf Weiter.
10. Geben Sie die zu synchronisierenden Benutzer ein.

    Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.

    1. Klicken Sie auf + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
       Wichtig:

       Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. (Optional) Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen.

       Dazu wählen Sie das Benutzerattribut für den Filter und die zu verwendende Abfrageregel aus und fügen den Wert hinzu. Beim Wert die Groß- und Kleinschreibung beachten. Die folgenden Zeichen dürfen sich nicht in der Zeichenfolge befinden: *^()?!$.

11. Geben Sie die zu synchronisierenden Benutzer ein.

    Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.

    1. Klicken Sie auf + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
       Wichtig:

       Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

    2. (Optional) Zum Ausschluss von Benutzern erstellen Sie Filter, um Benutzer basierend auf dem ausgewählten Attribut auszuschließen. Sie können mehrere Ausschlussfilter erstellen.

       Wählen Sie das Benutzerattribut für den Filter und den Abfragefilter, um den von Ihnen definierten Wert anzuwenden.

       Option	Beschreibung
       Enthält	Schließt alle Benutzer aus, die mit dem eingestellten Attribut und Wert übereinstimmen. Beispielsweise schließt Name enthält Jane Benutzer mit dem Namen „Jane“ aus.
       Enthält nicht	Schließt alle Benutzer aus mit Ausnahme derjenigen, die mit dem eingestellten Attribut und Wert übereinstimmen. Beispielsweise schließt Telefonnummer enthält keine 800 nur Benutzer ein, deren Telefonnummer „800“ enthält.
       Beginnt mit	Schließt alle Benutzer aus, bei denen die Zeichen mit <xxx> in dem Attributswert beginnen. Beispielsweise schließt EmployeeID beginnt mit ACME0 alle Benutzer mit einer Mitarbeiter-ID aus, deren ID-Nummer am Anfang „ACME0“ enthält.
       Endet mit	Schließt alle Benutzer aus, bei denen die Zeichen mit <yyy> in dem Attributswert enden. Beispielsweise schließt Mail endet mit example1.com alle Benutzer aus, deren E-Mail-Adresse auf "example1.com" endet.

    Beim Wert die Groß- und Kleinschreibung beachten. Die folgenden Zeichen dürfen nicht in der Wertzeichenfolge enthalten sein.

    • Sternchen *

    • Zirkumflex^

    • Klammern ( )

    • Fragezeichen ?

    • Ausrufezeichen !

    • Dollarzeichen $

12. Klicken Sie auf Weiter.
13. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Synchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

14. Um die Synchronisierung mit dem Verzeichnis zu starten, klicken Sie auf Verzeichnis synchronisieren.